ANALISIS Y GESTION DE RIESGOS EN EL MARCO...
-
Upload
nguyenngoc -
Category
Documents
-
view
217 -
download
0
Transcript of ANALISIS Y GESTION DE RIESGOS EN EL MARCO...
1
ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN
LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU
EJECUCION
David Alejandro García Hernández
Jeisson Herley Ruiz Murillo
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERIA EN TELEMATICA
BOGOTÁ
2017
2
ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN
LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU
EJECUCION
David Alejandro García Hernández
Código: 20141678022
Jeisson Herley Ruiz Murillo
Código: 20141678032
Documento presentado como requisito para entrega de anteproyecto de grado de
Ingeniería en Telemática
Monografía
Tutor
Jairo Hernández G.
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA
BOGOTÁ
2017
3
Nota de Aceptación
______________________________
______________________________
______________________________
______________________________
_____________________________
Firma tutor del Proyecto
_____________________________
Firma del Jurado
Bogotá, 09, 08, 2017.
4
Dedicamos este proyecto a nuestras
familias, y a mis amigos que nos
brindaron el apoyo necesario durante su
realización.
5
AGRADECIMIENTOS
Este proyecto de grado, ha requerido de un gran esfuerzo y dedicación por parte
de los Autores cabe destacar que no hubiera sido posible culminar este trabajo,
sin la colaboración de las personas que a continuación se mencionan y que directa
o indirectamente estuvieron presentes durante el desarrollo de esta tesis.
Agradecemos a Dios por brindarnos la fortaleza necesaria para seguir adelante en
los momentos difíciles, y por llenarnos de sabiduría para lograr con éxito la
culminación de este proyecto.
A nuestros padres, agradecemos su constante apoyo moral y económico, y por
creer en nuestras capacidades para que esta meta se cumpliera.
En general quisiéramos agradecer a todas las personas que han vivido con
nosotros la realización de este proyecto.
6
TABLA DE CONTENIDO
1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN .......................... 16
1.1. TITULO .................................................................................................... 16
1.2. TEMA ....................................................................................................... 16
1.3. PLANTEAMIENTO DEL PROBLEMA ...................................................... 16
1.3.1. Descripción. ....................................................................................... 16
1.3.2. Formulación del problema. ................................................................ 17
1.4. JUSTIFICACION ...................................................................................... 17
1.4.1. Justificación Ambiental Y Social ........................................................ 18
1.5. OBJETIVOS ............................................................................................. 18
1.5.1. Objetivo General. ............................................................................... 18
1.5.2. Objetivos Específicos. ....................................................................... 18
1.6. ALCANCES .............................................................................................. 19
1.7. DELIMITACIONES ................................................................................... 20
1.7.1. Delimitación Geográfica. .................................................................... 20
1.7.2. Delimitación Temporal. ...................................................................... 20
1.7.3. Delimitación Operativa. ...................................................................... 20
1.8. MARCO HISTORICO ............................................................................... 20
1.9. MARCO TEORICO................................................................................... 21
1.10. MARCO CONCEPTUAL ....................................................................... 27
1.11. FACTIBILIDAD ...................................................................................... 28
1.11.1. Factibilidad Técnica. ....................................................................... 28
1.11.2. Factibilidad operativa...................................................................... 28
1.11.3. Factibilidad Legal. .......................................................................... 28
1.11.4. Factibilidad Económica. .................................................................. 29
1.11.5. Cronograma de Actividades ........................................................... 30
2. SITUACIÓN ACTUAL ..................................................................................... 31
2.1. Actividad 1: Marco de Referencia Aplicabilidad del Modelo ..................... 31
2.2. Actividad 2: Evaluación de oportunidad ................................................... 31
7
2.3. Actividad 3: Información Administrativa y Técnica ................................... 32
2.3.1. Misión ................................................................................................ 32
2.3.2. Visión ................................................................................................. 32
2.3.3. Organigrama ...................................................................................... 33
2.3.4. Información Técnica .......................................................................... 33
2.4. Actividad 4: Plataforma Tecnológica ........................................................ 35
2.4.1. Equipos Activos De Red .................................................................... 37
2.4.2. Diseño Lógico Oficina Central ........................................................... 39
2.4.3. Diseño Lógico Oficina Eje Cafetero ................................................... 39
2.4.4. Equipos De Cómputo ......................................................................... 40
2.4.5. Centro Datos...................................................................................... 40
2.4.6. Cableado Estructurado ...................................................................... 41
2.4.7. Cableado Vertical .............................................................................. 42
2.5. Actividad 5: Situación Actual de la Seguridad, Norma 27001 – GAP ....... 43
2.6. Actividad 6: Determinación del alcance del proyecto ............................... 45
2.7. Actividad 7: Planificación del proyecto ..................................................... 46
2.8. Actividad 8: Puesta en marcha del proyecto ............................................ 47
3. ANÁLISIS DE RIESGOS ................................................................................ 48
3.1. Caracterización de los Activos ................................................................. 48
3.1.1. Levantamiento de Activos de Información ......................................... 48
3.1.2. Valoración de los Activos ................................................................... 51
3.1.3. Identificación y Valoración de Activos ................................................ 52
3.2. Caracterización de las Amenazas ............................................................ 55
3.2.1. Identificación de las Amenazas ......................................................... 55
3.2.2. Valoración de las Amenazas ............................................................. 62
3.3. Estimación del Impacto y Riesgo Potencial .............................................. 62
3.3.1. Impacto potencial ............................................................................... 63
3.3.2. Riesgo Potencial: ............................................................................... 63
3.4. Salvaguardas ........................................................................................... 64
3.4.1. Identificación de las salvaguardas. .................................................... 64
8
3.4.2. Caracterización de las salvaguardas ................................................. 65
3.4.3. Identificación y Caracterización de las Salvaguardas ........................ 65
3.5. Estimación del Impacto y Riesgo Residual .............................................. 68
3.5.1. Impacto Residual ............................................................................... 68
3.5.2. Riesgo Residual ................................................................................. 69
4. GESTIÓN DE RIESGOS ................................................................................ 71
4.1. Toma de Decisiones................................................................................. 71
4.1.1. Identificación de los Riesgos Críticos ................................................ 71
4.1.2. Calificación del Riesgo ...................................................................... 75
4.2. Plan de Seguridad .................................................................................... 82
4.2.1. Normativas de Seguridad .................................................................. 82
4.2.2. Mitigación del Riesgo ......................................................................... 84
5. CONSTRUCCIÓN DEL API MAGERIT UD .................................................... 86
5.1. Metodología ............................................................................................. 86
5.2. Diagramas ................................................................................................ 87
6. CONCLUSIONES ........................................................................................... 91
7. RECOMENDACIONES ................................................................................... 92
8. BIBLIOGRAFÍA ............................................................................................... 93
ANEXOS ................................................................................................................. 2
ANEXO A - Tabla de controles norma ISO 27001 ............................................... 3
ANEXO B - ENCUESTAS .................................................................................. 21
ANEXO C – Valoración de Amenazas ............................................................... 39
ANEXO D – Impacto Potencial .......................................................................... 51
ANEXO E – Riesgo Potencial ............................................................................ 61
ANEXO F – Impacto Residual ............................................................................ 71
ANEXO G - Riesgo residual .............................................................................. 81
ANEXO H – ENTREVISTAS .............................................................................. 94
ANEXO I – MANUAL DE USUARIO ................................................................ 102
ANEXO J – MANUAL DEL SISTEMA .............................................................. 112
9
INDICE DE FIGURAS
Figura 1. Arquitectura en capas ............................................................................ 27
Figura 2. Cronograma de actividades ................................................................... 30
Figura 3. Organigrama .......................................................................................... 33
Figura 4. Configuración servidor primario ............................................................. 35
Figura 5. Configuración servidor secundario ......................................................... 36
Figura 6. Esquema de localización vehicular ........................................................ 36
Figura 7. AP TP-LINK TL-WA901ND .................................................................... 37
Figura 8. Huawei S3700 28TP-EI-24S-AC ............................................................ 37
Figura 9. DrayTek Vigor3900 ................................................................................ 37
Figura 10. Cisco Rv320-k9 .................................................................................... 38
Figura 11. UTM Fortigate 60d ............................................................................... 38
Figura 12. Dell Powervault 124T ........................................................................... 38
Figura 13. Diseño Lógico Oficina Central .............................................................. 39
Figura 14. Diseño Lógico Oficina Eje Cafetero...................................................... 39
Figura 15. Lenovo ThinkPad T460S ...................................................................... 40
Figura 16. Lenovo ThinkStation S10 ..................................................................... 40
Figura 17. Dell PowerEdge R620 .......................................................................... 41
Figura 18. Cableado horizontal ............................................................................. 42
Figura 19. Cableado vertical sede Bogotá ............................................................ 43
Figura 20. Cableado vertical sede Bogotá ............................................................ 43
Figura 21. Convenciones evaluación de controles ................................................ 44
Figura 22. Resumen Controles Evaluados ............................................................ 44
Figura 23. Grafico Implementación controles ........................................................ 45
10
Figura 24. Gráfico de barras implementación controles ........................................ 45
Figura 25. Criterios de valoración .......................................................................... 52
Figura 26. Criterios de degradación ...................................................................... 62
Figura 27. Criterios de probabilidad ...................................................................... 62
Figura 28. Impacto Potencial ................................................................................. 63
Figura 29. Riesgo Potencial .................................................................................. 64
Figura 30. Criterios de salvaguardas ..................................................................... 65
Figura 31. Impacto Residual .................................................................................. 69
Figura 32. Impacto Residual .................................................................................. 70
Figura 33. Kanban Proyecto .................................................................................. 87
Figura 34. Diagrama Entidad- relación .................................................................. 88
Figura 35. Diagrama de secuencia ........................................................................ 89
Figura 36. Diagrama de objetos ............................................................................ 90
Figura 37. Convenciones evaluación de controles .................................................. 3
Figura 38. Documentación API (Acceso Web) .................................................... 104
Figura 39. Lista de operaciones .......................................................................... 105
Figura 40. Detalle de operación. ......................................................................... 106
Figura 41. Verificación de la máquina virtual ....................................................... 107
Figura 42. Log de inicio de aplicación ................................................................. 107
Figura 43. Registro de empresa y/o proyecto...................................................... 108
Figura 44. Creación y/o edición de proyecto ....................................................... 109
Figura 45. Edición del proyecto 1. ....................................................................... 109
Figura 46. Edición del proyecto 2. ....................................................................... 110
Figura 47. Edición del proyecto 3 ........................................................................ 110
Figura 48. Edición del proyecto 4 ........................................................................ 111
11
Figura 49. Página de descarga PostgreSQL ....................................................... 113
Figura 50. Versión de sistema operativo para descarga ..................................... 113
Figura 51. Instalación PostgreSQL 1 ................................................................... 114
Figura 52. Instalación PostgreSQL 2 ................................................................... 114
Figura 53. Instalación PostgreSQL 3 ................................................................... 115
Figura 54. Instalación PostgreSQL 4 ................................................................... 115
Figura 55. Instalación PostgreSQL 5 ................................................................... 116
Figura 56. Instalación PostgreSQL 6 ................................................................... 116
Figura 57. Instalación PostgreSQL 7 ................................................................... 117
Figura 58. Instalación PostgreSQL 8 ................................................................... 117
Figura 59. Instalación PostgreSQL 2 ................................................................... 118
Figura 60. Creación base de datos ..................................................................... 118
Figura 61. Restore base de datos ....................................................................... 119
Figura 62. Ubicación archivo restore base de datos ........................................... 119
Figura 63. Pagina descarga JDK 8 ...................................................................... 120
Figura 64. Instalación JDK 8, paso 1 ................................................................... 120
Figura 65. Instalación JDK 8, paso 2 ................................................................... 121
Figura 66. Instalación JDK 8, paso 3 ................................................................... 121
Figura 67. Instalación JDK 8, paso 4 ................................................................... 122
Figura 68. . Diagrama de componentes .............................................................. 123
Figura 69. . Creación de empresa, MageritUD .................................................... 124
Figura 70. Creación de proyecto, MageritUD ...................................................... 124
Figura 71. Creación de dominio, MageritUD ....................................................... 125
Figura 72. Creación de activos, MageritUD ......................................................... 125
Figura 73. Creación de amenazas, MageritUD ................................................... 126
12
Figura 74. Creación de impacto potencial, MageritUD ........................................ 127
Figura 75. Creación de salvaguardas, MageritUD ............................................... 127
Figura 76. Catálogo de activos, MageritUD ......................................................... 128
Figura 77. Catálogo de amenazas, MageritUD ................................................... 128
Figura 78. Catálogo de salvaguardas, MageritUD ............................................... 129
Figura 79. Estructura MageritUD ......................................................................... 129
Figura 80. Magerit.ud-container .......................................................................... 130
Figura 81. Magerit.ud-controller .......................................................................... 130
Figura 82. Magerit.ud-definitions ......................................................................... 131
Figura 83. Magerit.ud-api .................................................................................... 131
Figura 84. Magerit.ud-domain ............................................................................. 132
13
RESUMEN
Este proyecto fue enfocado a las metodologías de análisis y gestión de riesgos, ya
que permiten determinar los riesgos a los que se encuentran expuestas las
organizaciones, por tal razón TrackSpia S.A.S, una PYME del mercado de rastreo
satelital, permitió llevar a cabo este caso estudio de análisis y gestión de riesgos
mediante el uso de la herramienta Magerit UD.
El desarrollo del análisis y gestión de riesgos se divide en cuatro capítulos.
En la primera parte se documentó la fase de definición, planeación y organización,
especificando los datos elementales del proyecto: título, tema del proyecto,
planteamiento del problema, justificación, objetivos, alcances y delimitaciones.
además, una descripción de cada uno de los libros de la metodología, con su
respectivo marco conceptual; detallando los términos elementales de Magerit V3.
El segundo capítulo es un estudio de la situación actual de la empresa,
puntualizando el marco de referencia de la aplicabilidad del modelo, la evaluación
de la oportunidad, alcance del proyecto y como se planificó el proyecto. Importante
dentro de la fase de planificación: la descripción de la plataforma tecnológica,
información técnica y administrativa de la organización y la situación actual con
respecto la norma ISO 27001.
En el tercer capítulo, se indica cuáles son los pasos que se deben seguir para
encontrar los riesgos sobre cada activo. Estos pasos son: la identificación de los
activos, valoración de los activos, caracterización de las amenazas, estimación del
impacto y riesgo potencial, identificación de las salvaguardas.
El cuarto capítulo describe las medidas pertinentes para realizar de la mitigación
de riesgos, tales como: la toma de decisiones, calificación de los riesgos, plan de
seguridad, mitigación del riesgo, conclusiones y recomendaciones.
14
ABSTRACT
This project was focused on risk analysis and management methodologies, since
they allow the identification of the risks to which the organizations are exposed. For
this reason, TrackSpia SAS, a SME in the satellite tracking market, allowed to
carry out this case of Study of risk analysis and management through the use of
the Magerit UD tool. The development of risk analysis and management is divided
into four chapters.
The first part documented the definition, planning and organization phase,
specifying the elementary data of the project: title, project theme, problem
statement, justification, objectives, scope and boundaries. In addition a description
of each of the books of the methodology, with its respective conceptual framework;
detailing the elementary terms of Magerit V3.
The second chapter is a study of the current situation of the company, stating the
frame of reference of the applicability of the model, the evaluation of the
opportunity, scope of the project and how the project was planned. Important in the
planning phase: the description of the technological platform, technical and
administrative information of the organization and the current situation with respect
to ISO 27001.
The third chapter outlines the steps that must be followed to find the risks for each
asset. These steps are: identification of assets, valuation of assets,
characterization of threats, estimation of impact and potential risk, identification of
safeguards.
The fourth chapter describes the relevant measures to carry out risk mitigation,
such as: decision making, risk rating, safety plan, risk mitigation, conclusions and
recommendations.
15
INTRODUCCIÓN
La presente monografía está dirigida a implementar un modelo seguridad por
medio de la metodología MAGERIT. Esto haciendo uso de un software que ha
sido desarrollado para facilitar el análisis de cada uno de los activos de una
organización. Para efectos del presente documento se ha elaborado un caso
estudio a la empresa TrackSpia LTDA.
En la actualidad un amplio sector de las organizaciones hace uso de las
tecnologías de la información y la comunicación (TIC), en donde el gran flujo de
información manejada y administrada debe ser almacenado, procesado y
transmitido de manera eficaz y eficiente.
Desde que se ha hecho masivo el uso de las TIC, se ha requerido cada vez más el
acompañamiento de personal experto, la adquisición o alquiler de la
infraestructura tecnológica necesaria para contener, transmitir y proteger, el amplio
volumen de información. El alcance de la tecnología en las organizaciones, ha
determinado que un factor fundamental es la seguridad de cada uno de los
recursos informáticos denominados activos, y estos activos son relevantes
siempre y cuando respalden la información que es lo más valioso para una
organización.
Aunque estos activos por más seguridad y protección implementada, no son
totalmente seguros, ya que continuamente sufren amenazas; tanto externo como
internamente, y para ello existen medidas de seguridad que permiten prevenir y
evitar daños. Es allí donde se entra a hablar de las metodologías de análisis de
riesgos. Para evitar mitigar todo tipo de riesgo que se pueda convertir en una
amenaza y en el peor de los casos materializarse sobre un activo.
La finalidad de este proyecto consiste en entregar una solución que permita aplicar
una de estas metodologías de análisis de riesgos. Para el caso del presente:
MAGERIT, que ha sido creado por el Consejo Superior de Administración Publica
de España (CSAE) y busca orientar el análisis de riesgos hacia las tecnologías de
la información y la comunicación (TIC).
16
1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN
1.1. TITULO
Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología
MAGERIT y apoyado en un API Web para su ejecución.
1.2. TEMA
El tema principal del Análisis y gestión de riesgos en el marco del SGSI, basado
en la metodología MAGERIT y apoyado en un API Web para su ejecución será
todo lo relacionado con el análisis de riesgos, todo basado en la metodología
MAGERIT que está orientado a las tecnologías de la información y la
comunicación. Por otra parte, se busca por medio del desarrollo de un caso
estudio mostrar el uso de la MAGERIT como una metodología confiable para el
desarrollo de un análisis de riesgos eficaz y confiable.
1.3. PLANTEAMIENTO DEL PROBLEMA
1.3.1. Descripción.
El Sistema de Gestión de la Seguridad de la Información (SGSI) como su nombre
lo indica es todo un conjunto de procesos que se involucran en el ciclo de vida de
la información para garantizar la confidencialidad, integridad y disponibilidad de la
misma. La información y los sistemas que hacen uso de ella (sistemas de
información, servicios, equipos de cómputo, entre otros.), son activos demasiado
importantes para la empresa, por lo que uno de los procesos de SGSI conocido
como: análisis de gestión de riesgos ayuda a prevenir la materialización de las
amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un
impacto para la organización) a la que los activos puedan estar expuestos, por lo
tanto es de propósito general determinar los componentes de un sistema que
requieren protección, evaluar las vulnerabilidades que los debilitan y así como
determinar las amenazas que lo ponen en peligro.
Algunas de las empresas que se encuentran en crecimiento constante como es el
caso de TrackSpia LTDA, que a pesar de tener un flujo constante de clientes y de
implementar medidas organizativas que mejoran la producción y calidad de los
productos, no se anticipan a las situaciones adversas en donde se vean
involucrados los activos de la empresa, y mucho menos clarifican las posibles
17
pérdidas que estas puedan generar, debido a varios factores, entre los que se
encuentran:
Desconocimiento de la importancia de realizar un análisis de riesgos, y
sobre todo como este puede ayudar en las empresas que no cuentan con
una economía fluctuante.
La poca oferta de herramientas de software que permiten gestionar de
manera ordenada el análisis de riesgos propuesto por la metodología.
La falta de interés y/o de tiempo de las personas encargadas de realizar el
análisis, la valoración y la creación de salvaguardas.
El uso de herramientas de ofimática suministrados por terceros, que
originan costos excesivos de implantación al interior de la compañía, y que
en ocasiones promueven el error y/o métricas inexactas de los riesgos.
Actualmente se cuenta con metodologías (MAGERIT, OCTAVE, PCI, PMI) que
permiten llevar a cabo la detección de amenazas y/o vulnerabilidades. Esta acción
es realizada por parte de las personas encargadas de implementar el proceso de
seguridad de la información, tarea que en muchas ocasiones es ejecutada con
herramientas que no aseguran el cumplimiento concreto del procedimiento según
los estándares establecidos por la ISO 27005, lo que conlleva al error o disminuir
la objetividad de los resultados, estableciendo salvaguardas ambiguas o en
algunos casos ineficaces, lo que damnifica la gestión organizativa o administrativa.
1.3.2. Formulación del problema.
¿Cuáles son las amenazas eventuales a las que está expuesta una organización y
como realizar un análisis de gestión de riesgos, cuando no se cuenta con
información histórica de incidentes de seguridad apoyado la metodología
MAGERIT?
1.4. JUSTIFICACION
Teniendo en cuenta el problema, se evidencia que, mediante un análisis
concienzudo de la organización, en donde se realice una evaluación cada uno de
los activos, se puede lograr validar el nivel de riesgo con el que puede contar cada
activo, además de verificar los posibles riesgos con los que puede contar y así
18
evaluar el nivel de incidencia que tendría la materialización de un conjunto de
amenazas.
El apoyo que se brindara al análisis de riesgos por medio del api web, permitirá
facilitar que el análisis de riesgos se pueda realizar de una forma uniforme y
organizada en donde el gerente del proyecto pueda preocuparse por hacer un
correcto levantamiento de los activos y se ocupe de realizar un correcto plan de
mitigación y pueda establecer las políticas adecuadas para la mitigación de los
riesgos.
1.4.1. Justificación Ambiental Y Social
La justificación ambiental del presente proyecto incluye un análisis global del
mismo en su conjunto y un análisis detallado de sus principales componentes. El
enfoque técnico adoptado trata de detectar tanto los conflictos como las relaciones
positivas que se presentarían entre intereses y entre actividades (impactos
ambientales) como resultado de la ejecución del proyecto.
1.5. OBJETIVOS
1.5.1. Objetivo General.
Analizar por medio de la metodología MAGERIT la aplicación de un esquema de
seguridad proporcionando los principios básicos y requisitos mínimos para la
evaluación cualitativa de riesgos, obteniendo como resultado los controles que
mitiguen la exposición de los activos ante eventuales amenazas.
1.5.2. Objetivos Específicos.
Interpretar la metodología de gestión de riesgos MAGERIT v3 y como es aplicada en un análisis cualitativo para la obtención de resultados en pro de la integridad, confidencialidad, autenticidad, trazabilidad y disponibilidad de la información.
Establecer por medio de la metodología cuál es el nivel de riesgo aceptable con el cual puede convivir la organización que es objeto del estudio, y por medio de la gestión de riesgos conocer las alternativas para poder manejarlos.
19
Brindar a través la construcción de un api web, una herramienta que permita un análisis de riesgo cualitativo en el marco de la metodología MAGERIT v3.
Limitar el uso del análisis de riesgos a las tecnologías de la información y la comunicación TIC, evitando su uso a otras áreas administrativas de negocio y funcionales.
1.6. ALCANCES El Proyecto comprende el desarrollo de un análisis de riesgos basado en
metodología Magerit que contara con el apoyo de un api web. Para el desarrollo
de este cometido se tendrá en cuenta las siguientes etapas
Caracterización de los activos: En donde el usuario podrá ingresar los
activos que han sido previamente identificados en la organización para
poder empezar a realizar el análisis de riesgos.
Valoración de los activos: El usuario podrá realizar la valoración de los
activos en base a lo previamente ingresado.
Caracterización de las amenazas: El usuario podrá identificar las
amenazas que podría tener el activo en base al catálogo de elementos.
Valoración de las amenazas: El usuario realizara la valoración de las
amenazas, en donde podrá asignar valores tanto al nivel de degradación en
cada una de las dimensiones, como una valoración a la probabilidad de
ocurrencia que pese sobre esa amenaza en específico.
Estimación del Riesgo: Se procesa e interpreta los resultados obtenidos
para determinar el estado del riesgo de la organización. Se podrá realizar la
estimación del impacto y como tal la estimación del riesgo.
Caracterización de las Salvaguardas: El usuario podrá identificar las
salvaguardias efectivas para la organización junto con la eficacia que tiene
cada una de ellas para mitigar el riesgo. Se podrá identificar como se había
dicho anteriormente las salvaguardas y el usuario realizara una valoración
de las mismas.
20
1.7. DELIMITACIONES
1.7.1. Delimitación Geográfica.
Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología
MAGERIT y apoyado en un API Web para su ejecución, podrá ser aplicado a
cualquier tipo de organización tanto de carácter público, como de carácter privado,
por lo tanto, el aplicativo se implementará bajo estas condiciones.
1.7.2. Delimitación Temporal.
Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología
MAGERIT y apoyado en un API Web para su ejecución se ha proyectado para un
tiempo de 7 meses, según lo establecido en el cronograma de actividades.
1.7.3. Delimitación Operativa.
Las especificaciones técnicas que debe tener el equipo en el cual se desarrollará
el API Web son las siguientes
Sistema Operativo Windows.
Lenguaje de Programación Java.
Servidor Web y de aplicaciones Tomcat.
Ambiente de desarrollo Eclipse.
Motor de Base de Datos PostgreSQL.
El caso estudio aplicando MAGERIT para el Análisis de Riesgos abarcara toda la
parte TI de la organización, ya que la naturaleza de la metodología así lo indica.
1.8. MARCO HISTORICO
El CSAE que es el consejo superior de administración pública de España elaboro
MAGERIT como una metodología que permite analizar y evaluar los riesgos de
todos los elementos que conforman el área TI de una organización. Claro está que
la propuesta inicial estuvo orientada hacia la parte pública. Tal como ellos lo dicen:
21
“El CSAE ha elaborado y promueve Magerit como respuesta a la percepción de
que la Administración Pública (y en general toda la sociedad) depende de forma
creciente de los sistemas de in-formación para alcanzar sus objetivos. El uso de
tecnologías de la información y comunicaciones (TIC) supone unos beneficios
evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben
gestionarse prudentemente con medidas de seguridad que sustenten la confianza
de los usuarios de los servicios.”1
Magerit cuenta con 3 versiones, siendo la más reciente la versión 3, sin embargo
su historia se remonta a la versión 1 del año 1997 y una segunda versión del año
2005. Aunque Magerit no es la única metodología para el análisis de riesgos si se
podría decir que esta 100% enfocada hacia las tecnologías de la información y la
comunicación (TIC). Es importante decir que el análisis de riesgos es la piedra
angular en las guías de buen gobierno tal y como lo dice la ISO 385002.
Magerit v1.0 introdujo el concepto de dimensiones de seguridad y resistió bien al
paso del tiempo en la parte conceptual, ya que cada uno de los términos se siguen
utilizando en la versión 3, sin embargo los catálogos de elementos se encuentran
desactualizados.
El análisis de riesgos se ha visto como una necesidad desde que las
organizaciones se dieron cuenta de la importancia de evaluar la seguridad en las
organizaciones y poder determinar cómo es, cuánto vale y cómo de protegidos se
encuentran los bienes tangibles de la organización. Por ende, desde su evolución,
las actividades de gestión de riesgos permiten elaborar un plan de seguridad que,
implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que
se acepta la Dirección.
1.9. MARCO TEORICO
MAGERIT V3 Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, dentro del “Marco de Gestión
1 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 6 2 PASTOR, Andrés. 03 de marzo de 2011.ISO 38500: El camino hacia el gobierno TI. [en línea]: http://www.crisoltic.com/2011/03/iso-38500-el-camino-hacia-el-gobierno.html.
22
de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. Existen varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC: guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos: Modelo de valor Caracterización del valor que representan los activos para la Organización, así como de las dependencias entre los diferentes activos. Mapa de riesgos Relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. Cumplimiento de normativa Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. Plan de seguridad Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos.
23
Objetivos de Magerit3 Magerit v3 en el libro I. Metodología. Marca los siguientes objetivos:
Objetivos directos:
o Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos.
o Ofrecer un método sistemático para analizar los riesgos derivados del uso de las tecnologías de la información y las comunicaciones (TIC).
o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.
Objetivo indirecto:
o Preparar a la organización para procesos de la evaluación, auditoría, certificación o acreditación, según corresponda el caso.
Descripción de los Libros de Magerit Libro I. Método Este libro provee una descripción de la metodología, y dando una visión en conjunto de cada uno de los conceptos que intervienen en la propuesta dada para realizar el análisis de riesgos. Capítulo I: Comenta de forma general que se puede encontrar en la metodología y una descripción general de la historia y el buen gobierno. Capítulo II. Presenta los conceptos básicos de Magerit de una forma muy informal y breve, en donde se conceptualiza cada una de las actividades para llevar a cabo el análisis de riesgos. Capítulo III. Se detalla el método haciendo una descripción detallada especificadamente cada uno de los pasos para llevar a cabo el análisis de riesgos, esta orientación se realiza de forma general para que pueda ser utilizado por cualquier tipo de organización que lo requiera.
3 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 8
24
Capítulo IV. Proceso de gestión de riesgo, que explica cuáles son las actividades que se hacen en la gestión de riesgos. Capítulo V. Se centra en los proyectos en los que nos podemos encontrar inmersos para la realización del primer análisis de riesgos. Capítulo VI. Se establecen las actividades que serán requeridas para realizar un plan de seguridad una vez que se ha realizado el análisis de riesgos. Capítulo VII. Este capítulo se centra la seguridad de los sistemas de información considerando varios puntos de vista para mitigar los riesgos. Capítulo VIII. Recomendaciones o consejos prácticos para aplicarlos a la hora de realizar el análisis y gestión de riesgos. Libro II. Catálogo de Elementos Como su nombre lo indica, proporciona elementos y tareas que sirven para ser aplicados en el análisis y gestión de riesgos. Ofrece: Tipos de activos, Dimensiones y criterios de valoración, amenazas y salvaguardas. Hay dos objetivos que se ofrecen en este libro:
1. Facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico de sistema objeto del análisis.
2. Homogeneizar los resultados del análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.
Libro III. Guía de Técnicas Describe algunas de las técnicas utilizadas en el análisis y gestión de riesgos. Se considera técnica a un conjunto de heurísticos y procedimientos que ayudan a alcanzar los objetivos propuestos. Para cada una de las técnicas referenciadas en el libro III son las siguientes:
Se explica brevemente el objetivo que se persigue al utilizarlas. Se describen los elementos básicos asociados. Se exponen los principios fundamentales de elaboración. Se presenta una notación textual y/o gráfica y se citan las fuentes
bibliográficas que, sin ser exhaustivas, se han estimado de interés para que el lector profundice en cada materia.
25
Las técnicas que recoge son las que se enumeran a continuación:
Análisis mediante tablas. Análisis algorítmico. Árboles de ataque. Técnicas generales. Análisis costo - beneficio. Diagramas de flujo de datos (DFD). Diagramas de procesos. Técnicas gráficas. Planificación de procesos. Sesiones de trabajo: entrevistas, reuniones y presentaciones. Valoración Delphi.
Sistemas Manejadores De Bases De Datos4
Un sistema de gestión de bases de datos se puede definir como una colección de
datos interrelacionados y un conjunto de programas para acceder a esos datos. La
colección de datos, normalmente denominada Base de Datos contiene información
acerca de una organización determinada. El objetivo principal de un SGBD es
proporcionar un entorno que sea eficiente para ser utilizado al extraer y almacenar
información de la base de datos.
PostgreSQL5
PostgreSQL es un avanzado sistema de bases de datos relacionales basado en
Open Source. Esto quiere decir que el código fuente del programa está disponible
a cualquier persona libre de cargos directos, permitiendo a cualquiera colaborar
con el desarrollo del proyecto o modificar el sistema para ajustarlo a sus
necesidades. PostgreSQL está bajo licencia BSD.
Un sistema de base de datos relacionales es un sistema que permite la
manipulación de acuerdo con las reglas del algebra relacional. Los datos se
almacenan en tablas de columnas y renglones. Con el uso de llaves, esas tablas
se pueden relacionar unas con otras.
4 KORTH, Henry F. y SILBERSCHATZ, Abraham. Fundamentos de Bases de Datos. España: Mc Graw Hill, 1993. p.1 5 PECOS MARTINEZ DANIEL. Introducción a PostgreSQL [en línea]. http://danielpecos.com/docs/mysql_postgres/x15.html. [Citado en 17 de Marzo de 2013].
26
El origen de PostgreSQL se sitúa en el gestor de bases de datos POSTGRES
desarrollado en la Universidad de Berkeley y que se abandonó en favor de
PostgreSQL a partir de 1994. Ya entonces, contaba con prestaciones que lo
hacían único en el mercado y que otros gestores de bases de datos comerciales
han ido añadiendo durante este tiempo.
PostgreSQL puede funcionar en múltiples plataformas (en general, en todas las
modernas basadas en Unix) y, a partir de la próxima versión 8.0 (actualmente en
su segunda beta), también en Windows de forma nativa. Para las versiones
anteriores existen versiones binarias para este sistema operativo, pero no tienen
respaldo oficial.
Arquitectura en Capas6 La arquitectura basada en capas se enfoca en la distribución de roles y responsabilidades de forma jerárquica proveyendo una forma muy efectiva de separación de responsabilidades. El rol indica el modo y tipo de interacción con otras capas, y la responsabilidad indica la funcionalidad que está siendo desarrollada. Por ejemplo, una aplicación web típica está compuesta por una capa de presentación (funcionalidad relacionada con la interfaz de usuario), una capa de negocios (procesamiento de reglas de negocios) y una capa de datos (funcionalidad relacionada con el acceso a datos). El estilo de arquitectura basado en capas se identifica por las siguientes características:
Describe la descomposición de servicios de forma que la mayoría de la
interacción ocurre solamente entre capas vecinas.
Las capas de una aplicación pueden residir en la misma máquina física
(misma capa) o puede estar distribuido sobre diferentes computadores (n-
capas).
Los componentes de cada capa se comunican con otros componentes en
otras capas a través de interfaces muy bien definidas.
Este modelo ha sido descrito como una “pirámide invertida de re-uso”
donde cada capa agrega responsabilidad y abstracción a la capa
directamente sobre ella.
6 PELAEZ JUAN. Arquitectura Basada en Capas [en línea]. http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-capas.aspx. [Citado en 17 de Marzo de 2013].
27
Arquitectura De N-Capas / 3-Capas
Este estilo de despliegue arquitectónico describe la separación de la funcionalidad
en segmentos separados de forma muy parecida al estilo de capas, peo en el cual
cada segmento está localizado en un computador físicamente separado. Este
estilo ha evolucionado desde la aproximación basada en componentes
generalmente usando métodos específicos de comunicación asociados a una
plataforma en vez de la aproximación basada en mensajes.
Figura 1. Arquitectura en capas (Fuente: https://geeks.ms/jkpelaez/2009/05/30/arquitectura-basada-en-capas/)
1.10. MARCO CONCEPTUAL Contrato: Es un acuerdo verbal o escrito que trasmite derechos y obligaciones entre la parte que otorga y la parte que acepta. J2EE: Java 2 Enterprise Edition (J2EE), es la especificación creada por SUN Microsystems de un conjunto de guías diseñadas para permitir el desarrollo de aplicaciones que cubran todas las necesidades de una empresa. Arquitectura De Software: Es la organización fundamental de un sistema encarnada en sus componentes, las relaciones entre ellos y el ambiente y los principios que orientan su diseño y evolución. Seguridad Informática: Es la disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Activo Informático: Es un recurso (hardware/software) que posee una organización.
28
Tratamiento de los Riesgos: recopila las actividades encaminadas a modificar la situación del riesgo. Análisis de los Riesgos: Busca identificar los riesgos identificados, cuantificando sus consecuencias. Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o una organización. Riesgo: Medida de daño probable sobre un sistema. 1.11. FACTIBILIDAD
1.11.1. Factibilidad Técnica.
Para el desarrollo de la monografía se utilizará la metodología Magerit v3, y un computador equipado con las siguientes herramientas: El sistema operativo Windows, El manejador de bases de datos PostgreSQL, El servidor de Web, de aplicaciones y de servicios Tomcat, El lenguaje de programación JAVA bajo especificación J2EE.
1.11.2. Factibilidad operativa.
El caso estudio estará desarrollado en base a la metodología Magerit, y en cuanto
al api Web estará diseñado para operar bajo el sistema operativo Windows.
Debido al diseño no demanda un equipo con grandes recursos de cómputo.
En cuanto a la factibilidad operativa a nivel de recurso humano, las personas a
cargo del proyecto se encuentran capacitadas y se tiene acceso a bibliografía
relevante para el desarrollo tanto del caso estudio, como del API Web.
1.11.3. Factibilidad Legal.
Magerit es una metodología abierta a quien lo quiera utilizar, por el lado de la parte operativa: el manejador de bases de datos PostgreSQL, el servidor Web y de Aplicaciones Tomcat, funcionan bajo licencia libre.
29
1.11.4. Factibilidad Económica.
La factibilidad económica discriminada por recursos de hardware, software y recurso humano. Se determina que el proyecto es económicamente factible.
Tabla 1. Factibilidad Económica (Fuente propia)
Recursos PROVEEDOR COSTO
1. Hardware
1 Computador con los
siguientes requerimientos:
Memoria RAM 1024 MB - Procesador 2.2 GHz - Disco Duro 40 GB libres - Monitor 1024 x 768 de resolución
PERSONAL
$1.700.000
2. Software NetBeans Licencia Open GNU, $0
PostgreSQL Licencia BSD $0
Windows Server 2008 Licencia Student,
Microsoft Dream spark
$0
3. Humano Desarrollador 2 Desarrolladores.
Salario mensual
individual $1’000.000 x 8
meses.
$16.000.000
4. Otros Transportes, medio
almacenamiento y
alimentación.
$ 2.500.000
5. Imprevistos $1.050.000
Total $21.150.000
30
1.11.5. Cronograma de Actividades
Figura 2. Cronograma de actividades (Fuente propia).
31
2. SITUACIÓN ACTUAL Como actividad preliminar se va a realizar el caso estudio para el Análisis y Gestión de Riesgos de las tecnologías de la información, en una empresa del sector servicio. Específicamente una empresa de rastreo satelital denominada TrackSpia LTDA, y para esto fue necesario realizar una serie de actividades con el fin de ayudar determinar la importancia, la magnitud y la planeación del proyecto, así como también establecer un panorama para la puesta en marcha del mismo: Es importante indicar que el análisis de riesgos será realizado bajo la metodología MAGERIT versión 3; como lo sugiere la metodología deberá ser involucrado el personal de las diferentes áreas relacionadas con el modelo de empresa propuesto. Las actividades nombradas anteriormente son las siguientes: 2.1. Actividad 1: Marco de Referencia Aplicabilidad del Modelo Para la aplicación del marco de referencia es importante que la empresa cumpla con una serie de requisitos mínimos que garanticen la ejecución de inicio a fin de cada una del as fases de análisis y gestión de riesgos, a continuación, se detalla el marco de referencia a cumplir.
Empresas del sector servicios, que cuenten con aplicaciones de carácter misional, que se expongan de cara a sus clientes y que cumplan con protocolos de seguridad como autenticación y autorización.
Que nunca hayan realizado un análisis de riesgos o que no cuenten con información cuantitativa de los incidentes de seguridad, ya que el modelo pretende realizar un análisis cualitativo de riesgos.
La empresa prestadora de servicios informáticos, estableció a partir del modelo planteado en el documento, la estructura necesaria para el inicio del análisis de riesgos. La comunicación entre el gerente del proyecto y los interesados, permitió llevar a cabo una identificación de activos acorde a las necesidades de la empresa. 2.2. Actividad 2: Evaluación de oportunidad En la empresa TrackSpia LTDA se ha logrado un gran crecimiento del uso de las tecnologías de la información y la comunicación, no solo en el core del que corresponde al seguimiento y rastreo satelital de los vehículos del sector público y privado, sino además en cada una de las áreas que intervienen en la empresa. Ha sido grande el beneficio que han recibido, pero no se han percatado de los problemas de seguridad que estas tecnologías traen.
32
Mediante entrevistas (ver ANEXO H) y encuestas(ver ANEXO B) realizadas a los empleados de los departamentos de: Recursos humanos, Contabilidad, Logística, Rastreo, y presupuesto, se ha percibido que se ha generado incidentes significativos relacionados a la seguridad. Para nombrar algunos de estos inconvenientes, se encuentran la falta de mantenimiento a la cola de mensajería que reporta los incidentes y novedades de cada uno de los vehículos clientes registrados para el rastreo, soportes de información visible para gran parte de los empleados que prestan ayuda telefónica a cada uno de los clientes. Los nombrados anteriormente generan una vulnerabilidad y abre una brecha de seguridad. 2.3. Actividad 3: Información Administrativa y Técnica TrackSpia LTDA es una empresa dedicada a la instalación y mantenimiento de equipos para rastreo satelital de vehículos. Cuenta con tecnología de punta en comunicación bidireccional GPRS que le permitirá, monitorear en tiempo real el movimiento de sus vehículos desde cualquier parte del mundo. El personal técnico es constantemente capacitado en la instalación y mantenimiento de equipos GPRS en todo tipo de vehículos, además de contar con una excelente área de atención al cliente, facilitando así la atención a incidentes en tiempo real. La organización cuenta con dos sedes en Colombia, la sede principal ubicada en la ciudad de Bogotá, donde se encuentran la mayor parte de la operación. La sede eje cafetero, que se encuentra ubicada en la ciudad de Medellín, es una sede con fines comerciales y de soporte técnico. 2.3.1. Misión
Proporcionar a nuestros clientes, la mejor opción en el mercado del monitoreo satelital, seguridad y administración de vehículos. Mediante un constante e innovador desarrollo tecnológico, buscamos alcanzar y superar las expectativas de nuestros clientes, permitiendo el crecimiento y valorización de nuestra compañía 2.3.2. Visión
Ser reconocidos como una de las mejores empresas del mercado colombiano en el campo de la Seguridad y control logístico de vehículos y carga. Mediante la mejora continua de nuestros servicios y capital humano buscamos brindar la mejor herramienta que contribuya a disminuir y optimizar los costos de operación y aumentar la productividad de cada uno de nuestros clientes
33
2.3.3. Organigrama
Figura 3. Organigrama (Fuente propia)
2.3.4. Información Técnica
Oficina Central
La sede principal de TrackSpia S.A.S, se encuentra en el barrio Castilla, en la ciudad de Bogotá. Es un edificio de tres plantas, que está adecuado para las labores comerciales, técnicas y administrativas, realizadas por cerca de 32 empleados. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. La segunda planta, es utilizada para llevar a cabo labores administrativas y comerciales de toda la organización, cuenta con cuatro oficinas distribuidas de la siguiente manera:
La oficina de la “Gerencia General”, adecuada con equipamiento tecnológico y mobiliario para una persona.
La oficina de la “Gerencia Comercial”, adecuada con equipamiento tecnológico y mobiliario para una persona.
La oficina para el “Departamento de Ventas”, está conformada con equipamiento tecnológico y mobiliario para cinco personas.
34
La oficina de los departamentos de “Administración”, “Recursos Humanos” y “Cartera”, está conformada con equipamiento tecnológico y mobiliario para cinco personas.
En la segunda planta, existe un pequeño laboratorio para uso de los técnicos instaladores, con un espacio destinado para almacenamiento del inventario de dispositivos, y el equipamiento tecnológico y mobiliario para una persona. Por otra parte, en esta planta existen algunos dispositivos de uso común, una impresora multifuncional (impresora, escáner y fax) de red, y el punto de acceso inalámbrico. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. La tercera planta, reúne todas las actividades técnicas y tecnológicas de la organización, se distribuye en 4 oficinas, y un cuarto de equipos. La oficina de la “Unidad de Desarrollo”, está conformada con equipamiento tecnológico y mobiliario para seis personas. La oficina de la “Unidad de Infraestructura”, está conformada con equipamiento tecnológico y mobiliario para cinco personas. El cuarto de datos y equipos, se encuentra anexo a la oficina de la “Unidad de Infraestructura”, cuenta con un acceso controlado por biométricos y cámaras de vigilancia. La oficina de monitoreo, que es una división adscrita a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas, funciona 24/7 en turnos rotativos de 8 horas por agente. La oficina de los técnicos de configuración e instalación de dispositivo de rastreo satelital, adscritos a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas. La planta cuenta con un punto de acceso inalámbrico, con cobertura para todo el piso. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. En el caso de la unidad de desarrollo, las estaciones de trabajo cuentan con una pantalla de 24” adicional por estación. En el caso de la división de monitoreo las pantallas instaladas y adicionales son de 32” cada una. La sede utiliza un canal dedicado de fibra óptica que es proveído por la Empresa de Telecomunicaciones de Bogotá (ETB), con una capacidad de hasta 50 Megabytes, además, tiene un respaldo de conexión a internet de la empresa Claro Colombia, con una capacidad de 20 Megabytes.
35
Oficina Eje Cafetero La sede regional de la organización se encuentra en la ciudad de Armenia. Es una construcción de dos plantas. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. En la segunda planta se encuentran ubicados el departamento de ventas, la unidad de infraestructura, a la que están adscritos los técnicos instaladores de la sede. Cada área está conformada con equipamiento tecnológico y mobiliario para tres y cinco personas, respectivamente. Además, existe un punto de acceso inalámbrico para toda la planta. En un costado de la planta se encuentra ubicado un gabinete con los equipos de comunicaciones. La sede utiliza un canal dedicado de fibra óptica que es proveído por Claro Colombia de 20 Megabytes de capacidad. Para la comunicación de datos entre sedes, existe una configuración de VPN para recursos restringidos y la conexión a la plataforma es a través del canal público. 2.4. Actividad 4: Plataforma Tecnológica La organización cuenta con un cuarto de equipos, en el cual se tiene un rack con los dos servidores Dell PowerEdge R620, además del sistema de backup Dell Powervault 124T. El servidor principal de la organización, contiene una plataforma Localización Vehicular Automatizada (AVL), realizada como un desarrollo propio. Para funcionar requiere la Máquina Virtual Java (JVM), así como un motor de base de datos PostgreSQL 9.x. Como sistema operativo base utiliza Linux Centos 7.x.
Figura 4. Configuración servidor primario (Fuente propia)
36
El servidor secundario, es utilizado como contenedor de aplicaciones de apoyo misional, entre ellas un ERP, CRM, correo electrónico, servidor de archivos, entre otros. Utiliza un sistema operativo hipervisor de VMware ESXi, y cuenta con una máquina virtual por servicio expuesto, además, contiene una réplica de la plataforma AVL, utilizada en caso de recuperación de desastres únicamente.
Figura 5. Configuración servidor secundario (Fuente propia)
Sistema de localización vehicular automatizada
Es una plataforma desarrollada a la medida, que funciona como punto de entrada de la información enviada remotamente desde los dispositivos. Un dispositivo se conecta a la plataforma utilizando protocolos de conexión TCP y/o UDP, una vez es reconocido por el servidor, el dispositivo comienza a enviar datos con la información de la posición, en geo coordenadas (latitud, longitud), y los datos del estado de los sensores conectados al dispositivo. Cuando el sistema AVL reconoce la información, la procesa y almacena en un formato lógico legible para el sistema. Una vez la información es capturada, los usuarios que están registrados como monitores de la aplicación, pueden visualizar esa información a través del sitio web, que funciona bajo protocolo HTTP. El sitio web consume una serie de recursos REST, que una vez cargan la información desde el servidor la actualizan en tiempo real en los navegadores de los usuarios que están monitoreando y con una sesión activa.
Figura 6. Esquema de localización vehicular (Fuente propia)
37
2.4.1. Equipos Activos De Red
Punto de Acceso TP-LINK TL-WA901ND x 5
Figura 7. AP TP-LINK TL-WA901ND (Fuente. http://www.tp-link.com/ar/products/details/cat-15_TD-W8961ND.html)
Descripción: El TP-LINK Punto de Acceso Inalámbrico N TL-WA901ND está diseñado para establecer o ampliar una red inalámbrica N de alta velocidad escalable o para conectar múltiples dispositivos Ethernet habilitados, tales como consolas de juegos, adaptadores multimedia digitales, impresoras o la red dispositivos de almacenamiento conectados a una red inalámbrica. La AP es compatible con una gran cantidad de diferentes funciones que hace que su experiencia de red inalámbrica más flexible que nunca. Ahora, puedes disfrutar de una mejor experiencia de Internet al descargar, juegos, streaming de video o con cualquier otra aplicación que desees utilizar.
Switch x 3: Huawei S3700 28TP-EI-24S-AC x 3
Figura 8. Huawei S3700 28TP-EI-24S-AC (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-
switches/s3700-si-model)
Descripción: Los switches empresariales de la serie S3700 de Huawei utiliza hardware de vanguardia y el software de la Plataforma de Enrutamiento Versátil (VRP) de Huawei para brinda agregación y acceso de alto rendimiento para las redes de área de campus empresariales. El S3700 es fácil de instalar y de mantener. Gracias al despliegue de VLAN flexible, las capacidades de PoE, las funciones integrales de enrutamiento y la capacidad de migrar hacia una red IPv6, el S3700 permite que los clientes empresariales construyan redes de TI de próxima generación. Las tecnologías avanzadas de fiabilidad, tales como las de apilamiento, VRRP y RRPP, mejoran la capacidad de recuperación.
Router DrayTek Vigor3900
Figura 9. DrayTek Vigor3900 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-
switches/Vigor3900)
38
Descripción: El Vigor3900 es la solución más completa de la familia de Router DrayTek para las aplicaciones de VPN y múltiples WAN de nivel empresarial, este equipo garantiza la seguridad y los beneficios de ahorro de costos para las empresas a través de Múltiples VPN. Este Router no solo ofrece cientos de túneles VPN compatibles con protocolos como PPTP/L2TP/IPSec/L2TP a través de IPSec para satisfacer LAN-to-LAN remotas y las necesidades de comunicación seguras, sino también proporcionar conectividad SSL VPN para brindar un mejor acceso remoto a los usuarios. Con cuatro Gigabit Ethernet puertos SFP y un puerto de fibra activa como interfaces WAN permite corporación para suscribirse servicio de conexión a Internet de hasta a cinco diferentes proveedores de Internet
Router Cisco Rv320-k9
Figura 10. Cisco Rv320-k9 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-switches/Cisco
Rv320-k9)
Descripción:
La conectividad de red es el centro de cada pequeña empresa y el acceso seguro, la protección de firewall y el alto rendimiento son los pilares de cada router Cisco® Small Business de la serie R. El router Cisco VPN con WAN Gigabit dual RV320 no es la excepción. Con una interfaz de usuario intuitiva, el router Cisco RV320 está listo para funcionar en minutos. El router Cisco RV320 ofrece acceso confiable y altamente seguro para usted y sus empleados, tan transparente que no sabrá que está allí.
UTM Fortigate 60d
Figura 11. UTM Fortigate 60d (Fuente. http://mv-tech.co.id/fortigate-utm/)
Descripción:
La serie FortiGate-60D ofrece protección integral. Creada sobre la base del sistema FortiASIC en un chip 2 (SOC2), proporciona un conjunto integrado de tecnologías de seguridad que protegen todas las aplicaciones y datos. Proporciona aceleración de firewall en todos los tamaños de paquetes, aceleración de procesamiento de contenido UTM, acceso remoto seguro y VPN de alta velocidad para un rendimiento y protección superior.
Sistema de backup Dell Powervault 124T
Figura 12. Dell Powervault 124T(Fuente. https://www.etb-tech.com/powervault-124t-autoloader-lto5-
sas.html#.WX0_pekrXIU)
Descripción: El PowerVault 124T es un cargador automático de cintas que permite a los clientes maximizar el respaldo del almacenamiento basado en racks dentro de un chasis de 2U. Su arquitectura expandible y diseño de revista le
39
permite administrar y reemplazar rápidamente los cartuchos de tinta para las crecientes necesidades del centro de datos. Estas funciones también lo ayudan a ampliar la capacidad en forma rentable a fin de cumplir con las demandas de respaldo y recuperación futuras. El PowerVault 124T ofrece un respaldo confiable a través de la administración remota mediante cualquier navegador web y, a la vez, posee una integración sin complicaciones con los diversos sistemas operativos, como Microsoft® Windows y Linux®. 2.4.2. Diseño Lógico Oficina Central
Figura 13. Diseño Lógico Oficina Central (Fuente propia)
2.4.3. Diseño Lógico Oficina Eje Cafetero
Figura 14. Diseño Lógico Oficina Eje Cafetero (Fuente propia)
40
2.4.4. Equipos De Cómputo
Los equipos de cómputo son los activos informáticos más abundantes en una organización y así mismo son la entrada principal de potenciales amenazas, por lo tanto, se deben tener muy presentes en el momento de realizar el levantamiento de los activos.
Lenovo ThinkPad T460S x 20
Figura 15. Lenovo ThinkPad T460S (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i5-
6200U/dp/B01FGLGXEE)
Descripción: El rendimiento de una PC nunca fue tan rápido. Los procesadores Intel® Core™ i de 6ta generación con seguridad integrada están diseñados para llevar tu productividad, creatividad y juegos en 3D hacia el siguiente nivel. La tecnología Intel® vPro * hace que la administración de nivel empresarial sea aún más conveniente y eficiente. Y con Windows 10 Pro puedes potenciar a tu empresa y a ti mismo para realizar cosas grandiosas en todos los dispositivos de manera segura y en cualquier parte, con cualquier persona y en cualquier momento. Ajustándose a una variedad de presupuestos, también es muy fácil de utilizar. Para que puedas hacer más desde el principio. vPro no está disponible con los procesadores Intel® i5
Lenovo ThinkStation S10 x 20
Figura 16. Lenovo ThinkStation S10 (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i5-
6200U/dp/B01FGLGXEE)
Descripción: El más llamativo es el Lenovo ThinkStation S10 ofrece un Intel Core 2 y Core 2 Extreme QX965 a 3GHz. Estos procesadores vendrán acompañados de tarjetas gráficas NVIDIA, Ethernet Gigabit Dual y cantidad de puertos de expansión y conexiones USB para conectar todo tipo de accesorios y extender su funcionalidad.
2.4.5. Centro Datos
TrackSpia no cuenta con un centro de datos grande, esto debido a que las necesidades actuales se prestan para tener una data center pequeño y que se ajusta a sus necesidades.
41
Servidor Dell PowerEdge R620 x 2
Figura 17. Dell PowerEdge R620 (Fuentes. http://www.dell.com/es/empresas/p/poweredge-r620/pd)
Descripción:
Confíe en la combinación excepcional del diseño de rack hipertenso de 2 sockets y 1U, y la tecnología de procesamiento de servidor de última generación para obtener una productividad excelente en entornos con espacio reducido. Impulse el rendimiento de las aplicaciones drásticamente con el último procesador de la familia de procesador Intel® Xeon® E5-2600 y hasta 24 módulos dobles de memoria en línea (DIMM). Creado con tecnología de proceso de 22 nanómetros y hasta 12 núcleos por procesador, ofrece procesamiento increíblemente rápido para las tareas con uso intensivo de cómputos.
2.4.6. Cableado Estructurado
Para el cableado se utiliza cable UTP categoría 6A a través de canaleta y bandeja porta cable que se extiende desde cada área de trabajo (AT) hasta el cuarto de telecomunicaciones de cada piso del edificio con una distancia máxima de 90 metros. Adicional a esto todo el sistema eléctrico y se utiliza canaleta metálica cold rolled, para el transporte del cable UTP. Los puestos de trabajo para la conexión de equipos llevan una toma de Rj45 categoría 6A con su respectivo Face Plate. Por cada punto de red terminal debe haber uno a dos patch core categoría 6A de 2 metros cada uno (uno del Jack hasta el teléfono IP, y el otro hasta el equipo de trabajo; esto en caso que el puesto de trabajo tenga teléfono IP y computador). El edificio de la sede de Armenia cuenta con cableado horizontal categoría 5E, pero se tiene contemplado en TrackSpia la modificación del cableado existente por una categoría 6A ya que dicho cable tiene la capacidad de soportar velocidades superiores a 1gb y telefonía ip. El cable de la categoría 6A con parámetros de transmisión de datos mejorados apoya 10GBase-T y todas las otras aplicaciones digitales de banda ancha. El cable se compone de pares trenzados apantallados sin puesta a tierra, trenzados conjuntamente y protegidos con un forro de PVC de color gris. Este cable está indicado para el cableado interno estacionario. El cable supera los requerimientos de los estándares ISO/IEC 11801 y TIA/EIA-568-B.2-1 para la categoría 6A.
42
Figura 18. Cableado horizontal (Fuente propia)
2.4.7. Cableado Vertical
La función de este cableado es proporcionar la interconexión entre cuarto de telecomunicaciones principal y los demás cuartos de telecomunicaciones que se encuentran en los diferentes pisos, por medio de canalizaciones existentes en el edificio. El centro de cableado principal, se encuentra ubicado en el tercer piso donde están ubicados los servidores, el switch de core de alta velocidad y el router, el cual tiene una medida de 5 x 8 metros; se interconecta con cada uno de los subcentros de cableado de cada piso (del 1 al 3) por medio de fibra óptica multimodo 50/125 OM4 indoor de 12 hilos. La interconexión del switch de distribución con el del core y también la conexión con los servidores se hace por medio de enlaces redundantes. En cada piso del edificio de Bogotá y de la sede de Armenia existe un subcentro de cableado, con el objetivo de distribuir con mayor facilidad el respectivo cable para cada uno de los puntos existentes y los que se planean colocar a futuro, adicional se hace para cumplir que no se excedan los 90 metros que tiene un cable UTP categoría 6A., garantizando velocidades 1 GB. En cada subcentro de cableado debe haber los siguientes elementos para interconectar todos los puntos de red: Patch Panel Fibra Óptica y elementos complementarios, Patch Core Fibra Óptica Switch 24 o 48 puntos Patch Panel 24 y 48 puertos Categoría 6A: distribuirá los puntos desde el switch hasta su ubicación final. Patch Cords Cat 6A desde el switch hasta los patch panels Organizadores de cable.
43
Figura 19. Cableado vertical sede Bogotá (Fuente propia)
Figura 20. Cableado vertical sede Bogotá (Fuente propia)
2.5. Actividad 5: Situación Actual de la Seguridad, Norma 27001 – GAP El eje central de la norma ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información de la organización, por lo que, la filosofía principal
44
de este estándar es investigar donde se encuentran los riesgos. Para realizar este análisis se debe tomar previamente las medidas de seguridad o controles, Por lo tanto, el apéndice A de la norma muestra un listado de controles que deben ser revisados y evaluados previamente al inicio del análisis de riesgos.
Los siguientes son las convenciones utilizadas para la evaluación de los controles.
Figura 21. Convenciones evaluación de controles (Fuente. GILIBET, Don. Metodetodologías orientadas a Middleware.
[Online] Publicado 31 de Julio de 2013. http://comunidad.meddle.com/iebs/general/)
La siguiente tabla muestra el resumen de los controles evaluados, mostrando el nivel de conformidad. Para ver la muestra completa, ver el Anexo A.
Figura 22. Resumen Controles Evaluados (Fuente propia)
Las gráficas muestran que el nivel de implantación de cada uno de los controles de la ISO 27001 en TrackSpia no cumple a cabalidad con lo establecido en el estándar de seguridad y por lo tanto estos deben ser revisados y mitigados por medio del análisis de riesgos.
45
Figura 23. Grafico Implementación controles (Fuente propia)
Figura 24. Gráfico de barras implementación controles (Fuente propia)
2.6. Actividad 6: Determinación del alcance del proyecto Después de haber comprobado la oportunidad de ejecutar el proyecto de Análisis y Gestión de Riesgos, en esta fase se procede a identificar hasta donde se da el alcance, estableciendo los siguientes puntos:
46
Definir una programación orientada a la seguridad del sistema que realiza el monitoreo y rastreo de cada uno de los vehículos.
Analizar el estado actual de la empresa y especificar cuáles son las necesidades de mayor importancia respecto a la seguridad.
Escoger los mecanismos que permitan salvaguardar los activos de la empresa.
El dominio del proyecto se centra en las áreas de Recursos humanos, Contabilidad, Logística, Rastreo, y presupuesto. El personal de los diferentes departamentos que se encontraran involucrado en la realización del Análisis de Riesgos:
Ing. José Joaquín Segura - Jefe de Rastreo y seguimiento vehicular Ing. Daniel Ospina Gómez - Responsable soporte remoto, oficina de rastreo Ing. María Luisa Carmona - Análisis funcional de soporte a vehículos Contadora. María Ilsa Suárez- Jefe área de contabilidad Contador. Jaime Antonio Granados- Contador público Dra. Jennifer Andrea Serrano - Jefe Recursos Humanos Ing. Daniel Angulo González - Responsable área de telecomunicaciones
2.7. Actividad 7: Planificación del proyecto La empresa TrackSpia entrevisto a cada uno de los empleados que intervinieron en el proyecto, esto fue en un plazo no mayor a 5 días laborales. Las entrevistas ayudaron a determinar en qué ámbitos se encuentran afectados y planificar la intervención de ellos en el proyecto. Encuestar a manera de sondeo arrojó los porcentajes exactos sobre las fallas de seguridad en los sistemas de información y elementos de infraestructura. El análisis de gestión de riesgos para la empresa TrackSpia, fue constituido por dos equipos conformados por un equipo gerencial y un equipo de usuarios. El equipo gerencial estuvo conformado por David García y Jeisson Ruiz que fueron las personas encargadas de realizar la investigación, recopilación y análisis de los activos, sus potenciales amenazas, los riesgos y las salvaguardas que serán direccionadas a la empresa TrackSpia. El equipo de usuarios correspondió a todo el personal que hace uso de cada uno de los activos informáticos.
47
2.8. Actividad 8: Puesta en marcha del proyecto Las fichas de captura de datos que se encuentran disponibles en el libro de catálogo de elementos de MAGERIT versión 3, facilitan la recolección de la información específica de cada uno de los activos pertenecientes a la empresa. Tomando en cuenta la correlación entre activos y las correspondientes dimensiones de seguridad. Partiendo de estos activos se podrá determinar las amenazas, riesgos y el nivel de impacto que los activos puedan ejercer sobre la empresa TrackSpia. El nivel de seguridad fue determinado por la incorporación de salvaguardas que permiten prevenir o mitigar los riesgos analizados en el análisis de gestión de riesgos.
La empresa TrackSpia dispone de los recursos a utilizarse para el desarrollo del
proyecto en disponibilidad de equipos, tiempos planificados, medios materiales,
envío de documentos y manuales.
48
3. ANÁLISIS DE RIESGOS El análisis de riesgos es utilizado desde hace años en cualquier organización que lo desee y este surge a partir de la necesidad de organizar e interpretar datos científicos, facilitando decisiones para llegar a acuerdos en la organización. MAGERIT como metodología cumple a cabalidad la función de analizar a TrackSpia, ya que brinda la rigidez y solidez necesarias para el cumplimiento del análisis de gestión de riesgos. Siguiendo el método, se podrán identificar los activos que posee la empresa, establecerá las amenazas a las que están expuestos estos activos, y permitirá determinar las salvaguardas apropiadas para los activos y así podrá ser estimado el nivel de impacto en caso de que se materializa alguna amenaza.
Esta tarea se ejecuta por medio de encuestas y entrevistas a cada uno de los miembros del personal que interviene en los sistemas de información y telecomunicaciones, además de las inspecciones físicas que se realizan en las instalaciones físicas. Mediante el análisis de riesgos se puede saber cuánto vale y como están protegidos los activos evaluándolos por medio del método lo cual arrojara resultados que permitirán dar una conclusión.
3.1. Caracterización de los Activos
El objetivo de esta tarea es reconocer los activos que componen el sistema, definir las dependencias entre ellos, y determinar de parte del valor del sistema se soporta en cada activo. Se puede resumir en la expresión de conócete a ti mismo.7
3.1.1. Levantamiento de Activos de Información
Para el levantamiento de los activos se identifican un grupo general de activos que para las organizaciones del área TI, telemática o afines pueden ser esenciales. El formato para la identificación de realiza en base a lo recomendado en el libro II del catálogo de elementos.8
7 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de
Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pago 37 8 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 2-Catalogo de Elementos, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8/2012_Magerit_v3_libro2_catalogo%20de%20elementos_es_NIPO_630-12-171-8.pdf
49
3.1.1.1. [D] Datos / Información
Toma los activos correspondientes a los datos de la organización, los cuales son el núcleo de la organización, esté activo en sí es un activo abstracto que será constantemente manipulado y almacenado en los equipos de cómputo.
[BACKUP_TS] COPIA DE RESPALDO. [ACCESO_SERVIDORES_TS] DATOS DE ACCESO SERVIDORES [LOGIN_USUARIOS_TS] DATOS ACCESO USUARIOS [CODIGOS_FUENTE_TS] CODIGOS FUENTE SW
3.1.1.2. [IS] Servicios Internos
Esta función recoge los activos esenciales a nivel interno en la organización es decir los activos que involucran al personal y por lo tanto satisfacen sus necesidades elementales para poder realizar su labor.
[INTERNET_TS] SERVICIO DE INTERNET [TELEFONIA_TS] SERVICIO DE TELEFONÍA [MANTENIMIENTO_TS] SERVICIO DE MANTENIMIENTO [BIOMETRICO_TS] ACCESO BIOMETRICO
3.1.1.3. [SW] Software - Aplicaciones Informáticas
Esta función recoge los activos esenciales a nivel lógico en la organización es decir los activos que involucran al de software.
[ERP_TS] ERP ADMINISTRATIVO Y FINANCIERO. [CRM_TS] SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [WEB_SITE_TS] PORTAL WEB DE LA ORGANIZACIÓN [SO_TS] SISTEMA OPERATIVO [SW_CUSTOM_TS] SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [OFF_TS] OFIMATICA [AV_TS] ANTIVIRUS [SERV_BD_TS] SERVIDOR BASE DE DATOS [SERV_CORREO_TS] SERVIDOR DE CORREO [SERV_ARCHIVO_TS] SERVIDOR DE ARCHIVOS [SERV_DESARROLLO_TS] SERVIDOR DE DESARROLLO SW [SERV_VIRTUALIZACION_TS] SERVIDOR DE VIRTUALIZACIÓN [OTROS_SW_TS] OTROS SOFTWARE
3.1.1.4. [HW] Hardware
Esta función recoge los activos esenciales a nivel físico en la organización es decir los activos que involucran al de hardware.
50
[COMP_TS] EQUIPOS DE COMPUTO [IMP_TS] IMPRESORAS [ESC_TS] ESCANER [ACCESS_POINT_TS] ACCESS POINT [ANTISPAM_TS] ANTISPAM [UTM_TS] UTM SERGURIDAD PERIMETRAL [SERV_FISICO_TS] SERVIDORES FÍSICOS [AIRE_ACONDICIONADO_TS] SISTEMA DE AIRE ACONDICIONADO [SIS_ALMACENAMIENTO_TS] SISTEMA DE ALMACENAMIENTO [SWITCH_TS] SWITCH [ROUTER_TS] ROUTER [SIS_BACKUP_TS] SISTEMA DE BACKUP
3.1.1.5. [COM] Redes de Comunicaciones
Esta función recoge los activos a nivel de comunicaciones, que son básicos para la comunicación a nivel organizacional.
[PSTN_TS] RED TELEFÓNICA [ISDN_TS] RED DIGITAL [WIFI_TS] WI-FI [LAN_TS] RED LAN [INTERNET_TS] INTERNET [MAN_TS] RED METROPOLITANA
3.1.1.6. [MEDIA] Soportes de Información
Esta función recoge los activos que soportan y almacenan la información de la organización..
[CD_TS] CD [DVD_TS] DVD [USB_TS] MEMORIAS USB [DISK_EXT_TS] DISCOS DUROS EXTRAIBLES
3.1.1.7. [AUX] Equipamiento Auxiliar
Esta función recoge los activos suplementarios que aunque no son de primera necesidad si cumplen una funcionalidad necesaria e importante.
51
[CABLEADO_TS] CABLEADO [PLANTA_ELECT_TS] PLANTA ELECTRICA [MOBILIARIO_TS] MOBILIARIO [SIS_VIGILANCIA_TS] SISTEMA DE VIGILANCIA [UPS_TS] UPS [POWER_TS] FUENTES DE ALIMENTACIÓN [FIBRA_TS] FIBRA OPTICA [OTROS_EQUIPOS_TS] OTROS EQUIPOS AUXILIARES
3.1.1.8. [L] Instalaciones
Esta función recoge los activos físicos a nivel de instalaciones físicas de la organización.
[EDIFICIO_TS] EDIFICIO [SEDE_TS] SEDE [VEHICULO_TS] VEHICULO
3.1.1.9. [P] Personal
Esta función recoge los activos de personal y desarrollo humano en la organización.
[JF_TS] JEFE AREA FINANCIERO [DBA_TS] MANTENIMIENTO DE BASE DE DATOS [MANT_TS] MANTENIMIENTO DE EQUIPOS [JC_TS] JEFE DEL AREA DE CONTABILIDAD [JT_TS] JEFE DEL AREA DE LOGISTICA [JO_TS] JEFE DEL AREA OPERATIVA [JS_TS] JEFE DEL AREA DE SISTEMAS
3.1.2. Valoración de los Activos
La valoración de los activos permite evaluar el nivel de protección que debe tener un activo, desde luego es necesario dar un valor dependiendo del nivel de importancia y el valor que tiene dentro de la organización. Se debe dar un nivel de protección que en MAGERIT es dado por las dimensiones de seguridad. Estas dimensiones son dadas de la siguiente manera:
Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad
52
También se deben dar unos criterios de valoración:
Figura 25. Criterios de valoración (Fuente: Libro 1 MAGERIT v3)
Con base en esta información, se va a realizar la valoración de los activos de la TrackSpia en base a los activos que han sido identificados en la fase previa del análisis de riesgos.
Dimensiones
[D] Disponibilidad
[I] Integridad
[C] Confidencialidad
[A] Autenticidad de los usuarios
[T] Trazabilidad
3.1.3. Identificación y Valoración de Activos
Id Nombre Activo
Información Descripción del Activo de
Información
Dimensiones
[D] [I] [C] [A] [T]
Datos Información
1 BACKUP_TS COPIA DE RESPALDO. A
B
2 ACCESO_SERVIDORES_TS DATOS DE ACCESO SERVIDORES
A MA M
3 LOGIN_USUARIOS_TS DATOS ACCESO USUARIOS
A A M
4 CODIGOS_FUENTE_TS CODIGOS FUENTE SW A M
Servicios Internos
5 INTERNET_TS SERVICIO DE INTERNET MA M
6 TELEFONIA_TS SERVICIO DE TELEFONÍA A A
7 MANTENIMIENTO_TS SERVICIO DE MANTENIMIENTO A
53
8 BIOMETRICO_TS ACCESO BIOMETRICO M A A
M
Software - Aplicaciones Informáticas
9 ERP_TS ERP ADMINISTRATIVO Y FINANCIERO MA A A A M
10 CRM_TS SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES A A A A M
11 WEB_SITE_TS PORTAL WEB DE LA ORGANIZACIÓN M M M M M
12 SO_TS SISTEMA OPERATIVO M
M
13 SW_CUSTOM_TS SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN A A
M
14 OFF_TS OFIMATICA A A
15 AV_TS ANTIVIRUS A A
16 SERV_BD_TS SERVIDOR BASE DE DATOS MA A A A A
17 SERV_CORREO_TS SERVIDOR DE CORREO A A
M A
18 SERV_ARCHIVO_TS SERVIDOR DE ARCHIVOS A A M
19 SERV_DESARROLLO_TS SERVIDOR DE DESARROLLO SW M M M
20 SERV_VIRTUALIZACION_TS SERVIDOR DE VIRTUALIZACIÓN A A A
A
21 OTROS_SW_TS OTROS SOFTWARE B M B
Hardware
22 COMP_TS EQUIPOS DE COMPUTO M M
23 IMP_TS IMPRESORAS M M
24 ESC_TS ESCANER M B
25 ACCESS_POINT_TS ACCESS POINT M M
26 ANTISPAM_TS ANTISPAM A A
M A
27 UTM_TS UTM SERGURIDAD PERIMETRAL A A
28 SERV_FISICO_TS SERVIDORES FÍSICOS M M
M
29 AIRE_ACONDICIONADO_TS SISTEMA DE AIRE ACONDICIONADO A A
30 SIS_ALMACENAMIENTO_TS SISTEMA DE ALMACENAMIENTO A A
31 SWITCH_TS SWITCH M M
M
32 ROUTER_TS ROUTER M M
M
33 SIS_BACKUP_TS SISTEMA DE BACKUP A A
A
Redes de Comunicaciones
34 PSTN_TS RED TELEFÓNICA M M
B
54
35 ISDN_TS RED DIGITAL M M
B
36 WIFI_TS WI-FI M M
B
37 LAN_TS RED LAN A A
38 INTERNET_TS INTERNET MA A
39 MAN_TS RED METROPOLITANA MA A
Soportes de Información
40 CD_TS CD B B
B
41 DVD_TS DVD B B
B
42 USB_TS MEMORIAS USB B B
43 DISK_EXT_TS DISCOS DUROS EXTRAIBLES B M
B
Equipamiento Auxiliar
44 CABLEADO_TS CABLEADO A A
45 PLANTA_ELECT_TS PLANTA ELECTRICA M A
46 MOBILIARIO_TS MOBILIARIO B B
47 SIS_VIGILANCIA_TS SISTEMA DE VIGILANCIA MA A
8
48 UPS_TS UPS M M
49 POWER_TS FUENTES DE ALIMENTACIÓN A A
50 FIBRA_TS FIBRA OPTICA A A
M
51 OTROS_EQUIPOS_TS OTROS EQUIPOS AUXILIARES B B
B
Instalaciones
52 EDIFICIO_TS EDIFICIO B B
53 SEDE_TS SEDE B B
54 VEHICULO_TS VEHICULO B B
Personal
55 JF_TS JEFE AREA FINANCIERO
A
56 DBA_TS MANTENIMIENTO DE BASE DE DATOS
A
57 MANT_TS MANTENIMIENTO DE EQUIPOS
A
58 JC_TS JEFE DEL AREA DE CONTABILIDAD
M
59 JT_TS JEFE DEL AREA DE LOGISTICA
A
60 JO_TS JEFE DEL AREA OPERATIVA
A
61 JS_TS JEFE DEL AREA DE SISTEMAS
A
Tabla 2. Identificación de Activos (Fuente propia).
55
3.2. Caracterización de las Amenazas
Se busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y daño causado (degradación). Se puede decir que el objetivo de esta tarea es caracterizar el entorno al que se enfrenta el sistema y qué acciones pueden suceder.
3.2.1. Identificación de las Amenazas
El origen de cada una de las amenazas utilizadas en la siguiente tabla es a partir
de lo definido en la metodología MAGERIT y forman parte del catálogo de
amenazas definidos allí en la misma metodología.
ACTIVO AMENAZA
Datos Información
COPIA DE RESPALDO [E.1] Errores de los usuarios [E.2] Errores del administrador
DATOS DE ACCESO SERVIDORES [E.7] Deficiencias en la organización [A.4] Manipulación de la configuración
[A.5] Suplantación de la identidad del usuario [A.11] Acceso no autorizado
DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario [A.11] Acceso no autorizado
CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software)
[E.21] Errores de mantenimiento / actualización de programas (software)
[A.5] Suplantación de la identidad del usuario
Servicios Internos
SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico [I.8] Fallo de servicios de comunicaciones
[I.9] Interrupción de otros servicios y suministros esenciales [A.7] Uso no previsto
SERVICIO DE TELEFONÍA [E.1] Errores de los usuarios [E.2] Errores del administrador
[I.8] Fallo de servicios de comunicaciones
56
[I.9] Interrupción de otros servicios y suministros esenciales
SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización [E.21] Errores de mantenimiento /
actualización de programas (software) [E.23] Errores de mantenimiento /
actualización de equipos (hardware) [E.28] Indisponibilidad del personal
ACCESO BIOMETRICO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.5] Suplantación de la identidad del usuario
Software - Aplicaciones Informáticas
ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información
[E.21] Errores de mantenimiento / actualización de programas (software)
[A.5] Suplantación de la identidad del usuario
SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES
[I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información
[E.21] Errores de mantenimiento / actualización de programas (software)
[A.5] Suplantación de la identidad del usuario
PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información
[E.21] Errores de mantenimiento / actualización de programas (software)
[A.5] Suplantación de la identidad del usuario [A.24] Denegación de servicio
SISTEMA OPERATIVO [E.1] Errores de los usuarios [E.8] Difusión de software dañino
[E.20] Vulnerabilidades de los programas (software)
[E.21] Errores de mantenimiento / actualización de programas (software)
SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN
[I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información
[E.21] Errores de mantenimiento / actualización de programas (software)
OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software)
[E.1] Errores de los usuarios
ANTIVIRUS [E.8] Difusión de software dañino [E.20] Vulnerabilidades de los programas
57
(software) [E.21] Errores de mantenimiento /
actualización de programas (software)
SERVIDOR BASE DE DATOS [E.2] Errores del administrador [E.21] Errores de mantenimiento /
actualización de programas (software) [A.5] Suplantación de la identidad del usuario
[A.11] Acceso no autorizado
SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones [E.8] Difusión de software dañino
[A.4] Manipulación de la configuración [A.5] Suplantación de la identidad del usuario
[A.14] Interceptación de información (escucha)
SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones [E.8] Difusión de software dañino [E.21] Errores de mantenimiento /
actualización de programas (software) [A.15] Modificación deliberada de la
información [A.18] Destrucción de información [A.19] Divulgación de información
SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software)
[E.21] Errores de mantenimiento / actualización de programas (software)
[A.11] Acceso no autorizado
SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [E.20] Vulnerabilidades de los programas
(software) [E.21] Errores de mantenimiento /
actualización de programas (software) [E.23] Errores de mantenimiento /
actualización de equipos (hardware) [A.11] Acceso no autorizado
OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones [E.21] Errores de mantenimiento /
actualización de programas (software)
Hardware
EQUIPOS DE COMPUTO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
58
IMPRESORAS [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
ESCANER [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
ACCESS POINT [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
ANTISPAM [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
UTM SERGURIDAD PERIMETRAL [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
SERVIDORES FÍSICOS [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
SISTEMA DE ALMACENAMIENTO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración [A.11] Acceso no autorizado
SWITCH [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración [A.4] Manipulación de la configuración
[A.11] Acceso no autorizado
59
ROUTER [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración [A.11] Acceso no autorizado
SISTEMA DE BACKUP [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
[E.4] Errores de configuración
Redes de Comunicaciones
RED TELEFÓNICA [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
RED DIGITAL [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
WI-FI [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
RED LAN [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
INTERNET [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
RED WAN [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [I.5] Avería de origen físico o lógico
Soportes de Información
CD [E.15] Alteración accidental de la información [E.18] Destrucción de información
[E.19] Fugas de información [A.19] Divulgación de información
60
DVD [E.15] Alteración accidental de la información [E.18] Destrucción de información
[E.19] Fugas de información [A.19] Divulgación de información
MEMORIAS USB [E.15] Alteración accidental de la información [E.18] Destrucción de información
[E.19] Fugas de información [A.19] Divulgación de información
DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información [E.18] Destrucción de información
[E.19] Fugas de información [A.19] Divulgación de información
Equipamiento Auxiliar
CABLEADO [I.11] Emanaciones electromagnéticas [I.1] Fuego
[I.2] Daños por agua [I.7] Condiciones inadecuadas de temperatura
o humedad [I.11] Emanaciones electromagnéticas
[I.*] Desastres industriales [A.25] Robo
PLANTA ELECTRICA [I.1] Fuego [I.2] Daños por agua
[I.9] Interrupción de otros servicios y suministros esenciales
[I.*] Desastres industriales [A.25] Robo
MOBILIARIO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.25] Robo
SISTEMA DE VIGILANCIA [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.25] Robo
UPS [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.25] Robo
FUENTES DE ALIMENTACIÓN [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.25] Robo
61
FIBRA ÓPTICA [I.1] Fuego [I.2] Daños por agua
[I.7] Condiciones inadecuadas de temperatura o humedad
[I.*] Desastres industriales [A.25] Robo
OTROS EQUIPOS AUXILIARES [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.25] Robo
Instalaciones
EDIFICIO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.27] Ocupación enemiga
SEDE [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales [A.27] Ocupación enemiga
VEHICULO [I.1] Fuego [I.2] Daños por agua
[I.*] Desastres industriales
Personal
JEFE AREA FINANCIERO [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
MANTENIMIENTO DE BASE DE DATOS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
MANTENIMIENTO DE EQUIPOS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
JEFE DEL AREA DE CONTABILIDAD [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
JEFE DEL AREA DE LOGISTICA [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
JEFE DEL AREA OPERATIVA [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
JEFE DEL AREA DE SISTEMAS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información
Tabla 3. Identificación de Amenazas (Fuente propia)
62
3.2.2. Valoración de las Amenazas
Cuando es determinado o determinadas las amenazas que puede tener un activo, es necesario valorar la amenaza, esto en dos formas:
Degradación ¿Cuan perjudicado saldría el activo? (valor) Probabilidad ¿Cuál es la probabilidad que se materialice la amenaza sobre el activo?
Se determina el nivel de degradación de un activo el cual puede ser intencionado o no intencionado. Cuando es no intencionado se determina como una pequeña parte de daño causado al activo, pero cuando en intencionado calcularlo se convierte en un inconveniente debido a que no es posible saber que tanto daño puede causar un atacante.
Figura 26. Criterios de degradación (Fuente: Libro 1 MAGERIT v3)
Por otro lado, medir la probabilidad se puede medir de la siguiente manera:
Figura 27. Criterios de probabilidad (Fuente: Libro 1 MAGERIT v3)
Nota:
Para verificar la tabla con la valoración de las amenazas, dirigirse al ANEXO C
3.3. Estimación del Impacto y Riesgo Potencial Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de una amenaza. La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de TrackSpia se presenta y se evalúan los impactos de acuerdo al tipo de pérdida ya sea organizacional o técnica.
63
Este proceso consta de dos actividades:
Estimación del impacto potencial Estimación del riesgo potencial
3.3.1. Impacto potencial
El impacto es la medida de daño a raíz de la materialización de una amenaza, esta materialización se da sobre el activo. El cálculo de este valor se toma a partir del valor de la degradación en cada una de las dimensiones y el valor del activo.
Para el cálculo se consideró los siguientes rangos de degradación:
Figura 28. Impacto Potencial (Fuente propia)
Nota:
Para verificar la tabla con la valoración de Impacto Potencial, dirigirse al ANEXO D
3.3.2. Riesgo Potencial:
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo
el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más
que tener la probabilidad de ocurrencia.9
9 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de
Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pág. 29
64
Figura 29. Riesgo Potencial (Fuente: Ejecutores proyecto)
Nota:
Para verificar la tabla con el Riesgo Potencial, dirigirse al ANEXO E
3.4. Salvaguardas
Se deben definir las contramedidas para que las amenazas no se materialicen, de manera tal que el riesgo sea minimizado. Cuando las salvaguardas no son contempladas, se debe estimar el riesgo y el impacto, que sencillamente son mecanismos que reducen el riesgo. Es importante tener en cuenta lo anterior para ver la importancia de las salvaguardas dentro del proceso de análisis de riesgo.
En definición de Magerit: “Se definen las salvaguardas o contramedidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar organizándose adecuadamente, otras requieren de elementos técnicos (programas o equipos), otras seguridad física y por último, está la política de personal.”. La caracterización de las salvaguardas consta de dos fases:
Identificación de las salvaguardas. Valoración de las salvaguardas.
3.4.1. Identificación de las salvaguardas.
En el libro II de Magerit se encuentran 16 tipos de salvaguardas, el uso de estas salvaguardas y establecer cuáles se deben utilizar y cuáles no, en el libro I de Magerit contempla aspectos importantes tales como: tipos de activos a proteger, dimensión o dimensiones de seguridad que requieren protección, amenazas de las cuales se necesita protección, si existen salvaguardas alternativas.
Para identificar las salvaguardas existentes y proponer nuevas salvaguardas, MAGERIT proporciona un catálogo de salvaguardas de acuerdo a las recomendaciones de la ISO/IEC 27001, y 27002. De la siguiente forma:
65
Protecciones generales u horizontales Protección de los datos / información Protección de las claves criptográficas Protección de los servicios Protección de las aplicaciones (software) Protección de los equipos (hardware) Protección de las comunicaciones Protección de los soportes de información Protección de los elementos auxiliares Seguridad física – Protección de las instalaciones Salvaguardas relativas al personal “Son aquellas que se refieren a las
personas que tienen relación con el sistema de información”.
Salvaguardas de tipo organizativo.
3.4.2. Caracterización de las salvaguardas
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia
frente al riesgo que pretenden conjurar.
Figura 30. Criterios de salvaguardas (Fuente: Libro 1 MAGERIT v3)
3.4.3. Identificación y Caracterización de las Salvaguardas
Id
Tipo de
Protección Código Salvaguarda Valoración Potencial
Situación
actual
Objetivo
Final
1
H
Protecciones
Generales 7 L1-L4 L3-L4 L4
2 EL H.IA
Identificación y
Autenticación 7 L2-L4 L3 L3-L4
3 PR H.IA.1
Política de detección de
usuarios 4 L1-L2 L1-L3 L3-L4
4 IM H.IA.2 Validación autenticación
8 L2-L3 L3 L4
66
usuarios
5 EL H.IA.3
Control usuarios
invitados 7 L3-L4 L4 L4
6
D
Protecciones de los
datos / información 8 L1-L4 L2-L4 L4-L5
7 PR D
Protección de la
Información 8 L1-L2 L2-L3 L3
8 PR D.1
Encripción documentos
gerenciales 6 L1-L3 L2-L3 L3-L4
9 CR D.2
Protección en servidor
archivos 7 L2-L3 L3 L4
10 PR D.3
Restricción dispositivos
almacenamiento 5 L3 L3 L4
11 PR DA
Copias seguridad de los
datos (Backup) 2 L3-L4 L4 L4-L5
12 PR DA.1
Automatización
almacenamiento
información 2 L3-L4 L4 L4-L5
13 PR DA.2
Backup por salida
empleados 2 L3-L4 L4 L4-L5
14 PR D.C
Cifrado de la
información 3 L3 L3-L4 L4
15 PR D.DS
Uso de firmas
electrónicas 5 L2-L3 L3-L4 L4
16 PR D.DS.1
Firma por entidad
certificadora 3 L3 L3-L4 L4
17
S
Protección de los
servicios 2 L4 L4 L5
18 EL S.www
Protección de servicios y
aplicaciones web 2 L4 L4 L4
19 EL S.www.1 Seguridad perimetral 2 L4 L4 L5
67
20 EL S.email
Protección del correo
electrónico 2 L4 L4 L5
21 EL S.email.1 AntiSpam 2 L3-L4 L4 L5
22
SW
Protección de las
aplicaciones (software) 9 L2-l4 L5 L5
23 PR SW
Protección de las
aplicaciones
informáticas 8 L2-L3 L3 L4-L5
24 PR SW.1
Implementación login
module con kerberos 9 L2-L3 L3 L4-L5
25 PR SW.2
Permisos acceso server
de desarrollo 8 L2-L3 L4 L5
26 RC SW.A
Copias de seguridad
(Backup) 7 L3-L4 L5 L5
27 IM SW.start Puesta en producción 6 L3-L4 L4 L5
28
COM
Protección de las
comunicaciones 9 L1-L2 L2-L3 L3-L4
29 CR COM.wifi
Seguridad Wireless
(WiFi) 9 L1-L2 L2-L3 L4-L5
30
IP
Protección en los
puntos de
interconexión con
otros sistemas 4 L2-L3 L2-L3 L3
31 PR IP.SPP
Sistema de protección
perimetral 4 L2-L3 L2-L3 L3
32
L
Seguridad física -
Protección de las
instalaciones 2 L4 L4 L5
33 PR L
Protección de las
instalaciones 2 L4 L4 L5
34 PR L.1
Mantenimiento Data
Center 3 L4 L4 L5
68
35 PR L.2
Mantenimiento cableado
estructurado 3 L4 L4 L5
36 PR HW
Protección de los
Equipos Informáticos 7 L3 L2-L3 L3
37 PR AUX
Protección de los
Elementos Auxiliares 5 L3-L4 L3-L4 L4
38 PR PS
Salvaguardas
Relativas al Personal 6 L1-L3 L2-L3 L3-L4
39 PR MP
Protección de los
Soportes de
Información 8 L3-L4 L3-L4 L5
Tabla 5. Salvaguardas (Fuente propia)
3.5. Estimación del Impacto y Riesgo Residual
Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de una amenaza. La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de TrackSpia se presenta y se evalúan los impactos de acuerdo al tipo de pérdida ya sea organizacional o técnica. Este proceso consta de dos actividades:
Estimación del impacto residual Estimación del riesgo residual
3.5.1. Impacto Residual
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestión, el sistema queda en una situación de posible
impacto que se denomina residual. Se dice que hemos modificado el impacto,
desde un valor potencial a un valor residual.
El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni
sus dependencias, sino solamente la magnitud de la degradación, se repiten los
cálculos de impacto con este nuevo nivel de degradación.
69
La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas,
es la proporción que resta entre la eficacia perfecta y la eficacia real. El impacto
residual puede calcularse acumulado sobre los activos inferiores, o repercutido
sobre los activos superiores.10
Figura 31. Impacto Residual (Fuente propia)
Nota:
Para verificar la tabla con el Impacto Residual, dirigirse al ANEXO F
3.5.2. Riesgo Residual
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestión, el sistema queda en una situación de riesgo
que se denomina residual. Se dice que hemos modificado el riesgo, desde un
valor potencial a un valor residual.
El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni
sus dependencias, sino solamente la magnitud de la degradación y la probabilidad
de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la
probabilidad residual de ocurrencia.
10 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de
Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pág. 35
70
La magnitud de la degradación se toma en consideración en el cálculo del impacto
residual. La magnitud de la probabilidad residual tomando en cuenta la eficacia de
las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia
real.
Para el cálculo de la frecuencia residual se aplica la siguiente formula:
Frecuencia residual = Efectividad Perfecta – Efectividad Real
Mientras para el cálculo del impacto residual, se realiza mediante la siguiente
matriz:
Figura 32. Impacto Residual (Fuente propia)
Nota: Para verificar la tabla con el Riesgo Residual, dirigirse al ANEXO G
71
4. GESTIÓN DE RIESGOS
Después de haber realizado el Análisis de Riesgos, queda a la vista los impactos y
los riesgos a los que está expuesto TrackSpia, y estos son una medida del estado
presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas
adecuadas que reducen impacto y riesgo a valores despreciables. Son pues una
métrica de carencias.
Esto conlleva a la calificación de cada riesgo significativo, determinándose si:
Es critico en el sentido de que requiere atención urgente
Es grave en el sentido de que requiere atención
Es apreciable en el sentido de que pueda ser objeto de estudio para su
tratamiento.
Es asumible en el sentido de que no se van a tomar decisiones para
atajarlo.
Por lo tanto, podemos decir que el análisis realizado anteriormente en este caso
estudio solo es como tal un análisis, y podemos tomar las medidas necesarias
para llevar los controles necesarios para la toma de decisiones, conociendo lo que
se debe proteger. Todo ello sintetizado en el impacto.11
4.1. Toma de Decisiones
4.1.1. Identificación de los Riesgos Críticos
Una vez realizado el análisis de cada uno de los activos de TrackSpia con
respecto al análisis de cuáles de ellos tienen un nivel de riesgo considerable. Es
importante centrar la atención en estos activos con el fin de realizar la
implementación de los controles o salvaguardas necesarios, esto con el fin de
mitigar la amenaza o posibles amenazas.
11 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de
Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pág. 47
72
Tabla 8. Riesgo Críticos (Fuente propia)
Criticidad Riesgo
Id Activo Amenaza [D] [I] [C] [A] [T]
Datos Información
2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización A A M
[A.4] Manipulación de la configuración MA A
[A.5] Suplantación de la identidad del usuario A B
[A.11] Acceso no autorizado MA MA A
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA A
[A.11] Acceso no autorizado MA
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MA B
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MA A
[A.5] Suplantación de la identidad del usuario MA MA A
Servicios Internos
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A MA
[I.8] Fallo de servicios de comunicaciones A MA
[I.9] Interrupción de otros servicios y suministros esenciales MA B
[A.7] Uso no previsto A B
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA
[E.2] Errores del administrador MA MA
[I.8] Fallo de servicios de comunicaciones A M
[I.9] Interrupción de otros servicios y suministros esenciales MA
Software Aplicaciones Informáticas
73
9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico M M M B
[E.15] Alteración accidental de la información A A M
[E.21] Errores de mantenimiento / actualización de programas (software) A
[A.5] Suplantación de la identidad del usuario A A A M M
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico M M
[E.15] Alteración accidental de la información M
[E.21] Errores de mantenimiento / actualización de programas (software) A A A M
[A.5] Suplantación de la identidad del usuario A MA M M
[E.20] Vulnerabilidades de los programas (software) M M
[E.21] Errores de mantenimiento / actualización de programas (software) M
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador A
[E.21] Errores de mantenimiento / actualización de programas (software) A A A A
[A.5] Suplantación de la identidad del usuario A A M A A
[A.11] Acceso no autorizado M M M
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones A A M A A
[E.8] Difusión de software dañino MA MA
[A.4] Manipulación de la configuración
[A.5] Suplantación de la identidad del usuario A A
[A.14] Interceptación de información (escucha)
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones M M M B
[E.8] Difusión de software dañino MA MA
74
[E.21] Errores de mantenimiento / actualización de programas (software) A
[A.15] Modificación deliberada de la información MA MA MA MA A
[A.18] Destrucción de información A A
[A.19] Divulgación de información A
75
4.1.2. Calificación del Riesgo
A continuación, se gestionan los activos con los riesgos críticos:
Datos Acceso a Servidores
Descripción criticidad
Este activo pertenece a la capa de datos de información, y una vez detectadas las
amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad, integridad y confidencialidad las que más
amenaza representa.
Donde más presenta inconvenientes es en los accesos no autorizados,
esto debido a que no hay un control específico quienes dentro del
personal del área de sistemas tiene permiso de acceso a los servidores.
Suplantación de identidad, es la amenaza que menor riesgo representa
para este activo en particular
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Para el control de accesos no autorizados, se deberá establecer un acceso
para cada funcionario del área de sistemas. Esto dependiendo del servidor
en el que requiera acceso para el cumplimiento de sus funciones.
En cuanto a la suplantación de identidad, cada miembro del personal de
TrackSpia será responsable del ingreso a su cuenta de usuario.
Tabla 9. Datos Acceso Servidores (Fuente propia)
76
Servicio de Internet
Descripción criticidad
Este activo pertenece a la capa de datos de información, y una vez detectadas las
amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de integridad, confidencialidad y autenticidad las que más
amenaza representa.
Acceso no autorizado es crítico debido a que muchos de los empleados de
TrackSpia dejan sus cuentas de usuario escritos en PosIt y pegados en el
monitor del computador.
Suplantación de identidad, es la amenaza que menor riesgo representa
para este activo en particular y es debido a que muchas cuentas de
usuario, de los empleados retirados, sigue vigente y no hay un control
específico para las mismas.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Para el control de accesos no autorizados, se deberá realizar un barrido
del personal que se encuentra inactivo y retirado, esto con el fin de mitigar
la amenaza actualmente presentada
En cuanto a la suplantación de identidad, cada miembro del personal de
TrackSpia será responsable del ingreso a su cuenta de usuario y deberá
cambiar su contraseña cada mes.
Tabla 10. Servicio de internet (Fuente propia)
77
Códigos Fuente SW
Descripción criticidad
Este activo pertenece a la capa de datos de información, y una vez detectadas las
amenazas se ha encontrado lo siguiente:
En errores de mantenimiento y actualización presenta amenaza, debido a
que muchas veces se modifica código de los programas desarrollados por
parte del área de sistemas de TrackSpia, pero no se realiza ningún tipo de
actualización en la documentación de las modificaciones realizadas.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Se establecerá como medida de control de que cada modificación
realizada en el código fuente, debe ser inmediatamente actualizada en la
documentación del código fuente.
Tabla 11. Códigos fuente SW (Fuente propia)
Servicio de Internet
Descripción criticidad
Este activo pertenece a la capa de servicios internos, y una vez detectadas las
amenazas se ha encontrado lo siguiente:
El corte de suministro eléctrico en TrackSpia ha sido presentado en
algunas ocasiones, debido al área donde se encuentra la compañía, cerca
de los cerros orientales y a causa a la caída de algunos árboles nativos.
Personal de TrackSpia ha incurrido en el acceso de páginas prohibidas de
contenido sexual y de redes sociales en horas laborales, así como
descargas Online de streaming y música.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Se implantará una planta de suministro eléctrico adicional para el caso del
corte del suministro eléctrico.
78
Se revisarán las políticas establecidas en el Firewall para el control de
acceso a sitios indebidos por parte de los empleados de TrackSpia.
Tabla 12. Servicio internet (Fuente propia)
Servicio de Telefonía
Descripción criticidad
Este activo pertenece a la capa de servicios internos, y una vez detectadas las
amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad e integridad las que más amenaza
representa.
Los errores con el manejo de la línea telefónica de los usuarios es lo más
recurrente, debido a malos manejos con el teléfono.
El administrador de la centralita telefónica recurrentemente ha cruzado los
números de extensión al realizar mantenimientos.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Se realizarán capacitaciones al personal sobre el uso de los teléfonos,
debido a los inconvenientes presentados y además se realizará la compra
masiva de teléfonos de la misma referencia y marca.
Se va a tercerizar el servicio de telefonía para evitar inconvenientes de
administración.
Tabla 13. Servicio de telefonía (Fuente propia)
79
ERP Administrativo y Financiero
Descripción criticidad
Este activo pertenece a la capa de aplicaciones informáticas, y una vez
detectadas las amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad, integridad y confidencialidad las que más
amenaza representa.
Los errores de mantenimiento y actualización son recurrentes por parte de
los programadores de TrackSpia, ya que no se realiza las puestas de
producción en horas no laborales
La alteración accidental del código fuente y las modificaciones realizadas
directamente en la base de datos son las principales consecuencias de las
quejas de los usuarios.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Las puestas en producción de las modificaciones realizadas al ERP se
realizarán en horas de la noche o en días festivos
No se realizarán modificaciones directamente en la base de datos, sin
previa autorización del jefe del área de sistemas.
Tabla 14. ERP Administrativo y Financiero (Fuente propia)
Software Administración Relación-clientes
Descripción criticidad
Este activo pertenece a la capa de aplicaciones informáticas, y una vez
detectadas las amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad, integridad y confidencialidad las que más
amenaza representa.
Los errores de mantenimiento y actualización son recurrentes por parte de
los programadores de TrackSpia, ya que no se realiza las puestas de
80
producción en horas no laborales
La alteración accidental del código fuente y las modificaciones realizadas
directamente en la base de datos son las principales consecuencias de las
quejas de los usuarios.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Las puestas en producción de las modificaciones realizadas al ERP se
realizarán en horas de la noche o en días festivos
No se realizarán modificaciones directamente en la base de datos, sin
previa autorización del jefe del área de sistemas.
Tabla 15. Software Administración Relación-cliente (Fuente propia)
Servidor de Bases de Datos
Descripción criticidad
Este activo pertenece a la capa de aplicaciones informáticas, y una vez
detectadas las amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones.
Los errores de mantenimiento y actualización son recurrentes por parte del
administrador de la base de datos de TrackSpia, debido la falta de
experiencia en la administración del mismo.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
TrackSpia buscara capacitar al administrador de bases de datos para
mitigar la falta de inexperiencia.
Tabla 16. Servidor base de datos (Fuente propia)
81
Servidor de Correo
Descripción criticidad
Este activo pertenece a la capa de aplicaciones informáticas, y una vez
detectadas las amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad e integridad las que más amenaza
representa.
La difusión de software potencialmente dañino y de Spam por medio de la
mensajería electrónica, son las más grandes amenazas para el servidor
de correo.
La interceptación de mensajes es otra de las causas de falta de protección
de la información saliente en el servidor de correo electrónico.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Modificar las políticas de salida y entrada de mensajería en el AntiSpam de
TrackSpia.
Monitorear por medio de WireShark y del AntiSpam, los mensajes
entrantes y salientes al finalizar la jornada laboral, en busca de potenciales
amenazas.
Tabla 17. Servidor de correo (Fuente propia)
Servidor de Archivos
Descripción criticidad
Este activo pertenece a la capa de aplicaciones informáticas, y una vez
detectadas las amenazas se ha encontrado lo siguiente:
Encuentra amenazas altas en todas las dimensiones siendo las
dimensiones de disponibilidad e integridad las que más amenaza
representa.
La modificación de la información por parte del personal es frecuente,
porque la información que se encuentra en este servidor puede ser vista y
82
editada por toda la organización.
Lo anterior conlleva a que exista la eliminación de información de manera
intencionada o no intencionada.
Controles a aplicar
Las medidas para reducir el nivel de riesgo son las siguientes:
Se realizará una nueva configuración del servidor de archivos,
estableciendo controles de lectura y escritura. Y organizando estos
permisos de acuerdo al área en la que se necesite acceder.
Lo anterior mitigará el borrado de información, ya que cada área será
responsable de la misma.
Tabla 18. Servidor de archivos (Fuente propia)
4.2. Plan de Seguridad
En esta fase del caso estudio se trata de cómo llevar a cabo los planes de
seguridad, atendiendo por tales proyectos para materializar las decisiones
adoptadas para el tratamiento de los riesgos.
4.2.1. Normativas de Seguridad
Se implementarán las siguientes normativas de seguridad.
Uso autorizado de aplicaciones:
Los empleados están obligados a verificar que la información y que los
medios de almacenamiento estén libres de cualquier tipo de software
dañino, para ello deben ejecutar el software de antivirus.
Para prevenir infecciones por virus informáticos, los empleados deberán
hacer uso de cualquier software proporcionado por TrackSpia.
Uso adecuado del equipo de cómputo:
Cada empleado es responsable por el uso del equipo de cómputo asignado
por TrackSpia.
Mantener el equipo de cómputo en un entorno limpio y sin humedad.
83
Solo el personal capacitado del área de sistemas podrá llevar a cabo los
servicios de mantenimiento a los equipos.
Mientras se utiliza los equipos de cómputo, no se podrá consumir comidas
ni bebidas.
Backup de la información
Se podrá realizar copias de la información, única y exclusivamente en CD.
Los empleados deberán respaldar de forma periódica la información
Cuando el personal sea licenciado de la compañía, el personal de sistemas
es el único capacitado en la realización de tareas de respaldo de la
información.
Uso de los servicios de internet
Se prohíbe el acceso a páginas con contenido sexual, apuestas y juegos.
Se prohíbe las descargas de Streaming y música.
El acceso a internet es exclusivamente para actividades relacionadas con
las necesidades del puesto y la función desempeñada.
Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un
usuario de correo electrónico.
Protección de las Instalaciones
Hacer uso de los enceres de oficina de acuerdo a las necesidades
estrictamente laborales.
No utilizar los elementos de oficina para juegos, actividades lúdicas y que
no correspondan a la actividad laboral.
Gestión del Personal
Todo empleado de TrackSpia que utilice los bienes y servicios informáticos,
deberá conducirse bajo los principios de confidencialidad de la información.
En cada contrato de trabajo se deberá cláusulas de confidencialidad para
asegurar la información de la empresa.
Cada empleado deberá cumplir con el horario de trabajo establecido.
84
4.2.2. Mitigación del Riesgo
Ya analizado los riesgos que presenta mayor criticidad, se presenta a continuación
las salvaguardas aplicadas y se puede evidenciar este resultado en la tabla
presentada a continuación.
Id Activo Amenaza [D] [I] [C] [A] [T]
Datos Información
1 COPIA DE RESPALDO. [E.1] Errores de los usuarios B B B
[E.2] Errores del administrador MB B B
2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización MB MB B
[A.4] Manipulación de la configuración MB B
[A.5] Suplantación de la identidad del usuario MB
[A.11] Acceso no autorizado MB MB B
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MB MB B
[A.11] Acceso no autorizado MB
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB B
[A.5] Suplantación de la identidad del usuario MB MB MB B
Servicios Internos
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MB MB
[I.8] Fallo de servicios de comunicaciones MB MB
[I.9] Interrupción de otros servicios y suministros esenciales MB MB
[A.7] Uso no previsto MB MB
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MB
[E.2] Errores del administrador MB
[I.8] Fallo de servicios de comunicaciones MB MB
[I.9] Interrupción de otros servicios y suministros esenciales
85
Software Aplicaciones Informáticas
9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MB MB MB MB
[E.15] Alteración accidental de la información MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB MB
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MB MB
[E.15] Alteración accidental de la información MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB MB
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB MB
[A.11] Acceso no autorizado MB MB MB
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MB MB MB MB MB
[E.8] Difusión de software dañino MB MB
[A.4] Manipulación de la configuración MB
[A.5] Suplantación de la identidad del usuario MB MB
[A.14] Interceptación de información (escucha) MB
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MB MB MB MB
[E.8] Difusión de software dañino MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
[A.15] Modificación deliberada de la información MB MB MB MB MB
[A.18] Destrucción de información MB MB
[A.19] Divulgación de información MB Tabla 19. Mitigación del riesgo (Fuente propia)
86
5. CONSTRUCCIÓN DEL API MAGERIT UD
5.1. Metodología
En la construcción del API que implementa la metodología Magerit versión 3 se utilizó la metodología ágil Kanban que por su flexibilidad y facilidad de uso, permite la asignación de tareas a los miembros del equipo de desarrollo. Otra de las ventajas del uso de esta metodología es que al asignar las tareas por medio de post-it o tarjetas, se facilitó el seguimiento del estado en el que se encuentra y a quien fue asignada.
Haciendo uso del sistema de tareas de Kanban, se dio prioridad al cumplimiento de la tarea por encima de la rapidez con la que se hace, y esto teniendo en cuenta los tiempos para completar el desarrollo del prototipo (API), hizo que el equipo de desarrollo escogiera el uso de esta metodología.
Metodología Kanban
Kanban es definido como: “Un sistema de producción altamente efectivo y eficiente”, y el origen se remonta a los procesos de producción ideados por Toyota, y este sistema se basa en el uso de tarjetas para identificar las necesidades de material en la línea de producción de vehículos.
En la actualidad este sistema se ha llevado a otros campos, entre ellos la gerencia de proyectos y el desarrollo de software. Hay que recalcar que entre las principales ventajas de esta metodología es que es muy fácil de utilizar y actualizar por parte del equipo de trabajo. Además de ser una metodología muy visual, lo que permite fácilmente identificar las tareas y su estado, lo que conlleva a que el equipo de trabajo pueda ver claramente el estado de cada una de ellas
Aplicación de la metodología
Para el desarrollo de la metodología Kanban, se construyó un tablero con cuatro columnas, “Back log”, “TODO”, “DOING”, “DONE”.
La columna “Back log” contiene la lista de todas las tareas que se han considerado necesarias, para la construcción del producto.
La columna “TODO”, contiene todas las tareas que han sido priorizadas, utiliza una etiqueta de color púrpura, una tarea en estado TODO estará próxima a ser realizada.
La columna “DOING”, contiene todas las tareas que están siendo ejecutadas, utiliza una etiqueta de color amarillo, y otra etiqueta que identifica el responsable. No debe haber más de una tarea por responsable en esta columna.
87
La columna “DONE”, contiene todas las tareas que han sido finalizadas, utiliza una etiqueta de color verde. Una tarea finalizada ha sido desarrollada, documentada y probada.
A manera de facilitar la metodología se empleó una herramienta de uso gratuito, con host en la web y que ofrece una interfaz gráfica intuitiva, como se muestra en la figura XX+XX.
Figura 33. Kanban Proyecto (Fuente propia)
5.2. Diagramas
Cada uno de los diagramas realizados para este proyecto, buscó mostrar de una manera gráfica cómo fue el diseño del prototipo, desde el diseño de las tablas a utilizar en la base de datos hasta el flujo del proceso para el desarrollo de cada actividad del prototipo por medio de un diagrama de secuencia.
Como la metodología a utilizar fue Kanban, no fue objetivo realizar una diagramación detallada de cada uno de los procesos realizados en el API, sino más bien partir de un diseño general, mostrar el esquema adecuado que sirviese como modelo y guía en la implementación de cada uno de los procesos del prototipo.
88
Diagrama Entidad-Relación
En este diagrama se muestra como fue el diseño de las entidades del prototipo y por lo tanto persistidas en la base de datos.
Figura 34. Diagrama Entidad- Relación (Fuente propia)
Diagrama Secuencia Operaciones CRUD
Este diagrama muestra cómo ha sido el flujo del proceso a lo largo del desarrollo del API. Como se puede visualizar cada petición pasa por cada uno de los componentes que hacen parte de la arquitectura del prototipo de Magerit-UD.
En primer lugar, el usuario realiza una petición al servicio Web el cual se encarga de procesar la solicitud y enviarla al componente del servicio, y este aplica la lógica de negocio, una vez realizado este procedimiento se hace el llamado al componente de persistencia (repositorio) en donde almacenará, consultara o eliminará la información, según sean los requerimientos por parte del cliente.
89
Figura 35. Diagrama de secuencia (Fuente propia)
90
Diagrama Objetos
El siguiente diagrama muestra los objetos que intervienen en el prototipo, esto con el fin de dar una visión general.
Figura 36. Diagrama de objetos (Fuente propia)
91
6. CONCLUSIONES
La importancia que las organizaciones, identifiquen los factores de riesgo tanto internos como externos, es definitiva para garantizar su competitividad y permanencia en el mercado. Cuando una organización desea realizar la tarea, y poner en marcha el análisis de los posibles riesgos a los que está expuesta, uno de los principales obstáculos, es definitivamente que las organizaciones no se conocen, es decir, difícilmente tienen un conocimiento del capital invertido en tecnología, en que se emplean dichas tecnologías, y mucho menos que ha sucedido a través del tiempo con el equipamiento tecnológico. Por lo anterior, tener un marco de trabajo enfocados en análisis y gestión de riesgos, cobran vital importancia, principalmente al intentar dar inicio a la tarea. Para facilitar el inicio, se ha desarrollado un marco de trabajo basado en la metodología MAGERIT, en su tercera versión. Con el marco de trabajo propuesto, se estableció como y quienes facilitaban la información, que información era relevante, simplificando el paso entre la caracterización de los activos de la organización, a la identificación de las amenazas a las que se encontraban expuestos los activos, y cómo dichas amenazas podrían impactar los activos. El marco de trabajo permitió visualizar de forma inmediata las salvaguardas, que de una u otra forma ayudaran anular el riesgo o a mitigar el impacto del mismo. El enfoque cualitativo del marco de trabajo, además de simplificar la comunicación entre consultor y entrevistado, deshabilito la limitante impuesta por el desconocimiento histórico de los incidentes de seguridad ocurridos en la organización.
La herramienta “Magerit UD”, permitió mantener un flujo de principio a fin del análisis realizado, así pues, se mantuvo la información conseguida durante el proceso de identificación de activos, pasando por la valoración de activos, identificación de amenazas, evaluación del riesgo, identificación de salvaguardas, hasta llegar a la presentación del informe, que utilizara la mesa directiva para la toma de decisiones.
Por otra parte, es importante resaltar que el marco de trabajo planteado, mantiene una aplicabilidad en el sector de las PYMES, y que esta limitante obedece principalmente, a la granularidad causada por las fuentes de la información, es decir, cuando la estructura orgánica de la organización es compleja, las fuentes de información son más son más diversas, y esto puede causar una identificación y valoración de activos imprecisa, por ende todos los procesos subyacentes no operan de forma precisa. Cabe señalar que este ha sido el enfoque del proyecto, ya que empresas del sector de las grandes industrias, pueden destinar capitales importantes al análisis de riesgos, son estructuras organizativas con mayor grado de madurez, por lo que se enfocan en análisis cuantitativos, y que además al análisis de riesgo, el foco de atención puede ser más amplio, contemplado toda la normativa ISO 27000, y no solo los riesgos.
92
7. RECOMENDACIONES
Para reducir los riesgos que existen en los activos de la empresa se debería
hacer una restructuración del manual de procesos y procedimientos para el
manejo de cada uno de los activos de la organización
Se recomienda que haya una revisión periódica de las amenazas y riesgos
ya que la tecnología está cambiando constantemente y deben ser
controlados para evitar futuros problemas.
Se sugiere al gerente de la empresa que contrate al personal adecuado
para implementar las salvaguardas que fueron escogidas en el análisis de
riesgos para TrackSpia.
Capacitar al personal para que se cumplan las normas de seguridad que se
emplearon en la gestión de riesgos.
93
8. BIBLIOGRAFÍA
KOSUTIC, Dejan. ISO 27001 gap analysis vs. risk assessment. [Online]. Publicado Enero 27 de 2014. https://advisera.com/27001academy/knowledgebase/iso-27001-gap-analysis-vs-risk-assessment/
ICONTEC. NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001. [Online] Bogotá, 2006. Publicado Abril 03 de 2006. http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf
CORLETTI, Alejandro. ISO-27001: Los Controles (Parte II). [Online] Madrid, España.
Publicado 10 de Diciembre de 2006. http://www.iso27000.es/download/ISO-
27001_Los-controles_Parte_II.pdf
GILIBETS, Laia. Que es la metodología Kanban y cómo utilizarla. [Online]
Publicado 31 de Julio de 2013.
http://comunidad.iebschool.com/iebs/general/metodologia-kanban/
PRESSMAN, Roger S. Ingeniería del software. Un enfoque práctico. 5ª ed. Mc
Graw Hill, 2001.
KORTH, Henry F. y SILBERSCHATZ, Abraham. Fundamentos de Bases de Datos.
España: 1ª ed. Mc Graw Hill, 1993.
NIELSEN Jacob. Usabilidad Diseño de sitios Web. 2ª ed. Prentice Hall. 2000. [en
línea]. Citado en 16 de Marzo de 2013. Gerencia Proyectos.
http://www.degerencia.com/tema/gerencia_de_proyectos
MENDOZA, Jesús. http://www.monografias.com/trabajos36/administracion-y-
gerencia/administracion-y-gerencia.shtml [en línea]. [Citado en 16 de Marzo de
2013].
PELAEZ, Juan. Arquitectura basada en capas [en línea].
http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-
capas.aspx. [Citado el 15 de Marzo de 2013].
EUGENIO Ricardo, GUERRA Francisco, Sistemas de Información para la
Administración [en línea]. [Citado el 7 de Marzo de 2013].
http://www.mitecnologico.com/Main/ElementosSistemasDeInformacion
1
M. AMUTIO, J. CANDAU y J. MAÑAS, Eds., MAGERIT – Versión 3.0. Metodología
De Análisis y Gestión De Riesgos De Los Sistemas De Información. Libro I -
Método. 2012.
A. BARCO and J. MAÑAS, Eds., GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-
470D) - MANUAL DE USUARIO PILAR Versión 5.1. 2011
M. AMUTIO, J. CANDAU and J. MAÑAS, Eds., MAGERIT – Versión 3.0.
Metodología De Análisis y Gestión De Riesgos De Los Sistemas De Información.
Libro I - Método. 2012.
HUIDOBRO MOYA José M., ROLDÁN MARTÍNEZ David; “Seguridad en redes y
sistemas informáticos” editorial, Thomson Paraninfo, Madrid 2005.
ALEXANDER Alberto G, “Diseño y Gestión de un sistema de Seguridad de
Información, óptica ISO 27001:2005, editorial: Alfaomega, 2007.
ACEITUNO CANAL Vicente; “Seguridad de la información, Expectativas, Riesgos
y Técnicas de protección”, Editorial Limusa, México 2006.
BOLAÑOS, María C y ROCHA G. Mónica. 25 de marzo de 2014. Auditoria de SI.
Magerit V3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información).[en linea]: http://asijav.weebly.com/auditoria-de-sistemas-
deinformacioacuten/magerit-v3-metodologa-de-anlisis-y-gestin-de-riesgos-de-
lossistemas-de-informacion.
GONZÁLEZ BARROSO, Jesús. Catálogo de Elementos. Madrid. Ministerio de
Hacienda y Administraciones Públicas. (v.3.0): Metodología de análisis y Gestión
de riesgos los sistemas de información. Libro número II de la metodología
MAGERIT, estandariza los elementos objeto de proyecto de análisis necesarios
para generar un inventario de activos, para luego hacer la administración de estos.
2012.
MAXITANA C, Jennifer D, NARANJO S. Bertha A. Administración de riesgos de
tecnología de información de una empresa del sector informático. [en linea].
https://www.dspace.espol.edu.ec/bitstream/123456789/15896/3/Resumen Cicyt.-
Administración de Riesgos de TI de una empresa del sector Informático.pdf
2
ANEXOS
3
ANEXO A - Tabla de controles norma ISO 27001
Figura 37. Convenciones evaluación de controles
Fuente: Ejecutores Proyecto
Declaración de aplicabilidad de la norma ISO / IEC 27001 Anexo A controla a la:
Anexo A de referencia
Título de control Descripción del control Estado
A.5 Política de Seguridad
A5.1 Información Política de Seguridad
Para proporcionar a la dirección de gestión y apoyo a la seguridad de la información de acuerdo con los requerimientos del negocio y las leyes y reglamentos pertinentes.
A.5.1.1 Documento de Política de seguridad
de la información
Un documento de política de seguridad de la información deberá ser aprobado por la administración, y publicado y comunicado a
todos los empleados y colaboradores externos. D
A.5.1.2 Review of the information security
policy
La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios significativos
para asegurar su conveniencia, adecuación y eficacia. PNP
4
A.6
Organización de la seguridad de la información
A.6.1 Organización Interna Para gestionar la seguridad de la información dentro de la organización
A.6.1.1 Compromiso de la dirección de
seguridad de la información
Gestión apoyará activamente a la seguridad dentro de la organización a través de una dirección clara, demuestra el
compromiso, la asignación explícita, y el reconocimiento de las responsabilidades de seguridad de la información.
MD
A.6.1.2 Coordinación de la seguridad de
información
Actividades de seguridad de información estarán coordinadas por representantes de diferentes sectores de la organización con
un papel relevante y función de trabajo. PNP
A.6.1.3 La asignación de las
responsabilidades de seguridad de la información
Todas las responsabilidades de seguridad de la información deben estar claramente definidas.
PNP
A.6.1.4 Proceso de autorización para
instalaciones de procesamiento de información
Un proceso de autorización de la administración para las nuevas instalaciones de procesamiento de información se define y se
aplica. MD
A.6.1.5 Los acuerdos de confidencialidad
Requisitos para los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para
la protección de la información deben ser identificados y revisados con regularidad.
D
A.6.1.6 Contacto con las autoridades Se mantendrán los contactos apropiados con las autoridades
pertinentes. NA
A.6.1.7 Contacto con grupos de interés
especial
Se mantendrán los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y
asociaciones profesionales. MD
A.6.1.8 Revisiones independientes de la
policita de seguridad de la información
El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es decir, los objetivos de control,
controles, políticas, procesos y procedimientos para la seguridad de la información) se revisará de forma independiente a intervalos planificados, o cuando se producen cambios
significativos en la implementación de seguridad se producen.
PNP
5
A6.2 Partes Externas
Para mantener la seguridad de la información y de las instalaciones de procesamiento de información de la organización que se tiene acceso, procesan, comunican a, o administrados por entidades externas.
A.6.2.1 Identificación de los riesgos
relacionados con los agentes externos
Los riesgos para la información y las instalaciones de procesamiento de información de la organización de los
procesos de negocio relacionados con las partes externas deben ser identificados y los controles apropiados implementados
antes de conceder el acceso.
PNP
A.6.2.2 Abordar la seguridad cuando se
trata de clientes
Todos los requisitos de seguridad identificados deberán dirigirse antes de dar a los clientes el acceso a la información o de los
activos de la organización. RD
A.6.2.3 Abordar la seguridad en los
contratos de terceros
Acuerdos con terceros relacionados con el acceso, tratamiento, la comunicación o la gestión de la información o de las instalaciones de procesamiento de información de la
organización, o la adición de productos o servicios a las instalaciones de procesamiento de información se referirán a
todos los requisitos de seguridad pertinentes.
PNP
A.7 Gestión de Activos
A.7.1 La responsabilidad de los activos Para lograr y mantener la protección adecuada de los activos de la organización.
A.7.1.1 Inventarios de Activos Todos los activos deben estar claramente identificados y un
inventario de todos los activos importantes establecimiento y el mantenimiento.
MD
A.7.1.2 Propiedad de Activos Toda la información y los activos asociados a las instalaciones de tratamiento de la información serán propiedad de una parte
designada de la organización. D
A.7.1.3 Uso aceptables de los activos Normas para el uso aceptable de la información y de los activos asociados a las instalaciones de procesamiento de información
deberán ser identificadas, documentados e implementados. MD
A.7.2 clasificación de la información Para asegurar que la información reciba un nivel adecuado de protección.
A.7.2.1 directrices de clasificación La información se clasificará en función de su valor, los
requisitos legales, la sensibilidad y criticidad para la organización.
RD
6
A.7.2.2 Etiquetado de la información y la
manipulación
Un conjunto apropiado de procedimientos para el etiquetado de información y de tramitación se desarrollará y ejecutará de conformidad con el sistema de clasificación adoptado por la
organización.
PNP
A.8 La seguridad de los recursos humanos
A.8.1 Antes del Empleo
Para asegurarse de que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y son adecuados para las funciones que se consideran para, y para reducir el riesgo de robo, fraude o mal uso de las instalaciones.
A.8.1.1 Roles y Responsabilidades
Funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes de protección se definen y
documentan de conformidad con la política de seguridad de la información de la organización.
D
A.8.1.2 Proyección
Controles de verificación de antecedentes de todos los candidatos a empleo, contratistas y usuarios de terceras partes se llevarán a cabo de conformidad con las leyes, regulaciones y
ética, y proporcional a los requerimientos del negocio, la clasificación de la información que se acceda, y los riesgos
percibidos.
MD
A.8.1.3 Términos y condiciones del empleo
Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes se pondrán de acuerdo y firmar los términos y condiciones de su contrato de trabajo, en el que expondrá y responsabilidades de sus de la organización
para la seguridad de la información.
D
A.8.2 Durante el empleo
Para asegurar que todos los empleados, contratistas y usuarios de terceras partes son conscientes de la información amenazas y preocupaciones, sus responsabilidades y obligaciones de seguridad, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de error humano.
A.8.2.1 Gestión de responsabilidades Administración exigir a los empleados, contratistas y usuarios de terceras partes para aplicar la seguridad de conformidad con las
políticas y procedimientos de la organización establecidas D
7
A.8.2.2 Concienciación sobre la seguridad de la información, la educación y la
formación
Todos los empleados de la organización y, en su caso, los contratistas y usuarios de terceras partes, deberán recibir una
capacitación adecuada sensibilización y actualizaciones regulares en las políticas y procedimientos de la organización,
que sea relevante para su función de trabajo.
D
A.8.2.3 Proceso Disciplinario Habrá un proceso disciplinario formal para los empleados que
han cometido una infracción de seguridad. MD
A.8.3 El termino o cambio de empleo Para asegurarse de que los empleados, contratistas y usuarios de terceras partes salen de una organización o el cambio de empleo de una manera ordenada.
A.8.3.1 Termino de responsabilidades Las responsabilidades para la realización de la terminación del
empleo o cambio de empleo, deberán estar claramente definidas y asignadas.
RD
A.8.3.2 Retorno de los activos Todos los empleados, contratistas y usuarios de terceras partes
deberán devolver todos los activos de la organización en su poder a la terminación de su empleo, contrato o acuerdo.
MD
A.8.3.3 Eliminación de los derechos de
acceso
Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras partes a las instalaciones de procesamiento de la información del reglamento será eliminado después de la terminación de su empleo, contrato o acuerdo, o se ajustan al
cambio.
MD
A.9 La seguridad física y ambiental
A9.1 Áreas Seguras Para prevenir el acceso no autorizado físico, daños e interferencia a las instalaciones y la información de la organización.
A9.1.1 Perímetro de seguridad física
Perímetros de protección se utilizarán (barreras tales como paredes, puertas de entrada de la tarjeta controlada o
mostradores de recepción tripulados) para proteger áreas que contienen las instalaciones de procesamiento de la información y
de la información.
PNP
A9.1.2 Controles de entradas físicas Las áreas seguras quedarán protegidas por la entrada apropiada controles para asegurarse de que se les permite el acceso sólo
el personal autorizado. RD
8
A9.1.3 Asegurar oficinas, salas e
instalaciones La seguridad física de las oficinas, habitaciones e instalaciones,
se diseñó y aplicó MD
A9.1.4 La protección contra amenazas
externas y ambientales
La protección física contra daños por incendio, inundación, terremoto, explosión, disturbios civiles, y otros tipos de
catástrofes naturales o de origen humano debe ser diseñada y aplicada.
PNP
A9.1.5 Trabajar en zonas seguras Protección física y pautas para el trabajo en las áreas de
seguridad deben ser diseñadas y aplicadas. MD
A9.1.6 Zonas de acceso público, de
entrega y de carga
Los puntos de acceso, tales como las zonas de entrega y de carga y otros puntos en los que las personas no autorizadas
puedan entrar los locales se deberán controlar y, si es posible, aislada de las instalaciones de procesamiento de información
para evitar el acceso no autorizado.
MD
A9.2 Seguridad de los equipos Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las actividades de la organización.
A9.2.1 Emplazamiento y Protección del
equipo
El equipo deberá estar situado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las
oportunidades para el acceso no autorizado. MD
A9.2.2 Apoyo a los servicios públicos El equipo deberá estar protegido contra fallas de energía y otras
interrupciones causadas por fallas en el apoyo a los servicios públicos.
MD
A9.2.3 seguridad del cableado Energía y telecomunicaciones cableadas que transporta datos o el apoyo a los servicios de información deben estar protegidas
contra la interceptación o daño. MD
A9.2.4 El mantenimiento del equipo El equipo debe mantenerse correctamente para permitir su
continua disponibilidad e integridad. RD
A9.2.5 Seguridad de los equipos fuera de
las instalaciones
Seguridad se aplicará a los equipos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajar fuera de los
locales de la organización. MD
A9.2.6 La eliminación segura o
de re-uso de equipos
Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser evaluados para verificar que los datos sensibles y el software con licencia se han eliminado o
sobrescrito de forma segura antes de su eliminación.
D
9
A9.2.7 Eliminación de los equipos Equipo, la información o el software no se tomarán fuera del sitio
sin la previa autorización. D
A10 Gestión de Comunicación y Operaciones
A10.1 Procedimientos y
responsabilidades operacionales To ensure the correct and secure operation of information processing facilities.
A10.1.1 Procedimientos operacionales, adecuadamente documentados
Los procedimientos de operación deberán ser documentados, mantenidos y puestos a disposición de todos los usuarios que
los necesitan. D
A10.1.2 Gestión del Cambio Los cambios en las instalaciones y los sistemas de procesamiento de información deben controlarse.
MD
A10.1.3 La segregación de funciones Deberes y áreas de responsabilidad deben estar separados para
reducir las oportunidades de modificación o mal uso de los activos de la organización no autorizado o involuntario.
RD
A10.1.4 Separación de desarrollo, prueba e
instalaciones operacionales
Estarán separadas de desarrollo, prueba e instalaciones operacionales para reducir el riesgo de acceso no autorizado o
alteraciones en el sistema operativo. D
A10.2 Gestión de entrega de servicios
de terceros
Para implementar y mantener el nivel adecuado de seguridad de la información y la prestación de servicios en línea con los acuerdos de prestación de servicios de terceros.
A10.2.1 Servicio de entrega
Se velará por que los controles de seguridad, las definiciones de servicio, y los niveles de envío incluidos en el tercer acuerdo de prestación de servicios del partido se implementan, operado y
mantenido por el tercero.
NA
A10.2.2 El seguimiento y la revisión de los
servicios de terceros
Los servicios, los informes y los registros proporcionados por el tercero deberán ser controlados regularmente y revisados, y las
auditorías se llevarán a cabo con regularidad. NA
A10.2.3 Gestión de cambios en los servicios
de terceros
Los cambios en la prestación de servicios, incluido el mantenimiento y la mejora de las actuales políticas de seguridad
de información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de los sistemas y procesos que
intervienen empresas y re-evaluación de los riesgos.
PNP
10
A10.3 Planificación y aceptación del
sistema Para minimizar el riesgo de fallo de los sistemas.
A10.3.1 gestión de la capacidad El uso de los recursos deberá ser monitoreada, afinado, y
proyecciones de las futuras necesidades de capacidad para asegurar el rendimiento del sistema requerido.
RD
A10.3.2 la aceptación del sistema
Los criterios de aceptación para los nuevos sistemas de información, actualizaciones y nuevas versiones serán
establecidos y las pruebas adecuadas del sistema) llevaron a cabo durante el desarrollo y antes de la aceptación.
D
A10.4 Protección contra código
malicioso y móvil Para proteger la integridad del software y la información.
A10.4.1 Controles contra código malicioso Se llevarán a cabo la detección, prevención y recuperación
controles de protección contra código malicioso y los procedimientos apropiados de sensibilización usuario.
MD
A10.4.2 Controles contra códigos móviles
Cuando se autorice el uso de código móvil, la configuración deberá garantizar que el código móvil autorizado opera de
acuerdo con una política de seguridad claramente definido, y el código móvil no autorizado puede ser impedido de ejecutar.
D
A10.5 Back-up Para mantener la integridad y la disponibilidad de instalaciones de procesamiento de la información y de la información.
A10.5.1 Información
back-up
Copias de respaldo de la información y software serán tomadas y analizadas con regularidad de acuerdo con la política de copia
de seguridad acordadas. D
A10.6 Gestión de la seguridad de la red Para garantizar la protección de la información en las redes y la protección de la infraestructura de apoyo.
A10.6.1 controles de red
Redes se gestionarán adecuadamente y controlados, con el fin de protegerse de las amenazas, y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluyendo la
información en tránsito.
MD
A10.6.2 Seguridad de los servicios de red
Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de
red, si estos servicios se ofrecen en la empresa o subcontratado.
MD
11
A10.7 manejo del soporte Para evitar la divulgación no autorizada, modificación, eliminación o destrucción de bienes, y la interrupción de las actividades comerciales.
A10.7.1 Gestión de soportes extraíbles Deberá haber procedimientos establecidos para el manejo de los
medios extraíbles. PNP
A10.7.2 La eliminación de los medios de
comunicación Medios deberán ser desechados de forma segura y sin peligro
cuando ya no sea necesario, utilizando procedimientos formales. PNP
A10.7.3 Información del manejo de los
procedimientos
Los procedimientos para el manejo y almacenamiento de la información se establecerán para proteger esta información
contra su divulgación o uso no autorizado. MD
A10.7.4 Seguridad de la documentación del
sistema Documentación del sistema deben estar protegidos contra el
acceso no autorizado. RD
A10.8 Intercambio de información Para mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier entidad externa.
A10.8.1 Las políticas y los procedimientos de
intercambio de información
Políticas formales de cambio, los procedimientos y los controles deberán estar en su lugar para proteger el intercambio de
información mediante el uso de todo tipo de instalaciones de comunicación.
MD
A10.8.2 Los acuerdos de intercambio Los acuerdos se establecieron para el intercambio de
información y software entre la organización y las partes externas.
RD
A10.8.3 Medios físicos en tránsito Los medios que contienen información deben estar protegidos contra el acceso no autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.
RD
A10.8.4 Mensajería Electrónica Información involucrada en la mensajería electrónica será
debidamente preservada. MD
A10.8.5 Sistemas de información de
negocios
Las políticas y procedimientos deberán ser desarrollados e implementados para proteger la información asociada a la interconexión de los sistemas de información de negocios.
RD
A10.9 Servicios de comercio electrónico Para garantizar la seguridad de los servicios de comercio electrónico, y su uso seguro.
12
A10.9.1 Comercio Electrónico
Información involucrado en el comercio electrónico que pasa a través de redes públicas, serán protegidos de la actividad
fraudulenta, disputa de contrato, y la divulgación y modificación no autorizada.
MD
A10.9.2 Transacciones On-line
Información involucrada en las transacciones en línea deberán estar protegidos para prevenir la transmisión incompleta, mal
enrutamiento, alteración mensaje no autorizado, la divulgación no autorizada, la duplicación de mensajes no autorizada o la
reproducción.
RD
A10.9.3 Información pública La integridad de la información puesta a disposición de un
sistema de acceso público debe ser protegida para evitar la modificación no autorizada.
MD
A10.10 Monitoreo Para detectar las actividades de procesamiento de información no autorizados.
A10.10.1 Registro de Auditoria
Los registros de auditoría de grabación de las actividades del usuario, excepciones y eventos de seguridad de información se producen y se conservarán durante un período acordado para ayudar en futuras investigaciones y la vigilancia del control de
acceso.
D
A10.10.2 Uso del sistema de monitoreo Procedimientos para el uso de vigilancia de las instalaciones de procesamiento de información se establecerán y los resultados
de las actividades de seguimiento de revisiones regulares. MD
A10.10.3 Protección de los registros de
información Instalaciones de registro y la información de registro se
protegerán contra la manipulación y acceso no autorizado. D
A10.10.4 Administración y operación de los
registros de información Actividades del administrador del sistema y gestor de la red se
registrarán. MD
A10.10.5 Fallo de Registros Fallos se registrarán, analizarán y tomarán las medidas
correspondientes. D
A10.10.6 Sincronización de Relojes
Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o dominio de seguridad se pueden sincronizar con una fuente horaria exacta
acordada.
D
A11 Control de Acceso
A11.1 Requerimiento de negocio de
control de acceso Para controlar el acceso a la información.
13
A11.1.1 Política de control de acceso Se establecerá una política de control de acceso, documentado
y revisado basado en los requisitos empresariales y de seguridad para el acceso.
D
A11.2 Gestión de acceso de los
usuarios Para garantizar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información.
A11.2.1 Registro de Usuarios Habrá un registro de usuario formal y procedimiento de la
matrícula en el lugar para otorgar y revocar el acceso a todos los sistemas y servicios de información.
D
A11.2.2 Administración de Privilegios La asignación y el uso de los privilegios se limitarán y
controlados. MD
A11.2.3 Administración de Passport de
Usuarios La asignación de contraseñas se controla a través de un
proceso de gestión formal. D
A11.2.4 Revisión de los derechos de acceso
de usuario La dirección revisará los derechos de acceso de los usuarios a
intervalos regulares utilizando un proceso formal. D
A11.3 Responsabilidades de los
usuarios
Para prevenir el acceso no autorizado de usuarios, y el compromiso o el robo de las instalaciones de procesamiento de la información y de la información.
A11.3.1 Utilización de Contraseña Los usuarios estarán obligados a seguir las buenas prácticas de
seguridad en la selección y uso de contraseñas. D
A11.3.2 Equipo de usuarios desatendido Los usuarios deberán asegurarse de que el equipo desatendido
tiene la protección adecuada. MD
A11.3.3 Política de escritorio y pantalla en
blanco o despejado
Se adoptarán una política de escritorio limpio de papeles y soportes de almacenamiento extraíbles y una política de la pantalla clara para las instalaciones de procesamiento de
información.
RD
A11.4 Control de acceso de red Para prevenir el acceso no autorizado a los servicios en red.
A11.4.1 Política sobre el uso de los servicios
de red Los usuarios sólo deberán disponer de acceso a los servicios
que han sido específicamente autorizados para su uso. D
A11.4.2 Autenticación de usuario para las
conexiones externas Métodos de autenticación adecuados se utilizan para controlar el
acceso de usuarios remotos. D
14
A11.4.3 Identificación de los equipos en las
redes
Identificación automática de los equipos se considerará como un medio para autenticar las conexiones de los lugares y equipos
específicos. MD
A11.4.4 Diagnóstico remoto y protección
puerto de configuración Se controlará el acceso físico y lógico a los puertos de
diagnóstico y configuración. D
A11.4.5 Segregación en redes Grupos de servicios de información, los usuarios y los sistemas
de información deberán estar separados de las redes MD
A11.4.6 Control de la conexión de red
Para las redes compartidas, especialmente aquellas que se extienden a través de fronteras de la organización, la capacidad de los usuarios para conectarse a la red se limitará, en línea con
la política y los requisitos de las aplicaciones de negocio de control de acceso
RD
A11.4.7 Control de Ruta de red
Controles de enrutamiento se aplicarán a las redes para garantizar que las conexiones de la computadora y los flujos de información no infringen la política de control de acceso de las
aplicaciones de negocio.
D
A11.5 Control de acceso del sistema
operativo Para prevenir el acceso no autorizado a los sistemas operativos.
A11.5.1 Procedimientos de Inicio Seguro El acceso a los sistemas operativos se controla mediante un
procedimiento de inicio de sesión seguro. MD
A11.5.2 Identificación y autenticación de
usuarios
Todos los usuarios deben tener un identificador único (ID de usuario) sólo para su uso personal, y una técnica de
autenticación adecuados serán elegidos para corroborar la identidad declarada de un usuario.
D
A11.5.3 Sistema de gestión de contraseñas Sistemas de gestión de contraseñas serán interactivos y se
asegurarán de contraseñas de calidad. MD
A11.5.4 Uso de las utilidades del sistema El uso de programas utilitarios que podrían ser capaces de
sistema y de aplicación controles primordiales será restringido y estrechamente controlado.
D
A11.5.5 Sesión de tiempo de espera Sesiones inactivas se cerrarán después de un período definido
de inactividad. D
A11.5.6 Limitación de tiempo de conexión Las restricciones a los tiempos de conexión se utilizan para proporcionar seguridad adicional para aplicaciones de alto
riesgo. NA
15
A11.6 El control de aplicaciones y
acceder a información Para prevenir el acceso no autorizado a la información contenida en los sistemas de aplicación.
A11.6.1 Restricción de acceso Información El acceso a las funciones de información y sistemas de
aplicaciones por los usuarios y el personal de apoyo se limitará de acuerdo con la política de control de acceso definido.
D
A11.6.2 Aislamiento del sistema Sensible Sistemas sensibles deben tener un (aislado) entorno informático
dedicado. MD
A11.7 Computadores Móviles y
Teletrabajo
Para garantizar la seguridad de la información cuando se utilizan las instalaciones de computación y teletrabajo móvil.
A11.7.1 Computadores Móviles y
comunicaciones
Una política formal deberá estar en su lugar, y se adoptará medidas de seguridad para proteger contra los riesgos del uso de las instalaciones de computación móvil y la comunicación.
D
A11.7.2 Teletrabajo Una política, planes y procedimientos operativos deberán ser
desarrollados e implementado para las actividades de teletrabajo.
NA
A12
Adquisición de sistemas de información, desarrollo y mantenimiento
A12.1 Los requisitos de seguridad de
los sistemas de información Para asegurar que la seguridad es una parte integral de los sistemas de información.
A12.1.1 Análisis de los requisitos de
seguridad y las especificaciones
Declaraciones de los requerimientos del negocio para los nuevos sistemas de información, o mejoras de los sistemas de
información existentes especificarán los requisitos para los controles de seguridad.
RD
A12.2 Procesamiento correcto en
aplicaciones Para evitar errores, la pérdida, modificación o mal uso de la información en la aplicación no autorizada.
A12.2.1 Validación de Datos de Entrada La entrada de datos a las aplicaciones deberá ser validada para
asegurarse de que esta información es correcta y apropiada. MD
12.2.2 Control del procesamiento interno Comprobaciones de validación deberán ser incorporadas en las aplicaciones para detectar cualquier corrupción de la información
a través de los errores de procesamiento o actos deliberados. MD
16
12.2.3 Integridad de los mensajes
Requisitos para garantizar la autenticidad y la protección de la integridad del mensaje en las aplicaciones deben ser
identificados, y los controles apropiados identificados e implementados.
RD
12.2.4 Validación de datos de salida La salida de datos desde una aplicación deberá ser validada para asegurarse de que el procesamiento de la información almacenada es correcto y adecuado a las circunstancias.
MD
A12.3 Controles criptográficos Para proteger la confidencialidad, autenticidad o integridad de la información por medios criptográficos.
A12.3.1 Política sobre el uso de controles
criptográficos
Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollado e
implementado PNP
12.3.2 Gestión de claves Gestión de claves estará en el lugar para apoyar el uso de la
organización de las técnicas criptográficas. PNP
A12.4 Seguridad de los archivos del
sistema Para garantizar la seguridad de los archivos del sistema
A12.4.1 Control del Software Operacional Habrá procedimientos para controlar la instalación de software
en los sistemas operativos RD
A12.4.2 Protección de los datos de prueba
del sistema Los datos de prueba deben seleccionarse cuidadosamente y
protegidos y controlados. RD
A12.4.3 Control de acceso al código fuente
del programa El acceso al código fuente del programa se limitará. RD
A12.5 Seguridad en desarrollo y soporte
de procesos Para mantener la seguridad de software de sistema de aplicación y la información.
A12.5.1 Procedimientos de control de
cambio La implementación de los cambios se controla mediante el uso
de procedimientos formales de control de cambios. MD
A12.5.2 Revisión técnica de aplicaciones
después de cambios en el sistema operativo
Cuando se cambian los sistemas operativos, aplicaciones críticas de negocio deben ser revisados y probados para
asegurar que no hay impacto negativo en las operaciones de la organización o de la seguridad.
MD
A12.5.3 Restricciones en los cambios a los
paquetes de software
Las modificaciones a los paquetes de software se pondrán trabas, otros, las modificaciones necesarias, y todos los cambios
deben ser estrictamente controlados. MD
17
A12.5.4 filtración de información Se impedirá Oportunidades para la fuga de información. MD
A12.5.5 Desarrollo de software externalizado Desarrollo de software externalizado será supervisado y
controlado por la organización MD
A12.6 Gestión de Vulnerabilidades
Técnica Para reducir los riesgos derivados de la explotación de las vulnerabilidades técnicas publicadas.
A12.6.1 Control de las vulnerabilidades
técnicas
La información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información que se utilizan se obtiene, la
exposición de la organización a tales vulnerabilidades evaluado y tomado las medidas adecuadas para hacer frente a los riesgos
asociados.
PNP
A13 Gestión de incidentes de seguridad de información
A13.1 Informar sobre los eventos de
seguridad de información y debilidades
Para garantizar la seguridad de la información de eventos y debilidades asociadas a los sistemas de información se comunican de una manera que permite acciones correctivas oportunas que deban tomarse.
A13.1.1 Informar sobre los eventos de
seguridad de información
Los eventos de seguridad de información se comunicarán a través de canales de gestión adecuadas tan pronto como sea
posible. D
A13.1.2 Informes debilidades de seguridad
Todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información estarán obligados a
observar y reportar cualquier debilidad de seguridad que observen o sospechen en los sistemas o servicios.
MD
A13.2 Gestión de incidentes de
seguridad de la información y mejoras
Para garantizar un enfoque coherente y eficaz se aplica a la gestión de incidentes de seguridad de la información.
A13.2.1 Responsabilidades y procedimientos Responsabilidades y procedimientos de manejo deberán ser
establecidos para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
MD
A13.2.2 Aprendiendo de los incidentes de
seguridad de la información
Habrá mecanismos que permitan a los tipos, volúmenes y costos de los incidentes de seguridad de la información para ser
cuantificados y controlados. RD
18
A13.2.3 Acopio de Evidencias
Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de
información implica una acción jurídica (civil o penal), se percibirá la evidencia, conservado, y se presentó a cumplir con
las reglas para la prueba prevista en la jurisdicción correspondiente (s ).
D
A14 Gestión de continuidad del negocio
A14.1 Los aspectos de seguridad de información de la gestión de la
continuidad del negocio
Para contrarrestar las interrupciones a las actividades comerciales y proteger los procesos críticos de negocio de los efectos de los fallos principales de los sistemas de información o los desastres y asegurar su oportuna reanudación.
A14.1.1 Incluyendo seguridad de la
información en el proceso de gestión de la continuidad del negocio
Un proceso gestionado se desarrolla y se mantiene la continuidad del negocio en toda la organización que se ocupa de los requisitos de seguridad de la información necesaria para la
continuidad del negocio de la organización.
MD
A14.1.2 Continuidad del negocio y análisis
de riesgos
Los eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados, junto con la probabilidad y el impacto de estas interrupciones y de sus consecuencias para la
seguridad de la información.
MD
A14.1.3 Desarrollo e implementación de
planes de continuidad que incluyen seguridad de la información
Los planes deberán desarrollarse y aplicarse para mantener o restaurar las operaciones y asegurar la disponibilidad de información al nivel requerido y en las escalas de tiempo requeridas siguientes a la interrupción o el fracaso de los
procesos críticos de negocio.
RD
A14.1.4 Marco de planificación de la
continuidad del negocio
Deberá mantenerse un único marco de los planes de continuidad del negocio para asegurar que todos los planes son consistentes, para abordar de manera coherente los requisitos
de seguridad de la información, y para identificar las prioridades de prueba y mantenimiento.
RD
A14.1.5 Pruebas, mantenimiento y re-evaluación de los planes de
continuidad del negocio
Los planes de continuidad deberán ser probados y actualizados regularmente para asegurarse de que están al día y efectivo.
PNP
A15 Conformidad
19
A15.1 El cumplimiento de los requisitos
legales
Para evitar el rebasamiento de cualquier ley, obligaciones legales, reglamentarias o contractuales, y de los requisitos de seguridad.
A15.1.1 Identificación de la legislación
aplicable
Todos los requisitos legales, reglamentarios y contractuales pertinentes y por el enfoque de la organización para cumplir con estos requisitos se definirán explícitamente, documentados, y se
mantienen al día para cada sistema de información y la organización.
RD
A15.1.2 Derechos de propiedad intelectual
(DPI)
Procedimientos apropiados se aplicarán para garantizar el cumplimiento de requisitos legales, reglamentarios y
contractuales sobre el uso de material con respecto al cual puede haber derechos de propiedad intelectual y sobre el uso de
productos de software propietario.
D
A15.1.3 Protección de los registros de la
organización
Registros importantes estarán protegidos contra pérdida, destrucción y falsificación, de acuerdo con los requisitos legales,
reglamentarios, contractuales y de negocios. MD
A15.1.4 Protección de datos y privacidad de
la información personal
Protección de datos y privacidad se garantizará como se requiere en la legislación pertinente, los reglamentos, y, si
procede, las cláusulas contractuales. D
A15.1.5 Prevención del uso indebido de las instalaciones de procesamiento de
información
Los usuarios se decidan a utilizar las instalaciones de procesamiento de información para fines no autorizados.
RD
A15.1.6 Regulación de los controles
criptográficos Controles criptográficos serán utilizados en cumplimiento de
todos los acuerdos, leyes y reglamentos. RD
A15.2 El cumplimiento de las políticas de seguridad y las normas y el
cumplimiento técnico
Para garantizar el cumplimiento de los sistemas con las políticas y estándares de seguridad de la organización
A15.2.1 El cumplimiento de las políticas y
normas de seguridad
Administradores se asegurarán de que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a
cabo correctamente para lograr el cumplimiento con las políticas y estándares de seguridad.
RD
A15.2.2 Comprobación del cumplimiento
técnico Los sistemas de información deben ser revisados regularmente
por el cumplimiento de las normas de aplicación de la seguridad. PNP
20
A15.3 Consideraciones de auditoría del
sistema de información Para maximizar la eficacia y minimizar la interferencia a / desde el proceso de auditoría de sistemas de información.
A15.3.1 Controles de auditoría de sistemas
de información
Requisitos de auditoría y las actividades relacionadas con los controles de los sistemas operativos deberán ser planeadas cuidadosamente y acordaron reducir al mínimo el riesgo de
interrupciones en los procesos de negocio.
RD
A15.3.2 Protección de las herramientas de
auditoría de sistemas de información
El acceso a las herramientas de auditoría de sistemas de información debe ser protegido para evitar cualquier posible mal
uso o el compromiso. RD
21
ANEXO B - ENCUESTAS
De 35 empleados encuestados todos mencionaron que sus equipos no reciben
mantenimiento en determinado tiempo sino que el equipo debe presentar
problemas serios.
22
Los empleados de trackspia dijeron que cuando el computador no funciona deben
llamar al personal de sistemas para que arregle el equipo y por lo general se
demora 1 día realizando los ajustes correspondientes, retrasando las actividades
laborales.
La mayoria de los empleados no apagan o suspenden el computador para ir a
almorzar.
Todos los empleados guardan la información para ir a almorzar.
23
No tiene ningun periodo de tiempo para el cambio de equipos para eso debe de
estar en pesimas condiciones donde ya deje de funcionar para hacer la compra de
un equipo nuevo.
Todos los computadores tienen contraseñas pero no son secretas porque se
comparten de un empleado a otro.
24
No existe la politica de cambiar la contraseña cada cierto periodo en TrackSpia.
El internet utilizado por cada una de las areas para desempeñar las actividades
laborales, solo las areas de contabilidad y los digitadores no poseen este servicio.
25
Los empleados tienen acceso a cualquier pagina de internet.
Todos los equipos poseen antivirus pero en la mayoria mensionaron que estan
desactualizados
26
11. ¿Con qué frecuencia al mes realiza la actualización de su software de
Antivirus?
1 vez 2 veces
3 veces 4 veces
N° Ítem Frecuencia %
1 1 vez 40 40%
2 2 veces 20 20%
3 3 veces 10 10%
4 4 veces 30 30%
Hay una dualidad entre los que hacen actualización de su antivirus cada año, y el
caso opuesto de quienes lo hacen al menos cuatro veces. Pero en concreto hay
una falencia de seguridad al no existir una politica clara sobre las actualizaciones
de seguridad en el caso del antivirus.
12. ¿Ha presentado caídas en la base de datos?
Si No
27
N° Ítem Frecuencia %
1 Si 63 60%
2 No 37 40%
Las caidas en la base de datos son frecuentes, no hay una confianza generalizada
por la información que se encuentra allí almacenada.
13. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos
tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores
diarias?
Los más utilizados, son a su vez los más esenciales: correo electrónico, impresión, escáner, servidor de archivos, antivirus, etc. 14. Evalúe de 1 a 5 la importancia que tiene para usted, cada uno de los
elementos mencionados.
1 2
3 4
5
28
N° Ítem Frecuencia %
1 1 vez 40 40%
2 2 veces 20 20%
3 3 veces 10 10%
4 4 veces 30 30%
Es fundamental el uso de esos servicios, aunque se da casos de que mucha gente
es empleada en tareas que no requieren de un uso constante de los servicios
informaticos, por eso el resultado de la encuenta.
15. ¿Si alguno de los elementos mencionados no se encontrará disponible
por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿sí o no? ¿Qué
elementos?
Si No
N° Ítem Frecuencia %
1 Si 66 60%
2 No 34 40%
Como son servicios esenciales, son bastante importantes, aunque como se
menciono en la pregunta anterior hay una buena cantidad de empleados que no
los utiliza.
29
16. ¿Las tareas que le han sido encomendadas involucran la custodia de
información que puede ser catalogada como sensible o de carácter
confidencial?
Si No
N° Ítem Frecuencia %
1 Si 54 50%
2 No 56 50%
Los empleados se encuentran divididos, y no entienden en muchos casos la
importancia de la custodia de la información, y de que si esta es mal utilizada
podría tener riesgos importantes para TrackSpia.
17. ¿Conoce o aplica acciones para garantizar la confidencialidad de la
información? ¿sí o no? ¿Cuáles?
Si No
N° Ítem Frecuencia %
1 Si 73 70%
2 No 37 30%
30
El personal dice en su mayoria, conocer las acciones para garantizar la
confidencialidad de la información
18. ¿Conoce o sabe de la existencia de algún elemento humano o proceso,
que promueva estrategias de seguridad para mantener la confidencialidad de
la información que administra?
Si No
N° Ítem Frecuencia %
1 Si 28 27%
2 No 72 83%
TrackSpia no ha sido conciente de promover estrategias para mantener la
confidencialidad de la información.
19. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB,
servicios de almacenamiento en la nube cuyo proveedor sea un tercero
(google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la
organización, y para almacenar información relacionada a sus tareas?
Si No
31
N° Ítem Frecuencia %
1 Si 100 100%
2 No 0 0%
El 100 porciento de los encuestados realiza el uso de los servicios de
almacenamiento nombrados.
20. ¿Administra información que se relacione con sus tareas, que se
encuentra en medios físicos (papel, A-Z, material de archivo)?
Si No
N° Ítem Frecuencia %
1 Si 100 100%
2 No 0 0%
El 100 porciento de los encuestados realiza el uso de los servicios de
almacenamiento nombrados.
21. Que unidades de almacenamiento utiliza frecuentemente?
CD
DVD
USB
DISCO DURO EXTRAIBLE FOTOCOPIAS, IMPRESIÓN, ESCANEO
32
N° Ítem Frecuencia %
1 CD 5 4%
2 DVD 10 8%
3 USB 65 65%
4 DISCO DURO EXTRAIBLE 16 15%
5 FOTOCOPIAS, IMPRESIÓN, ESCANEO 4 6%
El almacenamiento físico es esencial en la compañía, lo que requiere un servicio de archivo bastante numeroso. 22. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos
servicios se encuentran restringidos mediante el uso de usuarios y
contraseñas?
Si No
N° Ítem Frecuencia %
1 Si 73 75%
2 No 27 25%
33
Si, y es que los aplicativos utilizados por el personal cuentan con ese tipo de seguridad, lo que indica que no hay política de contraseñas, sino simplemente se limitan a lo que los aplicativos les indique. 23. Si requiere más de una cuenta de usuario y contraseña para utilizar
servicios informáticos relacionados con sus tareas, ¿Qué herramienta o
como recuerda cada una de las cuentas de usuario y sus respectivas
contraseñas?
Lo métodos van: desde post-it ubicados en el monitor del equipo, hasta una contraseña que es compartida por uno o varios compañeros.
24. Las contraseñas que asigna a sus cuentas de usuario. ¿Con cuál de las
siguientes características cumple?
a. Cantidad de caracteres
Entre 1 y 8 caracteres.
Entre 9 y 12 caracteres. Más de 12 caracteres.
N° Ítem Frecuencia %
1 Entre 1 y 8 caracteres 73 75%
2 Entre 9 y 12 caracteres 17 15%
3 Más de 12 caracteres 10 10%
b. ¿Cuantas mayúsculas utiliza?
0 1 o 2
Más de dos
34
N° Ítem Frecuencia %
1 0 98 98%
2 1 o 2 1 1%
3 Más de 2 1 1%
c. ¿Cuantas minúsculas utiliza?
0
1 o 2
Más de dos
N° Ítem Frecuencia %
1 0 1 1%
2 1 o 2 19 19%
3 Más de 2 80 80%
d. ¿Cuántos números utiliza?
0
1
Más de uno
35
N° Ítem Frecuencia %
1 0 78 79%
2 1 o 2 13 11%
3 Más de 1 9 10%
e. ¿Cuantos caracteres especiales utiliza?
0
1 o 2
Más de dos
N° Ítem Frecuencia %
1 0 99 99%
2 1 o 2 1 1%
3 Más de 2 0 0%
36
25. ¿Comparte algún usuario y/o contraseña con personas de otras áreas?
Si No
N° Ítem Frecuencia %
1 Si 60 60%
2 No 40 40%
Este asunto es bastante delicado, porque ademas de ser un metodo para recordar
la contraseña, es una practica generalizada en el interior del personal de
TrackSpia.
26. ¿Las credenciales que comparte tiene acceso a información
confidencial?
Si No
37
N° Ítem Frecuencia %
1 Si 75 75%
2 No 25 25%
Las respuestas a esta pregunta fueron my variadas y en muchos casos fueron
contestadas con evasivas o eras respuestas sutiles, lo que indica que ningun
miembro del personal de TrackSpia queria verse comprometido.
27. ¿La persona o área con la que comparte las credenciales, está autorizada
por la organización para acceder a dicha información?
Si No
N° Ítem Frecuencia %
1 Si 25 25%
2 No 75 75%
La grafica es clara, no existe un control con las contraseñas compartidas entre los funcionarios de TrackSpia 28. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal
de mantenimiento y soporte de computadores.
1 2 3 4 5
38
N° Ítem Frecuencia %
1 1 7 7%
2 2 20 29%
3 3 55 55%
4 4 8 8%
5 5 10 10%
La mitad del personal califico como aceptable el servicio de soporte y
mantenimiento del area de tecnología.
39
ANEXO C – Valoración de Amenazas
Tabla 3. Valoración de Amenazas Fuente propia
Degradación
Id Activo Amenaza Probabilidad [D] [I] [C] [A] [T]
Datos Información
1 COPIA DE RESPALDO
[E.1] Errores de los usuarios A A
B
[E.2] Errores del administrador M
MA MA M
2 DATOS ACCESO SERVIDORES
[E.7] Deficiencias en la organización M
A A M
[A.4] Manipulación de la configuración A MA M
[A.5] Suplantación de la identidad del usuario M A
B
[A.11] Acceso no autorizado A
MA MA
M
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario A
A A M
[A.11] Acceso no autorizado A
A
4 CODIGOS FUENTE SW
[E.20] Vulnerabilidades de los programas (software) M A
B [E.21] Errores de mantenimiento / actualización de
programas (software) A
A MA M
[A.5] Suplantación de la identidad del usuario A
A
M
Servicios Internos
5 SERVICIO DE INTERNET
[I.6] Corte del suministro eléctrico M M M
[I.8] Fallo de servicios de comunicaciones M M M
[I.9] Interrupción de otros servicios y suministros esenciales B B B
40
[A.7] Uso no previsto M A
B
6 SERVICIO DE TELEFONIA
[E.1] Errores de los usuarios A A A
[E.2] Errores del administrador A A A
[I.8] Fallo de servicios de comunicaciones M
A
M
[I.9] Interrupción de otros servicios y suministros esenciales A A
7 SERVICIO DE MANTENIMIENTO
[E.7] Deficiencias en la organización M M M [E.21] Errores de mantenimiento / actualización de
programas (software) M A M
M
[E.23] Errores de mantenimiento / actualización de equipos (hardware) M M B
[E.28] Indisponibilidad del personal M A
M
8 ACCESO BIOMETRICO
[I.1] Fuego M M B
[I.2] Daños por agua M A M
M
[I.*] Desastres industriales M
M
M M
[A.5] Suplantación de la identidad del usuario M M B
Software - Aplicaciones Informáticas
9 ERP ADMINISTRATIVO Y FINANCIERO
[I.5] Avería de origen físico o lógico B MA A
A M
[E.15] Alteración accidental de la información M MA A
A [E.21] Errores de mantenimiento / actualización de
programas (software) M M
[A.5] Suplantación de la identidad del usuario M MA A A A M
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES
[I.5] Avería de origen físico o lógico B A A
[E.15] Alteración accidental de la información B A [E.21] Errores de mantenimiento / actualización de
programas (software) M M A MA
M
41
[A.5] Suplantación de la identidad del usuario M MA
A A M
11 PORTAL WEB DE LA ORGANIZACIÓN
[I.5] Avería de origen físico o lógico B MA A A A M
[E.15] Alteración accidental de la información B
A [E.21] Errores de mantenimiento / actualización de
programas (software) B A
[A.5] Suplantación de la identidad del usuario B MA A A A M
[A.24] Denegación de servicio B
M
M M
12 SISTEMA OPERATIVO
[E.1] Errores de los usuarios B M
M
[E.8] Difusión de software dañino M MA A A A M
[E.20] Vulnerabilidades de los programas (software) B A A [E.21] Errores de mantenimiento / actualización de
programas (software) B A
13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN
[I.5] Avería de origen físico o lógico M A A
[E.15] Alteración accidental de la información A A [E.21] Errores de mantenimiento / actualización de
programas (software) M MA A
A M
14 OFIMATICA
[E.21] Errores de mantenimiento / actualización de programas (software) B A A
[E.1] Errores de los usuarios B A
15 ANTIVIRUS
[E.8] Difusión de software dañino B A
[E.20] Vulnerabilidades de los programas (software) B MA A
A M
[E.21] Errores de mantenimiento / actualización de programas (software) B A A
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador M A
[E.21] Errores de mantenimiento / actualización de programas (software) M M A MA
M
42
[A.5] Suplantación de la identidad del usuario M MA A A A M
[A.11] Acceso no autorizado B MA A
A
17 SERVIDOR DE CORREO
[I.8] Fallo de servicios de comunicaciones M MA A A A M
[E.8] Difusión de software dañino A A A
[A.4] Manipulación de la configuración M
[A.5] Suplantación de la identidad del usuario M A A
[A.14] Interceptación de información (escucha) M
18 SERVIDOR DE ARCHIVOS
[I.8] Fallo de servicios de comunicaciones B M A MA
M
[E.8] Difusión de software dañino A A A [E.21] Errores de mantenimiento / actualización de
programas (software) M A
[A.15] Modificación deliberada de la información A A A A A M
[A.18] Destrucción de información M A A
[A.19] Divulgación de información M A
19 SERVIDOR DE DESARROLLO SW
[E.20] Vulnerabilidades de los programas (software) M A A [E.21] Errores de mantenimiento / actualización de
programas (software) B A A
M
[A.11] Acceso no autorizado B M A MA
M
20 SERVIDOR DE VIRTUALIZACIÓN
[I.1] Fuego B MA A A A M
[I.2] Daños por agua B MA A A A M
[I.*] Desastres industriales B A A
[E.20] Vulnerabilidades de los programas (software) B A [E.21] Errores de mantenimiento / actualización de
programas (software) M A A
43
[E.23] Errores de mantenimiento / actualización de equipos (hardware) M A
[A.11] Acceso no autorizado B A A
21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B A A
[E.21] Errores de mantenimiento / actualización de programas (software) B A
Hardware
22 EQUIPOS DE COMPUTO
[I.1] Fuego MB A A
[I.2] Daños por agua MB M MA
[I.*] Desastres industriales MB M M
[I.5] Avería de origen físico o lógico MB MA MA
23 IMPRESORAS
[I.1] Fuego MB A M
[I.2] Daños por agua MB MA M
[I.*] Desastres industriales MB M B
[I.5] Avería de origen físico o lógico MB M M
24 ESCANER
[I.1] Fuego MB A A
[I.2] Daños por agua MB M M
[I.*] Desastres industriales MB M M
[I.5] Avería de origen físico o lógico MB A A
25 ACCESS POINT
[I.1] Fuego MB M M
[I.2] Daños por agua B M M
[I.*] Desastres industriales B M B
[I.5] Avería de origen físico o lógico B M M
44
[E.4] Errores de configuración B A A
26 ANTISPAM
[I.1] Fuego MB MA MA
[I.2] Daños por agua MB M M
[I.*] Desastres industriales MB MA MA
[I.5] Avería de origen físico o lógico B A A
[E.4] Errores de configuración B M M
27 UTM SERGURIDAD PERIMETRAL
[I.1] Fuego MB MA M
[I.2] Daños por agua MB M B
[I.*] Desastres industriales MB MA M
[I.5] Avería de origen físico o lógico MB A A
[E.4] Errores de configuración M M MA
28 SERVIDORES FÍSICOS
[I.1] Fuego MB MA M
[I.2] Daños por agua MB MA MA
[I.*] Desastres industriales MB MA A
[I.5] Avería de origen físico o lógico MB M M
[E.4] Errores de configuración M M M
29 SISTEMA DE AIRE ACONDICIONADO
[I.1] Fuego B M B
[I.2] Daños por agua B M M
[I.*] Desastres industriales B A A
M A
[I.5] Avería de origen físico o lógico B MA MA
[E.4] Errores de configuración M M M
M
30 SISTEMA DE [I.1] Fuego MB MA MA
45
ALMACENAMIENTO [I.2] Daños por agua MB A A
[I.*] Desastres industriales MB M M
M
[I.5] Avería de origen físico o lógico MB M M
M
[E.4] Errores de configuración M A A
A
[A.11] Acceso no autorizado M M M
31 SWITCH
[I.1] Fuego MB M M
[I.2] Daños por agua B M B
[I.*] Desastres industriales MB M M
[I.5] Avería de origen físico o lógico MB M M
[E.4] Errores de configuración B M M
[A.4] Manipulación de la configuración M M M
[A.11] Acceso no autorizado M A M
32 ROUTER
[I.1] Fuego MB M M
[I.2] Daños por agua B M B
[I.*] Desastres industriales MB M M
[I.5] Avería de origen físico o lógico B A A
[E.4] Errores de configuración M MA MA
[A.11] Acceso no autorizado M M M
33 SISTEMA DE BACKUP
[I.1] Fuego MB MA MA
[I.2] Daños por agua MB A A
[I.*] Desastres industriales MB M M
[I.5] Avería de origen físico o lógico B M M
46
[E.4] Errores de configuración M A A
Redes de Comunicaciones
34 RED TELEFÓNICA
[I.1] Fuego MB M M
B
[I.2] Daños por agua MB M M
B
[I.*] Desastres industriales MB M M
B
[I.5] Avería de origen físico o lógico MB MA A
35 RED DIGITAL
[I.1] Fuego MB MA MA
[I.2] Daños por agua B MA MA
[I.*] Desastres industriales MB M M
B
[I.5] Avería de origen físico o lógico MB M M
B
36 WI-FI
[I.1] Fuego MB M M
B
[I.2] Daños por agua MB M M
B
[I.*] Desastres industriales MB M M
B
[I.5] Avería de origen físico o lógico MB M M
B
37 RED LAN
[I.1] Fuego MB MA A
[I.2] Daños por agua MB MA MA
[I.*] Desastres industriales MB MA MA
[I.5] Avería de origen físico o lógico MB M M
B
38 INTERNET
[I.1] Fuego MB M M
B
[I.2] Daños por agua MB M M
B
[I.*] Desastres industriales MB M M
B
[I.5] Avería de origen físico o lógico MB M M
B
47
39 RED METROPOLITANA
[I.1] Fuego MB M M
B
[I.2] Daños por agua MB MA A
[I.*] Desastres industriales MB MA MA
[I.5] Avería de origen físico o lógico MB MA MA
Soportes de Información
40 CD
[E.15] Alteración accidental de la información B B MB
MB
[E.18] Destrucción de información M B MB
MB
[E.19] Fugas de información A MB MB
[A.19] Divulgación de información M B M
B
41 DVD
[E.15] Alteración accidental de la información B B MB
MB
[E.18] Destrucción de información M B MB
MB
[E.19] Fugas de información A MB MB
[A.19] Divulgación de información M B M
B
42 MEMORIAS USB
[E.15] Alteración accidental de la información M B MB
MB
[E.18] Destrucción de información A B MB
MB
[E.19] Fugas de información M MB MB
[A.19] Divulgación de información A B M
B
43 DISCOS DUROS EXTRAIBLES
[E.15] Alteración accidental de la información M B MB
MB
[E.18] Destrucción de información A B MB
MB
[E.19] Fugas de información M MB MB
[A.19] Divulgación de información A B M
B
Equipamiento Auxiliar
48
44 CABLEADO
[I.11] Emanaciones electromagnéticas B A A
[I.1] Fuego B M A
[I.2] Daños por agua B MB MB
[I.7] Condiciones inadecuadas de temperatura o humedad B MA MA
A
[I.11] Emanaciones electromagnéticas B M M
[I.*] Desastres industriales MB A A
[A.25] Robo MB A A
M
45 PLANTA ELECTRICA
[I.1] Fuego MB MB MB
MB
[I.2] Daños por agua MB A A
[I.9] Interrupción de otros servicios y suministros esenciales B M A
[I.*] Desastres industriales MB MB MB
[A.25] Robo MB MA MA
A
46 MOBILIARIO
[I.1] Fuego MB M M
[I.2] Daños por agua MB A A
[I.*] Desastres industriales MB A A
M
[A.25] Robo MB MB MB
MB
47 SISTEMA DE VIGILANCIA
[I.1] Fuego MB A A
[I.2] Daños por agua MB M A
[I.*] Desastres industriales MB MB MB
[A.25] Robo MB MA MA
A
48 UPS [I.1] Fuego MB M M
[I.2] Daños por agua MB A A
49
[I.*] Desastres industriales MB A A
M
[A.25] Robo M MB MB
MB
49 FUENTES DE ALIMENTACIÓN
[I.1] Fuego MB A A
[I.2] Daños por agua MB M A
[I.*] Desastres industriales MB A A
[A.25] Robo MB M A
A
50 FIBRA OPTICA
[I.1] Fuego MB A A
[I.2] Daños por agua MB A A
[I.7] Condiciones inadecuadas de temperatura o humedad MB M A
[I.*] Desastres industriales MB MB MB
[A.25] Robo MB MA MA
A
51 OTROS EQUIPOS AUXILIARES
[I.1] Fuego MB M M
[I.2] Daños por agua MB A A
[I.*] Desastres industriales MB A A
M
[A.25] Robo MB MB MB
MB
Instalaciones
52 EDIFICIO
[I.1] Fuego B MB B
[I.2] Daños por agua B B MB
[I.*] Desastres industriales B MB MB
[A.27] Ocupación enemiga B MB B
53 SEDE [I.1] Fuego B B MB
[I.2] Daños por agua B MB MB
50
[I.*] Desastres industriales B MB B
[A.27] Ocupación enemiga B B MB
54 VEHICULO
[I.1] Fuego B MB B
[I.2] Daños por agua B B MB
[I.*] Desastres industriales B MB MB
Personal
55 JEFE AREA FINANCIERO MB
A
MB
A
56 MANTENIMIENTO DE BASE DE DATOS
MB
A
MB
M
57 MANTENIMIENTO DE EQUIPOS MB
A
MB
A
58 JEFE DEL AREA DE CONTABILIDAD
MB
A
MB
A
59 JEFE DEL AREA DE LOGISTICA MB
A
MB
A
60 JEFE DEL AREA OPERATIVA MB
M
MB
A
61 JEFE DEL AREA DE SISTEMAS MB
A
MB
A
51
ANEXO D – Impacto Potencial
Tabla 3. Impacto Potencial Fuente propia
Impacto Potencial
Id Activo Amenaza [D] [I] [C] [A] [T]
Datos Información
1 COPIA DE RESPALDO. [E.1] Errores de los usuarios M B
[E.2] Errores del administrador MA M M
2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización A A M
[A.4] Manipulación de la configuración MA M
[A.5] Suplantación de la identidad del usuario A B
[A.11] Acceso no autorizado MA MA M
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA M
[A.11] Acceso no autorizado A
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) M B
[E.21] Errores de mantenimiento / actualización de programas (software) A A MA M
Servicios Internos
[A.5] Suplantación de la identidad del usuario A A M
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A M
[I.8] Fallo de servicios de comunicaciones A M
[I.9] Interrupción de otros servicios y suministros esenciales A B
[A.7] Uso no previsto MA B
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios A A
[E.2] Errores del administrador A A
52
[I.8] Fallo de servicios de comunicaciones A M
[I.9] Interrupción de otros servicios y suministros esenciales A
7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización A M
[E.21] Errores de mantenimiento / actualización de programas (software) MA M M
[E.23] Errores de mantenimiento / actualización de equipos (hardware) M B
[E.28] Indisponibilidad del personal MA M
8 ACCESO BIOMETRICO [I.1] Fuego M M
[I.2] Daños por agua A A M
[I.*] Desastres industriales M A M M
[A.5] Suplantación de la identidad del usuario M M
Software - Aplicaciones Informáticas
9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MA MA MA M
[E.15] Alteración accidental de la información MA MA A
[E.21] Errores de mantenimiento / actualización de programas (software) MA
[A.5] Suplantación de la identidad del usuario A MA A A M
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MA MA
[E.15] Alteración accidental de la información MA
[E.21] Errores de mantenimiento / actualización de programas (software) A MA MA M
[A.5] Suplantación de la identidad del usuario MA A A M
11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico A A A A M
[E.15] Alteración accidental de la información A
53
[E.21] Errores de mantenimiento / actualización de programas (software) A
[A.5] Suplantación de la identidad del usuario A A A A M
[A.24] Denegación de servicio M M M
12 SISTEMA OPERATIVO [E.1] Errores de los usuarios M M
[E.8] Difusión de software dañino A A A A M
[E.20] Vulnerabilidades de los programas (software) A A
[E.21] Errores de mantenimiento / actualización de programas (software) A
13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MA MA
[E.15] Alteración accidental de la información MA
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA A M
14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) MA MA
[E.1] Errores de los usuarios MA
15 ANTIVIRUS [E.8] Difusión de software dañino MA
[E.20] Vulnerabilidades de los programas (software) MA MA A M
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MA
[E.21] Errores de mantenimiento / actualización de programas (software) A A MA A
[A.5] Suplantación de la identidad del usuario MA A A MA A
[A.11] Acceso no autorizado MA A MA
54
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MA MA A A A
[E.8] Difusión de software dañino MA MA
[A.4] Manipulación de la configuración
[A.5] Suplantación de la identidad del usuario MA MA
[A.14] Interceptación de información (escucha)
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones A MA A M
[E.8] Difusión de software dañino MA MA
[E.21] Errores de mantenimiento / actualización de programas (software) MA
[A.15] Modificación deliberada de la información MA MA A A M
[A.18] Destrucción de información MA MA
[A.19] Divulgación de información MA
19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) A A
[E.21] Errores de mantenimiento / actualización de programas (software) A A M
[A.11] Acceso no autorizado M A MA M
20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MA MA MA A A
[I.2] Daños por agua MA MA A A A
[I.*] Desastres industriales MA MA
[E.20] Vulnerabilidades de los programas (software) MA
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA
[A.11] Acceso no autorizado MA MA
55
21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones M A
[E.21] Errores de mantenimiento / actualización de programas (software) M
Hardware
22 EQUIPOS DE COMPUTO [I.1] Fuego A A
[I.2] Daños por agua M A
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico A A
23 IMPRESORAS [I.1] Fuego A M
[I.2] Daños por agua A M
[I.*] Desastres industriales M B
[I.5] Avería de origen físico o lógico M M
24 ESCANER [I.1] Fuego A M
[I.2] Daños por agua M B
[I.*] Desastres industriales M B
[I.5] Avería de origen físico o lógico A M
25 ACCESS POINT [I.1] Fuego M M
[I.2] Daños por agua M M
[I.*] Desastres industriales M B
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración A A
26 ANTISPAM [I.1] Fuego MA MA
[I.2] Daños por agua A A
[I.*] Desastres industriales MA MA
[I.5] Avería de origen físico o lógico MA MA
[E.4] Errores de configuración A A
27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego MA A
56
[I.2] Daños por agua A M
[I.*] Desastres industriales MA A
[I.5] Avería de origen físico o lógico MA MA
[E.4] Errores de configuración A MA
28 SERVIDORES FÍSICOS [I.1] Fuego A M
[I.2] Daños por agua A A
[I.*] Desastres industriales A A
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración M M
29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego A M
[I.2] Daños por agua A A
[I.*] Desastres industriales MA MA M A
[I.5] Avería de origen físico o lógico MA MA
[E.4] Errores de configuración A A M
30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego MA MA
[I.2] Daños por agua MA MA
[I.*] Desastres industriales A A M
[I.5] Avería de origen físico o lógico A A M
[E.4] Errores de configuración MA MA A
[A.11] Acceso no autorizado A A
31 SWITCH [I.1] Fuego M M
[I.2] Daños por agua M B
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración M M
[A.4] Manipulación de la configuración M M
[A.11] Acceso no autorizado A M
32 ROUTER [I.1] Fuego M M
57
[I.2] Daños por agua M B
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico A A
[E.4] Errores de configuración MA A
[A.11] Acceso no autorizado M M
33 SISTEMA DE BACKUP [I.1] Fuego MA MA
[I.2] Daños por agua MA MA
[I.*] Desastres industriales A A
[I.5] Avería de origen físico o lógico A A
[E.4] Errores de configuración MA MA
Redes de Comunicaciones
34 RED TELEFÓNICA [I.1] Fuego M M B
[I.2] Daños por agua M M B
[I.*] Desastres industriales M M B
[I.5] Avería de origen físico o lógico A A
35 RED DIGITAL [I.1] Fuego A A
[I.2] Daños por agua A A
[I.*] Desastres industriales M M B
[I.5] Avería de origen físico o lógico M M B
36 WI-FI [I.1] Fuego M M B
[I.2] Daños por agua M M B
[I.*] Desastres industriales M M B
[I.5] Avería de origen físico o lógico M M B
37 RED LAN [I.1] Fuego MA MA
[I.2] Daños por agua MA MA
[I.*] Desastres industriales MA MA
[I.5] Avería de origen físico o lógico A A B
38 INTERNET [I.1] Fuego A A B
58
[I.2] Daños por agua A A B
[I.*] Desastres industriales A A B
[I.5] Avería de origen físico o lógico A A B
39 RED METROPOLITANA [I.1] Fuego A A B
[I.2] Daños por agua MA MA
[I.*] Desastres industriales MA MA
[I.5] Avería de origen físico o lógico MA MA
Soportes de Información
40 CD [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información MB MB
[A.19] Divulgación de información B B B
41 DVD [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información MB MB
[A.19] Divulgación de información B B B
42 MEMORIAS USB [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información MB MB
[A.19] Divulgación de información B B B
43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información MB MB
[A.19] Divulgación de información B M
Equipamiento Auxiliar
44 CABLEADO [I.11] Emanaciones electromagnéticas MA MA
[I.1] Fuego A MA
[I.2] Daños por agua B B
59
[I.7] Condiciones inadecuadas de temperatura o humedad MA MA
[I.11] Emanaciones electromagnéticas A A
[I.*] Desastres industriales MA MA
[A.25] Robo MA MA M
45 PLANTA ELECTRICA [I.1] Fuego MB B MB
[I.2] Daños por agua A MA
[I.9] Interrupción de otros servicios y suministros esenciales M MA
[I.*] Desastres industriales MB B
[A.25] Robo A MA A
46 MOBILIARIO [I.1] Fuego B B
[I.2] Daños por agua M M
[I.*] Desastres industriales M M M
[A.25] Robo MB MB MB
47 SISTEMA DE VIGILANCIA [I.1] Fuego MA MA
[I.2] Daños por agua A MA
[I.*] Desastres industriales B B
[A.25] Robo MA A MA
48 UPS [I.1] Fuego M M
[I.2] Daños por agua A A
[I.*] Desastres industriales A A M
[A.25] Robo MB MB MB
49 FUENTES DE ALIMENTACIÓN [I.1] Fuego MA MA
[I.2] Daños por agua A MA
[I.*] Desastres industriales MA MA
[A.25] Robo A MA A
50 FIBRA OPTICA [I.1] Fuego MA MA
60
[I.2] Daños por agua MA MA
[I.7] Condiciones inadecuadas de temperatura o humedad A MA
[I.*] Desastres industriales B B
[A.25] Robo MA B A
51 OTROS EQUIPOS AUXILIARES [I.1] Fuego B B
[I.2] Daños por agua M M
[I.*] Desastres industriales M M B
[A.25] Robo MB MB MB
Instalaciones
52 EDIFICIO [I.1] Fuego MB MB
[I.2] Daños por agua B MB
[I.*] Desastres industriales MB MB
[A.27] Ocupación enemiga MB B
53 SEDE [I.1] Fuego B MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB B
[A.27] Ocupación enemiga B MB
54 VEHICULO [I.1] Fuego MB B
[I.2] Daños por agua B MB
[I.*] Desastres industriales MB MB
Personal
55 JEFE AREA FINANCIERO A
A
56 MANTENIMIENTO DE BASE DE DATOS A
M
57 MANTENIMIENTO DE EQUIPOS A
A
61
58 JEFE DEL AREA DE CONTABILIDAD A
A
59 JEFE DEL AREA DE LOGISTICA A
A
60 JEFE DEL AREA OPERATIVA M
A
61 JEFE DEL AREA DE SISTEMAS A
ANEXO E – Riesgo Potencial
Tabla 4. Riesgo Potencial Fuente propia
Riesgo Potencial
Id Activo Amenaza [D] [I] [C] [A] [T]
1 COPIA DE RESPALDO. [E.1] Errores de los usuarios A M
[E.2] Errores del administrador A M M
2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización A A M
[A.4] Manipulación de la configuración MA A
[A.5] Suplantación de la identidad del usuario A B
[A.11] Acceso no autorizado MA MA A
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA A
[A.11] Acceso no autorizado MA
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MA B
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MA A
[A.5] Suplantación de la identidad del usuario MA MA A
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A MA
62
[I.8] Fallo de servicios de comunicaciones A MA
[I.9] Interrupción de otros servicios y suministros esenciales MA B
[A.7] Uso no previsto A B
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA
[E.2] Errores del administrador MA MA
[I.8] Fallo de servicios de comunicaciones A M
[I.9] Interrupción de otros servicios y suministros esenciales MA
7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización A M
[E.21] Errores de mantenimiento / actualización de programas (software) A M M
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA B
[E.28] Indisponibilidad del personal A M
8 ACCESO BIOMETRICO [I.1] Fuego M M
[I.2] Daños por agua A A M
[I.*] Desastres industriales M A M M
[A.5] Suplantación de la identidad del usuario M M
9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico M M M B
[E.15] Alteración accidental de la información A A M
[E.21] Errores de mantenimiento / actualización de programas (software) A
[A.5] Suplantación de la identidad del usuario A A A M M
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico M M
[E.15] Alteración accidental de la información M
63
[E.21] Errores de mantenimiento / actualización de programas (software) A A A M
[A.5] Suplantación de la identidad del usuario A MA M M
11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico M M MA M B
[E.15] Alteración accidental de la información M
[E.21] Errores de mantenimiento / actualización de programas (software) M
[A.5] Suplantación de la identidad del usuario M M M M B
[A.24] Denegación de servicio B B B
12 SISTEMA OPERATIVO [E.1] Errores de los usuarios B B
[E.8] Difusión de software dañino A A M A M
[E.20] Vulnerabilidades de los programas (software) M M
[E.21] Errores de mantenimiento / actualización de programas (software) M
13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico A A
[E.15] Alteración accidental de la información MA MA
[E.21] Errores de mantenimiento / actualización de programas (software) A A A M
14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) M M
[E.1] Errores de los usuarios M
15 ANTIVIRUS [E.8] Difusión de software dañino M
[E.20] Vulnerabilidades de los programas (software) M M M B
[E.21] Errores de mantenimiento / actualización de programas (software) M M
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador A
64
[E.21] Errores de mantenimiento / actualización de programas (software) A A A A
[A.5] Suplantación de la identidad del usuario A A M A A
[A.11] Acceso no autorizado M M M
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones A A M A A
[E.8] Difusión de software dañino MA MA
[A.4] Manipulación de la configuración
[A.5] Suplantación de la identidad del usuario A A
[A.14] Interceptación de información (escucha)
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones M M M B
[E.8] Difusión de software dañino MA MA
[E.21] Errores de mantenimiento / actualización de programas (software) A
[A.15] Modificación deliberada de la información MA MA MA MA A
[A.18] Destrucción de información A A
[A.19] Divulgación de información A
19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) A A
[E.21] Errores de mantenimiento / actualización de programas (software) M M B
[A.11] Acceso no autorizado B M M B
20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego M M M M M
[I.2] Daños por agua M M M M M
[I.*] Desastres industriales M M
[E.20] Vulnerabilidades de los programas (software) M
[E.21] Errores de mantenimiento / actualización de programas (software) A A
65
[E.23] Errores de mantenimiento / actualización de equipos (hardware) A
[A.11] Acceso no autorizado M M
21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B M
[E.21] Errores de mantenimiento / actualización de programas (software) B
22 EQUIPOS DE COMPUTO [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
23 IMPRESORAS [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B MB
[I.5] Avería de origen físico o lógico B B
24 ESCANER [I.1] Fuego B B
[I.2] Daños por agua B MB
[I.*] Desastres industriales B MB
[I.5] Avería de origen físico o lógico B B
25 ACCESS POINT [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración M M
26 ANTISPAM [I.1] Fuego M M
[I.2] Daños por agua B B
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración M M
66
27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego M B
[I.2] Daños por agua B B
[I.*] Desastres industriales M B
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración A A
28 SERVIDORES FÍSICOS [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración M M
29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego M B
[I.2] Daños por agua M M
[I.*] Desastres industriales M A B M
[I.5] Avería de origen físico o lógico M A
[E.4] Errores de configuración A A M
30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego M M
[I.2] Daños por agua M M
[I.*] Desastres industriales B B B
[I.5] Avería de origen físico o lógico B B B
[E.4] Errores de configuración A A A
[A.11] Acceso no autorizado A A
31 SWITCH [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración B B
[A.4] Manipulación de la configuración M M
[A.11] Acceso no autorizado A M
67
32 ROUTER [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico M M
[E.4] Errores de configuración A A
[A.11] Acceso no autorizado M M
33 SISTEMA DE BACKUP [I.1] Fuego M M
[I.2] Daños por agua M M
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico A M
[E.4] Errores de configuración A A
34 RED TELEFÓNICA [I.1] Fuego B B MB
[I.2] Daños por agua B B MB
[I.*] Desastres industriales B B MB
[I.5] Avería de origen físico o lógico B B
35 RED DIGITAL [I.1] Fuego B B
[I.2] Daños por agua B M
[I.*] Desastres industriales B B MB
[I.5] Avería de origen físico o lógico B B MB
36 WI-FI [I.1] Fuego B B MB
[I.2] Daños por agua B B MB
[I.*] Desastres industriales B B MB
[I.5] Avería de origen físico o lógico B B MB
37 RED LAN [I.1] Fuego M M
[I.2] Daños por agua M M
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico B B MB
38 INTERNET [I.1] Fuego B B MB
68
[I.2] Daños por agua B B MB
[I.*] Desastres industriales B B MB
[I.5] Avería de origen físico o lógico B B MB
39 RED METROPOLITANA [I.1] Fuego B B MB
[I.2] Daños por agua M M
[I.*] Desastres industriales M M
[I.5] Avería de origen físico o lógico M M
40 CD [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información B B
[A.19] Divulgación de información B B B
41 DVD [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información B MB MB
[E.19] Fugas de información B B
[A.19] Divulgación de información B B B
42 MEMORIAS USB [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información M B B
[E.19] Fugas de información MB MB
[A.19] Divulgación de información M M M
43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B MB MB
[E.18] Destrucción de información M B B
[E.19] Fugas de información MB MB
[A.19] Divulgación de información M A
44 CABLEADO [I.11] Emanaciones electromagnéticas M M
[I.1] Fuego M M
[I.2] Daños por agua B B
[I.7] Condiciones inadecuadas de temperatura o humedad M M
69
[I.11] Emanaciones electromagnéticas M M
[I.*] Desastres industriales M M
[A.25] Robo M M MB
45 PLANTA ELECTRICA [I.1] Fuego M MB MB
[I.2] Daños por agua B M
[I.9] Interrupción de otros servicios y suministros esenciales B M
[I.*] Desastres industriales MB MB
[A.25] Robo B M B
46 MOBILIARIO [I.1] Fuego B MB
[I.2] Daños por agua B B
[I.*] Desastres industriales B B MB
[A.25] Robo MB MB MB
47 SISTEMA DE VIGILANCIA [I.1] Fuego M M
[I.2] Daños por agua B M
[I.*] Desastres industriales MB MB
[A.25] Robo M B M
48 UPS [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B MB
[A.25] Robo MB MB MB
49 FUENTES DE ALIMENTACIÓN [I.1] Fuego M M
[I.2] Daños por agua B M
[I.*] Desastres industriales M M
[A.25] Robo B M B
50 FIBRA OPTICA [I.1] Fuego M M
[I.2] Daños por agua M M
70
[I.7] Condiciones inadecuadas de temperatura o humedad B M
[I.*] Desastres industriales MB MB
[A.25] Robo M MB B
51 OTROS EQUIPOS AUXILIARES [I.1] Fuego MB MB
[I.2] Daños por agua B B
[I.*] Desastres industriales B B MB
[A.25] Robo MB MB MB
52 EDIFICIO [I.1] Fuego MB MB
[I.2] Daños por agua B MB
[I.*] Desastres industriales MB MB
[A.27] Ocupación enemiga MB B
53 SEDE [I.1] Fuego B MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB B
[A.27] Ocupación enemiga B MB
54 VEHICULO [I.1] Fuego MB B
[I.2] Daños por agua B MB
[I.*] Desastres industriales MB MB
55 JEFE AREA FINANCIERO B
B
56 MANTENIMIENTO DE BASE DE DATOS B
B
57 MANTENIMIENTO DE EQUIPOS B
B
58 JEFE DEL AREA DE CONTABILIDAD B
B
59 JEFE DEL AREA DE LOGISTICA B
71
B
60 JEFE DEL AREA OPERATIVA B
B
61 JEFE DEL AREA DE SISTEMAS B
B
ANEXO F – Impacto Residual
Tabla 6. Impacto Residual Fuente propia
Id Activo Amenaza [D] [I] [C] [A] [T]
Datos Informacion
1 COPIA DE RESPALDO. [E.1] Errores de los usuarios B B B
[E.2] Errores del administrador MB B B
2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización MB MB B
[A.4] Manipulación de la configuración MB B
[A.5] Suplantación de la identidad del usuario MB
[A.11] Acceso no autorizado MB MB B
3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MB MB B
[A.11] Acceso no autorizado MB
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MB B
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB B
[A.5] Suplantación de la identidad del usuario MB MB B
Servicios Internos
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MB B
[I.8] Fallo de servicios de comunicaciones MB B
72
[I.9] Interrupción de otros servicios y suministros esenciales MB B
[A.7] Uso no previsto MB B
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MB
[E.2] Errores del administrador MB
[I.8] Fallo de servicios de comunicaciones MB B
[I.9] Interrupción de otros servicios y suministros esenciales
7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización MB B
[E.21] Errores de mantenimiento / actualización de programas (software) MB B B
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MB B
[E.28] Indisponibilidad del personal MB B
8 ACCESO BIOMETRICO [I.1] Fuego MB B
[I.2] Daños por agua MB MB B
[I.*] Desastres industriales MB MB B B
[A.5] Suplantación de la identidad del usuario MB B
Software Aplicaciones Informáticas
9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MB MB MB B
[E.15] Alteración accidental de la información MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB B
10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MB MB
[E.15] Alteración accidental de la información MB
73
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB B
[A.5] Suplantación de la identidad del usuario BM MB MB B
11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MB MB MB MB B
[E.15] Alteración accidental de la información MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB B
[A.24] Denegación de servicio B B B
12 SISTEMA OPERATIVO [E.1] Errores de los usuarios B B
[E.8] Difusión de software dañino MB MB MB MB B
[E.20] Vulnerabilidades de los programas (software) MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MB MB
[E.15] Alteración accidental de la información MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB B
14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) MB MB
[E.1] Errores de los usuarios MB
15 ANTIVIRUS [E.8] Difusión de software dañino MB
[E.20] Vulnerabilidades de los programas (software) MB MB MB B
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MB
74
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB
[A.5] Suplantación de la identidad del usuario MB MB MB MB MB
[A.11] Acceso no autorizado MB MB MB
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MB MB MB MB MB
[E.8] Difusión de software dañino MB MB
[A.4] Manipulación de la configuración MB
[A.5] Suplantación de la identidad del usuario MB MB
[A.14] Interceptación de información (escucha) MB
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MB MB MB B
[E.8] Difusión de software dañino MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB
[A.15] Modificación deliberada de la información MB MB MB MB B
[A.18] Destrucción de información MB MB
[A.19] Divulgación de información MB
19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB B
[A.11] Acceso no autorizado B MB MB B
20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MB MB MB MB MB
[I.2] Daños por agua MB MB MB MB MB
[I.*] Desastres industriales MB MB
[E.20] Vulnerabilidades de los programas (software) MB
[E.21] Errores de mantenimiento / actualización de programas (software) MB MB
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MB
75
[A.11] Acceso no autorizado MB MB
21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B MB
[E.21] Errores de mantenimiento / actualización de programas (software) B
Hardware
22 EQUIPOS DE COMPUTO [I.1] Fuego MB MB
[I.2] Daños por agua B MB
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico MB MB
23 IMPRESORAS [I.1] Fuego MB B
[I.2] Daños por agua MB B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
24 ESCANER [I.1] Fuego MB B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico MB B
25 ACCESS POINT [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración MB MB
26 ANTISPAM [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico MB MB
[E.4] Errores de configuración MB MB
27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego MB MB
76
[I.2] Daños por agua MB B
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico MB MB
[E.4] Errores de configuración MB MB
28 SERVIDORES FÍSICOS [I.1] Fuego MB B
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración B B
29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego MB B
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB MB
[I.5] Avería de origen físico o lógico MB MB
[E.4] Errores de configuración MB MB B
30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB B
[I.5] Avería de origen físico o lógico MB MB B
[E.4] Errores de configuración MB MB MB
[A.11] Acceso no autorizado MB MB
31 SWITCH [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico B B
[E.4] Errores de configuración B B
[A.4] Manipulación de la configuración B B
[A.11] Acceso no autorizado MB B
32 ROUTER [I.1] Fuego B B
77
[I.2] Daños por agua B B
[I.*] Desastres industriales B B
[I.5] Avería de origen físico o lógico MB MB
[E.4] Errores de configuración MB MB
[A.11] Acceso no autorizado B B
33 SISTEMA DE BACKUP [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico MB MB
[E.4] Errores de configuración MB MB
Redes de Comunicaciones
34 RED TELEFÓNICA [I.1] Fuego B B B
[I.2] Daños por agua B B B
[I.*] Desastres industriales B B B
[I.5] Avería de origen físico o lógico MB MB
35 RED DIGITAL [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales B B B
[I.5] Avería de origen físico o lógico B B B
36 WI-FI [I.1] Fuego B B B
[I.2] Daños por agua B B B
[I.*] Desastres industriales B B B
[I.5] Avería de origen físico o lógico B B B
37 RED LAN [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico B MB B
38 INTERNET [I.1] Fuego B MB B
78
[I.2] Daños por agua B MB B
[I.*] Desastres industriales B MB B
[I.5] Avería de origen físico o lógico B MB B
39 RED METROPOLITANA [I.1] Fuego B MB B
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[I.5] Avería de origen físico o lógico MB MB
Soportes de Información
40 CD [E.15] Alteración accidental de la información B M M
[E.18] Destrucción de información B M M
[E.19] Fugas de información M M
[A.19] Divulgación de información B B B
41 DVD [E.15] Alteración accidental de la información B M M
[E.18] Destrucción de información B M M
[E.19] Fugas de información M M
[A.19] Divulgación de información B B B
42 MEMORIAS USB [E.15] Alteración accidental de la información B M M
[E.18] Destrucción de información B M M
[E.19] Fugas de información M M
[A.19] Divulgación de información B B B
43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B M M
[E.18] Destrucción de información B M M
[E.19] Fugas de información M M
[A.19] Divulgación de información B B
Equipamiento Auxiliar
44 CABLEADO [I.11] Emanaciones electromagnéticas MB MB
[I.1] Fuego MB MB
[I.2] Daños por agua M B
79
[I.7] Condiciones inadecuadas de temperatura o humedad MB MB
[I.11] Emanaciones electromagnéticas MB MB
[I.*] Desastres industriales MB MB
[A.25] Robo MB MB B
45 PLANTA ELECTRICA [I.1] Fuego M B M
[I.2] Daños por agua MB MB
[I.9] Interrupción de otros servicios y suministros esenciales B MB
[I.*] Desastres industriales M B
[A.25] Robo MB MB MB
46 MOBILIARIO [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B B
[A.25] Robo M M MB
47 SISTEMA DE VIGILANCIA [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales B B
[A.25] Robo MB MB MB
48 UPS [I.1] Fuego B B
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB B
[A.25] Robo M M M
49 FUENTES DE ALIMENTACIÓN [I.1] Fuego MB MB
[I.2] Daños por agua MB MB
[I.*] Desastres industriales MB MB
[A.25] Robo MB MB MB
50 FIBRA OPTICA [I.1] Fuego MB MB
80
[I.2] Daños por agua MB MB
[I.7] Condiciones inadecuadas de temperatura o humedad MB MB
[I.*] Desastres industriales B B
[A.25] Robo MB B MB
51 OTROS EQUIPOS AUXILIARES [I.1] Fuego B B
[I.2] Daños por agua B B
[I.*] Desastres industriales B B B
[A.25] Robo M M M
Instalaciones
52 EDIFICIO [I.1] Fuego M M
[I.2] Daños por agua B M
[I.*] Desastres industriales M M
[A.27] Ocupación enemiga M B
53 SEDE [I.1] Fuego B M
[I.2] Daños por agua M M
[I.*] Desastres industriales M B
[A.27] Ocupación enemiga B M
54 VEHICULO [I.1] Fuego M B
[I.2] Daños por agua B M
[I.*] Desastres industriales M M
Personal
55 JEFE AREA FINANCIERO MB
MB
56 MANTENIMIENTO DE BASE DE DATOS MB
B
57 MANTENIMIENTO DE EQUIPOS MB
81
MB
58 JEFE DEL AREA DE CONTABILIDAD MB
MB
59 JEFE DEL AREA DE LOGISTICA MB
MB
60 JEFE DEL AREA OPERATIVA B
MB
61 JEFE DEL AREA DE SISTEMAS MB
ANEXO G - Riesgo residual
Tabla 7. Riesgo Residual
Fuente propia
Impacto Residual
Id Activo Amenaza
Eficacia. Real (Situación
Actual) Eficacia.Perfecta (Objetivo Final )
Frecuencia Residual [D] [I] [C] [A] [T]
Datos Informacion M (50%) MA (100%) M (50%)
1 COPIA DE RESPALDO. [E.1] Errores de los usuarios M MA M B B B
[E.2] Errores del administrador M MA M MB B B
2 DATOS ACCESO SERVIDORES
[E.7] Deficiencias en la organización M MA M MB MB B
[A.4] Manipulación de la configuración M MA M MB B
[A.5] Suplantación de la identidad del usuario M MA M MB
82
[A.11] Acceso no autorizado M MA M MB MB B
3 DATOS ACCESO USUARIOS
[A.5] Suplantación de la identidad del usuario M MA M MB MB B
[A.11] Acceso no autorizado M MA M MB
4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) M MA M MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) M MA M MB MB MB MB B
[A.5] Suplantación de la identidad del usuario M MA M MB MB MB B
Servicios Internos MA (95%) MA (100%) MB (5%)
5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MA MA MB MB MB
[I.8] Fallo de servicios de comunicaciones MA MA MB MB MB
[I.9] Interrupción de otros servicios y suministros esenciales MA MA MB MB MB
[A.7] Uso no previsto MA MA MB MB MB
6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA MB MB
[E.2] Errores del administrador MA MA MB MB
[I.8] Fallo de servicios de comunicaciones MA MA MB MB MB
[I.9] Interrupción de otros servicios y suministros esenciales MA MA MB
7 SERVICIO DE MANTENIMIENTO
[E.7] Deficiencias en la organización MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA MA MB MB MB
83
[E.28] Indisponibilidad del personal MA MA MB MB MB
8 ACCESO BIOMETRICO [I.1] Fuego MA MA MB MB MB
[I.2] Daños por agua MA MA MB MB MB MB
[I.*] Desastres industriales MA MA MB MB MB MB MB
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB
Software Aplicaciones Informáticas L5 (100%) L5 (100%) MB (0%)
9 ERP ADMINISTRATIVO Y FINANCIERO
[I.5] Avería de origen físico o lógico MA MA MB MB MB MB MB
[E.15] Alteración accidental de la información MA MA MB MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB MB MB MB
10
SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES
[I.5] Avería de origen físico o lógico MA MA MB MB MB
[E.15] Alteración accidental de la información MA MA MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB MB
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB MB MB MB
11 PORTAL WEB DE LA ORGANIZACIÓN
[I.5] Avería de origen físico o lógico MA MA MB MB MB MB MB MB
[E.15] Alteración accidental de la información MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas MA MA MB MB
84
(software)
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB MB MB MB
[A.24] Denegación de servicio MA MA MB MB MB MB
12 SISTEMA OPERATIVO [E.1] Errores de los usuarios MA MA MB MB MB
[E.8] Difusión de software dañino MA MA MB MB MB MB MB MB
[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB
13
SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN
[I.5] Avería de origen físico o lógico MA MA MB MB MB
[E.15] Alteración accidental de la información MA MA MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB MB
14 OFIMATICA
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB
[E.1] Errores de los usuarios MA MA MB MB
15 ANTIVIRUS [E.8] Difusión de software dañino MA MA MB MB
[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB
16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MA MA MB MB
85
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB MB
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB MB MB MB
[A.11] Acceso no autorizado MA MA MB MB MB MB
17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB MB MB MB
[E.8] Difusión de software dañino MA MA MB MB MB
[A.4] Manipulación de la configuración MA MA MB MB
[A.5] Suplantación de la identidad del usuario MA MA MB MB MB
[A.14] Interceptación de información (escucha) MA MA MB MB
18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB MB MB
[E.8] Difusión de software dañino MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB
[A.15] Modificación deliberada de la información MA MA MB MB MB MB MB MB
[A.18] Destrucción de información MA MA MB MB MB
[A.19] Divulgación de información MA MA MB MB
19 SERVIDOR DE DESARROLLO SW
[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB
[A.11] Acceso no autorizado MA MA MB MB MB MB MB
20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MA MA MB MB MB MB MB MB
86
[I.2] Daños por agua MA MA MB MB MB MB MB MB
[I.*] Desastres industriales MA MA MB MB MB
[E.20] Vulnerabilidades de los programas (software) MA MA MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB
[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA MA MB MB
[A.11] Acceso no autorizado MA MA MB MB MB
21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB
[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB
Hardware M (50%) A (90%) M (40%)
22 EQUIPOS DE COMPUTO [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M B MB
[I.*] Desastres industriales M A M B B
[I.5] Avería de origen físico o lógico M A M MB MB
23 IMPRESORAS [I.1] Fuego M A M MB B
[I.2] Daños por agua M A M MB B
[I.*] Desastres industriales M A M MB B
[I.5] Avería de origen físico o lógico M A M B
24 ESCANER [I.1] Fuego M A M B B
[I.2] Daños por agua M A M B B
[I.*] Desastres industriales M A M B B
[I.5] Avería de origen físico o lógico M A M MB B
87
25 ACCESS POINT [I.1] Fuego M A M B B
[I.2] Daños por agua M A M B B
[I.*] Desastres industriales M A M B B
[I.5] Avería de origen físico o lógico M A M B B
[E.4] Errores de configuración M A M MB MB
26 ANTISPAM [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB
[I.5] Avería de origen físico o lógico M A M MB MB
[E.4] Errores de configuración M A M MB MB
27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M MB B
[I.*] Desastres industriales M A M MB MB
[I.5] Avería de origen físico o lógico M A M MB MB
[E.4] Errores de configuración M A M MB MB
28 SERVIDORES FÍSICOS [I.1] Fuego M A M MB B
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB
[I.5] Avería de origen físico o lógico M A M B B
[E.4] Errores de configuración M A M B B
29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego M A M MB B
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB MB
[I.5] Avería de origen físico o lógico M A M MB MB
88
[E.4] Errores de configuración M A M MB MB B
30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB B
[I.5] Avería de origen físico o lógico M A M MB MB B
[E.4] Errores de configuración M A M MB MB MB
[A.11] Acceso no autorizado M A M MB MB
31 SWITCH [I.1] Fuego M A M B B
[I.2] Daños por agua M A M B B
[I.*] Desastres industriales M A M B B
[I.5] Avería de origen físico o lógico M A M B B
[E.4] Errores de configuración M A M B B
[A.4] Manipulación de la configuración M A M B B
[A.11] Acceso no autorizado M A M MB B
32 ROUTER [I.1] Fuego M A M B B
[I.2] Daños por agua M A M B B
[I.*] Desastres industriales M A M B B
[I.5] Avería de origen físico o lógico M A M MB B
[E.4] Errores de configuración M A M MB B
[A.11] Acceso no autorizado M A M B B
33 SISTEMA DE BACKUP [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB
[I.5] Avería de origen físico o lógico M A M MB MB
89
[E.4] Errores de configuración M A M MB MB
Redes de Comunicaciones M (50%) A (95%) M (45%)
34 RED TELEFÓNICA [I.1] Fuego M A M B B B
[I.2] Daños por agua M A M B B B
[I.*] Desastres industriales M A M B B B
[I.5] Avería de origen físico o lógico M A M MB M
35 RED DIGITAL [I.1] Fuego M A M MB M
[I.2] Daños por agua M A M MB M
[I.*] Desastres industriales M A M B B B
[I.5] Avería de origen físico o lógico M A M B B B
36 WI-FI [I.1] Fuego M A M B B B
[I.2] Daños por agua M A M B B B
[I.*] Desastres industriales M A M B B B
[I.5] Avería de origen físico o lógico M A M B B B
37 RED LAN [I.1] Fuego M A M MB MB
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB
[I.5] Avería de origen físico o lógico M A M B MB B
38 INTERNET [I.1] Fuego M A M B MB B
[I.2] Daños por agua M A M B MB B
[I.*] Desastres industriales M A M B MB B
[I.5] Avería de origen físico o lógico M A M B MB B
39 RED METROPOLITANA [I.1] Fuego M A M B MB B
[I.2] Daños por agua M A M MB MB
[I.*] Desastres industriales M A M MB MB
90
[I.5] Avería de origen físico o lógico M A M MB MB
Soportes de Información A (90%) MA (100%) B (10%)
40 CD [E.15] Alteración accidental de la información A MA B B B B
[E.18] Destrucción de información A MA B B B B
[E.19] Fugas de información A MA B B B
[A.19] Divulgación de información A MA B B B B
41 DVD [E.15] Alteración accidental de la información A MA B B B B
[E.18] Destrucción de información A MA B B B B
[E.19] Fugas de información A MA B B B
[A.19] Divulgación de información A MA B B B B
42 MEMORIAS USB [E.15] Alteración accidental de la información A MA B B B B
[E.18] Destrucción de información A MA B B B
[E.19] Fugas de información A MA B B B
[A.19] Divulgación de información A MA B B B B
43 DISCOS DUROS EXTRAIBLES
[E.15] Alteración accidental de la información A MA B B B B
[E.18] Destrucción de información A MA B B B B
[E.19] Fugas de información A MA B B B
[A.19] Divulgación de información A MA B B B
Equipamiento Auxiliar A (90%) MA (95%) MB (5%)
44 CABLEADO [I.11] Emanaciones electromagnéticas A MA MB MB MB
[I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB B MB
[I.7] Condiciones inadecuadas de temperatura o humedad A MA MB MB MB
91
[I.11] Emanaciones electromagnéticas A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB
[A.25] Robo A MA MB MB MB MB
45 PLANTA ELECTRICA [I.1] Fuego A MA MB B MB MB
[I.2] Daños por agua A MA MB MB MB
[I.9] Interrupción de otros servicios y suministros esenciales A MA MB MB MB
[I.*] Desastres industriales A MA MB B MB
[A.25] Robo A MA MB MB MB MB
46 MOBILIARIO [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB MB
[A.25] Robo A MA MB B MB MB
47 SISTEMA DE VIGILANCIA [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB
[A.25] Robo A MA MB MB MB MB
48 UPS [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB MB
[A.25] Robo A MA MB B MB MB
49 FUENTES DE ALIMENTACIÓN [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB
[A.25] Robo A MA MB MB MB MB
50 FIBRA OPTICA [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
92
[I.7] Condiciones inadecuadas de temperatura o humedad A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB
[A.25] Robo A MA MB MB MB MB
51 OTROS EQUIPOS AUXILIARES [I.1] Fuego A MA MB MB MB
[I.2] Daños por agua A MA MB MB MB
[I.*] Desastres industriales A MA MB MB MB MB
[A.25] Robo A MA MB MB B MB
Instalaciones MA (95%) MA (95%) MB (0%)
52 EDIFICIO [I.1] Fuego MA MA MB B B
[I.2] Daños por agua MA MA MB MB B
[I.*] Desastres industriales MA MA MB B B
[A.27] Ocupación enemiga MA MA MB B MB
53 SEDE [I.1] Fuego MA MA MB MB B
[I.2] Daños por agua MA MA MB B B
[I.*] Desastres industriales MA MA MB B MB
[A.27] Ocupación enemiga MA MA MB MB B
54 VEHICULO [I.1] Fuego MA MA MB B MB
[I.2] Daños por agua MA MA MB MB B
[I.*] Desastres industriales MA MA MB B B
Personal M (50%) MA (95%) M (45%)
55 JEFE AREA FINANCIERO M MA M MB
M MA MB
56 MANTENIMIENTO DE BASE DE DATOS M MA M MB
M MA B
57 MANTENIMIENTO DE EQUIPOS M MA M MB
93
M MA MB
58 JEFE DEL AREA DE CONTABILIDAD M MA M MB
M MA MB
59 JEFE DEL AREA DE LOGISTICA M MA M MB
M MA MB
60 JEFE DEL AREA OPERATIVA M MA M B
M MA MB
61 JEFE DEL AREA DE SISTEMAS M MA M MB
94
ANEXO H – ENTREVISTAS
Este fue el formato de entrevista. Contiene una serie de preguntas que fueron realizadas a cada uno de los miembros del equipo de trabajo de TrackSpia que utilizan en sus labores cotidianas elementos o recursos TI.
1. ¿Con qué frecuencia al mes realiza la actualización de su software de Antivirus?
2. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores diarias? 3. ¿Ha presentado fallos en los servicios tecnológicos que utiliza para realizar sus labores? ¿Cuáles han sido esos servicios? y ¿De qué forma lo han afectado?
4. En caso que la pregunta anterior fuese afirmativa. ¿Cuánto ha sido el tiempo máximo de espera para que se restablezcan estos servicios?
5. Basado en la pregunta anterior. ¿Si alguno de los elementos mencionados no se encontrará disponible por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿Sí o no? ¿Qué elementos?
6. ¿De acuerdo a su rol al interior de la organización, las tareas que realiza involucran la custodia de información que puede ser catalogada como sensible o de carácter confidencial?
7. ¿Conoce o aplica acciones para garantizar la confidencialidad de la información que tiene a su cargo? ¿Sí o no? ¿Cuáles?
8. ¿Conoce o sabe de la existencia de algún elemento humano o proceso, que promueva estrategias de seguridad para mantener la confidencialidad de la información que administra?
9. ¿La información que tiene a su cargo se encuentra disponible cuando usted la requiere?
10. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB, servicios de almacenamiento en la nube cuyo proveedor sea un tercero (google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la organización, y para almacenar información relacionada a sus tareas?
11. ¿Administra información que se relacione con sus tareas, que se encuentra en medios físicos (papel, A-Z, material de archivo)?
12. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos servicios se encuentran restringidos mediante el uso de usuarios y contraseñas?
95
13. Si requiere más de una credencial para utilizar servicios informáticos relacionados con sus tareas, ¿Qué herramienta o como recuerda cada una de las cuentas de usuario y sus respectivas contraseñas?
14. ¿Comparte algún usuario y/o contraseña con personas de otras áreas? Si su respuesta es afirmativa. ¿Porque?
15. ¿Las credenciales que comparte tiene acceso a información confidencial?
16. ¿La persona o área con la que comparte las credenciales, está autorizada por la organización para acceder a dicha información?
17. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal de mantenimiento y soporte de computadores.
18. ¿Se han presentado fallos en el suministro eléctrico? ¿Por cuánto tiempo? ¿Ha sido frecuente?
19. ¿Se han presentado fallos en el suministro telefónico? ¿Por cuánto tiempo? ¿Ha sido frecuente?
20. ¿El servicio de correo electrónico se encuentra disponible cuando usted la requiere?
21. ¿Ha tenido algún tipo de restricción de acceso a páginas de internet?
NOTA: La siguientes preguntas sólo aplican para el personal del área de tecnología.
22. ¿Utiliza algún repositorio para almacenar los cambios en los códigos fuente de los desarrollos realizados en la organización?
23. ¿Cuenta la organización con acceso biométrico? ¿Si es afirmativo dónde se encuentra ubicado?
24. ¿Utiliza aplicativos de computadora protegidos bajo licenciamiento de pago?
25. ¿La organización cuenta con servidores virtual izados?
26. ¿Se realiza afinamiento en las bases de datos? ¿Con qué periodicidad?
96
27. ¿Cuántas veces en el año se realiza mantenimiento al cableado estructurado de la organización?
28. ¿Para sus servidores, mantiene algún tipo de contrato por soporte técnico con el proveedor del sistema operativo?
29. ¿Los servicios tecnológicos (ERP, CRM, Servidor de archivos, servidor de impresión), utilizan políticas de seguridad basadas en roles y permisos?
30. ¿Qué medidas de protección de la información se manejan en la organización (certificados digitales, firma, ofuscación de documentos)?
La siguiente entrevista fue realizada al responsable de la dirección de tecnología de TrackSpia, las preguntas contenidas, fueron formuladas con el fin de recolectar información pertinente al estado actual de cada uno de los recursos de informáticos.
1. ¿Con qué frecuencia al mes realiza la actualización de su software de Antivirus?
Respuesta Gerente: Existe una política de seguridad interna del área de sistemas, en donde por dependencia se establecen horarios para realizar la actualización del antivirus. Los horarios han sido previamente acordados con los encargados de las restantes áreas con el fin de no obstaculizar sus labores. Por lo general estas actualizaciones se realizan en horas de la noche.
2. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores diarias?
Respuesta Gerente: Servicios de: impresión, escáner, red, acceso a internet, telefonía, streaming, correo electrónico, CRM, ERP, servidor de archivos, office, medios de almacenamiento magnéticos (CD, DVD, USB).
3. ¿Ha presentado fallos en los servicios tecnológicos que utiliza para realizar sus labores? ¿Cuáles han sido esos servicios? y ¿De qué forma lo han afectado?
Respuesta Gerente: Si, en varios de los servicios nombrados en la pregunta anterior se ha reportado caídas por parte de los usuarios, claro está, que estos inconvenientes han sido resueltos con la mayor prontitud. La mayoría han sido solucionados por parte de la unidad de infraestructura. Mientras que los errores más específicos, como los errores en plataforma interna, han sido solucionados por la unidad de desarrollo.
97
4. En caso que la pregunta anterior fuese afirmativa. ¿Cuánto ha sido el tiempo máximo de espera para que se restablezcan estos servicios?
Respuesta Gerente: El plazo máximo para cubrir uno de los servicios caídos ha sido de 24 horas.
5. Basado en la pregunta anterior. ¿Si alguno de los elementos mencionados no se encontrará disponible por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿Sí o no? ¿Qué elementos?
Respuesta Gerente: Si, en mi caso trabajo casi todo el tiempo con el correo electrónico. Por lo tanto, Si este servicio no se encuentra disponible por un largo periodo de tiempo, sería un gran inconveniente, no solo para mí, sino para cada uno de los empleados de la empresa.
6. ¿De acuerdo a su rol al interior de la organización, las tareas que realiza involucran la custodia de información que puede ser catalogada como sensible o de carácter confidencial?
Respuesta Gerente: Cada uno de los documentos, sean físicos o digitales y que pasan por mis manos o se encuentran sobre mi escritorio, son esenciales, y por lo tanto deben ser custodiados. El área de tecnología se encarga de almacenar y custodiar los documentos digitales en medios magnéticos que no se puedan alterar como CD, DVD.
7. ¿Conoce o aplica acciones para garantizar la confidencialidad de la información que tiene a su cargo? ¿Sí o no? ¿Cuáles?
Respuesta Gerente: En el área de tecnología recomendamos a las personas que. Sí es información en medios impresos: esta debe permanecer almacenada bajo llave, nunca se debe dejar ningún documento en el escritorio o sitio de trabajo, sin que se esté utilizando en ese momento. Por su parte, si es medio magnético, el acceso o uso de dicha información es accedida por credenciales como usuario y contraseña.
8. ¿Conoce o sabe de la existencia de algún elemento humano o proceso, que promueva estrategias de seguridad para mantener la confidencialidad de la información que administra?
Respuesta Gerente: Hasta el momento, no hay tal elemento o proceso, creo que este debería ser el objetivo de esta entrevista. Recoger e identificar los problemas que existen en TrackSpia y poder solucionarlos.
9. ¿La información que tiene a su cargo se encuentra disponible cuando usted la requiere?
98
Respuesta Gerente: Creo que tenemos falencias con la forma en la que almacenamos los archivos, no contamos con un sistema centralizado de almacenamiento de la información.
10. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB, servicios de almacenamiento en la nube cuyo proveedor sea un tercero (google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la organización, y para almacenar información relacionada a sus tareas?
Respuesta Gerente: Si, y en eso radica el problema que le nombraba en la pregunta anterior, todo se encuentra almacenado en medios magnéticos como CD, DVD y USB. Lo cual no garantiza que tengamos una cadena de custodia adecuada para esta información.
11. ¿Administra información que se relacione con sus tareas, que se encuentra en medios físicos (papel, A-Z, material de archivo)?
Respuesta Gerente: Si, esta información se encuentra almacenada en el sector de archivo de la documentación.
12. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos servicios se encuentran restringidos mediante el uso de usuarios y contraseñas?
Respuesta Gerente: Si.
13. Si requiere más de una credencial para utilizar servicios informáticos relacionados con sus tareas, ¿Qué herramienta o como recuerda cada una de las cuentas de usuario y sus respectivas contraseñas?
Respuesta Gerente: No, a cada persona que es vinculada a la organización le son asignados los usuarios y contraseñas que requiere, pero no puedo asegurar que entre las personas no se compartan dicha información.
14. ¿Comparte algún usuario y/o contraseña con personas de otras áreas? Si su respuesta es afirmativa. ¿Porque?
Respuesta Gerente: No, como se le ocurre, de mi parte no. Como le digo no le puedo asegurar es si en otras áreas lo hacen. Aunque… yo me imaginaria que sí.
15. ¿Las credenciales que comparte tiene acceso a información confidencial?
Respuesta Gerente: Por supuesto, si creamos credenciales, es precisamente para garantizar que dicha información, no sea utilizada o accedida por quien no sea el responsable.
99
16. ¿La persona o área con la que comparte las credenciales, está autorizada por la organización para acceder a dicha información?
Respuesta Gerente: Como le vengo comentando, no se comparten contraseñas...
17. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal de mantenimiento y soporte de computadores.
Respuesta Gerente: Creo que el servicio que prestamos ha sido óptimo, yo lo calificaría con un 4.5, mejor dicho 4, porque no dejan de existir inconformidades en el servicio por parte de los usuarios.
18. ¿Se han presentado fallos en el suministro eléctrico? ¿Por cuánto tiempo? ¿Ha sido frecuente?
Respuesta Gerente: Si se han presentado fallos, pero no han sido de manera frecuente. El máximo tiempo que recuerdo que falló el flujo eléctrico fue por una hora y condensa vino y arregló el inconveniente.
19. ¿Se han presentado fallos en el suministro telefónico? ¿Por cuánto tiempo? ¿Ha sido frecuente?
Respuesta Gerente: Si, cada vez que falla el internet o la electricidad.
20. ¿El servicio de correo electrónico se encuentra disponible cuando usted la requiere?
Respuesta Gerente: Al principio no. Pero, cuando incluimos el servicio de AntiSpam, las caídas bajaron dramáticamente y el servicio mejoró exponencialmente.
21. ¿Ha tenido algún tipo de restricción de acceso a páginas de internet?
Respuesta Gerente: Si, debido a que tenemos algunos servicios críticos, nació un requerimiento de restringir el uso del servicio de internet, por lo que adquirimos un UTM de seguridad perimetral.
NOTA: La siguientes preguntas sólo aplican para el personal del área de tecnología.
100
22. ¿Utiliza algún repositorio para almacenar los cambios en los códigos fuente de los desarrollos realizados en la organización?
Respuesta Gerente: Si, para los desarrollos utilizamos un repositorio de archivo Jit.
23. ¿Cuenta la organización con acceso biométrico? ¿Si es afirmativo dónde se encuentra ubicado?
Respuesta Gerente: Si, en el cuarto de equipos contamos con ese servicio.
24. ¿Utiliza aplicativos de computadora protegidos bajo licenciamiento de pago?
Respuesta Gerente: Si, el paquete de Office de Microsoft, Mónica que es nuestro ERP.
25. ¿La organización cuenta con servidores virtual izados?
Respuesta Gerente: Si, contamos con un servidor que utiliza VMware, allí están las máquinas virtuales de los servicios.
26. ¿Se realiza afinamiento en las bases de datos? ¿Con qué frecuencia?
Respuesta Gerente: Tenemos un servicio tercerizado que 3 veces al año realiza una visita a TrackSpia. En esas visitas se realiza el afinamiento pertinente.
27. ¿Cuántas veces en el año se realiza mantenimiento al cableado estructurado de la organización?
Respuesta Gerente: Desde que se realizó la reforma en el cableado estructurado (hace 5 años), no realizamos este tipo de mantenimiento. Nos encargamos de reemplazar los cables que están conectados entre el pc y el conector cada vez que se deterioran,
28. ¿Para sus servidores, mantiene algún tipo de contrato de soporte técnico, con el proveedor del sistema operativo?
Respuesta Gerente: No, no pagamos soporte en el caso del servidor Linux. Tenemos un servidor Windows, pero, no pagamos soporte.
29. ¿Los servicios tecnológicos (ERP, CRM, Servidor de archivos, servidor de impresión), utilizan políticas de seguridad basadas en roles y permisos?
Respuesta Gerente: Si, la seguridad que viene implícita en cada una de las herramientas.
101
30. ¿Qué medidas de protección de la información se manejan en la organización (certificados digitales, firma, ofuscación de documentos)?
Respuesta Gerente: En este momento, no contamos con ninguna medida.
102
ANEXO I – MANUAL DE USUARIO
Este manual guiará al usuario en el uso de la herramienta de Magerit UD de una
forma muy visual e interactiva, además se describe cual es la utilidad de la
herramienta y a quien se encuentra dirigido.
¿Qué es Magerit UD? Magerit UD es una API REST, en otras palabras, es una biblioteca que se apoya en el estándar HTTP para proveer una serie de funciones enfocadas en la aplicación de la metodología MAGERIT v3 para el análisis y la gestión de riesgos, de esta manera un tercero puede hacer uso de los métodos o funciones expuestos, en sus productos o herramientas propias. Las API REST son bastante utilizadas, por ejemplo TWITTER y FACEBOOK, ofrecen Apis que permiten integrar sus servicios con facilidad en plataformas como revistas, foros, blogs, entre otros. ¿Quéno es Magerit UD? Magerit UD, no cuenta con una interfaz de usuario para la aplicación de análisis y gestión de riesgos, por el contrario, ofrece la lógica propia del sistema, lo que equivale a presentar un modelo que permite desarrollar el análisis y la gestión de los riesgos. Por lo tanto, en caso de necesitar implementar una interfaz gráfica, la herramienta se encuentra abierta para que cualquier empresa que cuente con el talento humano con conocimientos en herramientas de programación web, haga uso de la misma... Estructura del API REST Magerit UD, se encuentra dividido en cinco recursos principalmente que son:
Activos
Amenazas
Gestión
Empresa
Proyectos
Cada uno de los recursos expone funciones propias del ciclo de vida del análisis y gestión de riesgos. El API se basa en las convenciones de uso de los verbos GET, POST, PUT y DELETE, es decir, cuando se quiere solicitar un recurso al API se debe hacer un llamado HTTP con el verbo GET, si se quiere crear un nuevo recurso se debe realizar el llamado con el verbo POST, si se quiere modificar un recurso existente se debe realizar el llamado con el verbo PUT, por último si se quiere eliminar un recurso se debe realizar el llamado con el verbo DELETE.
103
Recurso Activos Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de activos, activos, dimensiones de valoración, escalas de valoración, criterios de valoración entre otros. Cada acción sobre el recurso de Activo tiene la estructura “<dominio o ip del servidor>/activo/...” Recurso Amenazas Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de amenazas, amenazas, escalas de valoración, escalas de degradación, entre otros. Cada acción sobre el recurso de Amenazas tiene la estructura “<dominio o ip del servidor>/amenaza/...”. Recurso Gestión Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de salvaguardas y criterios de salvaguardas. Cada acción sobre el recurso de Gestión tiene la estructura “<dominio o ip del servidor>/gestion/...”. Recurso Empresa Este recurso permite crear, modificación y consultar en entidad empresa. Cada acción sobre el recurso de Empresa tiene la estructura “<dominio o ip del servidor>/empresa/...” Recurso Proyecto Este recurso permite adelantar todo un ciclo de análisis y gestión de riesgos, permite hacer carga, modificación, eliminación y consulta de entidades de negocio relacionadas con un proyecto. Un proyecto es la entidad de negocio que referencia todos los elementos relacionados con el análisis y la gestión de los riesgo, como son dominios, identificación de activos, valoración de activos, amenazas, valoración de amenazas, riesgo e impacto, y las salvaguardas, el recurso Proyecto tiene la estructura “<dominio o ip del servidor>/proyecto/...”, y todos los elementos de un proyecto manejan la estructura “<dominio o ip del servidor>/proyecto/<código del proyecto>/<elemento>...”. Todos los métodos o funciones asociados al proyecto requieren la cabecera “X-ApiKey” cuyo valor es un UUID que se genera durante la creación de la empresa, cuando la creación es exitosa retorna dicho valor.
104
Como usar la documentación del API? La documentación completa de cada uno de los recursos y/o funciones expuestas por el API se puede encontrar en la URL “<ruta servidor>/v1.0/api/swagger-ui.html”, donde <ruta servidor> es la IP o dominio asignado a la tarjeta de red del servidor, por ejemplo si es una instancia local podría ser “localhost:8080/v1.0/api/swagger-ui.html“
Figura 38. Documentación API (Acceso Web)
Fuente: Ejecutores del proyecto
La pantalla principal de la documentación permite visualizar los cinco recursos principales, para ver el listado de operaciones y sub-recursos contenidas por cada recurso, puede hacer clic sobre el nombre del recurso o utilizar las acciones “Show/Hide” o “List Operations” al costado derecho de recurso. Frente a cada operación se encuentra una breve descripción de la razón de ser de la misma.
105
Figura 39. Lista de operaciones
Fuente: Ejecutores del proyecto
En la lista de operaciones puede hacer clic sobre el nombre de la operación, esto hará que el detalle de la operación sea desplegado, el detalle de una operación está conformado por los siguientes elementos.
1. Notas de implementación: Es una descripción completa de la función prestada por la operación.
2. Respuesta: Texto que especifica la forma como la operación responde. 3. Valor de ejemplo: Muestra un ejemplo de la respuesta de la operación
presentada como un javascript object notation. 4. Parámetros: La lista de parámetros requerida para la petición, la interfaz
gráfica de la documentación además de ofrecer información sobre el API, contiene formularios HTML básicos que permiten realizar peticiones de prueba del API
5. Mensajes de respuesta: Son los posibles mensajes de respuesta obtenidos de la operación cuando el estado de la respuesta es diferente a 200.
6. Botón “Try it out!”: Permite enviar la petición parametrizada en la lista de parámetros.
106
Figura 40. Detalle de operación.
Fuente: Ejecutores del proyecto
Ejecutando la aplicación La aplicación Magerit UD fue construida con lenguaje de programación Java 1.8, debido a que es un lenguaje multiplataforma, y la cantidad de facilidades que ofrece para la construcción de plataformas en ambientes empresariales.
Por lo anterior antes de ejecutar el inicio de la plataforma debe cerciorarse que cuente con la máquina virtual de Java versión 8, abra una consola de comandos y ejecute el comando.
java –version
107
Este comando puede indicar que java no fue reconocido o mostrar una versión inferior de la máquina virtual por lo que deberá instalar o actualizar a la versión 8 o superior. http://www.oracle.com/technetwork/pt/java/javase/downloads/jdk8-downloads-
2133151.html.
Figura 41. Verificación de la máquina virtual
Fuente: Ejecutores del proyecto
Luego de verificar la máquina virtual ya es posible iniciar la ejecución de la aplicación, por lo que en la misma consola de comandos, ubique el directorio en el que se encuentra la aplicación “magerit.ud-v1.0.jar” y ejecute el siguiente comando: java -jar magerit.ud-v1.0.jar
La consola comenzará a mostrar un log de arranque de la plataforma, cuando termine de inicializar la plataforma podrá ver un log similar al de la imagen 5.
Figura 42. Log de inicio de aplicación
Fuente: Ejecutores de proyecto
108
Importante: Note que en el log se indica que el servidor está escuchando por el puerto 8080, además al ser una ejecución local el dominio es localhost o la IP es 127.0.0.1.
Una vez inicie la aplicación abra su navegador web e ingrese la siguiente URL
“localhost:8080/v1.0/api/swagger-ui.html“., e iniciar a navegar por la documentación de API.
Ejemplo de implementación A continuación se describe una breve implementación de una plataforma que utiliza el API Magerit UD, para permitir realizar un análisis y gestión de riesgos cualitativos a través de una interfaz gráfica de usuario que simula el resumen ejecutivo, luego que el usuario termina de gestionar el formulario puede imprimir dicho informe. Para ingresar a la plataforma de demostración debe utilizar la URL “localhost:8080/v1.0/api/ui“.
Figura 43. Registro de empresa y/o proyecto
Fuente: Ejecutores de proyecto
Una vez en la plataforma, puede crear una nueva empresa, al crear una empresa el sistema retorna el UUID que utilizará para gestionar de los proyectos. Una vez conoce el UUID de la empresa puede iniciar o continuar con la gestión de un los proyectos de análisis y gestión, debe ingresar el UUID de la empresa y el identificador del proyecto.
109
Figura 44. Creación y/o edición de proyecto
Fuente: Ejecutores de proyecto
Una vez en la pantalla de edición del proyecto podrá editar el código y nombre del proyecto, además en la parte superior derecha de la pantalla se encuentra el botón de cambio de vista de impresión y de edición.
Figura 45. Edición del proyecto 1.
Fuente: Ejecutores de proyecto.
110
También podrá editar los objetivos y las consideraciones del proyecto.
Figura 46. Edición del proyecto 2.
Fuente: Ejecutores de proyecto
En la sección de “2.1.1 identificación y valoración de amenazas“, podrá agregar dominios y activos al proyecto. Un dominio es la representación de las áreas de la empresa (RRHH, Gerencia, ...), proceso y/o subprocesos, cuando se aplica el modelo de análisis y gestión de riesgos, se identifican y valoran activos para cada dominio. Al identificar los activos de un dominio, implícitamente se construye el catálogo del proyecto.
Figura 47. Edición del proyecto 3
Fuente: Ejecutores de proyecto
111
.
Figura 48. Edición del proyecto 4
Fuente: Ejecutores proyecto
112
ANEXO J – MANUAL DEL SISTEMA El presente manual contiene las instrucciones a las que deben atenerse los usuarios de cada una de las organizaciones para poder hacer uso del api de Magerit UD, es importante seguir cada uno de los pasos aquí establecidos, para el correcto uso de la herramienta.
Instalación de MAGERIT UD
MAGERIT UD es un API Web que contiene la aplicación de la metodología de análisis de riesgos Magerit en su versión 3. Como su nombre lo indica, un API Web es una interfaz de programación que contiene para el caso del presente proyecto todas las funcionalidades de la metodología Magerit, pero a bajo nivel, es decir, a nivel exponer por medio de servicios Web la parte lógica de la metodología, para que pueda ser utilizada por cualquier empresa u organización que lo requiera y cuente con el talento humano (con cierto nivel técnico) que implemente por medio de una interfaz gráfica el API desarrollado.
Requisitos de Instalación
Magerit UD requiere de unas herramientas específicas que deben ser instaladas previamente y son necesarias para su correcto funcionamiento. Estas herramientas son las que se nombran a continuación.
Java JDK 8 (recomendable: ultimo RELEASE) PostgreSQL 9.1.3 MageritUD.bat
A continuación un breve instructivo de instalación para sistema operativo Windows en su distribución 7, para cada una de las herramientas del sistema.
113
Instalación PostgreSQL 9.3
Abrir un navegador web y acceder a la URL: http://www.postgresql.org/download/windows
Figura 49. Página de descarga PostgreSQL
Fuente: http://www.postgresql.org/download/windows
Direccionará a otra página donde es posible descargar la versión correcta que se ajuste tanto a las necesidades como para el tipo de sistema operativo instalado.
Figura 50. Versión de sistema operativo para descarga
Fuente: http://www.postgresql.org/download/windows
Para el caso de este instructivo es 9.3 para Windows de 64 bits. Una vez descargado el archivo de instalación ejecutar y si se encuentra activo el control de
114
cuentas de usuario mostrará una advertencia con el texto "¿Desea permitir que este programa realice cambios en el equipo?", pulsar "Sí" para continuar con la instalación de PostgreSQL:
Figura 51. Instalación PostgreSQL 1
Fuente: Ejecutores de proyecto
Se iniciará el asistente para instalar PostgreSQL, pulsar "Siguiente":
Figura 52. Instalación PostgreSQL 2
Fuente: Ejecutores de proyecto
Indicar la carpeta de instalación de PostgreSQL, donde se guardarán los ejecutables, librerías y ficheros de configuración de PostgreSQL:
115
Figura 53. Instalación PostgreSQL 3
Fuente: Ejecutores de proyecto
Indicar también la carpeta donde se guardarán los datos por defecto de PostgreSQL:
Figura 54. Instalación PostgreSQL 4
Fuente: Ejecutores de proyecto
Introducir la contraseña para el superusuario "postgres" que será con el que se iniciara sesión para administrar la base de datos, si existe clave de cuenta en Windows introducir la nueva clave.
116
Figura 55. Instalación PostgreSQL 5
Fuente: Ejecutores de proyecto
Introducir el puerto de escucha para la conexión con el servidor PostgreSQL, por defecto el 5432:
Figura 56. Instalación PostgreSQL 6
Fuente: Ejecutores de proyecto
Seleccionar la configuración regional:
117
Figura 57. Instalación PostgreSQL 7
Fuente: Ejecutores de proyecto
Pulsar "Siguiente" para iniciar la instalación definitiva.
Figura 58. Instalación PostgreSQL 8
Fuente: Ejecutores de proyecto
Se iniciará el asistente para instalar el motor de base de datos PostgreSQL, que creará las carpetas oportunas, copiará los ficheros necesarios y creará el servicio Windows para iniciar de forma automática el motor de base de datos.
Una vez finalizada la instalación el asistente brindara la posibilidad de ejecutar Stack Builder, aplicación que permitirá instalar otros componentes y herramientas para PostgreSQL:
118
Figura 59. Instalación PostgreSQL 2
Fuente: Ejecutores de proyecto
Si ha sido marcada la opción de Stack Builder, se iniciará, seleccionar "PostgreSQL 9.1.3 on port 5432". Pulsar "Finish" (en este caso cancelar Stack Builder pues no se requiere instalar más componentes).
Restore Database MAGERIT UD
Una vez realizada la instalación de PostgreSQL, se debe vincular la base de datos por medio del archivo mageritUD.sql. Y este proceso será descrito a continuación.
En primer lugar se debe crear una base de datos, la cual se denominará magerit.
Figura 60. Creación base de datos
Fuente: Ejecutores de proyecto
119
Una vez creada la base de datos, se procede a realizar un restore (restauración) de la base de datos desarrollada para el proyecto. El archivo es MageritUD.backup
Figura 61. Restore base de datos
Fuente: Ejecutores de proyecto
Figura 62. Ubicación archivo restore base de datos
Fuente: Ejecutores de proyecto
120
Instalación Java JDK 8
Ingresar a la página de java e ir directamente a la descarga y ubicar la versión de JDK 8. http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
Seleccionar la versión de jdk 8 para Windows.
Figura 63. Pagina descarga JDK 8
Fuente: http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
Siguiente
Figura 64. Instalación JDK 8, paso 1
Fuente: Ejecutores de proyecto
121
Escoger la carpeta donde se realizará la instalación y siguiente.
Figura 65. Instalación JDK 8, paso 2
Fuente: Ejecutores de proyecto
Podrá evidenciarse el estado de la instalación y por ultimo click en finalizar.
Figura 66. Instalación JDK 8, paso 3
Fuente: Ejecutores de proyecto
122
Ejecución de Magerit UD
Para la ejecución de Magerit UD, hay que dirigirse a la carpeta donde se encuentra el instalador.
Figura 67. Instalación JDK 8, paso 4
Fuente: Ejecutores de proyecto
Componentes del sistema.
Magerit UD busca integrar cada uno de los componentes más relevantes de la metodología Magerit de forma que puedan ser trabajados por distintas organizaciones y por distintos proyectos. Esto equivale a tener un análisis de riesgos en donde cada área dependencia u oficina (denominada dominio) pueda tener una análisis de sus activos y para los gerentes de proyecto u encargados de realizar el análisis, poder llevar distintos proyectos para la misma organización. Por ejemplo, es posible que una organización tenga distintos servicios y distintos core de negocio, por ejemplo Kawasaki posee líneas de negocio para distintos tipos de vehículos (aviones, barcos, motocicletas) y además trabaja en el sector metalúrgico y tecnológico, por lo tanto, si se llevara a cabo un análisis de riesgos en el sector TI de cada una de sus líneas de producción, podría llevar a cabo una aplicación de la metodología en varios de sus proyectos, llevando el análisis y gestión de riesgos por separado.
123
Los componentes principales de Magerit UD son los siguientes
Figura 68. . Diagrama de componentes
Fuente: Ejecutores de proyecto
Web Services: Se exponen servicios web de tipo rest para que puedan ser consumidos por el front end (interfaz gráfica) que implemente el usuario.
Empresa: Es la información propia de la organización que realice la implementación de Magerit UD. Cuando se realiza la creación de la empresa, el sistema generará un código único (Api Key) para la empresa creada.
124
Figura 69. . Creación de empresa, MageritUD
Fuente: Ejecutores de proyecto
Proyecto: Información propia del proyecto a crear, como se nombró anteriormente una organización puede manejar varios proyectos en simultáneo.
Figura 70. Creación de proyecto, MageritUD
Fuente: Ejecutores de proyecto
125
Dominio: Son las dependencias, áreas, oficinas, sedes de la organización.
Figura 71. Creación de dominio, MageritUD
Fuente: Ejecutores de proyecto
Activos: Son los recursos informáticos (hardware y software) de la empresa u organización. En el sistema serán ingresados por cada organización y por cada proyecto.
Figura 72. Creación de activos, MageritUD
Fuente: Ejecutores de proyecto
126
Amenazas: Por cada proyecto y con el código de cada organización, podrá ser asociada una amenaza. Estas amenazas están directamente relacionadas a un activo sobre el cual se evaluará la posibilidad de que se materialice esta amenaza.
Figura 73. Creación de amenazas, MageritUD
Fuente: Ejecutores de proyecto
Impacto potencial: Este componente es la medida de daño a raíz de la materialización de una amenaza, esta materialización se da sobre el activo. El cálculo de este valor se toma a partir del valor de la degradación en cada una de las dimensiones y el valor del activo.
127
Figura 74. Creación de impacto potencial, MageritUD
Fuente: Ejecutores de proyecto
Salvaguardas: Este componente define las contramedidas para que las amenazas no se materialicen, de manera tal que el riesgo sea minimizado. Cuando las salvaguardas no son contempladas, se debe estimar el riesgo y el impacto, que sencillamente son mecanismos que reducen el riesgo. Es importante tener en cuenta lo anterior para ver la importancia de las salvaguardas dentro del proceso de análisis de riesgo.
Figura 75. Creación de salvaguardas, MageritUD
Fuente: Ejecutores de proyecto
128
Catálogo de activos: Este componente permite tanto cargar los activos sugeridos por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.
Figura 76. Catálogo de activos, MageritUD
Fuente: Ejecutores de proyecto
Catálogo de amenazas: Este componente permite tanto cargar las amenazas sugeridas por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.
Figura 77. Catálogo de amenazas, MageritUD
Fuente: Ejecutores de proyecto
129
Catálogo de salvaguardas: Este componente permite tanto cargar las salvaguardas sugeridas por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.
Figura 78. Catálogo de salvaguardas, MageritUD
Fuente: Ejecutores de proyecto
3. Estructura de Magerit UD
Magerit UD fue construido en base a la siguiente estructura:
Figura 79. Estructura MageritUD
Fuente: Ejecutores de proyecto
130
Magerit.ud-container: Hace referencia a la configuración de SpringBoot. En este archivo de tipo yml, se encuentra configurado tanto la base de datos, como el despliegue de la aplicación. Es el contenedor desde el cual se inicia la aplicación. Esta configuración de inicio se realiza por medio de SpringBoot.
Figura 80. Magerit.ud-container
Fuente: Ejecutores de proyecto
magerit.ud-controller: Este módulo permite realizar la configuración de Spring a nivel de controlador.
Figura 81. Magerit.ud-controller
Fuente: Ejecutores de proyecto
131
magerit.ud-definitions: Se encuentra la configuración de Swagger que es el estándar para la documentación de servicios web de tipo rest.
Figura 82. Magerit.ud-definitions
Fuente: Ejecutores de proyecto
magerit.ud-api: Es importante aclarar que este módulo contiene código que es autogenerado una vez que se realiza la compilación del código por medio de maven. El código autogenerado es toda la información correspondiente a los servicios Web de tipo rest definidos en la configuración realizada en el módulo de magerit.ud-definitions.
Figura 83. Magerit.ud-api
Fuente: Ejecutores de proyecto
132
magerit.ud-domain: Módulo donde se encuentra el dominio del sistema. Con dominio del sistema hablamos de la persistencia de los datos en el motor de bases de datos.
Figura 84. Magerit.ud-domain
Fuente: Ejecutores de proyecto