Professional Documents
Culture Documents
Identificacin de activos
Valoracin de activos
Identificacin de amenazas
Valoracin de amenazas
Primer clculo del impacto y riesgo
Determinacin de las salvaguardas
Valoracin de salvaguardas
Clculo del impacto y riesgo finales
Capa
Activo
Ficheros
Copias de respaldo
Datos
Credenciales
Pblicos
Servicios
Internos
Clientes
Observacin
Archivos que contiene
toda la informacin de
la empresa
Copias de respaldo de la
informacin
de
la
empresa
Incluye
tarjetas
de
identificacin
y
passwords que permiten
el
acceso
a
instalaciones
y
secciones virtuales
Servicios para los que
no
se
requiere
identificacin;
por
ejemplo, la empresa
ofrece simuladores de
fondos de inversin
Procesos que utilizan los
integrantes
de
la
empresa
para
su
desempeo
Bsicamente
son
la
razn de ser la empresa
ya que la empresa se
dedica a administrar
fondos y fideicomisos
Desarrollo propio
A medida
Software
Estndar
Equipamie
nto
Equipos grandes
Equipos medianos
Equipos
Equipos personales
Internet
Comunicac
LAN
in
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Encargado
de
la
implementacin,
mantenimiento,
monitorear y asegurar el
funcionamiento
del
sistema informtico
El
objetivo
de
la administracin
de
seguridad es lograr la
exactitud, integridad y
proteccin de todos los
procesos y recursos de
los
sistemas
de
informacin
Capa
Activo
Ficheros
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software A medida
Estndar
Equipos grandes
Equipos
Equipos medianos
Equipamie
Equipos personales
nto
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Datos
Valoracin
Disponibili Integri
dad
dad
10
10
10
10
2
9
10
9
9
7
10
10
8
8
10
10
10
10
10
8
9
8
10
2
8
10
10
9
2
8
8
10
8
10
7
5
9
9
8
5
10
7
Capa
Activo
Ficheros
Datos
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software
A medida
Estndar
Equipos grandes
Equipamie
nto
Equipos
Equipos medianos
Equipos personales
Internet
Comunicaci
n
LAN
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Amenazas
Uso indebido
Difusin de software daino
Modificacin de la informacin
Destruccin de la informacin
Revelacin de la informacin
Vulnerabilidad de los programas
Errores de mantenimiento /
actualizacin
Errores del administrador del sistema
Revelacin de la informacin
Fuga de informacin
Cada del sistema por agotamiento de
recursos
Errores del administrador del sistema
Errores de configuracin
Errores del administrador del sistema
Errores de configuracin
Errores de los usuarios
Errores de configuracin
Difusin de software daino
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Uso indebido
Revelacin de la informacin
Suplantacin de identidad
Abuso de privilegios de acceso
Uso indebido
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Fuego
Ataque destructivo
Administradores del
sistema
Personal
Administradores de
seguridad
Clientes
Proveedores
f .
3.1.4.2Escala de la valoracin
Para esta escala se utiliz un rango entre 0 y 1; este valor representa el
porcentaje de degradacin del activo
3.1.4.3Valoracin
La valoracin de las amenazas se muestra en la Tabla 3-4; el proceso
anlogo en PILAR se ilustra en la Figura 3.4
Degradacin
Pblicos
Internos
Clientes
0,3
0,9
0,8
0,9
0,7
1
1
1
0,5
0,6
0,8
0,8
0,7
0,8
0,4
0,8
0,3
1
Trazabilidad
Servicios
0,1
Autenticidad
Credenciales
Confidenciali
dad
Copias de respaldo
20
Integridad
Datos
0,05
5
0,11
40
0
0,11
40
0
0,01
5
4
0,27
100
4
0,54
200
8
Errores de mantenimiento / 80 0,21
9
actualizacin
0,19
Errores del administrador
70
2
del sistema
Revelacin de la
0,54
200
informacin
8
Fuga de informacin
80 0,21
9
Uso indebido
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Disponibilida
d
Ficheros
Amenazas
Activo
ao
Capa
Desarrollo propio
200
30
Errores de configuracin
Software
A medida
Estndar
Equipamient
o
Equipos grandes
Equipos
Equipos medianos
Equipos personales
Comunicaci
Internet
n
Fallo en servicio de
comunicaciones
Errores del administrador
del sistema
50
70
40
90
360
40
10
80
10
300
150
200
80
0,54
0,9
8
0,08
2
0,13
7
0,19
2
0,11
0
0,24
7
0,98
6
0,11
0
0,02
7
0,21
9
0,02
7
0,82
2
0,41
1
0,54
8
0,7
0,8
0,3
0,4
0,6
0,7
0,8
0,3
0,4
0,6
0,7
0,8
0,5
0,7
0,3
1
1
0,2
0,7
0,9
0,6
0,8
0,9
0,3
0,6
0,21
0,5
9
0,6
0,8
LAN
Telefona
UPS
Auxiliares
Generador elctrico
120
0,32
0,8
9
40
0,11
0,9
0
Fallo en servicio de
comunicaciones
20
0,05
0,4
5
60
Fallo en servicio de
comunicaciones
Robo de equipo
Avera de origen fsico o
lgico
Robo de equipo
Instalaciones
Edificio
Fuego
Ataque destructivo
Administradores del
sistema
Personal
Administradores de
seguridad
40
10
10
5
10
10
80
60
60
50
0,16
4
0,11
0
0,02
7
0,02
7
0,01
4
0,02
7
0,02
7
0,21
9
0,16
4
0,16
4
0,13
7
0,4
0,7
0,6
0,7
0,3
0,5
0,9
1
0,9
0,9
0,2
0,3
0,7
0,9
0,7
0,6
Impacto
Disponibilidad
Integridad
Confidencialidad
Riesgo
Disponibilidad
Integridad
Confidencialidad
Figura 3.5. Resultados de impacto y riesgo sobre los activos (a) Impacto (b)
Riesgo
Capa
Activo
Amenazas
Uso indebido
Ficheros
Datos
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Efica
cia
Claves de acceso ms
seguras
0,6
Actualizacin de antivirus
0,8
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
Vulnerabilidad de los
fuente de aplicaciones
programas
pblicas
Errores de mantenimiento / Mantenimiento ms
actualizacin
frecuente
0,5
0,6
0,4
0,7
0,8
Capacitacin del
administrador del sistema
0,7
Revelacin de la
informacin
Revisin de privilegios de
usuarios internos
0,6
Fuga de informacin
Clientes
Salvaguardas
Revisin de privilegios de
los clientes
Mejoramiento de
tecnologa de equipos
grandes
0,8
0,9
Equipamient
o
Capacitacin del
administrador del sistema
0,7
Errores de configuracin
Mantenimiento cdigo
fuente de aplicaciones de
desarrollo propio
0,6
Capacitacin del
administrador del sistema
0,7
Errores de configuracin
Mantenimiento cdigo
fuente de aplicaciones de
desarrollo a medida
0,6
Desarrollo propio
Software
A medida
Equipos
Equipos grandes
Equipos medianos
Equipos personales
Difusin de software
daino
Avera de origen fsico o
lgico
Capacitacin del
administrador del sistema
Mantenimiento cdigo
fuente de aplicaciones
estndar
Mantenimiento de equipos
ms frecuente
0,7
0,6
0,8
Robo de equipo
Mejoramiento seguridad de
las instalaciones
0,4
Mantenimiento de equipos
ms frecuente
0,8
Robo de equipo
Mejoramiento seguridad de
las instalaciones
0,4
Mantenimiento de equipos
ms frecuente
Mejoramiento seguridad de
las instalaciones
0,7
0, 4
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Personal
Fallo en servicio de
comunicaciones
Contratacin de un mejor
servicio
0,8
Capacitacin del
administrador del sistema
0,7
Fallo en servicio de
comunicaciones
Contratacin de un mejor
servicio
0,8
Capacitacin del
administrador del sistema
0,7
Fallo en servicio de
comunicaciones
Contratacin de un mejor
servicio
0,8
Capacitacin del
administrador del sistema
0,7
Mantenimiento de equipos
ms frecuente
0,6
Robo de equipo
Mejoramiento seguridad de
las instalaciones
0,8
Mantenimiento de equipos
ms frecuente
0,6
Robo de equipo
Mejoramiento seguridad de
las instalaciones
0,4
Fuego
Mejoramiento seguridad de
las instalaciones
0,6
Ataque destructivo
Mejoramiento seguridad de
las instalaciones
0,6
Edificio
Administradores del
sistema
Capacitacin del
administrador del sistema
Motivacin al personal
0,4
0,3
Administradores de
seguridad
Extorsin
0,3
Indisponibilidad del
personal
Motivacin al personal
0,3
Impacto residual
Disponibilidad
Integridad
Confidencialidad
Riesgo residual
Disponibilidad
Integridad
Confidencialidad
Figura 3.6. Clculo del impacto y riesgo residuales (a) Impacto residual (b)
Riesgo residual