Análisis de Riegos Fideval, Capítulo III

3 Anlisis de riesgos
3.1 Anlisis de riesgos con PILAR

El anlisis de riesgos informticos de una organizacin puede realizarse a
travs del software PILAR. Este software permite realizar el anlisis
siguiendo los siguientes pasos:
Identificacin de activos
Valoracin de activos
Identificacin de amenazas
Valoracin de amenazas
Primer clculo del impacto y riesgo
Determinacin de las salvaguardas
Valoracin de salvaguardas
Clculo del impacto y riesgo finales
3.1.1 Identificacin de Activos

La tabla 3.1 muestra la identificacin de los activos ms representativos de
la empresa Fideval; la identificacin de los activos en el software PILAR se
ilustra en la Figura 3.1
Tabla 3-1. Identificacin de activos
Capa
Activo
Ficheros
Copias de respaldo
Datos
Credenciales
Pblicos
Servicios
Internos
Clientes
Observacin
Archivos que contiene
toda la informacin de
la empresa
Copias de respaldo de la
informacin
de
la
empresa
Incluye
tarjetas
de
identificacin
y
passwords que permiten
el
acceso
a
instalaciones
y
secciones virtuales
Servicios para los que
no
se
requiere
identificacin;
por
ejemplo, la empresa
ofrece simuladores de
fondos de inversin
Procesos que utilizan los
integrantes
de
la
empresa
para
su
desempeo
Bsicamente
son
la
razn de ser la empresa
ya que la empresa se
dedica a administrar
fondos y fideicomisos
Desarrollo propio
A medida
Software
Estndar
Equipamie
nto
Equipos grandes
Equipos medianos
Equipos
Equipos personales
La empresa cuenta con

software
desarrollado
puertas adentro para
manejar algunos de sus
servicios
Adems de software
propio,
la
empresa
cuenta con software
especializado que le
permite
agilitar
las
tareas que realiza as
como los servicios que
presta
Como en toda empresa
de este sector, tambin
se cuenta con software
estndar
tal
como
antivirus,
navegador,
editor de texto, visor de
archivos PDF, etc.
Equipos de gran valor y
pocas existencias; entre
ellos se puede nombrar
a los servidores
De menor valor y ms
existencias
que
los
equipos grandes
Equipos utilizados por la
mayora de personal;
entre
ellos
puede
nombrarse
a
las
computadoras
porttiles, routers, etc.
Internet
Comunicac
LAN
in
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Encargado
de
la
implementacin,
mantenimiento,
monitorear y asegurar el
funcionamiento
del
sistema informtico
El
objetivo
de
la administracin
de
seguridad es lograr la
exactitud, integridad y
proteccin de todos los
procesos y recursos de
los
sistemas
de
informacin
Figura 3.1. Identificacin de los activos en el software PILAR
3.1.2 Valoracin de los activos

Magerit propone la evaluacin de activos en cinco dimensiones:
disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.
3.1.2.1Escala
Para la valoracin de los activos se utiliz una escala del uno al diez de
acuerdo a la importancia de los activos dentro del sistema informtico
3.1.2.2Valoracin
En la Tabla 3-2 se muestra la valoracin de los activos identificados en el
apartado 3.1.1; el procedimiento anlogo en PILAR se ilustra en la Figura 3.2
Tabla 3-2. Valoracin de los activos
Capa
Activo
Ficheros
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software A medida
Estndar
Equipos grandes
Equipos
Equipos medianos
Equipamie
Equipos personales
nto
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Datos
Valoracin
Disponibili Integri
dad
dad
10
10
10
10
2
9
10
9
9
7
10
10
8
8
10
10
10
10
10
Confidencial Autentici Trazabili

idad
dad
dad
7
8
9
8
10
2
8
10
10
9
2
8
8
10
8
10
7
5
9
9
8
5
10
7
Figura 3.2. Valoracin de activos en PILAR
3.1.3 Identificacin de las amenazas

La identificacin de las amenazas se realiza sobre cada activo de acuerdo al
catlogo de amenazas de Magerit tal como se muestra en la Tabla 3-3; la
identificacin de las amenazas en el software PILAR se ilustra en la Figura
3.3
Tabla 3-3. Identificacin de amenazas
Capa
Activo
Ficheros
Datos
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software
A medida
Estndar
Equipos grandes
Equipamie
nto
Equipos
Equipos medianos
Equipos personales
Internet
Comunicaci
n
LAN
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Amenazas
Uso indebido
Difusin de software daino
Modificacin de la informacin
Destruccin de la informacin
Revelacin de la informacin
Vulnerabilidad de los programas
Errores de mantenimiento /
actualizacin
Errores del administrador del sistema
Fuga de informacin
Cada del sistema por agotamiento de
recursos
Errores de configuracin
Errores de los usuarios
Difusin de software daino
Avera de origen fsico o lgico
Robo de equipo
Robo de equipo
Robo de equipo
Uso indebido
Suplantacin de identidad
Abuso de privilegios de acceso
Uso indebido
Robo de equipo
Robo de equipo
Fuego
Ataque destructivo
Administradores del
sistema
Personal
Administradores de
seguridad
Clientes
Proveedores

Indisponibilidad del personal
Extorsin
Figura 3.3. Identificacin de amenazas en PILAR
3.1.4 Valoracin de las amenazas

La valoracin de la degradacin que una amenaza puede producir sobre un
activo se realiza en las mismas cinco dimensiones que los activos; en esta
valoracin debe aadirse la frecuencia de materializacin de las amenazas
en el sistema
3.1.4.1Escala de la frecuencia
Para esta escala se escogi un rango entre 0 y 365, esto indica que las
amenazas pueden materializarse de 0 a 365 veces por ao; este valor
corresponde a
f ao . La frecuencia que se utilizar para los clculos se
obtiene pasando la escala a un rango entre 0 y 1; este valor corresponde a
f .
3.1.4.2Escala de la valoracin
Para esta escala se utiliz un rango entre 0 y 1; este valor representa el
porcentaje de degradacin del activo
3.1.4.3Valoracin
La valoracin de las amenazas se muestra en la Tabla 3-4; el proceso
anlogo en PILAR se ilustra en la Figura 3.4
Tabla 3-4. Valoracin de las amenazas
Degradacin
Pblicos
Internos
Clientes
0,3
0,9
0,8
0,9
0,7
1
1
1
0,5
0,6
0,8
0,8
0,7
0,8
0,4
0,8
0,3
1
Trazabilidad
Servicios
0,1
Autenticidad
Credenciales
Confidenciali
dad
Copias de respaldo
20
Integridad
Datos
0,05
5
0,11
40
0
0,11
40
0
0,01
5
4
0,27
100
4
0,54
200
8
Errores de mantenimiento / 80 0,21
9
actualizacin
0,19
Errores del administrador
70
2
del sistema
Revelacin de la
0,54
200
informacin
8
Fuga de informacin
80 0,21
9
Uso indebido
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Disponibilida
d
Ficheros
Amenazas
Activo
ao
Capa
Desarrollo propio
Cada del sistema por

agotamiento de recursos
200

del sistema
30
Software
A medida

del sistema
Estndar
Equipamient
o
Equipos grandes
Equipos
Equipos medianos
Equipos personales

Difusin de software
daino
Avera de origen fsico o
lgico
Robo de equipo
lgico
Robo de equipo
lgico
Robo de equipo
Comunicaci
Internet
n
Fallo en servicio de
comunicaciones
del sistema
50
70
40
90
360
40
10
80
10
300
150
200
80
0,54
0,9
8
0,08
2
0,13
7
0,19
2
0,11
0
0,24
7
0,98
6
0,11
0
0,02
7
0,21
9
0,02
7
0,82
2
0,41
1
0,54
8
0,7
0,8
0,3
0,4
0,6
0,7
0,8
0,3
0,4
0,6
0,7
0,8
0,5
0,7
0,3
1
1
0,2
0,7
0,9
0,6
0,8
0,9
0,3
0,6
0,21
0,5
9
0,6
0,8
LAN
Telefona
UPS
Auxiliares
Generador elctrico
120
0,32
0,8
9

del sistema
40
0,11
0,9
0
comunicaciones
20
0,05
0,4
5

del sistema
lgico
60
comunicaciones
Robo de equipo
lgico
Robo de equipo
Instalaciones
Edificio
Fuego
Ataque destructivo
Administradores del
sistema
Personal
Administradores de
seguridad

del sistema
Indisponibilidad del
personal
Extorsin
personal
40
10
10
5
10
10
80
60
60
50
0,16
4
0,11
0
0,02
7
0,02
7
0,01
4
0,02
7
0,02
7
0,21
9
0,16
4
0,16
4
0,13
7
0,4
0,7
0,6
0,7
0,3
0,5
0,9
1
0,9
0,9
0,2
0,3
0,7
0,9
0,7
0,6
Figura 3.4. Valoracin de amenazas en PILAR
3.1.5 Clculo del impacto y el riesgo

El clculo del impacto y el riesgo se realiza sin el planteamiento de nuevas
salvaguardas. El impacto es el producto del valor del activo y la degradacin
potencial del activo; por su parte el riesgo es el producto del impacto por la
frecuencia de materializacin de la amenaza. Los resultados del clculo de
estos valores se muestran en la Figura 3.5
Impacto
Disponibilidad
Integridad
Confidencialidad
Riesgo
Disponibilidad
Integridad
Confidencialidad
Figura 3.5. Resultados de impacto y riesgo sobre los activos (a) Impacto (b)
Riesgo
3.1.6 Determinacin de las salvaguardas

3.1.6.1Salvaguardas
Puede recomendarse una o ms salvaguardas a fin de mitigar el efecto de
una amenaza sobre un activo; en este proyecto se ha utilizado nicamente
la salvaguarda ms relevante para cada activo
3.1.6.2Eficacia
La eficacia de una salvaguarda es un valor entre 0 y 1 que mide la
capacidad de una salvaguarda para proteger el activo
La determinacin de las salvaguardas se muestra en la Tabla 3-5
Tabla 3-5. Determinacin de las salvaguardas
Capa
Activo
Amenazas
Uso indebido
Ficheros
Datos
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Efica
cia
Claves de acceso ms
seguras
0,6
Actualizacin de antivirus
0,8
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
Vulnerabilidad de los
fuente de aplicaciones
programas
pblicas
Errores de mantenimiento / Mantenimiento ms
actualizacin
frecuente
0,5
0,6
0,4
0,7
0,8

del sistema
Capacitacin del
administrador del sistema
0,7
Revelacin de la
informacin
Revisin de privilegios de
usuarios internos
0,6
Fuga de informacin
Clientes
Salvaguardas
Cada del sistema por

agotamiento de recursos
Revisin de privilegios de
los clientes
Mejoramiento de
tecnologa de equipos
grandes
0,8
0,9
Equipamient
o

del sistema
Capacitacin del
0,7
Mantenimiento cdigo
fuente de aplicaciones de
desarrollo propio
0,6

del sistema
Capacitacin del
0,7
Mantenimiento cdigo
fuente de aplicaciones de
desarrollo a medida
0,6
Desarrollo propio
Software
A medida

Estndar
Equipos
Equipos grandes
Equipos medianos
Equipos personales
Difusin de software
daino
lgico
Capacitacin del
Mantenimiento cdigo
fuente de aplicaciones
estndar
Mantenimiento de equipos
ms frecuente
0,7
0,6
0,8
Robo de equipo
Mejoramiento seguridad de
las instalaciones
0,4

lgico
ms frecuente
0,8
Robo de equipo
las instalaciones
0,4

lgico
Robo de equipo
ms frecuente
las instalaciones
0,7
0, 4
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Personal
comunicaciones
Contratacin de un mejor
servicio
0,8

del sistema
Capacitacin del
0,7
comunicaciones
servicio
0,8

del sistema
Capacitacin del
0,7
comunicaciones
servicio
0,8

del sistema
Capacitacin del
0,7

lgico
ms frecuente
0,6
Robo de equipo
las instalaciones
0,8

lgico
ms frecuente
0,6
Robo de equipo
las instalaciones
0,4
Fuego
las instalaciones
0,6
Ataque destructivo
las instalaciones
0,6
Edificio
Administradores del
sistema

del sistema
personal
Capacitacin del
Motivacin al personal
0,4
0,3
Administradores de
seguridad
Extorsin
Capacitacin del personal

de seguridad
0,3
personal
Motivacin al personal
0,3
3.1.7 Clculo de impacto y riesgo residuales

Una vez determinada la eficacia de las salvaguardas es posible determinar
el impacto y riesgos residuales de acuerdo a las siguientes frmulas:
impacto res= (1e )impacto

riesgores =( 1e )riesgo
La Figura 3.6 muestra los resultados del clculo del impacto residual y el
riesgo residual
Impacto residual
Disponibilidad
Integridad
Confidencialidad
Riesgo residual
Disponibilidad
Integridad
Confidencialidad
Figura 3.6. Clculo del impacto y riesgo residuales (a) Impacto residual (b)
Riesgo residual

Análisis de Riegos Fideval, Capítulo III

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Análisis de Riegos Fideval, Capítulo III

Uploaded by

Copyright:

Available Formats

3 Anlisis de riesgos

3.1 Anlisis de riesgos con PILAR

3.1.1 Identificacin de Activos

La empresa cuenta con

Figura 3.1. Identificacin de los activos en el software PILAR

3.1.2 Valoracin de los activos

Tabla 3-2. Valoracin de los activos

Confidencial Autentici Trazabili

Figura 3.2. Valoracin de activos en PILAR

3.1.3 Identificacin de las amenazas

Errores del administrador del sistema

Figura 3.3. Identificacin de amenazas en PILAR

3.1.4 Valoracin de las amenazas

f ao . La frecuencia que se utilizar para los clculos se

obtiene pasando la escala a un rango entre 0 y 1; este valor corresponde a

Tabla 3-4. Valoracin de las amenazas

Cada del sistema por

Errores del administrador

Errores del administrador

Errores de los usuarios

Errores del administrador

Errores del administrador

Errores del administrador

Figura 3.4. Valoracin de amenazas en PILAR

3.1.5 Clculo del impacto y el riesgo

3.1.6 Determinacin de las salvaguardas

La determinacin de las salvaguardas se muestra en la Tabla 3-5

Tabla 3-5. Determinacin de las salvaguardas

Errores del administrador

Cada del sistema por

Errores del administrador

Errores del administrador

Errores de los usuarios

Avera de origen fsico o

Avera de origen fsico o

Errores del administrador

Errores del administrador

Errores del administrador

Avera de origen fsico o

Avera de origen fsico o

Errores del administrador

Capacitacin del personal

3.1.7 Clculo de impacto y riesgo residuales

impacto res= (1e )impacto

You might also like