Professional Documents
Culture Documents
RESUMEN
La presente tesis, Anlisis y Gestin de Riesgos de los Sistemas de la
Cooperativa de Ahorro y Crdito Jardn Azuayo, tiene por objetivo la aplicacin
del modelo MAGERIT versin 2 -Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin-, el que contribuir a que la institucin posea
un conocimiento claro sobre los riesgos que pueden presentarse en sus
sistemas de informacin.
El modelo
MAGERIT fue
Superior de
de
Riesgos.-
permite
la
seleccin
implantacin
de
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
PALABRAS CLAVE:
Anlisis
Gestin
Riesgo
MAGERIT
PILAR Basic
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
ABSTRACT
This present thesis, Anlisis y Gestin de Riesgos de los Sistemas de
Informacin de la Cooperativa de Ahorro y Crdito Jardn Azuayo has the
objective to apply model, MAGERIT version 2- Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin which will allow the
mentioned institution have a clear idea about the risks that may arise in their
information systems, identifying critical areas that require greater control.
The model MAGERIT was developed by the CSAE (Consejo Superior de
Administracin Electrnica) in Spain, as a response to the rapid growth of
technology information and the increasing use of IT by organizations. It was
also designed with the final purpose of allowing those who are responsible for
the information systems to become more conscious of the existence of risks
and the need to mitigate them promptly.
The phases that the MAGERIT model envisions are:
1. Planning of the Project .- sets a reference of the general framework for
the project
2. Risk Analysis.- allows you to determine how it is, the worth, and how
protected the assets are.
3. Risk Management.- allows the selection and implementation of
safeguards to know, to prevent, to avoid, and to reduce or control the
risks identified.
In order to implement the MAGERIT methodology, it is essential to implement
the PILLAR Basic tool, which combines the assets of a system, identifies the
potential threats, and incorporates the safeguards that enable institutions to
minimize risks.
With the implementation of the tool institutions will be able to know the level of
the current risk of the assets. Also with the application of new safeguards or
improving the already established ones, you can know the reduced risks.
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
NDICE
INTRODUCCIN. 16
CAPTULO 1. 17
ANTECEDENTES............. 17
1.1. DESCRIPCIN DEL OBJETO DE ESTUDIO.............. 17
1.1.1.
ANTECEDENTES.. 17
1.1.2.
PENSAMIENTO ESTRATGICO 18
1.1.2.1. Misin. 18
1.1.2.2. Visin.. 18
1.1.2.3. Objetivos Generales. 18
1.1.2.4. Valores y Principios Institucionales...... 19
1.1.3.
ESTRUCTURA DE LA COOPERATIVA.21
1.1.4.
ACTIVIDADES 22
1.1.5.
RECURSOS 22
1.2.2.
UNIVERSIDAD DE CUENCA
[S] SERVICIOS. 40
3.1.2.
3.1.3.
3.1.4.
3.1.5.
3.1.6.
3.1.7.
3.1.8.
[L] INSTALACIONES. 45
3.1.9.
[P] PERSONAL.. 45
PROGRAMAS DE SEGURIDAD. 79
4.2.2.
PLAN DE SEGURIDAD 90
CAPTULO 5. 93
CONCLUSIONES Y RECOMENDACIONES.. 93
5.1. CONCLUSIONES. 93
5.2. RECOMENDACIONES... 95
ANEXOS 101
GLOSARIO............. 160
BIBLIOGRAFA 174
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
LISTADO DE GRFICOS
Grfico 1-1: Estructura Organizativa de la Cooperativa de Ahorro
y Crdito Jardn Azuayo 21
LISTADO DE TABLAS
Tabla 1-1: Distribucin del Personal por Provincias.... 23
Tabla 3-1: Escala de Degradacin...... 46
Tabla 3-2: Escala de Frecuencia.. 47
Tabla 3-3: Identificacin de amenazas 47
Tabla 3-4: Identificacin de salvaguardas...... 60
Tabla 3-5: Escala de criterios de valoracin.. 67
Tabla 3-6: Identificacin del Riesgo 71
Tabla 4-1: Identificacin de Riesgos Crticos. 78
Tabla 4-2: Riesgo Residual.. 89
Tabla 4-3: Plan de Seguridad 91
LISTADO DE FIGURAS
Figura 1-1: Elementos del MAGERIT 30
Figura 3-1: Anlisis de Riesgos........ 39
Figura 4-1: Gestin de Riesgos..76
LISTADO DE ANEXOS
Anexo 1: Fichas para la recoleccin de datos 102
Anexo 2: Modelo de Valor.. 120
Anexo 3: Vulnerabilidad de los Dominios 142
Anexo 4: Valoracin de Dominios. 144
Anexo 5: Cdigo de Buenas prcticas para la Gestin de la Seguridad
de la Informacin. 154
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
10
UNIVERSIDAD DE CUENCA
UNIVERSIDAD DE CUENCA
FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUTORES:
ANTONIO JOS LUCERO GMEZ
JOHN OSWALDO VALVERDE PADILLA
DIRECTOR:
ING. WILSON CUEVA
CUENCA ECUADOR
2011 - 2012
Autores:
Antonio Lucero G.
John Valverde P.
11
UNIVERSIDAD DE CUENCA
DECLARACIN
Nosotros
ANTONIO
JOS
LUCERO
GMEZ
JOHN
OSWALDO
Autores:
Antonio Lucero G.
John Valverde P.
12
UNIVERSIDAD DE CUENCA
AGRADECIMIENTO
Queremos
agradecer
primeramente
nuestro
amigos
por
compartir
experiencias
inolvidables.
Antonio - John
Autores:
Antonio Lucero G.
John Valverde P.
13
UNIVERSIDAD DE CUENCA
DEDICATORIA
apoyado
en
todo
por
su
cario,
han
culminacin
brindado
de
para
mi
la
carrera
profesional.
A mis hermanos por su cario y
apoyo incondicional en todas las
etapas de mi vida.
A mis familiares y amigos Gracias
por su apoyo y las palabras de
nimo que me dieron para el
desarrollo de mi formacin tanto
profesional como personal.
Antonio Lucero Gmez
Autores:
Antonio Lucero G.
John Valverde P.
14
UNIVERSIDAD DE CUENCA
DEDICATORIA
Este trabajo lo dedico a Dios por
darme la fuerza y dedicacin para
alcanzar mis metas.
A mis padres, Vctor y Zoila, que
siempre me han dado su cario, sus
buenas enseanzas y su apoyo
incondicional para la culminacin de
mi carrera profesional.
A mis hermanos: Luis, Rodolfo,
Nely, Narcisa y Jorge, por su gran
cario y apoyo en mi carrera; a mis
familiares y amigos, que de una u
otra manera me han apoyado y
dado fuerzas para culminar con mis
estudios.
John Valverde
Autores:
Antonio Lucero G.
John Valverde P.
15
UNIVERSIDAD DE CUENCA
INTRODUCCIN
El presente tema de tesis consiste en realizar un Anlisis y Gestin de Riesgos
de los Sistemas de la Cooperativa de Ahorro y Crdito Jardn Azuayo, el mismo
que tiene por objetivo la aplicacin del modelo MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin-,
metodologa que contribuir a que la institucin posea un conocimiento claro
sobre los riesgos que pueden presentarse en sus sistemas de informacin,
identificando las reas crticas que requieran un mayor control. La tesis se ha
dividido en cinco captulos.
En el captulo 1 Antecedentes; trataremos una breve descripcin del objeto de
estudio, as como aspectos conceptuales de la Metodologa MAGERIT y su
herramienta PILAR Basic para el anlisis y gestin de riesgos.
En el captulo 2 Planificacin del Proyecto; se establecen las consideraciones
necesarias para arrancar el proyecto de Anlisis y Gestin de Riesgos, se
investiga la oportunidad de realizarlo, se define los objetivos que ha de cumplir
y el dominio que abarcar, se planifican los medios materiales y humanos para
su realizacin y se procede al lanzamiento del proyecto.
En el captulo 3 Anlisis de Riesgos; es la parte central del proyecto en donde
se identifica los activos relevantes de la Organizacin, se identifican las
amenazas sobre aquellos activos, se identifica las salvaguardas existentes, las
vulnerabilidades, y se estima el impacto y el riesgo al que estn expuestos los
activos del sistema.
En el captulo 4 Gestin de Riesgos; se identifica los riesgos crticos y se toma
las
medidas
de
seguridad
necesarias para
enfrentarlos, implantando
16
UNIVERSIDAD DE CUENCA
CAPTULO 1
ANTECEDENTES
1.1.
1.1.1. ANTECEDENTES
Breve Resea Histrica
La Cooperativa de Ahorro y Crdito Jardn Azuayo (COAC JA) naci en
Paute en febrero de 1996, en el contexto de la reconstruccin del cantn
Paute, luego de los daos causados por el desastre de La Josefina
(1993), hizo que las poblaciones afectadas enfrenten una emergencia de
grandes proporciones, ante lo cual con el apoyo del Centro de
Educacin y Capacitacin del Campesinado del Azuay (CECCA) y la
Iglesia, a fin de mejorar su situacin se plante como alternativas, crear
una Cooperativa, de esta manera el 27 de mayo de 1996 nace La
Cooperativa de Ahorro y Crdito Jardn Azuayo mediante el acuerdo
0836 del Ministerio de Bienestar Social e ingres a la Superintendencia
de Bancos y Seguros en enero del 2007. Empez con 120 socios
fundadores.
La reconstruccin fue una oportunidad para plantear un nuevo estilo de
desarrollo con una base en la comunidad que permita mejorar sus
formas de producir, se potencie sus capacidades, transforme el ahorro
local y extra local en crditos que dinamicen las condiciones de vida del
socio (a) y su entorno.
Jardn Azuayo trabaja de manera sostenible y solvente, generando
nuevos actores sociales con conciencia ciudadana, solidaria y global,
profundizando la confianza, apoyada en sus directivas locales, que
permiten consolidarse como una institucin propia en cada lugar en el
que est presente.
Actualmente Jardn Azuayo cuenta con 27 oficinas ubicadas en las
provincias de Azuay, Caar, Morona Santiago, Loja y El Oro, (30 puntos
de atencin) y ms de 205.000 socios. Cada oficina est conformada
Autores:
Antonio Lucero G.
John Valverde P.
17
UNIVERSIDAD DE CUENCA
Misin
informacin e
con
interaccin
organizacin,
en
redes
participacin,
comunicacin,
Institucionales.
Desarrollamos
productos y servicios
tecnologa adecuada,
cobertura nacional e
internacional,
que
regiones.
Visin
Objetivos Generales
www.jardinazuayo.fin.ec
La Misin, Visin, Principios y Valores fue tomado del Plan Estratgico 2009-2013
Autores:
Antonio Lucero G.
John Valverde P.
2
18
UNIVERSIDAD DE CUENCA
1.1.2.4.
Valores:
Transparencia.- mostramos como somos-sin reservas. Hace relacin a
la tica, entendiendo como la lgica de lo racional, la actuacin con la
verdad, en cuyo fortalecimiento es importante la socializacin de la
informacin y la capacitacin.
Honestidad.- claridad, transparencia, cumplimiento. Expresado a travs
de la realizacin del trabajo diario, que se realiza con absoluta claridad
para ayudar al crecimiento de quienes lo reciben y tambin de quienes lo
generan.
Compromiso.- apropiarnos de las responsabilidades adquiridas. Exige
fortalecer la gobernabilidad, entendida como la capacidad y compromiso
de los consejos directivos por enfrentar los cambios y generar
condiciones para el cumplimiento del presente plan estratgico. Sin duda
que elevar la conviccin y compromiso, es un proceso continuo de
mejoramiento, en ello juega un rol importante la capacitacin y los
sistemas de comunicacin como herramientas que generan implicacin
social, pues sin ello, toda programacin ser una propuesta cargada de
buena voluntad social.
Responsabilidad.- cumplir oportunamente con nuestros deberes y
derecho. Expresada a travs del trabajo en equipo (Directivos,
Autores:
Antonio Lucero G.
John Valverde P.
19
UNIVERSIDAD DE CUENCA
Autonoma e independencia
Autores:
Antonio Lucero G.
John Valverde P.
20
UNIVERSIDAD DE CUENCA
21
UNIVERSIDAD DE CUENCA
clasificacin de activos:
1.1.5.2.
Terreno
Edificio
Vehculos
Muebles y Enseres
Equipo de Oficina
Equipo de Computacin
Comunicacin
Recursos Humanos.-
www.jardinazuayo.fin.ec
Autores:
Antonio Lucero G.
John Valverde P.
22
UNIVERSIDAD DE CUENCA
PROVINCIAS
Azuay
Caar
Morona Santiago
Loja
El Oro
OFICINA/VENTANILLA
N EMPLEADOS
Chordeleg
Cuenca
16
El Valle
Ricaurte
Totoracocha
Yanuncay
Gualaceo
11
Nabn - Shia
Oa
Paute (Matriz)
14
Pucar
San Fernando
Santa Isabel
Sigsig
12
Azogues
Caar
El tambo
La Troncal
13
Suscal
Gualaquiza
10
Macas
13
Mndez
Suca
Saraguro
Pasaje
11
COORDINACIN
81
Total
289
23
UNIVERSIDAD DE CUENCA
1.1.5.3.
Ahorro a la Vista
Certificados de Depsitos
Mi alcanca Segura
b) Crdito.-
1.1.5.4.
Crdito Ordinario
Crdito Extraordinario
Recursos
Tecnolgicos.-
los
principales
recursos
de
la
Institucin son:
Internet
Hardware:
- Servidor de Base de Datos
- Computadoras de escritorio, porttiles
- Impresoras matriciales y laser, entre otros
Autores:
Antonio Lucero G.
John Valverde P.
24
UNIVERSIDAD DE CUENCA
1.2.
ASPECTOS CONCEPTUALES
Confidencialidad.-
certeza
de
que
la
informacin
llegue
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.7
Autores:
Antonio Lucero G.
John Valverde P.
25
UNIVERSIDAD DE CUENCA
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.8
6
Ibd.
Autores:
26
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.8
Autores:
27
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Introduccin a MAGERIT
Breve conceptualizacin
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio
Administraciones Pblicas, Espaa, p.6
9
Ibd.
10
http://www.ar-tools.com/index.html
11
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio
Administraciones Pblicas, Espaa, p.6,7
Autores:
Antonio Lucero G.
John Valverde P.
de
de
de
de
28
UNIVERSIDAD DE CUENCA
Directos:
1. Concienciar a los responsables de los sistemas de informacin
de la existencia de riesgos y de la necesidad de atajarlos a
tiempo.
2. Ofrecer un mtodo sistemtico para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
Indirectos:
4. Preparar a la organizacin para procesos de evaluacin,
auditoria, certificacin o acreditacin, segn corresponda en cada
caso.
Elementos de MAGERIT v.2 12
1.2.2.4.
produciendo
daos
materiales
perdidas
12
http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistemas_informacion.pdf
Autores:
Antonio Lucero G.
John Valverde P.
29
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
30
UNIVERSIDAD DE CUENCA
MAGERIT permite: 13
Riesgos
es
una
aplicacin
informtica
desarrollada
bajo
en
la
actualidad
tambin
en
organismos
no
gubernamentales.
13
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&
iniciativa=184
Autores:
31
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Objetivos de PILAR14
seguridad
(confidencialidad,
integridad,
disponibilidad,
autenticidad y trazabilidad)
14
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&
iniciativa=161
15
MNDEZ, Andrs, MAAS, Jos Antonio, 2010, MANUAL DE USUARIO PILAR BASIC versin 4.4,
Ministerio de Administraciones Pblicas, Espaa, p. 5
Autores:
32
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
CAPTULO 2
PLANIFICACIN DEL PROYECTO
2.1.
OBJETIVOS
Estudio de oportunidad
Determinacin del alcance del proyecto
16
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.38
Autores:
Antonio Lucero G.
John Valverde P.
33
UNIVERSIDAD DE CUENCA
2.2.
ESTUDIO DE OPORTUNIDAD
Autores:
Antonio Lucero G.
John Valverde P.
34
UNIVERSIDAD DE CUENCA
35
UNIVERSIDAD DE CUENCA
2.5.
vulnerabilidades,
impactos,
salvaguardas
existentes,
siempre existe
36
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
37
UNIVERSIDAD DE CUENCA
CAPTULO 3
ANLISIS DE RIESGOS
Como es de conocimiento general, toda organizacin se encuentra
expuesta a riesgos; debido a que no existe un entorno 100% seguro, ya que
la exposicin de riesgos es constante. Por tal motivo toda organizacin
deber estar alerta a cualquier cambio o situacin extraa y que considera
que podra afectar negativamente a un activo, a un dominio o a toda su
organizacin.
Esta etapa se constituye en el ncleo central de MAGERIT, y su correcta
aplicacin condiciona la validez y utilidad de todo el proyecto.
Objetivos del Anlisis de Riesgos:
1. Identificar los activos relevantes que poseen la organizacin
2. Identificar las amenazas a las que estn expuestos dichos activos
3. Determinar si existen salvaguardas para los activos
4. Estimar el impacto si una amenaza llegara a materializarse
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de
protegidos se encuentran los activos evaluando de manera metdica para
llegar a conclusiones con fundamento.
Elementos del Anlisis de Riesgos:
1. Activos, no son ms que los elementos del sistema de informacin (o
las que se encuentran relacionado con este) que generan valor a la
organizacin.
2. Amenazas, son eventos que les puede pasar a los activos
provocando daos a la organizacin.
3. Salvaguardas, son mecanismos de defensa utilizados para que
aquellas amenazas no causen tanto dao.
Con los elementos anteriormente mencionados se puede identificar:
1. El impacto, lo que podra pasar
2. El riesgo, lo que probablemente pase
Autores:
Antonio Lucero G.
John Valverde P.
38
UNIVERSIDAD DE CUENCA
3.1.
IDENTIFICACIN DE ACTIVOS
Autores:
Antonio Lucero G.
John Valverde P.
39
UNIVERSIDAD DE CUENCA
Las
instalaciones
que
acogen
equipos
informticos
de
comunicaciones.
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.17
Autores:
40
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Telefona IP
Portal web
Acceso Remoto
Internet
Para los usuarios externos, la institucin cuenta con los siguientes servicios:
Ahorro
Crdito
Cajero automtico
Otros - pagos:
- Planillas de telfono (Pacifictel - CNT)
- Planillas de luz
- Pensiones
- SOAT
- Recaudacin Otecel (movistar)
- RISE
- Sueldos a empleados
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.6
Autores:
41
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Ofimtica
Antivirus
Otros software:
- BP Wind
- Proyect
- Paquete de Adobe
- My SQL
- VLC
- Paquete de Photoshop
19
Equipos virtuales
Router
Switch
Radios
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.8
20
Ibd., p.9
Autores:
42
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Firewall
Computadores de escritorio
Computadores porttiles
Impresoras a laser
Impresoras matriciales
Equipos de contingencia:
- Cmaras fotogrficas
- GPS
Telefona IP
Red LAN
Red WWAN
Internet
21
Dispositivos USB
Material impreso
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.10
22
Ibd.
Autores:
43
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Microfilm
Discos formato CD
Fuentes de alimentacin
Generador elctrico
Equipo de climatizacin
Cableado de datos
Robots
Mobiliario
Caja Fuerte
23
IRNET
COOPSEGUROS
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.10
Autores:
44
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Red COONECTA
Ventanilla compartida
se
denomina
Unidad
de
Sistemas,
Redes
24
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.11
25
Ibd.
Autores:
45
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
3.2.
IDENTIFICACIN DE AMENAZAS
DEGRADACIN
25%
Poco
50%
Medio
75%
Alto
100%
Muy Alto
27
26
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.102
27
Ibd., p.22
Autores:
46
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
FRECUENCIA
360
A diario
12
Mensualmente
Cuatro veces al ao
Dos veces al ao
Una vez al ao
1/12
ACTIVOS
-Ahorro
-Crdito
CAPA DEL
NEGOCIO
-Cajero
automtico
28
AMENAZAS
-Corte de suministro elctrico
-Fallo de servicios de
comunicaciones
-Errores del administrador
-Corte de suministro elctrico
-Fallo de servicios de
comunicaciones
-Errores del usuario
-Desastres naturales
-Acceso no autorizado
-Ataque destructivo
-Avera de origen fsico o
lgico
-Corte de suministro elctrico
-Condiciones inadecuadas de
temperatura o humedad
-Fallo de servicios de
comunicaciones
-Errores del administrador
-Suplantacin de la identidad
del usuario
FRECUEN
CIA
1
DEGRADA
CIN
25%
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.27
Autores:
47
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Telefona IP
SERVICIOS
INTERNOS
-Portal Web
-Acceso Remoto
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
-Desastres naturales
-Avera de origen fsico o
lgico
-Falla de servicios de
comunicaciones
-Degradacin de los soportes
de almacenamiento de la
informacin
-Emanaciones
electromagnticas
-Errores de los usuarios
-Errores de configuracin
-Errores de reencaminamiento
-Errores de mantenimiento/
actualizacin de programas
(software)
-Errores de mantenimiento/
actualizacin de equipos
(hardware)
-Manipulacin de la
configuracin
-Uso no previsto
FRECUEN
CIA
2
DEGRADA
CIN
25%
-Desastres naturales
-Acceso no autorizado
-Avera de origen fsico o
lgico
-Corte del suministro elctrico
- Falla de servicios de
comunicaciones
-Errores del administrador
-Suplantacin de la identidad
del usuario
- Errores del administrador
-Degradacin de la
informacin
-Divulgacin de la
informacin
-Suplantacin de la identidad
del usuario
-Acceso no autorizado
-Destruccin de la
informacin
-Ataque destructivo
48
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
-Servicio de
archivo
compartido por
iFolder
Autores:
Antonio Lucero G.
John Valverde P.
-Fuego
-Avera de origen fsico o
lgico
- Falla de servicios de
comunicaciones
-Interrupcin de otros
servicios o suministros
esenciales
-Degradacin de los soportes
de almacenamiento de la
informacin
-Fugas de informacin
-Alteracin de la informacin
-Destruccin de la
informacin
-Errores de mantenimiento/
actualizacin de programas
(software)
-Suplantacin de la identidad
del usuario
-Introduccin de falsa
informacin
-Destruccin de la
informacin
-Denegacin de servicio
49
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Internet
-FISJA
APLICACIO
NES
-Ofimtica
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
25%
50
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Antivirus
-Otros software
-Servidor de
Base de Datos
EQUIPOS
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN DEGRADA
CIA
CIN
50%
51
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
-Introduccin de falsa
informacin
-Indisponibilidad del personal
-Fuego
-Avera de origen fsico o
lgico
-Corte del suministro elctrico
-Condiciones inadecuadas de
temperatura o humedad
-Fallo de servicios de
comunicaciones
-Degradacin de los soportes
de almacenamiento de la
informacin
-Errores del administrador
-Errores de configuracin
-Errores de mantenimiento/
actualizacin de programas
(software)
-Equipos virtuales -Errores de mantenimiento/
actualizacin de equipos
(hardware)
-Cada del sistema por
agotamiento fsico de
recursos
-Indisponibilidad del personal
-Manipulacin de la
configuracin
-Robo de equipos
-Daos por agua
-Corte de suministro elctrico
-Errores de mantenimiento/
actualizacin de programas
(software)
-Manipulacin de la
-Router
configuracin
-Abuso de privilegios y
acceso
-Acceso no autorizado
-Robo de equipos
-Ataque destructivo
Autores:
Antonio Lucero G.
John Valverde P.
52
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Switch
-Radios
-Firewall
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
-Fuego
-Daos por agua
-Corte de suministro elctrico
-Errores de mantenimiento/
actualizacin de programas
(software)
-Abuso de privilegios de
acceso
-Acceso no autorizado
-Introduccin de falsa
informacin
-Robo de equipos
-Ataque destructivo
-Fuego
-Dao por agua
-Avera de origen fsico o
lgico
-Corte del suministro elctrico
-Errores de mantenimiento/
actualizacin de programas
(software)
-Prdida de equipos
-Manipulacin de la
configuracin
-Suplantacin de l identidad
del usuario
-Abuso de privilegios de
acceso
-Acceso no autorizado
-Modificacin de informacin
-Robo de equipos
53
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Computadoras
de escritorio
-Computaras
porttiles
-Impresora a
laser
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
-Fuego
-Daos por agua
-Corte del suministro elctrico
-Errores de los usuarios
-Errores del administrador
-Errores de configuracin
-Difusin de software daino
-Errores de mantenimiento/
actualizacin de equipos
(hardware)
-Perdida de equipos
-Manipulacin de la
configuracin
-Suplantacin de la identidad
del usuario
-Fuego
-Daos por agua
-Corte del suministro elctrico
-Errores de los usuarios
-Errores del administrador
-Errores de configuracin
-Difusin de software daino
-Errores de mantenimiento/
actualizacin de equipos
(hardware)
-Perdida de equipos
-Manipulacin de la
configuracin
-Suplantacin de la identidad
del usuario
-Daos por agua
-Avera de origen fsico o
lgico
-Interrupcin de otros
servicios o suministros
esenciales
-Errores de los usuarios
-Errores de configuracin
-Manipulacin de la
configuracin
-Prdida de equipos
54
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Impresora
matricial
-Equipos de
contingencia
-Telefona IP
COMUNICA
CIONES
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
25%
-Fuego
-Daos por agua
-Avera de origen fsico o
lgico
-Interrupcin de otros
servicios o suministros
esenciales
-Errores de los usuarios
-Errores de configuracin
-Manipulacin de la
configuracin
-Prdida de equipos
-Daos por agua
-Condiciones inadecuadas de
temperatura o humedad
-Errores de los usuarios
-Prdida de equipos
-Robo de equipos
-Desastres naturales
-Avera de origen fsico o
lgico
-Falla de servicios de
comunicaciones
-Degradacin de los soportes
de almacenamiento de la
informacin
-Emanaciones
electromagnticas
-Errores de los usuarios
-Errores de configuracin
-Errores de reencaminamiento
-Errores de mantenimiento/
actualizacin de programas
(software)
-Errores de mantenimiento/
actualizacin de equipos
(hardware)
-Manipulacin de la
configuracin
-Uso no previsto
-Interceptacin de
informacin (escucha)
55
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Red LAN
-Red WWAN
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
56
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Internet
-Fuentes de
alimentacin
-Sistema de
alimentacin
ininterrumpida
ELEMENTO
S
AUXILIARES
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
25%
-Desastres naturales
-Avera de origen fsico o
lgico
-Errores de los usuarios
-Errores de configuracin
-Errores de mantenimiento/
actualizacin de programas
(software)
-Errores de mantenimiento/
actualizacin de equipo
(hardware)
-Desastres naturales
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
-Errores de mantenimiento/
actualizacin de programas
(software)
-Errores de mantenimiento/
actualizacin de equipo
(hardware)
57
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Generador
elctrico
-Equipo de
climatizacin
-Cableado de
datos
-Robots
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
-Desastres naturales
-Desastres industriales
-Contaminacin mecnica
-Avera de origen fsico o
lgico
-Errores de los usuarios
-Errores de configuracin
-Errores de mantenimiento/
actualizacin de equipo
(hardware)
-Desastres naturales
-Desastres industriales
-Avera de origen fsico o
lgico
-Corte de suministro elctrico
-Errores de los usuarios
-Errores de configuracin
-Errores de mantenimiento/
actualizacin de equipo
(hardware)
-Desastres naturales
-Contaminacin mecnica
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Condiciones inadecuadas de
temperatura o humedad
-Deficiencias en la
organizacin
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
-Desastres naturales
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
58
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Mobiliario
-Caja Fuerte
-Otros
equipamientos
auxiliares
SERVICIOS
SUBCONTR
ATADOS
-IRNET
-COOPSEGURO
-RED
COONECTA
-Ventanilla
Compartida
INSTALACIO
NES
-Unidad de
sistemas, redes y
telecomunicacion
es
Autores:
Antonio Lucero G.
John Valverde P.
AMENAZAS
FRECUEN
CIA
DEGRADA
CIN
1/12
25%
1/12
25%
-Desastres naturales
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
-Desastres naturales
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
-Desastres naturales
-Contaminacin
electromagntica
-Corte de suministro elctrico
-Falla de servicio de
comunicaciones
-Emanaciones
electromagnticas
-Errores de los usuarios
-Errores de los usuarios
-Fugas de informacin
-Cada del sistema por
agotamiento de recursos
-Acceso no autorizado
-Errores de los usuarios
-Errores de la configuracin
-Suplantacin de la identidad
del usuario
-Errores del administrador
-Errores de la configuracin
-Fuego -Daos por agua
-Cortes de suministro
elctrico
-Condiciones inadecuadas de
temperatura o humedad
-Deficiencias en la
organizacin
59
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
AMENAZAS
-Administracin
de Base de datos
(produccinpruebas)
-Deficiencia de la
organizacin
-Divulgacin de la
informacin
-Extorcin
-Ingeniera social
-Infraestructura y -Deficiencia de la
Telecomunicacio organizacin
nes
- Divulgacin de la
informacin
-Extorcin
-Ingeniera social
-Desarrolladores/ -Deficiencia de la
PERSONAL Programadores
organizacin
- Divulgacin de la
informacin
-Extorcin
-Ingeniera social
-Ingeniera de
-Deficiencia de la
software
organizacin
- Divulgacin de la
informacin
-Extorcin
-Ingeniera social
-Soporte a
-Deficiencia de la
usuarios
organizacin
- Divulgacin de la
informacin
-Extorcin
-Ingeniera social
Tabla 3-3: Identificacin de Amenazas
Elaborado por: autores
3.3.
FRECUEN
CIA
n/a
DEGRADA
CIN
n/a
IDENTIFICACIN DE SALVAGUARDAS
seguridad
que
estos
ofrecen
(Disponibilidad,
Integridad,
http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistemas_informacion.pdf
Autores:
Antonio Lucero G.
John Valverde P.
60
UNIVERSIDAD DE CUENCA
-Cajero Automtico
-Telefona IP
-Portal Web
-Acceso Remoto
SERVICIOS
INTERNOS
-Servidor de correo
electrnico Zimbra
-Servicio de archivo
compartido por
iFolder
-Internet
Autores:
Antonio Lucero G.
John Valverde P.
-Disponibilidad
Confidencialidad
-Autenticidad
-Trazabilidad
UNIVERSIDAD DE CUENCA
CAPAS
APLICACIO
NES
ACTIVOS
-FISJA
-Office
-Antivirus
-Otros software
-Servidor de Base
de Datos
-Equipos virtuales
-Router
-Switch
EQUIPOS
-Radios
-Firewall
-Computadoras de
escritorio
-Computaras
porttiles
-Impresora a laser
-Impresora matricial
-Equipos de
contingencia
-Telefona IP
-Red LAN
-Red WWAN
COMUNICA
CIONES
-Internet
Autores:
Antonio Lucero G.
John Valverde P.
SALVAGUARDAS
-Proteccin del equipo dentro de
la organizacin
-Stand By
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Stand By
-RMAN
-Proteccin del equipo dentro de
la organizacin
-Claves
-Interruptor de reseteo
- Proteccin del equipo dentro de
la organizacin
-Claves
- Proteccin del equipo dentro de
la organizacin
-Acceso remoto
- Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Proteccin del equipo dentro de
la organizacin
-Subnetting
-Seguridad del equipo
-Filtrado de redes
-Paquetes y puertos
-Filtrado de contenido
-Firewall
-SSL para Https
DIMENSIN
-Disponibilidad
-Integridad
-Autenticidad
-Trazabilidad
-Disponibilidad
Confidencialidad
-Autenticidad
-Disponibilidad
Confidencialidad
62
UNIVERSIDAD DE CUENCA
CAPAS
ACTIVOS
-Fuentes de
alimentacin
-Sistema de
alimentacin
ininterrumpida
-Generador elctrico
-Equipo de
climatizacin
-Cableado de datos
ELEMENTO
S
AUXILIARE
S
-Robots
-Mobiliario
-Caja Fuerte
-Otros
equipamientos
auxiliares
-IRNET
SERVICIOS
SUBCONTR
ATADOS
-COOPSEGUROS
-RED COONECTA
-VENTANILLA
COMPARTIDA
INSTALACI
ONES
-Unidad de
sistemas, redes y
telecomunicaciones
Autores:
Antonio Lucero G.
John Valverde P.
SALVAGUARDAS
-Recarga de bateras
DIMENSIN
-Disponibilidad
-Autenticidad
63
UNIVERSIDAD DE CUENCA
CAPAS
PERSONAL
ACTIVOS
-Administracin de
Base
de datos
(produccinpruebas)
-Infraestructura y
Telecomunicaciones
-Desarrolladores/
programadores
-Ingeniera de
software
-Soporte a usuarios
SALVAGUARDAS
-Plan de contingencia
DIMENSIN
-Integridad
Confidencialidad
-Autenticidad
- Plan de contingencia
- Plan de contingencia
- Plan de contingencia
- Plan de contingencia
IDENTIFICACIN DE VULNERABILIDADES
30
http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistemas_informacion.pdf
Autores:
Antonio Lucero G.
John Valverde P.
64
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
65
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
66
UNIVERSIDAD DE CUENCA
3.5.
IDENTIFICACIN DE IMPACTOS
Alto
4-7
Medio
CRITERIO
Dao grave a la organizacin
Dao
importante
la
organizacin
1-4
0-1
Bajo
Autores:
Antonio Lucero G.
John Valverde P.
67
UNIVERSIDAD DE CUENCA
DISPONIBILIDAD
Es el aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requiera a la informacin y a sus activos asociados.
Indica la repercusin que tendra en la institucin el hecho de que se dejara
de prestar el servicio
ALTO
Impida la investigacin de delitos graves o facilite su comisin
Probablemente cause una interrupcin seria de las actividades propias de
la organizacin con un impacto significativo en otras organizaciones
Administracin y gestin: problamente impedira la operacin efectiva de
la organizacin
Probablemente causara una publicidad negativa generalizada por afectar
gravemente a las relaciones con el pblico en general
Intereses comerciales o econmicos: de alto inters para la competencia,
causa de graves prdidas econmicas
Obligaciones legales: probablemente cause un imcumplimiento grave de
una ley o regulacin
Informacin personal: probablemente afecte gravemente a un grupo de
individuos
Seguridad: probablemente sea causa de un grave incidente de seguridad o
dificulte la investigacin de incidentes graves
INTEGRIDAD
Es la garantia de la exactitud y completitud de la informacin y los mtodos
de su procesamiento.
Indica la repercusin que tendra en la institucin el hecho de que la
informacin que se maneja para prestar el servicio fuera incorrecta o
imcompleta
Autores:
Antonio Lucero G.
John Valverde P.
68
UNIVERSIDAD DE CUENCA
ALTO
Impida la investigacin de delitos graves o facilite su comisin
Administracin y gestin: problamente impedira la operacin efectiva de
la organizacin
Intereses comerciales o econmicos: causa de graves prdidas econmicas
Obligaciones legales: probablemente cause un imcumplimiento grave de
una ley o regulacin
Informacin personal: probablemente afecte gravemente a un grupo de
individuos
CONFIDENCIALIDAD
Es el aseguramiento de que la informacin es accesible slo para aquellos
autorizados a tener acceso.
Indica la repercusin que tendra en la institucin el hecho de que la
informacin que se maneja para prestar el servicio fuera accedida por
personas no autorizadas
MEDIO
Probablemente sea causa una cierta publicidad negativa: por afectar
negativamente a las relaciones con otras organizaciones, por afectar
negativamente a las relaciones con el pblico
Intereses comerciales o econmicos: de cierto inters para la
competencia, de cierto valor comercial
Informacin personal: probablemente quebrante leyes o regulaciones
AUTENTICIDAD
Es es aseguramiento de la identidad u origen .
Indica la repercusin que tendra en la institucin el hecho de que no se
pudiera confirmar la identidad de quin accedi al servicio o a la informacin
Autores:
Antonio Lucero G.
John Valverde P.
69
UNIVERSIDAD DE CUENCA
ALTO
Administracin y gestin: problamente impedira la operacin efectiva de
la organizacin
Probablemente causara una publicidad negativa generalizada por afectar
gravemente a las relaciones con otras organizaciones, con el pblico en
general
Intereses comerciales o econmicos: causa de graves prdidas econmicas
Obligaciones legales: probablemente cause un imcumplimiento grave de
una ley o regulacin
Informacin personal: probablemente afecte gravemente a un grupo de
individuos
Informacin personal: probablemente quebrate seriamente la ley o algn
reglamento de proteccin de informacin personal
Seguridad: probablemente sea causa de un grave incidente de seguridad o
dificulte la investigacin de incidentes graves
TRAZABILIDAD
Es el aseguramiento de que en todo momento se podr determinar quin
hizo qu y en qu momento.
Indica la repercusin que tendra en la institucin el hecho de que no se
pudiera conocer a quin se le presta un servicio o a que informacin y
cuando accedi un usuario
MEDIO
Probablemente cause la interrupcin de actividades propias de la
organizacin con impacto en otras organizaciones
Intereses comerciales o econmicos: causa de graves prdidas financieras
o mermas de ingresos, facilita ventajas desproporcionadas a individuos u
organizaciones, constituye un incumplimiento leve de obligaciones
contractuales para mantener la seguridad de la informacin
proporcionada por terceros
Informacin personal: probablemente afecte a un grupo de individuos
Dificulte la investigacin o facilite la comisin de delitos
Autores:
Antonio Lucero G.
John Valverde P.
70
UNIVERSIDAD DE CUENCA
3.6.
En esta actividad, luego del anlisis de los activos en lo que se refiere a las
amenazas, salvaguardas existentes, vulnerabilidades e identificacin de
impactos, se identificar los activos que poseen niveles de riesgo
considerables.
La escala para calificar los riesgos de acuerdo a la herramienta aplicada
PILAR Basic son:
[5] Critico
[3] Alto
[2] Medio
[1] Bajo
[0] Despreciable
DESPRECIABLE
[0]
BAJO
[1]
NIVEL DE RIESGO
MEDIO
ALTO MUY ALTO
[2]
[3]
[4]
CRTICO
[5]
DIMENSIONES
ACTIVOS
Ahorro
3.2
2.8
1.0
3.4
0.8
Crdito
3.2
2.8
1.0
3.4
0.8
Cajero automtico
3.2
2.8
1.0
3.4
0.8
Autores:
Antonio Lucero G.
John Valverde P.
71
UNIVERSIDAD DE CUENCA
NIVEL DE RIESGO
BAJO MEDI ALTO
[1]
O
[3]
[2]
DESPRECIA
BLE
[0]
MUY
ALTO
[4]
CRTIC
O
[5]
DIMENSIONES
ACTIVOS
Telefona IP
3.1
2.7
0.9
3.3
0.7
Portal Web
3.3
2.9
1.1
3.5
0.8
Acceso Remoto
3.2
2.8
1.0
3.4
0.7
3.1
2.7
0.9
3.3
0.6
3.2
2.8
1.0
3.4
0.7
1.9
2.4
0.7
2.6
0.8
3.3
2.3
1.0
2.8
0.7
1.9
2.4
0.7
2.6
0.8
Antivirus
3.2
2.5
1.0
2.7
1.0
Otros Software
3.2
2.5
1.0
2.7
1.0
2.9
1.7
0.0
1.8
0.0
Equipos virtuales
2.2
0.0
0.0
1.2
0.0
Router
2.9
0.0
0.0
1.2
0.0
Switch
2.9
0.0
0.0
1.2
0.0
Radios
2.9
0.0
0.0
1.2
0.0
Firewall
2.9
0.0
0.0
1.2
0.0
Computadoras de escritorio
2.9
0.0
0.0
1.2
0.0
Computadoras porttiles
2.8
0.0
0.0
1.2
0.0
Impresora a laser
2.3
0.0
0.0
1.3
0.0
Impresora matricial
3.0
0.0
0.0
1.3
0.0
Equipos de contingencia
2.9
0.0
0.0
1.2
0.0
Servicios Internos
Equipamiento:
Aplicaciones
Sistema Financiero
Jardn Azuayo
Ofimtica
Integrado
Equipos
Autores:
Antonio Lucero G.
John Valverde P.
72
UNIVERSIDAD DE CUENCA
DESPRECIA
BLE
[0]
NIVEL DE RIESGO
BAJO MEDI ALTO
[1]
O
[3]
[2]
MUY
ALTO
[4]
CRTIC
O
[5]
DIMENSIONES
ACTIVOS
Telefona IP
3.2
0.4
0.5
2.2
0.1
Red LAN
3.0
0.2
0.2
1.9
0.0
Red WWAN
3.0
0.2
0.2
1.9
0.0
Internet
1.9
0.2
0.0
2.0
0.0
Elementos Auxiliares
Fuentes de alimentacin
2.9
0.0
0.0
0.0
0.0
Sistema
de
alimentacin
ininterrumpida
Generador elctrico
1.1
0.0
0.0
0.0
0.0
1.1
0.0
0.0
0.0
0.0
Equipo de climatizacin
1.1
0.0
0.0
0.0
0.0
Cableado de datos
3.8
0.0
0.0
0.7
0.0
Robots
2.9
0.0
0.0
0.7
0.0
Mobiliario
2.9
0.0
0.0
0.7
0.0
Caja fuerte
2.9
0.0
0.0
0.7
0.0
2.9
0.0
0.0
0.7
0.0
IRNET
3.2
2.8
1.0
3.3
0.7
COOP Seguros
3.2
2.8
1.0
3.3
0.7
RED COONECTA
3.2
2.8
1.0
3.4
0.8
Ventanilla compartida
3.2
2.8
1.0
3.4
0.7
2.6
1.9
0.1
2.0
0.2
1.5
2.0
0.3
2.0
0.3
1.5
2.0
0.3
2.0
0.3
Comunicaciones
Servicios subcontratados
Instalaciones
Autores:
Antonio Lucero G.
John Valverde P.
73
UNIVERSIDAD DE CUENCA
DESPRECIA
BLE
[0]
NIVEL DE RIESGO
BAJO MEDI ALTO
[1]
O
[3]
[2]
MUY
ALTO
[4]
CRTIC
O
[5]
DIMENSIONES
ACTIVOS
Desarrolladores / programadores
1.5
2.0
0.3
2.0
0.3
Ingeniera de software
0.0
0.2
0.0
0.3
0.0
Soporte a usuarios
0.6
0.8
0.0
0.8
0.0
Autores:
Antonio Lucero G.
John Valverde P.
74
UNIVERSIDAD DE CUENCA
CAPTULO 4
GESTIN DE RIESGOS
La gestin de riesgos es la estructuracin de las acciones de seguridad
para satisfacer las necesidades detectadas por el anlisis.
En coordinacin con los objetivos, estrategias y polticas de la organizacin,
las actividades de gestin de riesgo permiten elaborar un plan de seguridad
que, implantado y operado, satisfaga los objetivos propuestos con el nivel
de riesgo que acepta la direccin.
Por lo tanto, constituyendo los sistemas de informacin un elemento clave
para el xito empresarial, se hace necesario disponer de sistemas de
proteccin adecuados frente a sus amenazas internas y externas, con el fin
de asegurar su adecuado uso, as como para reducir y evitar posibles
responsabilidades laborales, civiles y/o penales.
Las salvaguardas en esta fase son fundamentales, entendindolas como
aquellos procedimientos o mecanismos tecnolgicos que reducen el
riesgo. 31
La gestin de riesgos es la seleccin e implantacin de salvaguardas para
para
conocer,
prevenir,
impedir,
reducir
controlar
los
riesgos
identificados. 32
En la siguiente figura se indica cmo influyen las salvaguardas en la gestin
de riesgo:
31
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.108
32
Ibd., p.105
Autores:
75
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Se gestiona para:
Preservar
los
confidencialidad,
principios
fundamentales
integridad,
de
disponibilidad,
la
informacin:
autenticidad
trazabilidad.
76
UNIVERSIDAD DE CUENCA
Salvaguarda preventiva
Salvaguarda de emergencia
Salvaguarda de recuperacin
TOMA DE DECISIONES
Autores:
Antonio Lucero G.
John Valverde P.
77
UNIVERSIDAD DE CUENCA
DESPRECIABLE
[0]
ACTIVOS
Capa del Negocio
NIVEL DE RIESGO
BAJO MEDIO
ALTO
[1]
[2]
[3]
MUY ALTO
[4]
CRTICO
[5]
DIMENSIONES
I
C
A
Cajero automtico
3.2
2.8
1.0
3.4
Servicios Internos
Portal Web
3.3
2.9
1.1
3.5
Equipamiento:
Aplicaciones
Sistema Financiero Integrado
3.3
2.3
1.0
2.8
Jardn Azuayo
Equipos
Servidor de base de datos
2.9
1.7
0.0
1.8
Comunicaciones
Telefona IP
3.2
0.4
0.5
2.2
Red WWAN
3.0
0.2
0.2
1.9
Elementos Auxiliares
Cableado de datos
3.8
0.0
0.0
0.7
Servicios subcontratados
RED COONECTA
3.2
2.8
1.0
3.4
Instalaciones
Unidad de sistemas, redes y
2.6
1.9
0.1
2.0
telecomunicaciones
Personal
1.5
2.0
0.3
2.0
Tabla 4-1: Identificacin de Riesgos Crticos (current)
Elaborado por: autores
Autores:
Antonio Lucero G.
John Valverde P.
T
0.8
0.8
0.7
0.0
0.1
0.0
0.0
0.8
0.2
0.3
78
UNIVERSIDAD DE CUENCA
4.2.
PLAN DE SEGURIDAD
Programa de seguridad
Plan de seguridad
gestin
de
los
activos
con
riesgos crticos.
A continuacin se gestionan los activos con riesgos crticos:
Capa del Negocio
Cajero automtico.- Para este activo, una vez conocidas sus
amenazas y salvaguardas existentes causantes del riesgo, se ha
obtenido:
Autores:
Antonio Lucero G.
John Valverde P.
79
UNIVERSIDAD DE CUENCA
a disponibilidad
generara
que el servicio
quede
Servicios Internos
Portal web.- Para este activo, una vez conocidas sus amenazas y
salvaguardas existentes causantes del riesgo, se ha obtenido:
80
UNIVERSIDAD DE CUENCA
Equipamiento
Aplicaciones
Sistema Financiero Integrado Jardn Azuayo.- Para este activo,
una vez conocidas sus amenazas y salvaguardas existentes
causantes del riesgo, se ha obtenido:
81
UNIVERSIDAD DE CUENCA
Equipos
Servidor de base de datos.- Para este activo, una vez conocidas
sus amenazas y salvaguardas existentes causantes del riesgo, se
ha obtenido:
82
UNIVERSIDAD DE CUENCA
Comunicaciones
Telefona IP.- Para este activo, una vez conocidas sus amenazas
y salvaguardas existentes causantes del riesgo, se ha obtenido:
podran
llegar
tener
un
error
de
re-
Autores:
Antonio Lucero G.
John Valverde P.
83
UNIVERSIDAD DE CUENCA
Implementar
una
prohibicin
de
establecimiento
de
Prohibicin
de
dejar
mensajes
confidenciales
en
contestadoras automticas.
Red WWAN.- Para este activo, una vez conocidas sus amenazas
y salvaguardas existentes causantes del riesgo, se ha obtenido:
de
las
comunicaciones
es
capaz
de
extraer
de trabajos.
Las medidas para reducir el riesgo actual (current) de este activo,
son las siguientes:
Autores:
Antonio Lucero G.
John Valverde P.
84
UNIVERSIDAD DE CUENCA
Elementos auxiliares
Cableado de Datos.- Para este activo, una vez conocidas sus
amenazas y salvaguardas existentes causantes del riesgo, se ha
obtenido:
contaminacin
electromagntica,
condiciones
tambin
podran
generar
para
daos
realizar
los
Autores:
Antonio Lucero G.
John Valverde P.
85
UNIVERSIDAD DE CUENCA
Servicios subcontratados
Red COONECTA.- Para este servicio que presta la Cooperativa,
una vez conocidas sus amenazas y salvaguardas existentes
causantes del riesgo, se ha obtenido:
Autores:
Antonio Lucero G.
John Valverde P.
86
UNIVERSIDAD DE CUENCA
Instalaciones
Unidad de sistemas, redes y telecomunicaciones.- Para este
activo, una vez conocidas sus amenazas y salvaguardas
existentes causantes del riesgo, se ha obtenido:
Autores:
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
Personal
Personal.- los riesgos que abarcan: la administracin de base de
datos (produccin-pruebas), infraestructura y telecomunicaciones,
desarrolladores/programadores, ingeniera de software y soporte
a usuarios, son los siguientes: deficiencia de la organizacin,
divulgacin de informacin, extorcin e ingeniera social.
las
responsabilidades
de
quien
tiene
que
hacer
Implementar
comprobaciones
de
puestos
de
gran
responsabilidad
Autores:
Antonio Lucero G.
John Valverde P.
88
UNIVERSIDAD DE CUENCA
DESPRECIABLE
[0]
NIVEL DE RIESGO
BAJO
MEDIO
ALTO
[1]
[2]
[3]
ACTIVOS
Capa del Negocio
Cajero automtico
Servicios Internos
Portal Web
Equipamiento:
Aplicaciones
Sistema Financiero Integrado
Jardn Azuayo
Equipos
Servidor de base de datos
Comunicaciones
Telefona IP
Red WWAN
Elementos Auxiliares
Cableado de datos
Servicios subcontratados
RED COONECTA
Instalaciones
Unidad de sistemas, redes y
telecomunicaciones
Personal
MUY ALTO
[4]
DIMENSIONES
I
C
A
CRTICO
[5]
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.8
0.0
0.0
0.0
0.0
0.5
0.6
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
2.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
89
UNIVERSIDAD DE CUENCA
crticas,
como
tambin
la
de la Informacin)
Al realizar el plan de seguridad se debe considerar los siguientes
aspectos; los activos a tratar, acciones y cronograma, como se describe
a continuacin:
Autores:
Antonio Lucero G.
John Valverde P.
90
UNIVERSIDAD DE CUENCA
de riesgos en donde se
ACTIVO
-Cajero automtico
-Portal web
-FISJA
-Servidor de base de datos
-Telefona IP
-Red WWAN
-Cableado de datos
-Red COONECTA
-Unidad de sistemas de redes
y telecomunicaciones
Cajero automtico
-Portal web
-FISJA
Autores:
Antonio Lucero G.
John Valverde P.
ACCIONES
PLAN DE
CONTINGENCIA DE
LOS ACTIVOS:
1. PLAN DE
EMERGENCIA
RESPONSABLES
TIEMPO
ESTIMADO
Tiempo a
realizar: 12
meses
2. PLAN DE
CONTINUIDAD
91
UNIVERSIDAD DE CUENCA
ACTIVO
-Servidor de base de datos
-Telefona IP
-Red WWAN
-Cableado de datos
-Red COONECTA
-Unidad de sistemas de redes
y telecomunicaciones
Cajero automtico
-Portal web
-FISJA
-Servidor de base de datos
-Telefona IP
-Red WWAN
-Cableado de datos
-Red COONECTA
-Unidad de sistemas de redes
y telecomunicaciones
Personal de:
-Administracin de base de
datos
-Infraestructura y
telecomunicaciones
-Desarrolladores/
Programadores
-Ingeniera de software
-Soporte a usuarios
-Departamento de Riesgos
-Auditor informtico
Personal de:
-Administracin de base de
datos
-Infraestructura y
telecomunicaciones
-Desarrolladores/
Programadores
-Ingeniera de software
-Soporte a usuarios
- Departamento de Riesgos
-Auditor informtico
ACCIONES
RESPONSABLES
TIEMPO
ESTIMADO
3. PLAN DE
RECUPERACIN
PLAN DE
CONCIENCIACIN
DEL USO DE LAS TI
Ing. Guillermo
Cabrera
Coordinador del
rea de sistemas,
Tiempo a
realizar: 6
meses
Ing. Richard
Yunga
Capacitador del
personal - Talento
Humano
PLAN DE
FORMACIN
CONTINUA DE LAS
TI
Ing. Richard
Yunga
Capacitador del
personal - Talento
Humano
Tiempo a
realizar: 6
meses
92
UNIVERSIDAD DE CUENCA
CAPTULO 5
CONCLUSIONES Y RECOMENDACIONES
5.1.
CONCLUSIONES
La
prevencin,
deteccin
mitigacin
de
los
riesgos,
es
Autores:
Antonio Lucero G.
John Valverde P.
93
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
94
UNIVERSIDAD DE CUENCA
5.2.
RECOMENDACIONES
Riesgos,
les
sugerimos
que
constantemente
mantengan
Autores:
Antonio Lucero G.
John Valverde P.
95
UNIVERSIDAD DE CUENCA
Servicios Internos
Portal Web
Autores:
Antonio Lucero G.
John Valverde P.
96
UNIVERSIDAD DE CUENCA
Equipamiento
Aplicaciones
Sistema Financiero Integrado Jardn Azuayo
Mejorar
las
medidas
de
control
de
acceso;
monitorear
la
eficacia
de
la
cooperativa
en
sus
procesos
automticos.
Equipos
Servidor de base de datos
Autores:
Antonio Lucero G.
John Valverde P.
97
UNIVERSIDAD DE CUENCA
Telefona IP
Red WWAN
Soportes de informacin
Autores:
Antonio Lucero G.
John Valverde P.
98
UNIVERSIDAD DE CUENCA
Se
recomienda
implementar
el
Estndar
TIA-942
Servicios subcontratados
Red COONECTA
99
UNIVERSIDAD DE CUENCA
Instalaciones
Unidad de sistemas, redes y telecomunicaciones
Se
recomienda
implementar
el
Estndar
TIA-942
Autores:
Antonio Lucero G.
John Valverde P.
100
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
101
UNIVERSIDAD DE CUENCA
ANEXO 1
FICHAS PARA LA RECOPILACIN DE DATOS
[S] SERVICIOS
NOMBRE:
DESCRIPCIN:
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [anon] annimo (sin requerir identificacin del
CARACTERISTICAS:
usuario)
contractual)
organizacin)
( ) [cont] contratado a terceros (se presta con medios
ajenos)
102
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
.
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
103
UNIVERSIDAD DE CUENCA
[A.18] Destruccin de la
[A.27] Ocupacin enemiga
informacin
[A.28] Indisponibilidad del
[A.19] Divulgacin de informacin
personal
[A.22] Manipulacin de programas
[A.29] Extorsin
[A.24] Denegacin de servicio
[A.30] Ingeniera social
[A.25] Robo de equipos
[A.26] Ataque destructivo
[SW] APLICACIONES (Software)
NOMBRE:
DESCRIPCIN:
CARACTERISTICAS:
...
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [prp] desarrollo propio (in house)
( ) [sub] desarrollo a medida (subcontratado)
( ) [std] estndar (off the shelf)
( ) [browser] navegador web
( ) [www] servidor de presentacin
( ) [app] servidor de aplicaciones
( ) [email_client] cliente de correo electrnico
( ) [email_server] servidor de correo electrnico
( ) [directory] servidor de directorio
( ) [file] servidor de ficheros
( ) [dbms] sistema de gestin de bases de datos
( ) [tm] monitor transaccional
( ) [office] ofimtica
( ) [av] anti virus
( ) [os] sistema operativo
( ) [windows] Windows
( ) [solaris] Solaris
( ) [linux] linux
( ) [other] otros
( ) [ts] servidor de terminales
( ) [backup] sistema de backup
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
104
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
105
UNIVERSIDAD DE CUENCA
[A.18] Destruccin de la
[A.28] Indisponibilidad del
informacin
personal
[A.19] Divulgacin de informacin
[A.29] Extorsin
[A.22] Manipulacin de programas
[A.30] Ingeniera social
[A.24] Denegacin de servicio
[A.25] Robo de equipos
[A.26] Ataque destructivo
[A.27] Ocupacin enemiga
[HW] EQUIPAMIENTO INFORMTICO (Hardware)
NOMBRE:
DESCRIPCIN:
CARACTERSTICAS:
MARCA:..
MODELO:.
VERSION..
AO.
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [host] grandes equipos (host)
( ) [mid] equipos medios
( ) [pc]informtica personal
( ) [vhost]equipos virtuales
( ) [cluster] cluster
( ) [mobile] informtica mvil
( ) [pda]agendas electrnicas
( ) [easy]fcilmente reemplazable
( ) [data] que almacena datos
( ) [peripheral] perifricos
( ) [print] medios de impresin
( ) [scan] escner
( ) [crypto] dispositivo criptogrfico
( ) [other] otros
( ) [bd] dispositivo de frontera
( ) [network] soporte de la red
( ) [modem] mdem
( ) [hub] concentrador
( ) [switch] conmutador
( ) [router] encaminador
( ) [bridge]puente
( ) [gtwy] pasarela
( ) [firewall] cortafuegos
( ) [wap] punto de acceso wireless
( ) [other] otros
( ) [pabx]centralita telefnica
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
106
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
[A.18] Destruccin de la
informacin
107
UNIVERSIDAD DE CUENCA
[COM] COMUNICACIONES
NOMBRE:
DESCRIPCIN:
CARACTERISTICAS:
MARCA:..
CANTIDAD..
MODELO:
..
.
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [PSTN] red telefnica
( ) [ISDN] RDSI (red digital)
( ) [X25] X25 (red de datos)
( ) [ADSL] ADSL
( ) [pp] punto a punto
( ) [radio] red inalmbrica
( ) [wifi] Wifi
( ) [mobile] telefona movil
( ) [sat] por satlite
( ) [LAN] red local
( ) [VLAN] LAN virtual
( ) [MAN] red metropolitana
( ) [WAN] red de rea amplia
( ) [Internet] Internet
( ) [vpn] red privada virtual
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
108
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
109
UNIVERSIDAD DE CUENCA
[A.18] Destruccin de la
[A.28] Indisponibilidad del
informacin
personal
[A.19] Divulgacin de informacin
[A.29] Extorsin
[A.22] Manipulacin de programas
[A.30] Ingeniera social
[A.24] Denegacin de servicio
[A.25] Robo de equipos
[A.26] Ataque destructivo
[A.27] Ocupacin enemiga
[SI] SOPORTES DE INFORMACION
NOMBRE:
DESCRIPCIN:
CARACTERSTICAS:
MARCA:..
CAPACIDAD:
.
CANTIDAD:
..
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [electronic] electrnicos
( ) [disk] discos
( ) [vdisk] discos virtuales
( ) [san] almacenamiento en red
( ) [disquette] disquetes
( ) [cd] cederrn (CD-ROM)
( ) [usb] dispositivos USB
( ) [dvd] DVD
( ) [tape] cinta magntica
( ) [mc] tarjetas de memoria
( ) [ic] tarjetas inteligentes
( ) [other] otros
( ) [non_electronic] no electrnicos
( ) [printed] material impreso
( ) [tape] cinta de papel
( ) [film] microfilm
( ) [cards] tarjetas perforadas
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
110
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
[A.18] Destruccin de la
informacin
111
UNIVERSIDAD DE CUENCA
CARACTERISTICAS:
MARCA:
TIPO..
...
....
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [power] fuentes de alimentacin
( ) [ups] sai - sistemas de alimentacin ininterrumpida
( ) [gen] generadores elctricos
( ) [ac] equipos de climatizacin
( ) [cabling] cableado
( ) [wire] cable elctrico
( ) [fiber] fibra ptica
( ) [robot] robots
( ) [tape] ... de cintas
( ) [disk] ... de discos
( ) [supply] suministros esenciales
( ) [destroy] equipos de destruccin de soportes de informacin
( ) [furniture] mobiliario: armarios, etc
( ) [safe] cajas Fuertes
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
112
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[E.16] Introduccin de falsa
[N] Desastres Naturales
informacin
[N.1] Fuego
[E.17] Degradacin de la
[N.2] Daos por agua
informacin
[N.*]Desastres naturales
[E.18] Destruccin de la
[I] De origen industrial
informacin
[I.1] Fuego
[E.19] Divulgacin de la
[I.2] Daos por agua
informacin
[I.*] Desastres industriales
[E.20] Vulnerabilidad de los
[I.3] Contaminacin mecnica
programas (software)
[I.4] Contaminacin
[E.21] Errores de
electromagntica
mantenimiento /
[I.5] Avera de origen fsico o
actualizacin de
lgico
programas (software)
[I.6] Corte del suministro
[E.23] Errores de
elctrico
mantenimiento/actualizacin
[I.7] Condiciones inadecuadas
de equipos (hardware)
de temperatura o humedad
[E.24] Cada del sistema por
[I.8] Fallo de servicios de
agotamiento de recursos
comunicaciones
[E.25] Perdidas de equipos
[I.9] Interrupcin de otros
[E.28] Indisponibilidad del
servicios o suministros
personal
esenciales
[A] Ataques deliberados
[I.10] Degradacin de los
[A.4] Manipulacin de la
soportes de almacenamiento
configuracin
de la informacin
[A.5] Suplantacin de la
[I.11] Emanaciones
identidad del usuario
electromagnticas
[A.6] Abuso de privilegios de
[E] Errores y fallos no
acceso
intencionados
[A.7] Uso no previsto
[E.1] Errores de los usuarios
[A.8] Difusin de software
[E.2] Errores del administrador
daino
[E.3] Errores de monitorizacin
[A.9] (Re-) encaminamiento de
(log)
mensajes
[E.4] Errores de configuracin
[A.10] Alteracin de secuencia
[E.7] Deficiencias en la
[A.11] Acceso no autorizado
organizacin
[A.12] Anlisis de trafico
[E.8] Difusin de software
[A.13] Repudio
daino
[A.14] Interceptacin de
[E.9] Errores de (reinformacin (escucha)
)encaminamiento
[A.15] Modificacin de
[E.10] Errores de secuencia
informacin
[E.14] Fugas de informacin
[A.16] Introduccin de falsa
[E.15] Alteracin de la
informacin
informacin
Autores:
Antonio Lucero G.
John Valverde P.
113
UNIVERSIDAD DE CUENCA
[A.17] Corrupcin de la
[A.24] Denegacin de servicio
informacin
[A.25] Robo de equipos
[A.18] Destruccin de la
[A.26] Ataque destructivo
informacin
[A.27] Ocupacin enemiga
[A.19] Divulgacin de
[A.28] Indisponibilidad del
informacin
personal
[A.22] Manipulacin de
[A.29] Extorsin
programas
[A.30] Ingeniera social
[SS] SERVICIOS SUBCONTRATADOS
NOMBRE:
DESCRIPCIN:
CARACTERSTICAS:
SERVICIO:.
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
( ) [anon] annimo (sin requerir identificacin del usuario)
( ) [pub] al pblico en general (sin relacin contractual)
( ) [ext] a usuarios externos (bajo una relacin contractual)
( ) [int] interno (usuarios y medios de la propia organizacin)
( ) [cont] contratado a terceros (se presta con medios ajenos)
(
(
(
(
(
(
(
(
(
(
(
(
(
(
Autores:
Antonio Lucero G.
John Valverde P.
114
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
Autores:
Antonio Lucero G.
John Valverde P.
actualizacin de
programas
(software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.19] Divulgacin de informacin
[A.22] Manipulacin de programas
[A.24] Denegacin de servicio
[A.25] Robo de equipos
[A.26] Ataque destructivo
[A.27] Ocupacin enemiga
[A.28] Indisponibilidad del
personal
[A.29] Extorsin
[A.30] Ingeniera social
115
UNIVERSIDAD DE CUENCA
[L] INFRAESTRUCTURA
NOMBRE:
DESCRIPCIN:
CARACTERSTICAS:
TIPO:..
DIRECCIN:.
TELEFONOS:
.
.
.
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
(
(
(
(
) [site] emplazamiento
) [building] edificio
) [local] local
) [mobile] plataformas mviles
( ) [car] vehculo terrestre: coche, camin, etc.
( ) [plane] vehculo areo: avin, etc.
( ) [ship] vehculo martimo: buque, lancha, etc.
( ) [shelter] contenedores
( ) [channel] canalizacin
( ) [other] otros
Autores:
Antonio Lucero G.
John Valverde P.
116
UNIVERSIDAD DE CUENCA
SALVAGUARDAS
EXISTENTES:
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
Autores:
Antonio Lucero G.
John Valverde P.
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
[E.23] Errores de mantenimiento /
actualizacin de equipos
(hardware)
[E.24] Cada del sistema por
agotamiento de recursos
[E.25] Perdidas de equipos
[E.28] Indisponibilidad del
personal
[A] Ataques deliberados
[A.4] Manipulacin de la
configuracin
[A.5] Suplantacin de la identidad
del usuario
[A.6] Abuso de privilegios de
acceso
[A.7] Uso no previsto
[A.8] Difusin de software daino
[A.9] (Re-) encaminamiento de
mensajes
[A.10] Alteracin de secuencia
[A.11] Acceso no autorizado
[A.12] Anlisis de trafico
[A.13] Repudio
[A.14] Interceptacin de
informacin (escucha)
[A.15] Modificacin de
informacin
[A.16] Introduccin de falsa
informacin
[A.17] Corrupcin de la
informacin
[A.18] Destruccin de la
informacin
117
UNIVERSIDAD DE CUENCA
[P] PERSONAL
NOMBRE:
DESCRIPCIN:
CARACTERSTICAS:
RESPONSABLES:
RESPONSABLE:
Tipo (marque todos los adjetivos que procedan):
(
(
(
(
(
(
(
(
(
(
(
AMENAZAS:
[N] Desastres Naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*]Desastres naturales
[I] De origen industrial
Autores:
Antonio Lucero G.
John Valverde P.
[I.1] Fuego
[I.2] Daos por agua
[I.*] Desastres industriales
[I.3] Contaminacin mecnica
118
UNIVERSIDAD DE CUENCA
[I.4] Contaminacin
electromagntica
[I.5] Avera de origen fsico o
lgico
[I.6] Corte del suministro elctrico
[I.7] Condiciones inadecuadas de
temperatura o humedad
[I.8] Fallo de servicios de
comunicaciones
[I.9] Interrupcin de otros
servicios o suministros
esenciales
[I.10] Degradacin de los soportes
de almacenamiento de la
informacin
[I.11] Emanaciones
electromagnticas
[E] Errores y fallos no
intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador
[E.3] Errores de monitorizacin
(log)
[E.4] Errores de configuracin
[E.7] Deficiencias en la
organizacin
[E.8] Difusin de software daino
[E.9] Errores de (re)encaminamiento
[E.10] Errores de secuencia
[E.14] Fugas de informacin
[E.15] Alteracin de la informacin
[E.16] Introduccin de falsa
informacin
[E.17] Degradacin de la
informacin
[E.18] Destruccin de la
informacin
[E.19] Divulgacin de la
informacin
[E.20] Vulnerabilidad de los
programas (software)
[E.21] Errores de mantenimiento /
actualizacin de
programas (software)
Autores:
Antonio Lucero G.
John Valverde P.
119
UNIVERSIDAD DE CUENCA
ANEXO 2
MODELO DE VALOR
proyecto: [AR_JA] ANLISIS Y GESTIN DE RIESGOS DE LOS SISTEMAS
DE INFORMACIN DE LA COOPERATIVA DE AHORRO Y CRDITO
JARDIN AZUAYO
1. Datos del proyecto
AR_JA
ANLISIS Y GESTIN DE RIESGOS DE LOS SISTEMAS
DE INFORMACIN DE LA COOPERATIVA DE AHORRO
Y CRDITO JARDIN AZUAYO
Descripcin
Anlisis a los Sistemas de Informacin
Direccin
Sucre 5-42 entre Hermano Miguel y Mariano Cueva
Benigno Malo 9-75 y Gran Colombia
Telfonos
2840 259
Responsable
Sr. Antonio Jos Lucero Gmez y Sr. John Oswaldo
Valverde Padilla
Organizacin
COOPERATIVA DE AHORRO Y CRDITO JARDN
AZUAYO
Lugar del
Coordinacin y Cuenca
examen
Versin
1
Fecha
21-11-2011
biblioteca
[std] Biblioteca INFOSEC (22.1.2009)
Descripcin
El presente trabajo es realizado en la Cooperativa de Ahorro y Crdito
Jardn Azuayo en la oficia Cuenca y su Coordinacin, la Institucin est
controlada por la Superintendencia de Bancos y Seguros
Licencia
[edu] Universidad de Cuenca
Cuenca - Ecuador
[ ... 1.1.2013]
2. Dimensiones
o [D] disponibilidad
o [I] integridad de los datos
o [C] confidencialidad de los datos
o [A] autenticidad de los usuarios y de la informacin
o [T] trazabilidad del servicio y de los datos
3. Dominios de seguridad
dominio de seguridad
[D] [I] [C] [A] [T]
[base] COAC Jardn Azuayo A A M A M
Autores:
Antonio Lucero G.
John Valverde P.
120
UNIVERSIDAD DE CUENCA
4. Activos
4.1. Capa - [B] Capa de negocio
[AH_JA] AHORRO
[CR_JA] CRDITO
[CA_JA] CAJERO AUTOMTICO
4.2. Capa - [IS] Servicios internos
[IP_JA] TELEFONA IP
[WEB_JA] PORTAL WEB
[AR_JA] ACCESO REMOTO
[ZM_JA] SERVIDOR DE CORREO ELECTRNICO (ZIMBRA)
[iFL_JA] SERVICIO DE ARCHIVO COMPARTIDO POR iFOLDER
[IEX_JA] INTERNET
4.3. Capa - [E] Equipamiento
[SW] Aplicaciones
[FISJA_JA] SISTEMA FINANCIERO INTEGRADO JARDN AZUAYO
[OFF_JA] OFIMTICA
[AV_JA] ANTIVIRUS
[OTR_JA] OTROS SOFTWARE
[HW] Equipos
[SBD_JA] SERVIDOR DE BASE DE DATOS
[VHOST_JA] EQUIPOS VIRTUALES
[ROUTER_JA] ROUTER
[SWITCH_JA] SWITCH
[BRIDGE_JA] RADIOS
[FIREWALL_JA] FIREWALL
[DESKTOP_JA] COMPUTADORAS DE ESCRITORIO
[LAPTOP_JA] COMPUTADORAS PORTTILES
[PRINT1_JA] IMPRESORA A LASER
[PRINT2_JA] IMPRESORA MATRICIAL
[CTG_JA] EQUIPOS DE CONTINGENCIA
[COM] Comunicaciones
[COM_JA] TELEFONA IP
[LAN_JA] RED LAN
[WAN_JA] RED WWAN
[INTERNET_JA] INTERNET
[AUX] Elementos auxiliares
[POWER_JA] FUENTES DE ALIMENTACIN
[SAI_JA] SISTEMAS DE ALIMENTACIN ININTERRUMPIDA
[GEN_JA] GENERADOR ELCTRICO
[EC_JA] EQUIPO DE CLIMATIZACIN
[CABLING_JA] CABLEADO DE DATOS
[ROBOTS_JA] ROBOTS
[MOB_JA] MOBILIARIO
[CF_JA] CAJA FUERTE
[OTHER_JA] OTROS EQUIPAMIENTOS AUXILIARES
Autores:
Antonio Lucero G.
John Valverde P.
121
UNIVERSIDAD DE CUENCA
Descripcin
Para realizar los depsitos usted debe presentar:
-libreta de ahorros
-la papeleta de depsito (color verde), si su depsito incluye cheques, deber
llenar el detalle de los mismos en el reverso de la papeleta.
Para realizar los retiros usted necesita:
-cdula de identidad
-libreta de ahorros
-papeleta de retiro (color amarillo)
Autores:
Antonio Lucero G.
John Valverde P.
122
UNIVERSIDAD DE CUENCA
(En cada oficina se tienen montos mximos de retiro, entre 500 y 1.000 dlares
por lo cual se debe anticipar el retiro en la respectiva oficina con 24 horas
hbiles de anterioridad; se puede tambin retirar con cheque sin anticipacin)
5.2. [CR_JA] CRDITO
o [S] Servicios
o [S.pub] al pblico en general (sin relacin contractual)
o [S.ext] a usuarios externos (bajo una relacin contractual)
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
ORDINARIO
EXTRAORDINARIO o
EMERGENTE
SIN AHORRO
DE DESARROLLO
DE VIVIENDA
Descripcin
CRDITO ORDINARIO.- son los crditos provenientes de los ahorros de los
socios o de fuentes externas, con el propsito de apoyar en la dinamizacin de
las
economas
locales.
El crdito ordinario de Jardn Azuayo est orientado a beneficiar a los socios
pues: a) es un medio o alternativo menos costosa de obtener recursos
monetarios, b) da la oportunidad a las personas sean estas jurdicas, naturales
u organizaciones de hecho de financiar sus operaciones o gastos, c) baja tasa
de inters en relacin a otras instituciones financieras.
CRDITO EXTRAORDINARIO.- son aquellas que se otorgan a los socios en
condiciones especiales y se concedern en situaciones emergentes como:
enfermedad, calamidad domstica, siniestro debidamente comprobado o para
gastos de educacin. La calificacin de emergencia puede corresponder al
socio, a su cnyuge, a sus hijos y a sus padres si dependen del socio. Solo en
el caso de stos crditos es permitido mantener al mismo tiempo dos crditos
vigentes con la COAC Jardn Azuayo. A travs de este crdito los socios se
benefician de la siguiente manera: a) no necesita tener una base de ahorro
para acceder al crdito, b) disponibilidad inmediata del crdito, c) obtiene una
baja tasa de inters en comparacin a otras alternativas.
CRDITO SIN AHORRO.- Son operaciones que se otorgan a las persona
naturales, jurdicas u organizaciones de hecho que cumplan con la condicin
de ser socios, sin que previamente deban realizar el depsito de ahorro exigido
para los crditos ordinarios.
Autores:
Antonio Lucero G.
John Valverde P.
123
UNIVERSIDAD DE CUENCA
Descripcin
Son Cajeros automticos modelo Lovi, estn colocados en diferentes agencias.
Disponen de 12 cajeros a nivel de toda la Cooperativa hasta el momento; existe
un cajero en la oficina cuenca.
5.4. [IP_JA] TELEFONA IP
o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organizacin)
o [S.voip] voz sobre ip
Dominio de seguridad
o [base] COAC Jardn Azuayo
Autores:
Antonio Lucero G.
John Valverde P.
124
UNIVERSIDAD DE CUENCA
Datos
MARCA
MODELO
CANTIDAD
TIPO
Descripcin
Control de servicios a travs de equipo IP y sus beneficios, Call Manager,
tripartita, transferencia, etc.
Suse 4D de 64 bits
Micro procesador core 2 duo
24 GB
40 GB
Directa con la Base de Datos Central para realizar
transacciones en lnea
Descripcin
Con el portal web la cooperativa provee a sus socios informacin con respecto
a los nuevos servicios que posee, as como transacciones va web, consulta de
saldos, recarga de saldos entre los principales.
5.6. [AR_JA] ACCESO REMOTO
o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organizacin)
o [S.telnet] acceso remoto a cuenta local
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
SISTEMA OPERATIVO linux
PUERTO
23/tcp
FUNCION
protocolo cliente / servicio
Autores:
Antonio Lucero G.
John Valverde P.
125
UNIVERSIDAD DE CUENCA
Descripcin
Se tiene dos formas de acceso remoto, por SSH y team view que permite dar
soporte de forma remota usando claves fijas y aleatorias, tambin se usa telnet
para acceder a equipos como activos de red.
5.7. [ZM_JA] SERVIDOR DE CORREO ELECTRNICO (ZIMBRA)
o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organizacin)
o [S.email] correo electrnico
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
DESARROLLADOR
VERSIN
GENERO
SISTEMA OPERATIVO
INTERFAZ
Zimbra Inc
7
Group Ware
Windows, Linux
Soap
Descripcin
El servidor presta funcionalidades de servidor de envio y recepcin de correo
electrnico, agenda personal y colaborativa, servicio de mensajera instantnea
a los colaboradores de la Cooperativa.
5.8. [iFL_JA] SERVICIO DE ARCHIVO COMPARTIDO POR iFOLDER
o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organizacin)
o [S.file] almacenamiento de ficheros
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
VERSIN
CAPACIDAD
VIRTUALIZACIN
Novell
3.8 sobre Suse Interprice 11
4 GB por usuario
VMWARE
Descripcin
Servicio de archivos compartidos compatible con windows y linux, mendiante
instalacin de software cliente, acceso mediante HTTPs y cliente propio,
capacidad de administracin de cuotas y usuarios permitidos, integracin con
LDAP.
5.9. [IEX_JA] INTERNET
o [SW] Aplicaciones (software)
Autores:
Antonio Lucero G.
John Valverde P.
126
UNIVERSIDAD DE CUENCA
Descripcin
Navegacin internet, browser para acceso al sistema y configuracin de router,
radios, etc
5.10. [SW.FISJA_JA] SISTEMA FINANCIERO INTEGRADO JARDN
AZUAYO
o [D] Datos / Informacin
o [D.vr] datos vitales
o [D.biz] datos de inters para el negocio
o [D.int] datos de gestin interna
o [D.log] registro de actividad (log)
o [SW] Aplicaciones (software)
o [SW.prp] desarrollo propio (in house)
o [SW.sub] desarrollo a medida (subcontratado)
o [SW.std] estndar (off the shelf)
o [SW.std.browser] navegador web
o [SW.std.app] servidor de aplicaciones
o [SW.std.dbms] sistema de gestin de bases de datos
o [SW.std.os] sistema operativo
o [SW.std.os.windows] windows
o [SW.std.os.linux] linux
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
NOMENCLATURA
CREACIN
LENGUAJE DE PROGRAMACIN
PREFORMA
SOPORTE
PLATAFORMA
Autores:
Antonio Lucero G.
John Valverde P.
FISJA
2005
Oracle 11G
Oracle Develop Suite 10G
Oracle Aplication Server
Windows, Linux
127
UNIVERSIDAD DE CUENCA
Descripcin
Controla y automatiza las tareas de Ahorro y Crdito, control de equipos y
usuarios de la Institucin
5.11. [SW.OFF_JA] OFIMTICA
o [SW] Aplicaciones (software)
o [SW.std] estndar (off the shelf)
o [SW.std.office] ofimtica
o [SW.std.os] sistema operativo
o [SW.std.os.windows] windows
o [SW.std.os.linux] linux
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
BAJO WINDOWS Microsoft Office, versin 2007 y 2010
BAJO LINUX
Open Office, versin 3
MBITO
libre
Descripcin
Sirven para trabajos de oficina: procesamiento de texto, hojas de clculo,
presentaciones electrnicas etc.
5.12. [SW.AV_JA] ANTIVIRUS
o [D] Datos / Informacin
o [D.vr] datos vitales
o [D.other] otros ...
o [SW] Aplicaciones (software)
o [SW.std] estndar (off the shelf)
o [SW.std.av] anti virus
o [SW.std.os] sistema operativo
o [SW.std.os.windows] windows
o [SW.std.os.linux] linux
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
SOFTWARE 1 Kapersky 6.0
SOFTWARE 2 Eset Nod 32 Bussines Edition
Descripcin
Son programas cuya funcin es detectar y eliminar virus informticos y otros
programas maliciosos.
5.13. [SW.OTR_JA] OTROS SOFTWARE
o [D] Datos / Informacin
o [D.vr] datos vitales
Autores:
Antonio Lucero G.
John Valverde P.
128
UNIVERSIDAD DE CUENCA
BPwind
Proyect
Paquete de Adobe
My SQL
VLC
Paquete de Photoshop
Descripcin
Existen muchos software que se utiliza en la Institucin entre las principales
tenemos las mencionadas.
5.14. [HW.SBD_JA] SERVIDOR DE BASE DE DATOS
o [HW] Equipamiento informtico (hardware)
o [HW.host] grandes equipos (host)
o [HW.data] que almacena datos
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
NOMBRE
MARCA
VERSIN
MODELO
Descripcin
La base de datos contiene la informacin de los sistemas de caja, directivos,
operaciones, etc,
5.15. [HW.VHOST_JA] EQUIPOS VIRTUALES
o [HW] Equipamiento informtico (hardware)
o [HW.vhost] equipos virtuales
Dominio de seguridad
o [base] COAC Jardn Azuayo
Autores:
Antonio Lucero G.
John Valverde P.
129
UNIVERSIDAD DE CUENCA
Datos
MARCA
MODELO
AO
VERSIN
CANTIDAD
IBM
HS22, BMWARE X86 INFRAESTRUCTURE
2010
ESXi4.2
25
Descripcin
Estos equipos estn virtualizados en cuchillas blade HS22 en un blad type H y
depende de los servicios que se quieran instalar dentro de estas cuchillas.
Pueden utilizarse dos mquinas virtuales como diez mquinas virtuales o ms,
todo depende de la memoria.
5.16. [HW.ROUTER_JA] ROUTER
o [HW] Equipamiento informtico (hardware)
o [HW.network] soporte de la red
o [HW.network.router] encaminador
o [HW.network.gtwy] pasarela
o [HW.network.wap] punto de acceso wireless
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
MODELO
AO
CANTIDAD
CISCO
2801
2008
2
Descripcin
Un Router es el hardware que sirve para rutear direcciones, dar salida a
internet a un switch o directamente a una PC.
Sus principales caractersticas son:
-Permiten interconectar tanto redes de rea local como redes de rea extensa.
-Proporcionan un control del trfico y funciones de filtrado a nivel de red, es
decir, trabajan con direcciones de nivel de red, como por ejemplo, con
direcciones IP.
130
UNIVERSIDAD DE CUENCA
Datos
MARCA
MODELO
AO
CANTIDAD
CISCO
2960
2010
4
Descripcin
Un Switch es el hardware que sirve para conectar dos o ms PCs para
compartir recursos.
5.18. [HW.BRIDGE_JA] RADIOS
o [HW] Equipamiento informtico (hardware)
o [HW.network] soporte de la red
o [HW.network.bridge] puente
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
MODELO
AO
CANTIDAD
CISCO, MOTOROLA
1300-PTP300
2008
2X2
Descripcin
Un puente o bridge es un dispositivo de interconexin de redes de ordenadores
que opera en la capa 2 (nivel de enlace de datos) del modelo OSI.
Este interconecta dos segmentos de red (o divide una red en segmentos)
haciendo el pasaje de datos de una red hacia otra, con base en la direccin
fsica de destino de cada paquete.
5.19. [HW.FIREWALL_JA] FIREWALL
o [HW] Equipamiento informtico (hardware)
o [HW.network] soporte de la red
o [HW.network.firewall] cortafuegos
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
SISTEMA OPERATIVO
VERSIN
CANTIDAD
Clon de pc
Linux
clear OS
1
Descripcin
Un cortafuegos (o firewall en ingls) es una parte de un sistema o una red que
est diseado para bloquear el acceso no autorizado, permitiendo al mismo
Autores:
Antonio Lucero G.
John Valverde P.
131
UNIVERSIDAD DE CUENCA
Intel - Samsung
Core Duo y Core i3
1GB A 2GB
320 GB
DH55PJ, DG31PR, DHG1WW
Descripcin
Son Pc clon de escritorio para instalar windows o linux, por lo general se
maneja equipos intel puros, sirven para ejecutar las operaciones diarias.
5.21. [HW.LAPTOP_JA] COMPUTADORAS PORTTILES
o [HW] Equipamiento informtico (hardware)
o [HW.pc] informtica personal
o [HW.mobile] informtica mvil
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
MODELO
PROCESADOR
MEMORIA RAM
DISCO DURO
AO
Toshiba - Dell
Satellite - Inspiron
Core Duo, Core i3
2 a 6 GB
320 a 600 GB
2009 Y 2011
Descripcin
Sirven para realizar trabajos diarios aplicativo - Institucional.
5.22. [HW.PRINT1_JA] IMPRESORA A LASER
o [HW] Equipamiento informtico (hardware)
o [HW.mid] equipos medios
o [HW.easy] fcilmente reemplazable
Autores:
Antonio Lucero G.
John Valverde P.
132
UNIVERSIDAD DE CUENCA
o [HW.peripheral] perifricos
o [HW.peripheral.print] medios de impresin
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
MODELO
AO
CANTIDAD
Xerox / Samsung
X3435 / ML-2010
2009 / 2011
60
Descripcin
Son impresoras que sirven para reportes del mdulo crdito, SOAT.
5.23. [HW.PRINT2_JA] IMPRESORA MATRICIAL
o [HW] Equipamiento informtico (hardware)
o [HW.mid] equipos medios
o [HW.peripheral] perifricos
o [HW.peripheral.print] medios de impresin
o [HW.peripheral.scan] escner
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
Epson
MODELO FX-890
AO
2008
Descripcin
En las oficinas se manejan las impresoras epson, este modelo es muy robusto
y por ende soporta gran volumen de impresin diaria.
5.24. [HW.CTG_JA] EQUIPOS DE CONTINGENCIA
o [HW] Equipamiento informtico (hardware)
o [HW.peripheral] perifricos
o [HW.peripheral.crypto] dispositivo criptogrfico
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
EQUIPOS cmaras fotogrficas, GPS
MARCA
Sony, canon, hp, etc.
Descripcin
Estos equipos ayudan al momento del avalo de los terrenos y a la proteccin
de equipos host.
Autores:
Antonio Lucero G.
John Valverde P.
133
UNIVERSIDAD DE CUENCA
Datos
MARCA
Cisco Call Manager Express
MODELO
2801 de cisco
CANTIDAD 32
Descripcin
Controla servicios a travs de equipo IP y sus beneficios, Call Manager
tripartita, transferencias, etc.
5.26. [COM.LAN_JA] RED LAN
o [COM] Redes de comunicaciones
o [COM.LAN] red local
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
INTERCONEXIN Computadoras y perifricos
DISTANCIA
200 metros
CATEGORA
6
Descripcin
Existen dos redes LAN, una para voz y una red para datos dentro de la
Cooperativa.
5.27. [COM.WAN_JA] RED WWAN
o [COM] Redes de comunicaciones
o [COM.WAN] red de rea amplia
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
MODELO
SISTEMA
DISTANCIA
TOPOLOGA
Autores:
Antonio Lucero G.
John Valverde P.
Motorola
PTP800, PTP400, PTP300, PTP100, 1300 Y 350 (cisco)
Basado en microondas
100 A 1000 kilmetros
Estrella
134
UNIVERSIDAD DE CUENCA
Descripcin
Red tipo radio frecuencia en banda abierta 2.4 ghz hasta 5.8 ghz, en 5
provincias australes.
5.28. [COM.INTERNET_JA] INTERNET
o [COM] Redes de comunicaciones
o [COM.Internet] Internet
o [COM.vpn] red privada virtual
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
TIPO
MODELO
CANTIDAD
ISP INTERNET SERVICE PROVIDE
Inhalmbrico
1 en 1 sin comprensin
1
Punto Net, CNT, Telconet
Descripcin
Sirven para acceso transaccional y servicios de Transferencias de archivos con
otras Instituciones Financieras (FTP- File Transfer Protocol).
5.29. [AUX.POWER_JA] FUENTES DE ALIMENTACIN
o [AUX] Equipamiento auxiliar
o [AUX.power] fuentes de alimentacin
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
TIPO
CANTIDAD
SOBREMESA
APC
10 KVA
2 por equipo
200 a 250 w
Descripcin
Es un sistema de UPS para Data Center que ayuda a su mejor
funcionamiento.
Cada equipo tiene dos fuentes de alimentacin como medida de contingencia.
5.30. [AUX.SAI_JA] SISTEMAS DE ALIMENTACIN ININTERRUMPIDA
o [AUX] Equipamiento auxiliar
o [AUX.ups] sai - sistemas de alimentacin ininterrumpida
Dominio de seguridad
o [base] COAC Jardn Azuayo
Autores:
Antonio Lucero G.
John Valverde P.
135
UNIVERSIDAD DE CUENCA
Datos
MARCA
APC
SERIE
GT
DISPOSITIVO VFV voltaje y frecuencia independiente
Descripcin
Es un dispositivo que gracias a sus bateras proporcionan energa elctrica tras
un apagn a todos los dispositivos que tenga conectados.
5.31. [AUX.GEN_JA] GENERADOR ELCTRICO
o [AUX] Equipamiento auxiliar
o [AUX.gen] generadores elctricos
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA
Wilson
TIPO
150 KVA
CANTIDAD 1
Descripcin
Este equipo es indispensable cuando la falta de energa es larga y se necesita
provisin a las zonas crticas.
5.32. [AUX.EC_JA] EQUIPO DE CLIMATIZACIN
o [AUX] Equipamiento auxiliar
o [AUX.ac] equipos de climatizacin
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA Samsung, LG
TIPO
Data Center industrial
Descripcin
Su objetivo es mantener el funcionamiento ptimo de los equipos y servidores.
5.33. [AUX.CABLING_JA] CABLEADO DE DATOS
o [AUX] Equipamiento auxiliar
o [AUX.cabling] cableado de datos
o [AUX.cabling.wire] cable elctrico
o [AUX.cabling.fiber] fibra ptica
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
Autores:
Antonio Lucero G.
John Valverde P.
136
UNIVERSIDAD DE CUENCA
MARCA
Panduit
CATEGORIA 6A
Descripcin
El cableado de datos es fundamental para la transferencia de archivos y por
ende para el funcionamiento de la Institucin.
5.34. [AUX.ROBOTS_JA] ROBOTS
o [AUX] Equipamiento auxiliar
o [AUX.robot] robots
o [AUX.robot.tape] ... de cintas
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
MARCA IBM
DISCO MARCA IMATION
Descripcin
Es un tipo de medio o soporte de almacenamiento de datos que se graba en
pistas cobre una banda plstica con un material magnetizado. El tipo de
informacin que se puede almacenar en las cintas es variado.
5.35. [AUX.MOB_JA] MOBILIARIO
o [AUX] Equipamiento auxiliar
o [AUX.furniture] mobiliario
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
GABINETE RACK
IBM
servidor
TECKDATA red
5.36. [AUX.CF_JA] CAJA FUERTE
o [AUX] Equipamiento auxiliar
o [AUX.safe] cajas fuertes
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
CARACTERISTICAS INDUSTRIALES Y TEMPORIZADOS
MATERIAL
acero templado y hormign
PESO
ms de 100 kilogramos de peso
Descripcin
Autores:
Antonio Lucero G.
John Valverde P.
137
UNIVERSIDAD DE CUENCA
Biometra
Acceso temporizado
Detector de incendios
Extintor de incendios
Cmaras de vigilancia
Descripcin
Los equipamientos fundamentales con los que cuenta la Institucin estn
mencionados anteriormente.
5.38. [SS.01_JA] IRNET
o [S] Servicios
o [S.pub] al pblico en general (sin relacin contractual)
o [S.www] world wide web
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
ENLACE
Web
SERVICIO
Pago de Remesas
INGRESO AL SISTEMA Va web mediante clave
Descripcin
La Red Internacional de Remesas del Consejo Mundial de Cooperativas de
Ahorro y Crdito (IRnet) es una plataforma para que las cooperativas de
ahorro y crdito ofrezcan a sus socios y socios potenciales en todo el mundo
acceso a transferencias de fondos nacionales e internacionales seguras y
accesibles (remesas).
La red se cre en respuesta a una mayor demanda de dinero y servicios de
transferencias y para combatir las comisiones exorbitantes que se cobran por
utilizar dichos servicios.
5.39. [SS.02_JA] COOPSEGUROS
o [S] Servicios
o [S.pub] al pblico en general (sin relacin contractual)
Autores:
Antonio Lucero G.
John Valverde P.
138
UNIVERSIDAD DE CUENCA
SOAT
Va web usando claves de acceso para ingresar a la
pantalla de cobros
Descripcin
Es una empresa dedicada a la venta de seguros de vehculos SOAT (Seguro
Obligatorio de Accidentes de Trnsito).
5.40. [SS.03_JA] RED COONECTA
o [S] Servicios
o [S.ext] a usuarios externos (bajo una relacin contractual)
o [S.int] interno (usuarios y medios de la propia organizacin)
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
SERVICIO Se usa para interconectar los cajeros de la Institucin a la Red de
COONECTA y a su vez con los cajeros de BanRed
Descripcin
Es una Red que interconecta a todas las cooperativas del pas y brinda
servicios de conexin con otras cooperativas y BanRed es especial para
cajeros automticos.
5.41. [SS.04_JA] VENTANILLA COMPARTIDA
o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organizacin)
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
SERVICIO A travs de la Red COONECTA, se puede realizar los depsitos y
retiros en ms de 17 Cooperativas en todo el pas
Descripcin
La ventanilla compartida es un servicio que se coordina con la Red
COONECTA para enlazarse con las diferentes cooperativas para el pago.
5.42. [L_JA] UNIDAD DE SISTEMAS, REDES Y TELECOMUNICACIONES
o [L] Instalaciones
o [L.site] emplazamiento
Autores:
Antonio Lucero G.
John Valverde P.
139
UNIVERSIDAD DE CUENCA
o [L.local] local
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
TIPO
Casa con adecuaciones
DIRECCION Sucre 5-42
Benigno Malo 9-75
TELEFONO 2849-718
Descripcin
En esta infraestructura se realiza planificacin, desarrollo y soporte de servicios
informticos.
5.43. [DBA_JA] ADMINISTRACIN DE BASE DE DATOS (PRODUCCINPRUEBAS)
o [P] Personal
o [P.dba] administradores de BBDD
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
RESPONSABLE Ing. Vctor Astudillo
RESPONSABLE Ing. Jorge Bonete
Descripcin
Son los encargados de la produccin y realizar las pruebas necesarias en la
Base de Datos.
5.44. [ITL_JA] INFRAESTRUCTURA Y TELECOMUNICACIONES
o [P] Personal
o [P.com] administradores de comunicaciones
o [P.other] otros ...
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
RESPONSABLE
RESPONSABLE
RESPONSABLE
RESPONSABLE
RESPONSABLE
Descripcin
Son los encargados de los servidores de aplicaciones y la red de
telecomunicaciones.
Autores:
Antonio Lucero G.
John Valverde P.
140
UNIVERSIDAD DE CUENCA
Descripcin
Son los encargados en desarrollar las interfaces de usuario con el cdigo
correspondiente de los aplicativos.
5.46. [ISOFT_JA] INGENIERA DE SOFTWARE
o [P] Personal
o [P.other] otros ...
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
RESPONSABLE
RESPONSABLE
RESPONSABLE
RESPONSABLE
Descripcin
Son los encargados del diseo de aplicaciones, previo al anlisis de los
requerimientos.
5.47. [UI_JA] SOPORTE A USUARIOS
o [P] Personal
o [P.ui] usuarios internos
Dominio de seguridad
o [base] COAC Jardn Azuayo
Datos
RESPONSABLE Ing. Andrea Tenezaca
RESPONSABLE Ing. Fabian Chuquimarca
RESPONSABLE Ing. Fabricio Barreto
Descripcin
Se encargan de brindar soporte de primer nivel y re direccionar las unidades
del departamento a quien corresponda un requerimiento.
Autores:
Antonio Lucero G.
John Valverde P.
141
UNIVERSIDAD DE CUENCA
ANEXO 3
VULNERABILIADAD DE LOS DOMINIOS
Vulnerabilidad.- los activos, por su propia naturaleza, se ven influidos por una
serie de amenazas. La probabilidad de que se materialice una de dichas
amenazas y la degradacin que le supone a un activo es lo que se conoce
como vulnerabilidad.
PILAR Basic ha sustituido, los valores de probabilidad y degradacin por una
serie de criterios que permiten reflejar el entorno en el que se encuentran los
activos.
En la Gestin de Vulnerabilidades descritas posteriormente, se podr definir
qu criterios pueden influir sobre un dominio (y por lo tanto sobre todos los
activos que se encuentran en dicho dominio)
Responsable de la encuesta:
142
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
143
UNIVERSIDAD DE CUENCA
ANEXO 4
VALORACIN DE DOMINIOS
Se desarrollar con supuestos, de acuerdo a las Dimensiones de Valoracin:
(D) Disponibilidad, (I) Integridad, (C) Confidencialidad, (A) Autenticidad y (T)
Trazabilidad de la informacin y los servicios que la institucin presta con dicha
informacin.
Aqu se valorar sobre la Base de los Dominios, cuya base abarca todos los
activos del Sistema de Informacin de la Cooperativa.
Criterios de valoracin: ALTO, MEDIO, BAJO Y DESPRECIABLE (se
escoger un criterio para cada dimensin de valoracin)
Responsable
de
la
.
(Encerrar en un crculo la opcin que usted elija conveniente)
Encuesta:
DISPONIBILIDAD
Es el aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requiera a la informacin y sus activos asociados.
Indicar la repercusin que tendra en la Institucin el hecho de que se dejara
de prestar el servicio.
[A] ALTO
[crm] Impida la investigacin de delitos graves o facilite su comisin
[da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de la Organizacin
[lg] Probablemente causara una publicidad negativa generalizada
[a] por afectar gravemente a las relaciones con otras organizaciones
[b] por afectar gravemente a las relaciones con el pblico en general
[cei] Intereses comerciales o econmicos:
[a] de alto inters para la competencia
[b] de elevado valor comercial
[c] causa de graves prdidas econmicas
[d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
[e] constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por terceros
[lro] Obligaciones legales: probablemente cause un incumplimiento grave
de una ley o regulacin
[pi1] Informacin personal: probablemente afecte gravemente a un grupo
de individuos
[pi2] Informacin personal: probablemente quebrante seriamente la ley o
algn reglamento de proteccin de informacin personal
[si] Seguridad: probablemente sea causa de un grave incidente de
seguridad o dificulte la investigacin de incidentes graves
[lbl] Informacin clasificada: confidencial
Autores:
Antonio Lucero G.
John Valverde P.
144
UNIVERSIDAD DE CUENCA
[ue] CONFIDENTIEL UE
[M] MEDIO
[da] Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de ms de una parte de la Organizacin
[lg] Probablemente sea causa una cierta publicidad negativa
[a] por afectar negativamente a las relaciones con otras organizaciones
[b] por afectar negativamente a las relaciones con el pblico
[lro] Obligaciones legales: probablemente sea causa de incumplimiento de
una ley o regulacin
[cei] Intereses comerciales o econmicos:
[a] de cierto inters para la competencia
[b] de cierto valor comercial
[c] causa de prdidas financieras o mermas de ingresos
[d] facilita ventajas desproporcionadas a individuos u organizaciones
[e] constituye un incumplimiento leve de obligaciones contractuales
para mantener la seguridad de la informacin proporcionada por terceros
[pi1] Informacin personal: probablemente afecte a un grupo de individuos
[pi1] Informacin personal: probablemente afecte gravemente a un
individuo
[pi2] Informacin personal: probablemente quebrante leyes o regulaciones
[si] Seguridad: probablemente sea causa de una merma en la seguridad o
dificulte la investigacin de un incidente
[crm] Dificulte la investigacin o facilite la comisin de delitos
[lbl] Informacin clasificada: difusin limitada
[ue] RESTREINT UE
[B] BAJO
[da] Probablemente cause la interrupcin de actividades propias de la
Organizacin
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de una parte de la Organizacin
[lg] Probablemente afecte negativamente a las relaciones internas de la
Organizacin
[cei] Intereses comerciales o econmicos:
[a] de bajo inters para la competencia
[b] de bajo valor comercial
[pi1] Informacin personal: probablemente afecte a un individuo
[pi2] Informacin personal: pudiera quebrantar de forma leve leyes o
regulaciones
[lro] Obligaciones legales: probablemente sea causa de incumplimiento
leve o tcnico de una ley o regulacin
[si] Seguridad: pudiera causar una merma en la seguridad o dificultar la
investigacin de un incidente
[lbl] Informacin clasificada: sin clasificar
[D] DESPRECIABLE
Autores:
Antonio Lucero G.
John Valverde P.
145
UNIVERSIDAD DE CUENCA
146
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
147
UNIVERSIDAD DE CUENCA
CONFIDENCIALIDAD
Es el aseguramiento de que la informacin es accesible slo para aquellos
autorizados a tener acceso.
Indicar la repercusin que tendra en la Institucin el hecho de que la
informacin que se maneja para prestar el servicio fuera accedida por personas
no autorizadas.
[A] ALTO
[crm] Impida la investigacin de delitos graves o facilite su comisin
[da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de la Organizacin
[lg] Probablemente causara una publicidad negativa generalizada
[a] por afectar gravemente a las relaciones con otras organizaciones
[b] por afectar gravemente a las relaciones con el pblico en general
[cei] Intereses comerciales o econmicos:
[a] de alto inters para la competencia
[b] de elevado valor comercial
[c] causa de graves prdidas econmicas
[d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
[e] constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por terceros
[lro] Obligaciones legales: probablemente cause un incumplimiento grave
de una ley o regulacin
[pi1] Informacin personal: probablemente afecte gravemente a un grupo
de individuos
[pi2] Informacin personal: probablemente quebrante seriamente la ley o
algn reglamento de proteccin de informacin personal
[si] Seguridad: probablemente sea causa de un grave incidente de
seguridad o dificulte la investigacin de incidentes graves
[lbl] Informacin clasificada: confidencial
[ue] CONFIDENTIEL UE
[M] MEDIO
[da] Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de ms de una parte de la Organizacin
[lg] Probablemente sea causa una cierta publicidad negativa
[a] por afectar negativamente a las relaciones con otras organizaciones
[b] por afectar negativamente a las relaciones con el pblico
[lro] Obligaciones legales: probablemente sea causa de incumplimiento de
una ley o regulacin
[cei] Intereses comerciales o econmicos:
[a] de cierto inters para la competencia
[b] de cierto valor comercial
Autores:
Antonio Lucero G.
John Valverde P.
148
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
149
UNIVERSIDAD DE CUENCA
AUTENTICIDAD
Es el aseguramiento dela identidad u origen.
Indicar la repercusin que tendra en la Institucin el hecho de que no se
pudiera confirmar la identidad de quien accedi al servicio o a la informacin.
[A] ALTO
[crm] Impida la investigacin de delitos graves o facilite su comisin
[da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de la Organizacin
[lg] Probablemente causara una publicidad negativa generalizada
[a] por afectar gravemente a las relaciones con otras organizaciones
[b] por afectar gravemente a las relaciones con el pblico en general
[cei] Intereses comerciales o econmicos:
[a] de alto inters para la competencia
[b] de elevado valor comercial
[c] causa de graves prdidas econmicas
[d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
[e] constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por
terceros
[lro] Obligaciones legales: probablemente cause un incumplimiento grave
de una ley o regulacin
[pi1] Informacin personal: probablemente afecte gravemente a un grupo
de individuos
[pi2] Informacin personal: probablemente quebrante seriamente la ley o
algn reglamento de proteccin de informacin personal
[si] Seguridad: probablemente sea causa de un grave incidente de
seguridad o dificulte la investigacin de incidentes graves
[lbl] Informacin clasificada: confidencial
[ue] CONFIDENTIEL UE
[M] MEDIO
[da] Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de ms de una parte de la Organizacin
[lg] Probablemente sea causa una cierta publicidad negativa
[a] por afectar negativamente a las relaciones con otras organizaciones
[b] por afectar negativamente a las relaciones con el pblico
[lro] Obligaciones legales: probablemente sea causa de incumplimiento de
una ley o regulacin
[cei] Intereses comerciales o econmicos:
[a] de cierto inters para la competencia
[b] de cierto valor comercial
[c] causa de prdidas financieras o mermas de ingresos
Autores:
Antonio Lucero G.
John Valverde P.
150
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
151
UNIVERSIDAD DE CUENCA
TRAZABILIDAD
Es el aseguramiento de que en todo momento se podr determinar quin hizo
qu y en qu momento.
Indicar la repercusin que tendra en la Institucin el hecho de que no se
pudiera conocer a quin se le presta un servicio o a qu informacin y cundo
accedi un usuario.
[A] ALTO
[crm] Impida la investigacin de delitos graves o facilite su comisin
[da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de la Organizacin
[lg] Probablemente causara una publicidad negativa generalizada
[a] por afectar gravemente a las relaciones con otras organizaciones
[b] por afectar gravemente a las relaciones con el pblico en general
[cei] Intereses comerciales o econmicos:
[a] de alto inters para la competencia
[b] de elevado valor comercial
[c] causa de graves prdidas econmicas
[d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
[e] constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por
terceros
[lro] Obligaciones legales: probablemente cause un incumplimiento grave
de una ley o regulacin
[pi1] Informacin personal: probablemente afecte gravemente a un grupo
de individuos
[pi2] Informacin personal: probablemente quebrante seriamente la ley o
algn reglamento de proteccin de informacin personal
[si] Seguridad: probablemente sea causa de un grave incidente de
seguridad o dificulte la investigacin de incidentes graves
[lbl] Informacin clasificada: confidencial
[ue] CONFIDENTIEL UE
[M] MEDIO
[da] Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin
efectiva de ms de una parte de la Organizacin
[lg] Probablemente sea causa una cierta publicidad negativa
[a] por afectar negativamente a las relaciones con otras organizaciones
[b] por afectar negativamente a las relaciones con el pblico
[lro] Obligaciones legales: probablemente sea causa de incumplimiento de
una ley o regulacin
[cei] Intereses comerciales o econmicos:
[a] de cierto inters para la competencia
Autores:
Antonio Lucero G.
John Valverde P.
152
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
153
UNIVERSIDAD DE CUENCA
ANEXO 5
CDIGO DE BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD
DE LA INFORMACIN [27002:2005]
proyecto: [AR_JA] ANLISIS Y GESTIN DE RIESGOS DE LOS SISTEMAS
DE INFORMACIN DE LA COOPERATIVA DE AHORRO Y CRDITO
JARDIN AZUAYO
1. Datos del proyecto
AR_JA
ANLISIS Y GESTIN DE RIESGOS DE LOS SISTEMAS DE
INFORMACIN DE LA COOPERATIVA DE AHORRO Y CRDITO
JARDIN AZUAYO
Descripcin
Anlisis a los Sistemas de Informacin
Direccin
Sucre 5-42 entre Hermano Miguel y Mariano Cueva
Benigno Malo 9-75 y Gran Colombia
Telfonos
2840 259
Responsable
Sr. Antonio Jos Lucero Gmez y Sr. John Oswaldo Valverde Padilla
Organizacin
COOPERATIVA DE AHORRO Y CRDITO JARDN AZUAYO
Lugar del examen Coordinacin y Cuenca
Versin
1
Fecha
21-11-2011
biblioteca
[std] Biblioteca INFOSEC (22.1.2009)
Descripcin
El presente trabajo es realizado en la Cooperativa de Ahorro y Crdito
Jardn Azuayo en la oficia Cuenca y su Coordinacin, la Institucin est
controlada por la Superintendencia de Bancos y Seguros
Licencia
[edu] Universidad de Cuenca
Cuenca - Ecuador
[ ... 1.1.2013]
2. Dominios de seguridad
o [base] COAC Jardn Azuayo
3. Fases del proyecto
o [current] situacin actual
o [target] situacin objetivo
4. Dominio de seguridad: [base] COAC Jardn Azuayo
4.1. [5] Poltica de seguridad
control
[5] Poltica de seguridad
[5.1] Poltica de seguridad de la informacin
[5.1.1] Documento de poltica de seguridad de la informacin
[5.1.2] Revisin de la poltica de seguridad de la informacin
Autores:
Antonio Lucero G.
John Valverde P.
[current]
82%
82%
70%
93%
[target]
99%
99%
98%
100%
154
UNIVERSIDAD DE CUENCA
[target]
83%
87%
90%
95%
50%
100%
70%
100%
100%
95%
79%
95%
47%
95%
[current]
33%
61%
60%
73%
49%
5%
0%
10%
[target]
93%
96%
96%
97%
96%
90%
90%
90%
[current]
29%
9%
28%
0%
0%
7%
0%
10%
[target]
86%
78%
94%
90%
50%
83%
70%
90%
10%
71%
90%
98%
155
UNIVERSIDAD DE CUENCA
70%
50%
92%
100%
95%
98%
[current]
25%
30%
33%
0%
63%
25%
33%
25%
[target]
83%
82%
90%
50%
95%
70%
93%
92%
20%
26%
3%
0%
50%
0%
50%
85%
87%
77%
50%
95%
95%
95%
10%
95%
[current]
35%
63%
90%
[target]
95%
98%
95%
23%
90%
50%
98%
100%
98%
18%
0%
45%
10%
46%
50%
42%
100%
94%
90%
92%
100%
96%
95%
96%
100%
100%
n.a.
100%
n.a.
156
UNIVERSIDAD DE CUENCA
applets)
[10.5] Copias de seguridad
[10.5.1] Copias de seguridad
[10.6] Gestin de la seguridad de las redes
[10.6.1] Controles de red
[10.6.2] Seguridad de los servicios de red
[10.7] Tratamiento de soportes de informacin
[10.7.1] Gestin de soportes
[10.7.2] Retirada de soportes
[10.7.3] Procedimientos de tratamiento de la informacin
[10.7.4] Seguridad de la documentacin del sistema
[10.8] Intercambios de informacin
[10.8.1] Normas y procedimientos
[10.8.2] Acuerdos de intercambio
[10.8.3] Soportes fsicos en trnsito
[10.8.4] Mensajera electrnica
[10.8.5] Interconexin de sistemas de informacin
[10.9] Servicios de comercio electrnico
[10.9.1] Comercio electrnico
[10.9.2] Transacciones en lnea
[10.9.3] Informacin puesta a disposicin pblica
[10.10] Supervisin
[10.10.1] Pistas de auditora
[10.10.2] Supervisin del uso de los sistemas
[10.10.3] Proteccin de registros (logs)
[10.10.4] Registros de administracin y operacin
[10.10.5] Registro de fallos
[10.10.6] Sincronizacin de relojes
4.7. [11] Control de acceso
control
[11] Control de acceso
[11.1] Requisitos del control de acceso
[11.1.1] Poltica de control de acceso
[11.2] Gestin de usuarios
[11.2.1] Registro de usuarios
[11.2.2] Gestin de privilegios
[11.2.3] Gestin de contraseas
[11.2.4] Revisin de derechos de acceso
[11.3] Responsabiliades de los usuarios
[11.3.1] Uso de contraseas
[11.3.2] Equipo desatendido
[11.3.3] Puesto de trabajo limpio y pantalla en blanco
[11.4] Control de acceso a la red
[11.4.1] Poltica de uso de los servicios de red
[11.4.2] Autenticacin de usuarios en acceso remoto
[11.4.3] Identificacin de equipos en la red
Autores:
Antonio Lucero G.
John Valverde P.
3%
3%
20%
30%
10%
10%
n.a.
n.a.
n.a.
10%
28%
3%
10%
n.a.
10%
90%
9%
10%
7%
10%
54%
90%
0%
90%
47%
95%
0%
95%
95%
93%
95%
92%
90%
n.a.
n.a.
n.a.
90%
94%
97%
90%
n.a.
90%
100%
96%
95%
93%
100%
97%
95%
95%
100%
95%
100%
95%
[current]
51%
78%
78%
54%
76%
0%
50%
90%
59%
87%
0%
90%
26%
50%
10%
84%
[target]
96%
99%
99%
98%
100%
95%
98%
100%
97%
100%
95%
95%
97%
95%
95%
99%
157
UNIVERSIDAD DE CUENCA
10%
10%
10%
10%
64%
0%
57%
94%
50%
95%
90%
44%
84%
5%
30%
50%
10%
100%
100%
95%
95%
91%
50%
100%
100%
95%
100%
100%
94%
99%
90%
95%
95%
95%
[target]
97%
96%
96%
95%
95%
95%
100%
90%
97%
96%
98%
97%
100%
100%
90%
98%
100%
100%
100%
100%
90%
98%
98%
158
UNIVERSIDAD DE CUENCA
Autores:
Antonio Lucero G.
John Valverde P.
[target]
96%
94%
95%
92%
98%
98%
100%
96%
[current] [target]
67%
97%
67%
97%
70%
98%
50%
93%
97%
100%
74%
50%
96%
95%
[current] [target]
73%
98%
53%
97%
47%
95%
63%
97%
50%
95%
56%
97%
75%
98%
29%
90%
99%
99%
90%
90%
75%
100%
98%
98%
50%
100%
95%
100%
159
UNIVERSIDAD DE CUENCA
GLOSARIO
33
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.36
34
Ibd., p.37
35
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.102
36
Ibd.
37
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.33
38
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.102
39
http://es.wiktionary.org/wiki/an%C3%A1lisis
Autores:
160
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
40
Avera de origen fsico o lgico.- Son los fallos en los equipos y/o
fallos en los programas. Puede ser debido a un defecto de origen o
sobrevenida durante el funcionamiento del sistema. 46
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.103
41
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.37
42
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.104
43
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.40
44
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401Glosario_y_abreviaturas/401/index.html
45
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p. 104
46
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.29
Autores:
161
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
47
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401Glosario_y_abreviaturas/401/index.html
48
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.34
49
MNDEZ, Andrs, MAAS, Jos Antonio, 2010, MANUAL DE USUARIO PILAR BASIC versin 4.4,
Ministerio de Administraciones Pblicas, Espaa, p. 95
50
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p. 104
51
http://www.google.com.ec/#hl=es&rlz=1R2TSND_esEC423&tbs=dfn:1&sclient=psyab&q=certificacion+cisco&rlz=1R2TSND_esEC423&pbx=1&oq=certificacion+cisco&aq=f&aqi=&aql=&gs_
sm=3&gs_upl=21232l23400l3l24336l14l9l0l0l0l0l0l0ll0l0&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=f89e31
c4e36c9ff3&biw=1366&bih=556
52
http://www.netconsul.com/riesgos/cci.pdf
Autores:
162
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
53
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401Glosario_y_abreviaturas/401/index.html
54
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.30
55
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p. 104
56
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.29
57
Ibd.
58
Ibd.
59
http://cambio_climatico.ine.gob.mx/glosario.html
60
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.27
Autores:
163
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
61
Ibd., p. 32
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.22
63
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.39
64
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.33
65
Ibd., p.28
66
Ibd., p. 34
67
Ibd., p. 36
68
MNDEZ, Andrs, MAAS, Jos Antonio, 2010, MANUAL DE USUARIO PILAR BASIC versin 4.4,
Ministerio de Administraciones Pblicas, Espaa, p. 95
69
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.105
Autores:
164
Antonio Lucero G.
John Valverde P.
62
UNIVERSIDAD DE CUENCA
70
Errores de mantenimiento/Actualizacin de equipos (hardware).Son defectos en los procedimientos o controles de actualizacin de los
equipos que permiten que sigan utilizndose ms all del tiempo
nominal de uso. 74
Errores de mantenimiento/Actualizacin de programas (software).Son defectos en los procedimientos o controles de actualizacin del
cdigo que permiten que sigan utilizndose programas con defectos
conocidos y reparados por el fabricante. 75
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.39
71
MNDEZ, Andrs, MAAS, Jos Antonio, 2010, MANUAL DE USUARIO PILAR BASIC versin 4.4,
Ministerio de Administraciones Pblicas, Espaa, p. 95
72
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.31
73
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.32
74
Ibd., p.34
75
Ibd.
76
Ibd., p.32
77
Ibd., p. 31
Autores:
165
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
78
Ibd.
http://www.grupoelectrotecnica.com/pdf/estandaresdatacenter.pdf
80
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.40
81
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.30
82
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401Glosario_y_abreviaturas/401/index.html
83
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.22
84
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.27
85
http://www.amazonas.gov.co/glosario.shtml?apc=I----&s=b
Autores:
166
Antonio Lucero G.
John Valverde P.
79
UNIVERSIDAD DE CUENCA
86
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.105
87
Ibd.
88
MNDEZ, Andrs, MAAS, Jos Antonio, 2010, MANUAL DE USUARIO PILAR BASIC versin 4.4,
Ministerio de Administraciones Pblicas, Espaa, p. 95
89
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.106
90
http://es.wiktionary.org/wiki/incertidumbre
91
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.40
92
Ibd., p. 41
93
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.106
94
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.38
Autores:
167
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
95
Ibd., p.30
Ibd., p.38
97
http://www.iso.org/iso/catalogue_detail?csnumber=50297
Autores:
Antonio Lucero G.
John Valverde P.
96
168
UNIVERSIDAD DE CUENCA
98
http://www.soporteremoto.com.mx/help_desk/articulo04.html
http://www.ar-tools.com/index.html
100
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.35
101
http://www.bpc.com.mx/?page_id=70
102
http://informacion.wordpress.com/2006/06/06/%C2%BFque-son-los-recursos-informaticos/
103
http://www.slideshare.net/tannia1928/medios-telematicos
104
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.107
105
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.38
Autores:
169
Antonio Lucero G.
John Valverde P.
99
UNIVERSIDAD DE CUENCA
106
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.129
107
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html
108
http://www.google.com.ec/#hl=es&tbo=1&rlz=1R2TSND_esEC423&tbs=dfn:1&sclient=psyab&q=plan+de+emergencia&rlz=1R2TSND_esEC423&pbx=1&oq=plan+de+emergencia&aq=f&aqi=g10&
aql=&gs_sm=3&gs_upl=2139l2795l4l3125l6l4l0l0l0l2l252l830l0.2.2l4l0&tbo=1&bav=on.2,or.r_gc.r_pw.r
_qf.,cf.osb&fp=a3266cec0758bb3&biw=1366&bih=556
109
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html
110
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.107
111
Ibd.
112
Ibd.
113
Ibd.
Autores:
170
Antonio Lucero G.
John Valverde P.
UNIVERSIDAD DE CUENCA
114
http://limbail.wordpress.com/2010/04/12/rman-que-es-rman/
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.39
116
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.108
117
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html
118
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html
119
http://es.wikipedia.org/wiki/Seguridad_l%C3%B3gica
120
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.108
121
Ibd.
Autores:
171
Antonio Lucero G.
John Valverde P.
115
UNIVERSIDAD DE CUENCA
122
http://es.wikipedia.org/wiki/Transport_Layer_Security
http://es.wikipedia.org/wiki/Stand_by
124
http://www.monografias.com/trabajos35/subnetting-vlsm/subnetting-vlsm.shtml
125
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.35
Autores:
172
Antonio Lucero G.
John Valverde P.
123
UNIVERSIDAD DE CUENCA
126
http://es.wikipedia.org/wiki/Tarjeta_de_coordenadas
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.109
128
http://es.wikipedia.org/wiki/Sistema_de_alimentaci%C3%B3n_ininterrumpida
129
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.36
130
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.109
131
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. I Mtodo, Ministerio de
Administraciones Pblicas, Espaa, p.109
132
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier 2006, MAGERIT versin 2, Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. II Catlogo de Elementos, Ministerio de
Administraciones Pblicas, Espaa, p.34
Autores:
173
Antonio Lucero G.
John Valverde P.
127
UNIVERSIDAD DE CUENCA
BIBLIOGRAFA
LIBROS:
ACHIG, Lucas, 2000, Investigacin Social, Teora Metodolgica, Tcnicas y
Evaluacin, U Ediciones, Cuenca-Ecuador
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier, 2006, MAGERIT
versin
de
Espaa
LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier, 2006, MAGERIT
versin
de
Pblicas,
Espaa
Espaa
DOCUMENTOS:
COAC Jardn Azuayo, Estatuto
COAC Jardn Azuayo, Reglamento Interno
COAC Jardn Azuayo, Planificacin Estratgica 2009-2013
COAC Jardn Azuayo, Manual para Socios
Autores:
Antonio Lucero G.
John Valverde P.
174
UNIVERSIDAD DE CUENCA
PGINAS WEB:
www.jardinazuayo.fin.ec
http://www.ar-tools.com/
https://www.ccncert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=187&lang=e
s
http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistem
as_informacion.pdf
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CT
T_Area_Descargas&langPae=es&iniciativa=184
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CT
T_General&langPae=es&iniciativa=184
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CT
T_General&langPae=es&iniciativa=161
Autores:
Antonio Lucero G.
John Valverde P.
175