You are on page 1of 24

3 Anlisis de riesgos

3.1 Anlisis de riesgos con PILAR


El anlisis de riesgos informticos de una organizacin puede realizarse a
travs del software PILAR. Este software permite realizar el anlisis
siguiendo los siguientes pasos:

Identificacin de activos
Valoracin de activos
Identificacin de amenazas
Valoracin de amenazas
Primer clculo del impacto y riesgo
Determinacin de las salvaguardas
Valoracin de salvaguardas
Clculo del impacto y riesgo finales

3.1.1 Identificacin de Activos


La tabla 3.1 muestra la identificacin de los activos ms representativos de
la empresa Fideval; la identificacin de los activos en el software PILAR se
ilustra en la Figura 3.1
Tabla 3-1. Identificacin de activos

Capa

Activo
Ficheros
Copias de respaldo

Datos
Credenciales

Pblicos

Servicios

Internos

Clientes

Observacin
Archivos que contiene
toda la informacin de
la empresa
Copias de respaldo de la
informacin
de
la
empresa
Incluye
tarjetas
de
identificacin
y
passwords que permiten
el
acceso
a
instalaciones
y
secciones virtuales
Servicios para los que
no
se
requiere
identificacin;
por
ejemplo, la empresa
ofrece simuladores de
fondos de inversin
Procesos que utilizan los
integrantes
de
la
empresa
para
su
desempeo
Bsicamente
son
la
razn de ser la empresa
ya que la empresa se
dedica a administrar
fondos y fideicomisos

Desarrollo propio

A medida
Software

Estndar
Equipamie
nto
Equipos grandes

Equipos medianos
Equipos

Equipos personales

La empresa cuenta con


software
desarrollado
puertas adentro para
manejar algunos de sus
servicios
Adems de software
propio,
la
empresa
cuenta con software
especializado que le
permite
agilitar
las
tareas que realiza as
como los servicios que
presta
Como en toda empresa
de este sector, tambin
se cuenta con software
estndar
tal
como
antivirus,
navegador,
editor de texto, visor de
archivos PDF, etc.
Equipos de gran valor y
pocas existencias; entre
ellos se puede nombrar
a los servidores
De menor valor y ms
existencias
que
los
equipos grandes
Equipos utilizados por la
mayora de personal;
entre
ellos
puede
nombrarse
a
las
computadoras
porttiles, routers, etc.

Internet
Comunicac
LAN
in
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema

Personal
Administradores de
seguridad

Encargado
de
la
implementacin,
mantenimiento,
monitorear y asegurar el
funcionamiento
del
sistema informtico
El
objetivo
de
la administracin
de
seguridad es lograr la
exactitud, integridad y
proteccin de todos los
procesos y recursos de
los
sistemas
de
informacin

Figura 3.1. Identificacin de los activos en el software PILAR

3.1.2 Valoracin de los activos


Magerit propone la evaluacin de activos en cinco dimensiones:
disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.
3.1.2.1Escala
Para la valoracin de los activos se utiliz una escala del uno al diez de
acuerdo a la importancia de los activos dentro del sistema informtico
3.1.2.2Valoracin
En la Tabla 3-2 se muestra la valoracin de los activos identificados en el
apartado 3.1.1; el procedimiento anlogo en PILAR se ilustra en la Figura 3.2

Tabla 3-2. Valoracin de los activos

Capa

Activo

Ficheros
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software A medida
Estndar
Equipos grandes
Equipos
Equipos medianos
Equipamie
Equipos personales
nto
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Datos

Valoracin
Disponibili Integri
dad
dad
10
10
10
10
2
9
10
9
9
7
10
10
8
8
10
10
10
10
10

Confidencial Autentici Trazabili


idad
dad
dad
7

8
9
8

10
2
8
10
10
9
2
8
8
10
8
10
7

5
9
9
8
5

10
7

Figura 3.2. Valoracin de activos en PILAR

3.1.3 Identificacin de las amenazas


La identificacin de las amenazas se realiza sobre cada activo de acuerdo al
catlogo de amenazas de Magerit tal como se muestra en la Tabla 3-3; la
identificacin de las amenazas en el software PILAR se ilustra en la Figura
3.3
Tabla 3-3. Identificacin de amenazas

Capa

Activo
Ficheros

Datos

Copias de respaldo
Credenciales
Pblicos

Servicios

Internos
Clientes
Desarrollo propio

Software

A medida
Estndar
Equipos grandes

Equipamie
nto

Equipos

Equipos medianos
Equipos personales
Internet

Comunicaci
n
LAN
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones

Edificio

Amenazas
Uso indebido
Difusin de software daino
Modificacin de la informacin
Destruccin de la informacin
Revelacin de la informacin
Vulnerabilidad de los programas
Errores de mantenimiento /
actualizacin
Errores del administrador del sistema
Revelacin de la informacin
Fuga de informacin
Cada del sistema por agotamiento de
recursos
Errores del administrador del sistema
Errores de configuracin
Errores del administrador del sistema
Errores de configuracin
Errores de los usuarios
Errores de configuracin
Difusin de software daino
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Uso indebido
Revelacin de la informacin
Suplantacin de identidad
Abuso de privilegios de acceso
Uso indebido
Avera de origen fsico o lgico
Robo de equipo
Avera de origen fsico o lgico
Robo de equipo
Fuego
Ataque destructivo

Administradores del
sistema
Personal

Administradores de
seguridad
Clientes
Proveedores

Errores del administrador del sistema


Indisponibilidad del personal
Extorsin
Indisponibilidad del personal
Errores de los usuarios
Revelacin de la informacin
Indisponibilidad del personal
Revelacin de la informacin

Figura 3.3. Identificacin de amenazas en PILAR

3.1.4 Valoracin de las amenazas


La valoracin de la degradacin que una amenaza puede producir sobre un
activo se realiza en las mismas cinco dimensiones que los activos; en esta
valoracin debe aadirse la frecuencia de materializacin de las amenazas
en el sistema
3.1.4.1Escala de la frecuencia
Para esta escala se escogi un rango entre 0 y 365, esto indica que las
amenazas pueden materializarse de 0 a 365 veces por ao; este valor
corresponde a

f ao . La frecuencia que se utilizar para los clculos se

obtiene pasando la escala a un rango entre 0 y 1; este valor corresponde a

f .
3.1.4.2Escala de la valoracin
Para esta escala se utiliz un rango entre 0 y 1; este valor representa el
porcentaje de degradacin del activo
3.1.4.3Valoracin
La valoracin de las amenazas se muestra en la Tabla 3-4; el proceso
anlogo en PILAR se ilustra en la Figura 3.4

Tabla 3-4. Valoracin de las amenazas

Degradacin

Pblicos

Internos
Clientes

0,3

0,9

0,8

0,9

0,7

1
1
1
0,5

0,6

0,8

0,8

0,7

0,8

0,4

0,8
0,3
1

Trazabilidad

Servicios

0,1

Autenticidad

Credenciales

Confidenciali
dad

Copias de respaldo

20

Integridad

Datos

0,05
5
0,11
40
0
0,11
40
0
0,01
5
4
0,27
100
4
0,54
200
8
Errores de mantenimiento / 80 0,21
9
actualizacin
0,19
Errores del administrador
70
2
del sistema
Revelacin de la
0,54
200
informacin
8
Fuga de informacin
80 0,21
9
Uso indebido
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas

Disponibilida
d

Ficheros

Amenazas

Activo

ao

Capa

Desarrollo propio

Cada del sistema por


agotamiento de recursos

200

Errores del administrador


del sistema

30

Errores de configuracin
Software

A medida

Errores del administrador


del sistema
Errores de configuracin

Estndar

Equipamient
o

Equipos grandes

Equipos

Equipos medianos

Equipos personales

Errores de los usuarios


Difusin de software
daino
Avera de origen fsico o
lgico
Robo de equipo
Avera de origen fsico o
lgico
Robo de equipo
Avera de origen fsico o
lgico
Robo de equipo

Comunicaci
Internet
n

Fallo en servicio de
comunicaciones
Errores del administrador
del sistema

50
70
40
90
360
40
10
80
10
300
150
200
80

0,54
0,9
8
0,08
2
0,13
7
0,19
2
0,11
0
0,24
7
0,98
6
0,11
0
0,02
7
0,21
9
0,02
7
0,82
2
0,41
1
0,54
8

0,7

0,8

0,3

0,4

0,6

0,7

0,8

0,3

0,4

0,6

0,7

0,8

0,5

0,7

0,3

1
1

0,2

0,7
0,9

0,6

0,8
0,9

0,3

0,6

0,21
0,5
9

0,6

0,8

LAN

Telefona

UPS
Auxiliares
Generador elctrico

120

0,32
0,8
9

Errores del administrador


del sistema

40

0,11
0,9
0

Fallo en servicio de
comunicaciones

20

0,05
0,4
5

Errores del administrador


del sistema
Avera de origen fsico o
lgico

60

Fallo en servicio de
comunicaciones

Robo de equipo
Avera de origen fsico o
lgico
Robo de equipo

Instalaciones

Edificio

Fuego
Ataque destructivo

Administradores del
sistema
Personal
Administradores de
seguridad

Errores del administrador


del sistema
Indisponibilidad del
personal
Extorsin
Indisponibilidad del
personal

40
10
10
5
10
10
80
60
60
50

0,16
4
0,11
0
0,02
7
0,02
7
0,01
4
0,02
7
0,02
7
0,21
9
0,16
4
0,16
4
0,13
7

0,4

0,7

0,6

0,7

0,3

0,5

0,9
1
0,9
0,9
0,2
0,3
0,7
0,9
0,7
0,6

Figura 3.4. Valoracin de amenazas en PILAR

3.1.5 Clculo del impacto y el riesgo


El clculo del impacto y el riesgo se realiza sin el planteamiento de nuevas
salvaguardas. El impacto es el producto del valor del activo y la degradacin
potencial del activo; por su parte el riesgo es el producto del impacto por la
frecuencia de materializacin de la amenaza. Los resultados del clculo de
estos valores se muestran en la Figura 3.5

Impacto

Disponibilidad

Integridad
Confidencialidad

Riesgo

Disponibilidad

Integridad
Confidencialidad

Figura 3.5. Resultados de impacto y riesgo sobre los activos (a) Impacto (b)
Riesgo

3.1.6 Determinacin de las salvaguardas


3.1.6.1Salvaguardas
Puede recomendarse una o ms salvaguardas a fin de mitigar el efecto de
una amenaza sobre un activo; en este proyecto se ha utilizado nicamente
la salvaguarda ms relevante para cada activo
3.1.6.2Eficacia
La eficacia de una salvaguarda es un valor entre 0 y 1 que mide la
capacidad de una salvaguarda para proteger el activo

La determinacin de las salvaguardas se muestra en la Tabla 3-5

Tabla 3-5. Determinacin de las salvaguardas

Capa

Activo

Amenazas
Uso indebido

Ficheros
Datos
Copias de respaldo
Credenciales

Pblicos

Servicios

Internos

Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin

Efica
cia

Claves de acceso ms
seguras

0,6

Actualizacin de antivirus

0,8

Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
Vulnerabilidad de los
fuente de aplicaciones
programas
pblicas
Errores de mantenimiento / Mantenimiento ms
actualizacin
frecuente

0,5
0,6
0,4
0,7
0,8

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Revelacin de la
informacin

Revisin de privilegios de
usuarios internos

0,6

Fuga de informacin
Clientes

Salvaguardas

Cada del sistema por


agotamiento de recursos

Revisin de privilegios de
los clientes
Mejoramiento de
tecnologa de equipos
grandes

0,8
0,9

Equipamient
o

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Errores de configuracin

Mantenimiento cdigo
fuente de aplicaciones de
desarrollo propio

0,6

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Errores de configuracin

Mantenimiento cdigo
fuente de aplicaciones de
desarrollo a medida

0,6

Desarrollo propio

Software

A medida

Errores de los usuarios


Estndar

Equipos
Equipos grandes

Equipos medianos
Equipos personales

Difusin de software
daino
Avera de origen fsico o
lgico

Capacitacin del
administrador del sistema
Mantenimiento cdigo
fuente de aplicaciones
estndar
Mantenimiento de equipos
ms frecuente

0,7
0,6
0,8

Robo de equipo

Mejoramiento seguridad de
las instalaciones

0,4

Avera de origen fsico o


lgico

Mantenimiento de equipos
ms frecuente

0,8

Robo de equipo

Mejoramiento seguridad de
las instalaciones

0,4

Avera de origen fsico o


lgico
Robo de equipo

Mantenimiento de equipos
ms frecuente
Mejoramiento seguridad de
las instalaciones

0,7
0, 4

Internet

Comunicaci
LAN
n

Telefona

UPS
Auxiliares
Generador elctrico

Instalaciones
Personal

Fallo en servicio de
comunicaciones

Contratacin de un mejor
servicio

0,8

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Fallo en servicio de
comunicaciones

Contratacin de un mejor
servicio

0,8

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Fallo en servicio de
comunicaciones

Contratacin de un mejor
servicio

0,8

Errores del administrador


del sistema

Capacitacin del
administrador del sistema

0,7

Avera de origen fsico o


lgico

Mantenimiento de equipos
ms frecuente

0,6

Robo de equipo

Mejoramiento seguridad de
las instalaciones

0,8

Avera de origen fsico o


lgico

Mantenimiento de equipos
ms frecuente

0,6

Robo de equipo

Mejoramiento seguridad de
las instalaciones

0,4

Fuego

Mejoramiento seguridad de
las instalaciones

0,6

Ataque destructivo

Mejoramiento seguridad de
las instalaciones

0,6

Edificio
Administradores del
sistema

Errores del administrador


del sistema
Indisponibilidad del
personal

Capacitacin del
administrador del sistema
Motivacin al personal

0,4
0,3

Administradores de
seguridad

Extorsin

Capacitacin del personal


de seguridad

0,3

Indisponibilidad del
personal

Motivacin al personal

0,3

3.1.7 Clculo de impacto y riesgo residuales


Una vez determinada la eficacia de las salvaguardas es posible determinar
el impacto y riesgos residuales de acuerdo a las siguientes frmulas:

impacto res= (1e )impacto


riesgores =( 1e )riesgo
La Figura 3.6 muestra los resultados del clculo del impacto residual y el
riesgo residual

Impacto residual

Disponibilidad

Integridad
Confidencialidad

Riesgo residual

Disponibilidad

Integridad
Confidencialidad

Figura 3.6. Clculo del impacto y riesgo residuales (a) Impacto residual (b)
Riesgo residual