Riesgo Inform A Tico

Escuela de Ciencia y Tecnologa
Facultad de Ingeniera
DESARROLLO DE REDES IV.
METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA

CASA DE LAS BATERIAS S.A DE C.V
Catedrtico: Ing. Rodrigo Torres
INTEGRANTES:
Arvalo Bernal, Oscar William 25-0610-2002

Escalante Solrzano, Katia Elizabeth 25-3394-2003
Guevara Ruano, Nancy Elizabeth 25-0592-2003
Jimnez Hernndez, Miguel ngel 25-3405-2002
Montoya Lpez, Ana Beatriz 25-2382-2003
Orellana Melndez, Jos Hernn 25-1005-1999
Seccin : 01
San Salvador, 21 de Mayo del 2009

Anlisis de Riesgo de la Seguridad Informtica.
INDICE.
Pagina
Introduccin
Objetivos 6
Marco Terico 7
Determinacin de la probabilidad 11
Identificacin de las vulnerabilidades 11
Identificacin de amenazas 12
Limitantes del anlisis de riesgo 13
Priorizacin de riesgos 14
Planteamiento del Problema 15
Descripcin de la empresa 15
Misin 15
Visin 15
Polticas 16
Organigrama de la empresa 16
Organizacin interna de la empresa 17
Planteamiento del problema 17
Descripcin de la metodologa utilizada. 18
Anlisis de Riesgo 18
Paso 1: Activos 19
Tipos de Activos a determinar 20
Dependencias 20
Dimensiones de Valoracin 21
Valoracin 23
2
Paso 2: Amenazas 23
Tipos de Amenazas a determinar 23
Valoracin de las amenazas 24
Paso 3: Determinacin del impacto. 25
Paso 4: Determinacin del riesgo 26
Desarrollo de la Metodologa 27
Entrevistas 27
Tablas de inventario de activos 32
Tablas de Amenazas y Vulnerabilidades 35
Anlisis de riesgos e impactos 43
Conclusiones 44
Glosario 46
Bibliografa 48
3
INTRODUCCIN
En el presente trabajo se ha realizado la documentacin sobre una consultora de seguridad

en la empresa LA CASA DE LAS BATERIAS S.A DE C.V. La cual se encuentra ubicada en el lugar
(parte de la direccin) siendo el principal rubro (actividad a la que se dedica).
Para llevar a cabo la investigacin se hizo uso de diferentes tcnicas de recoleccin de

informacin como entrevistas a encargados del rea de informtica para determinar diversos
factores que intervienen como vulnerabilidades, amenazas, entre otros. En la seguridad de la
empresa antes mencionada se ha desarrollado la Metodologa de Anlisis y Gestin de Riesgos de
los Sistemas de Informacin, en este informe detallamos tanto informacin general como
especfica sobre lo que se refiere esta metodologa llamada Magerit, elaborado por el Ministerio
espaol de Administraciones Pblicas, Dado su carcter abierto que tambin se utiliza fuera de la
Administracin.
En la primera parte del Marco Terico se incluye fundamentos tericos sobre diferentes
conceptos como lo son riesgo, vulnerabilidades, amenazas entre otros conceptos tericos que son
de mucha importancia para el desarrollo de esta consultora adems para determinar qu factores
estn afectando de forma directa o indirecta en la empresa para lograr tener una calidad en la
seguridad tanto fsica como seguridad lgica para lograr cumplir con los objetivos de la seguridad
entre los cuales cuenta con confidencialidad, integridad y disponibilidad.
En la segunda parte se da una explicacin de forma breve pero detallada sobre el

planteamiento del problema entre la cual se incluyen aspectos fundamentales sobre la explicacin
de la organizacin de la empresa, la situacin actual de la empresa, tipo de rubro a la cual se dedica
la empresa, as como tambin la rea de negocio procesos de la organizacin adems se incluye
parte de los problemas de seguridad los cuales han sido verificados por parte del grupo de
consultores como planteados por la empresa.
En la tercera parte se da a conocer de forma detallada la documentacin tcnica de la

metodologa a seguir para el desarrollo de la consultora con la diferencia que en esta parte se da a
conocer de forma ms explcita con la cual se pretende entre otros aspectos hacer que los
responsables de los sistemas de informacin tanto de la existencia de riesgos y de la necesidad de
4
Tratar a tiempo. Dichos inconvenientes para lograr obtener una certificacin o una acreditacin
segn sea el caso.
Esta metodologa se basa en tres libros los cuales estn detallados de forma especfica sus
principales funciones as como las normativas ISO de las cuales se basan o se rigen. Tambin
planteamos el anlisis de riesgos que desarrollaremos el cual nos permite determinar qu tiene la
Organizacin y estimar lo que podra pasar de forma metdicamente.
As como los Elementos que intervienen como son los Activos, elementos del sistema de
informacin que aportan valor a la organizacin, las Amenazas que son cosas que perjudican a la
organizacin; para evitar estos inconvenientes hay que tomar medidas para salvaguardar dichos
activos con el desarrollo de este podremos determinar elementos para medir el riesgo por el cual
se est enfrentando o se pueda enfrentar as como tambin el impacto que podra suceder si se
dieran dichos inconvenientes para esto determinamos una serie de pasos los cuales se llevaran a
cabo para una correcta determinacin del anlisis de riesgos en la implementacin de la
metodologa.
La cual se desarrolla en la cuarta parte segn lo que se ha presentado en por parte de la

empresa para la cual se est desarrollando esta consultora en la cual ya se identificaron parte de
los riesgos y vulnerabilidades descubiertos por parte del grupo de consultores y estn detallados en
esta parte del documento.
Adems se ha brinda una parte de las conclusiones que se han tomado aunque estas de
forma general ya que se espera realizarlo de forma especfica para la culminacin de esta
consultora la cual est siendo desarrollada hasta el momento y ser culminada hasta el prximo
avance.
5
OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa LA CASA DE LAS BATERIAS, S.A DE C.V
para determinar diversos factores que intervienen para lograr mejorar la seguridad de la
informacin en la organizacin.
Objetivos Especficos:
Conocer de forma detallada la metodologa que se implementara para realizar una correcta
consultora de seguridad a la empresa.
Implementar de forma correcta y eficiente la Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin, Magerit la cual ser desarrollada por parte del grupo de
consultores de seguridad.
Realizar un planteamiento de anlisis de Riesgos de seguridad con miras a identificar
vulnerabilidades as como tambin los riesgos potenciales y polticas de la empresa
Brindar un informe detallado en el cual se brindaran soluciones especficas para aplacar con
los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa.
Formular en base al anlisis de riesgos de quien se debe proteger los activos de la empresa
ya sean estos usuarios inexpertos como atacantes externos, adems de las aplicaciones a las
cuales se debe tener usos restringidos considerados como fundamentales para la
organizacin.
6
1.0 MARCO TEORICO

El concepto de riesgo est presente en la totalidad de las actividades que realiza el ser
humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware,
poltica, etc.) en las Tecnologas de la Informacin, es necesario conocer la prioridad de aplicacin y
que tipo de medida podemos aplicar. El anlisis de riesgos es el primer paso de la seguridad
informtica.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. Tambin se puede definir
como la posibilidad de sufrir un dao por la exposicin a un peligro y peligro: es la fuente del
riesgo y se refiere a una substancia o a una accin que puede causar dao. Las metodologas de
anlisis de riesgos existentes describen sus etapas en forma terica, se presentan pocos ejemplos o
es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado.
Por lo anterior es necesario establecer una metodologa cualitativa prctica para realizar un anlisis
de riesgos a las reas de TI, estableciendo cmo puede ejecutarse el anlisis.
Anlisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.
El primer paso del anlisis es identificar los activos a proteger o evaluar. La evaluacin de
riesgos involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios
de riesgo establecidos previamente.
La funcin de la evaluacin consiste en ayudar a alcanzar un nivel razonable de consenso en

torno a los objetivos en cuestin, y asegurar un nivel mnimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los mtodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar
los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos muy importantes
dentro del concepto estos son los siguientes: probabilidad, amenazas, vulnerabilidades, activos e
impactos.
Probabilidad Amenazas
Vulnerabilidades Activos
Impactos
7
PROBABILIDAD: establecer la probabilidad de ocurrencia puede realizarse de manera

cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la
existencia de ninguna accin paliativa, o sea, debe considerarse en cada caso qu
posibilidades existen que la amenaza se presente independientemente del hecho que sea o no
contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales hay informacin
suficiente (series histricas, compaas de seguros y otros datos) para establecer con
razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor
dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado
a datos; dnde se hacen estimaciones sobre la base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comnmente se indican como
amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de
software, los desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una inundacin en el primer
caso, o un acceso no autorizado a una base de datos en el segundo caso.
VULNERABILIDADES: son ciertas condiciones inherentes a los activos o presentes en su entorno

que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el
uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas
siempre estn presentes, pero sin la identificacin de una vulnerabilidad no podrn ocasionar
ningn impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las

siguientes: falta de conocimiento del usuario, tecnologa inadecuadamente probada
(testeada), transmisin por redes pblicas, etc.
Una vulnerabilidad comn es contar con antivirus no actualizado, la cual permitir al

virus actuar y ocasionar daos. Si el antivirus estuviese actualizado la amenaza (virus) si bien
potencialmente seguira existiendo no podra materializarse.
ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de informacin.
Ejemplos tpicos son los datos, el hardware, el software, servicios, documentos, edificios y
recursos humanos.
IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son siempre

negativas. Las prdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo
plazo.
8
Se puede establecer que las ms comunes son: la prdida directa de dinero, la prdida
de confianza, la reduccin de la eficiencia y la prdida de oportunidades de negocio. Otras no tan
comunes, felizmente, son la prdida de vidas humanas, afectacin del medio ambiente, etc.
Las amenazas se pueden convertir en realidad a travs de fallas de seguridad, que

conocemos como vulnerabilidades y que deben ser eliminadas al mximo para que el ambiente que
se desea proteger est libre de riesgos de incidentes de seguridad.
Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin principal a tomar

en cuenta en el momento de priorizar acciones de seguridad para la correccin de los activos que
se desean proteger y deben ser siempre considerados cuando se realiza un anlisis de riesgos. A
continuacin presentamos un esquema de la relacin que existe en los elementos antes
mencionados.
Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en:
Que originan
Incidentes
Son los hechos que deben ser

Los impactos pueden ser
evitados en una organizacin, desastrosos, segn su
puesto que causan impacto a los amplitud y gravedad.
negocios.
Sin importar el tipo de
En virtud de la accin de un
agente o condicin natural, que
incidente, lo importante es
son las amenazas en s mismas, evaluar el impacto que
los incidentes generan una serie puede causar en los
de problemas que pueden diferentes activos de la
afectar los principios de la empresa.
seguridad de la informacin. 9
Anlisis de Riesgo de la Seguridad de la Informacin
El activo ms importante que se posee es la informacin y, por lo tanto, deben

existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre
los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que
consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los
datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est
permitido debe estar prohibido" y sta debe ser la meta perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organizacin y de las que no lo son) a los

programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin
minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4. Asegurar que la informacin transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisin entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarqua informtica, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
7. Actualizar constantemente las contraseas de accesos a los sistemas de
cmputo.
Una vez que la programacin y el funcionamiento de un dispositivo de

almacenamiento (o transmisin) de la informacin se consideran seguras, todava
deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a
los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica
proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin -
por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).
Estos fenmenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema

informtico (porque no le importa, no se da cuenta o a propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
10
programas pueden ser un virus informtico, un gusano informtico, un troyano,

una bomba lgica o un programa espa o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales
no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer,
etc.).
Un siniestro (robo, incendio, por agua): una mala manipulacin o una mal
intencin derivan a la prdida del material o de los archivos.
El personal interno de Sistemas. La competencia del poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la seguridad
informtica.
1.1 Determinacin de la probabilidad.
Con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un

evento, los siguientes factores deben ser tomados en cuenta:
Fuente de la amenaza y su capacidad.

Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente
de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja.
1.2 Identificacin de Vulnerabilidades.
Para la identificacin de vulnerabilidades sobre la plataforma de tecnologa, se

utilizan herramientas como listas de verificacin y herramientas de software que
determinan vulnerabilidades a nivel del sistema operativo y firewall:
Seguridad Fsica.
Monitoreo ambiental
Control de acceso
Desastres naturales
Control de incendios
Inundaciones
Seguridad en las conexiones a Internet.
Polticas en el Firewall
VPN
Deteccin de intrusos
Seguridad en la infraestructura de comunicaciones.
Routers
11
Switches
Firewall
Hubs
RAS
Seguridad en Sistema Operacionales (Unix, Windows)
Correo Electrnico
Seguridad en las aplicaciones Crticas
Se define las aplicaciones que son crticas para la organizacin y por cada una de
ellas se obtendr una matriz de riesgo. Es importante considerar que las
aplicaciones estn soportadas por: Sistemas operativos, hardware servidor, redes
LAN y WAN, y el Centro de cmputo.
1.3 Identificacin de Amenazas.
Una vez conocemos los recursos que debemos proteger y de identificar las
vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen
contra ellos. Una vulnerabilidad es cualquier situacin que pueda desembocar en un
problema de seguridad, y una amenaza es la accin especfica que aprovecha una
vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha
relacin: sin vulnerabilidades no hay amenazas, y sin amenazas no hay
vulnerabilidades.
Se suelen dividir las amenazas que existen sobre los sistemas informticos en tres
grandes grupos, en funcin del mbito o la forma en que se pueden producir:
Desastres del entorno.
Dentro de este grupo se incluyen todos los posibles problemas relacionados con la
ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con
las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se
han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres
producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros
relacionados con operadores, programadores o usuarios del sistema.
Amenazas en el sistema.
Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y

su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema
operativo, medidas de proteccin que ste ofrece, fallos en los programas, copias de
seguridad.
12
Amenazas en la red.
Cada da es menos comn que una mquina trabaje aislada de todas las dems; se
tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y
esta interconexin acarrea nuevas - y peligrosas - amenazas a la seguridad de los
equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta.
Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito
por la red, a proteger una red local del resto de internet, o a instalar sistemas de
autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos a
la organizacin (como un investigador que conecta desde su casa a travs de un
mdem).
No siempre hemos de contemplar a las amenazas como actos intencionados contra

nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes,
desde un operador que derrama una taza de caf sobre una terminal hasta un usuario
que tropieza con el cable de alimentacin de un servidor y lo desconecta de la lnea
elctrica, pasando por temas como el borrado accidental de datos o los errores de
programacin; decir `no lo hice a propsito' no ayuda nada en estos casos. Por
supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema:
un usuario de nuestras mquinas puede intentar conseguir privilegios que no le
corresponden, una persona externa a la organizacin puede lanzar un ataque de
negacin de servicio contra la misma sin necesidad de conocer ni siquiera un login y
una contrasea, etc.
1.4 Limitantes del anlisis de riesgo.
En general, a pesar de que se han desarrollado muchas soluciones a los

problemas de la seguridad en los sistemas de informacin, la apreciacin general es
que la inseguridad es un problema que no ha sido resuelto. La perspectiva parece poco
optimista, principalmente debido a que los atacantes han pasado de ser aficionados en
busca de notoriedad a criminales en busca de lucro.
Posiblemente una de las principales razones por las cuales los problemas de
seguridad informtica no han sido resueltos es la aparicin frecuente de nuevas
amenazas. Como un ejemplo de esto es la evolucin del malware: los virus altamente
nocivos y de amplia difusin han dado lugar a botnets furtivos, de difcil deteccin y
dirigidos a objetivos especficos.
Precisamente una de las debilidades de las metodologas de anlisis de riesgo

es que parten de una visin esttica de las amenazas as como de los controles
requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas
de seguridad informtico suele ser demasiado extenso ante un entorno en cambio
constante.
13
Los cambios en los riesgos que debe considerar una organizacin tienen dos orgenes:
a) El surgimiento de nuevas amenazas.

b) La adopcin de nuevas tecnologas que da origen a riesgos no previstos.
Todo sistema de informacin evoluciona, debido a la integracin de hardware y

software con caractersticas nuevas y ms atractivas para los usuarios, as como al
desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos
imprevistos y tambin pueden crear vulnerabilidades donde antes no existan.
1.5 Priorizacin De Riesgos.
En este paso de la estimacin de riesgos, se estiman su prioridad de forma que

se tenga forma de centrar el esfuerzo para desarrollar la gestin de riesgos. Cuando se
realiza la priorizacin (elementos de alto riesgo y pequeos riesgos), estos ltimos no
deben ser de gran preocupacin, pues lo verdaderamente crtico se puede dejar en un
segundo plano.
Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los
siguientes pasos:
1. Definir los activos informticos a analizar.

2. Identificar las amenazas que pueden comprometer la seguridad de los activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de establecer una
priorizacin de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Cuando ya hemos realizado este anlisis no tenemos ms que presentar nuestras

cuentas a los responsables de la organizacin (o adecuarlas al presupuesto que un
departamento destina a materias de seguridad), siempre teniendo en cuenta que el
gasto de proteger un recurso ante una amenaza ha de ser inferior al gasto que se
producira si la amenaza se convirtiera en realidad. Hemos de tener siempre presente
que los riesgos se pueden minimizar, pero nunca eliminarlos completamente, por lo
que ser recomendable planificar no slo la prevencin ante un problema sino
tambin la recuperacin si el mismo se produce; se suele hablar de medidas proactivas
(aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que
se toman cuando el dao se produce, para minimizar sus efectos).
14
2.0 Planteamiento Del Problema.

Por que hoy en da muchas de las empresas se encuentran vulnerables a diferentes
tipos de amenazas tanto informticas como fsicas?
El presente proyecto tiene como finalidad Desarrollar e implementar un anlisis de
riesgo de la seguridad informtica de la empresa LA CASA DE LAS BATERIAS, S.A
DE C.V
2.1 Descripcin de la Empresa.
La empresa LA CASA DE LAS BATERIAS,

S.A DE C.V se encuentra ubicada en la Zona
de San Salvador, es una mediana empresa que
se dedican al COMERCIO DE BATERIAS Y
ACCESORIOS, La Casa de las Bateras fue
fundada en 1973 en Panam, inicia
operaciones en El Salvador en el 2008, con una
variedad de productos para satisfacer las
necesidades energticas de este mercado.
Cuentan con 2 Sucursales en El Salvador (1 en
San Salvador y otra en San Miguel).
2 en Costa Rica y 13 en Panam. La oferta que ellos ofrecen est respaldada por
importantes marcas brindando a sus clientes productos de excelente calidad con el
servicio, la atencin y el asesoramiento tcnico que ellos requieren.
2.1.1 Misin.
Suplir la demanda de nuestros clientes en Panam y Centroamrica a travs del

suministro oportuno de productos y servicios en el rea de Bateras con todo el
respaldo tcnico requerido para garantizar su satisfaccin.
2.1.2 Visin.
Ser la empresa lder en el sector de las bateras en Centroamrica y Panam,

ofreciendo productos y servicios de alta calidad.
15
2.1.3 Polticas.
Nuestro compromiso con nuestros clientes es brindar un servicio integral:
A nuestros clientes de distribucin les brindaremos el respaldo requerido para

la venta de nuestros productos.
A nuestros clientes les brindamos asesora tcnica y un servicio integral en la
revisin, venta e instalacin de todo tipo de Bateras en nuestras instalaciones
y en servicio a domicilio.
En ambos casos, con un personal altamente capacitado y a un precio competitivo,

cumpliendo y superando sus expectativas, mejorando continuamente el control de
nuestros procesos por medio de un eficaz Sistema de Gestin de la Calidad para
beneficio de la empresa, los clientes y colaboradores
2.1.4 Organigrama de la Empresa.
Auditor Externo
16
2.1.4 Organizacin Interna de la Empresa.
Cuentan con aproximadamente con 30 empleados divididos en 4 departamentos.
Poseen un equipo informtico distribuido de la siguiente manera:
10 computadoras aproximadamente 3 en cada departamento.
5 impresoras 1 en cada departamento
5 Puntos de red
2 Fax y Fotocopiadora (multifuncin)
3 Scanner
1 mdems
2.2 Planteamiento del problema.

Esta empresa ha ido presentando la siguiente problemtica, ya que hasta este
momento no haban contado con anlisis de riesgo, para poder evaluar que tan
vulnerable estn sus equipos a las diferentes amenazas.
Como tambin de no contar con un sistema de proteccin para sus equipos

informticos entre estos podemos mencionar (falta de ups, como tambin no cuentan
con antivirus, ni mucho menos firewall).
Por otra parte se observo que el acceso a la informacin esta vulnerable ya que
no se cuenta con una seguridad para permitir el acceso al equipo donde se encuentra
la informacin importante.
De continuar esta problemtica la empresa corre riesgos de que todo su equipo

se queme ya que no cuentan con un regulador de voltaje, al mismo tiempo que la
informacin se pierda debido a que no existe las medidas de seguridad que se deben
de implementar para la informacin importante, y un robo de informacin por la
competencia, o por parte de empleados que manejen los recursos, entre otros riesgos
que se presentaran mas adelante.
Para ms o menos contribuir a la solucin de este problema se propone aplicar

la metodologa MAGERIT, a esta empresa para contrarrestar algunos de los problemas
antes mencionados.
17
2.3 DESCRIPCIN DE LA METODOLOGA UTILIZADA.
MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas

de Informacin
Magerit es una metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin elaborada por el Consejo Superior de Administracin Electrnica de
Espaa para minimizar los riesgos de la implantacin y uso de las Tecnologas de la
Informacin, enfocada a las Administraciones Pblicas. Actualmente est en su versin
2.
El Consejo Superior de Administracin Electrnica ha elaborado Magerit y

promueve su utilizacin como respuesta a la percepcin de que la Administracin
depende de forma creciente de las tecnologas de la informacin para el cumplimiento
de su misin. La razn de ser de Magerit est directamente relacionada con la
generalizacin del uso de los medios electrnicos, informticos y telemticos, que
supone unos beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Hemos utilizado esta metodologa, y la hemos adaptado a nuestras necesidades

de trabajo para realizar un anlisis de riesgos que sirva como diagnostico fiel a la
empresa en estudio, para determinar su situacin actual con respect a la seguridad
informtica.
2.1 Anlisis de Riesgos

El anlisis de riesgos es una aproximacin metdica para determinar el riesgo
siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la Organizacin, su interrelacin y su

valor, en el sentido de qu perjuicio (coste) supondra su degradacin.
2. Determinar a qu amenazas estn expuestos aquellos activos
3. Estimar el impacto, definido como el dao sobre el activo derivado de la

materializacin de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado con la tasa de

ocurrencia (o expectativa de materializacin) de la amenaza.
18
La siguiente figura recoge el anlisis de riesgos, cuyos pasos se detallan en las

siguientes secciones:
Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor
de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware) y que permiten hospedar datos,

aplicaciones y servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente

citados.
19
Tipos de activos a determinar:

[D] Datos / Informacin
Los datos son el corazn que permite a una organizacin prestar sus servicios. Son en
cierto sentido un activo abstracto que ser almacenado en equipos o soportes de
informacin (normalmente agrupado en forma de bases de datos) o ser transferido
de un lugar a otro por los medios de transmisin de datos.
[SW] Aplicaciones (software)
Se refiere a tareas que han sido automatizadas para su desempeo por un equipo
informtico. Las aplicaciones gestionan, analizan y transforman los datos permitiendo
la explotacin de la informacin para la prestacin de los servicio.
[HW] Equipos informticos (hardware)
Bienes materiales, fsicos, destinados a soportar directa o indirectamente los servicios

que presta la organizacin, siendo pues depositarios temporales o permanentes de los
datos soporte de ejecucin de las aplicaciones informticas o responsables del
procesado o la transmisin de datos.
[SI] Soportes de informacin
Se consideran dispositivos fsicos que permiten almacenar informacin de forma

permanente o, al menos, durante largos periodos de tiempo.
[AUX] Equipamiento auxiliar
Se consideran otros equipos que sirven de soporte a los sistemas de informacin, sin
estar directamente relacionados con datos.
Dependencias
Aparece como importante el concepto de dependencias entre activos o la medida en
que un activo superior se vera afectado por un incidente de seguridad en un activo
inferior.
Se dice que un activo superior depende de otro activo inferior cuando la

materializacin de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos
inferiores son los pilares en los que se apoya la seguridad de los activos superiores.
20
Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas
superiores dependen de las inferiores, para nuestro caso de estudio los niveles de
dependencia son:
Capa 1:
El sistema de informacin propiamente dicho
Equipos informticos (hardware)
Aplicaciones (software)
Comunicaciones
Soportes de informacin: discos, cintas, etc.
Equipamiento Auxiliar
Capa 2:
La informacin
Datos
Meta-datos: estructuras, ndices, claves de cifra, etc.
Dimensiones de valoracin
Las dimensiones se utilizan para valorar las consecuencias de la materializacin de una
amenaza.
La valoracin que recibe un activo en una cierta dimensin es la medida del perjuicio
para la organizacin si el activo se ve daado en dicha dimensin.
[D] Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la

informacin y sus activos asociados.
Qu importancia tendra que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una
amenaza afectara a su disponibilidad, las consecuencias seran graves.
[I] Integridad de los datos
Garanta de la exactitud y completitud de la informacin y los mtodos de su

procesamiento.
21
Qu importancia tendra que los datos fueran modificados fuera de control?
Los datos reciben una alta valoracin desde el punto de vista de integridad cuando su
alteracin, voluntaria o intencionada, causara graves daos a la organizacin.
[C] confidencialidad de los datos
Aseguramiento de que la informacin es accesible slo para aquellos autorizados a

tener acceso.
Qu importancia tendra que el dato fuera conocido por personas no autorizadas?
Los datos reciben una alta valoracin desde el punto de vista de confidencialidad
cuando su revelacin causara graves daos a la organizacin.
[A_S] autenticidad de los usuarios del servicio
Aseguramiento de la identidad u origen.
Qu importancia tendra que quien accede al servicio no sea realmente quien se

cree?
La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de

fraude o uso no autorizado de un servicio.
[A_D] autenticidad del origen de los datos
Aseguramiento de la identidad u origen.
Qu importancia tendra que los datos no fueran realmente imputables a quien se

cree?
Los datos reciben una elevada valoracin desde el punto de vista de autenticidad del
origen cuando un defecto de imputacin causara graves quebrantos a la organizacin.
Tpicamente, se habilita la oportunidad de repudio.
22
VALORACIN
La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en
alguna escala de niveles). Los criterios ms importantes a respetar son:
Homogeneidad:
Es importante poder comparar valores aunque sean de diferentes dimensiones a fin de

poder combinar valores propios y valores acumulados, as como poder determinar si es
ms grave el dao en una dimensin o en otra.
Relatividad:
Es importante poder relativizar el valor de un activo en comparacin con otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor Criterio
3 Alto De gran importancia a la organizacin
2 Medio De importancia a la organizacin
1 Bajo De menor importancia a la organizacin
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a nuestros activos y causar un dao.
Tipos de amenazas a determinar:

[N] Desastres naturales
Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa
o indirecta.
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de

tipo industrial.
Estas amenazas pueden darse de forma accidental o deliberada.
23
[A] Ataques intencionados
Fallos deliberados causados por las personas.
La numeracin no es consecutiva para coordinarla con los errores no intencionados,

muchas veces de naturaleza similar a los ataques deliberados, difiriendo nicamente
en el propsito del sujeto.
Para cada amenaza se presenta un cuadro como el siguiente:
[cdigo] Ttulo descriptivo de la amenaza
Tipos de activos: Dimensiones:
Que se pueden ver afectados por este 1. De seguridad que se pueden ver
afectadas por este tipo de amenaza,
tipo de amenazas
ordenadas de ms a menos relevante.
Descripcin:
Complementaria o ms detallada de la amenaza: lo que le puede ocurrir a activos del

tipo indicado con las consecuencias indicadas.
Valoracin de las amenazas.

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus
dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede
perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos:
Degradacin: cun perjudicado resultara el activo
Frecuencia: cada cunto se materializa la amenaza
La degradacin mide el dao causado por un incidente en el supuesto de que

ocurriera.
Dao causado por la amenaza
Valor Criterio
3 Alto Dao grave
2 Medio Dao importante
1 Bajo Dao menor
24
La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser
de terribles consecuencias pero de muy improbable materializacin; mientras que otra
amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un dao considerable.
Frecuencia con que sucede la amenaza.
Valor Criterio
3 Alto Bastante Frecuente
2 Medio Frecuente
1 Bajo Poco Frecuente
Paso 3: Determinacin del impacto

Se denomina impacto a la medida del dao sobre el activo derivado de la
materializacin de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradacin que causan las amenazas, es directo derivar el impacto
que estas tendran sobre el sistema.
Clasificacin del Impacto
Valor Criterio
3 Alto Alto impacto
2 Medio Impacto moderado
1 Bajo Bajo impacto
Se puede calcular el impacto en base a tablas sencillas de doble entrada:
DEGRADACION
IMPACTO
B M A
A M A A
VALOR M B M A
B B B M
25
Aquellos activos que reciban una calificacin de impacto alto (A) deberan ser objeto
de atencin inmediata.
Paso 4: Determinacin del riesgo
Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el

impacto de las amenazas sobre los activos, es directo derivar el riesgo sin ms que
tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la
frecuencia.
Clasificacin del Riesgo
Valor Criterio
3 Alto Alto riesgo
2 Medio Riesgo moderado
1 Bajo Bajo riesgo
Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo:
FRECUENCIA
RIESGO
B M A
A M A A
IMPACTO M B M A
B B B M
Aquellos activos que reciban una calificacin de riesgo alto (A) deberan ser objeto de
atencin inmediata. Los que reciban una calificacin de riesgo alto, deberan ser objeto
de planificacin inmediata de salvaguardas.
26
DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
Descripcin del proceso de identificacin de activos.
Entrevistas.
Se realizaron dos entrevistas que se desarrollaron a dos tipos de personas diferentes:
1. A un encargado del departamento de Recursos Humanos que nos brindo

informacin general de la empresa, y algunos datos bsicos de la misma.
2. La segunda entrevista se realizo a una persona encargada del departamento de
contabilidad que cuenta con un acceso a toda la informacin de la empresa, y
los activos que esta empresa posee.
Universidad Tecnolgica de El Salvador
Facultad de Ciencia y Tecnologa
Escuela de Informtica
Ctedra de Redes
Empresa:
Nombre:
Cargo:
Objetivo: Conocer especficamente la infraestructura de hardware y software de la empresa,

para identificar las diferentes vulnerabilidades y amenazas de la empresa, y as brindndoles
un anlisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboracin para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboracin.
1. Cul es el rubro de la Empresa?

___________________________________________________________________
___________________________________________________________________
2. Con cuantos departamentos cuenta la empresa?

___________________________________________________________________
___________________________________________________________________
27
3. Con cuantas computadoras cuenta cada departamento?

___________________________________________________________________
___________________________________________________________________
4. Cuenta con un servidor de Internet y de datos la empresa?

___________________________________________________________________
___________________________________________________________________
5. Tienen un departamento encargado de la administracin del servidor, o este trabajo lo

realiza una persona especfica.
___________________________________________________________________
___________________________________________________________________
6. Estos departamentos tienen acceso a Internet?

___________________________________________________________________
___________________________________________________________________
7. Qu usuarios son los que tienen acceso a Internet?

___________________________________________________________________
___________________________________________________________________
8. Han implementado anteriormente algn sistema de prevencin de riesgos para la

empresa?
___________________________________________________________________
___________________________________________________________________
9. Qu tan frecuentemente lo han implementado?

___________________________________________________________________
___________________________________________________________________
10. Estara usted de acuerdo que como grupo de consultores le brindemos una
metodologa de anlisis de riesgo.
___________________________________________________________________
28
Universidad Tecnolgica de El Salvador
Facultad de Ciencia y Tecnologa
Escuela de Informtica
Ctedra de Redes
Empresa:
Nombre:
Cargo:
Objetivo: Conocer especficamente la infraestructura de hardware y software de la empresa,

para identificar las diferentes vulnerabilidades y amenazas de la empresa, y as brindndoles
un anlisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboracin para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboracin.
1. El rea de informtica cuenta con un lugar seguro para el almacenamiento de los

datos fsicamente?
___________________________________________________________________
___________________________________________________________________
2. Los equipos de cmputo cuentan con un sistema de alimentacin elctrica?

___________________________________________________________________
___________________________________________________________________
De que tipo?
___________________________________________________________________
___________________________________________________________________
3. El sistema de cmputo cuenta con un cableado seguro?

___________________________________________________________________
___________________________________________________________________
29
4. Con que tipo de hardware cuenta la empresa?

___________________________________________________________________
___________________________________________________________________
5. Qu tipo de servidor tienen?

___________________________________________________________________
___________________________________________________________________
6. Cules son los servicios de Internet a los que tienen acceso los usuarios?
___________________________________________________________________
___________________________________________________________________
7. Qu horas son hbiles para acceder a estos servicios?

___________________________________________________________________
___________________________________________________________________
8. Con que tipo de aplicaciones cuenta el equipo?

___________________________________________________________________
___________________________________________________________________
9. Con que sistema operativo cuneta el equipo?

___________________________________________________________________
___________________________________________________________________
10. Qu departamentos cuentan con ese sistema operativo?

___________________________________________________________________
___________________________________________________________________
11. Estos equipos de cmputo poseen antivirus?

___________________________________________________________________
___________________________________________________________________
30
12. Qu antivirus utilizan. Se encuentran registrados con alguna licencia?

___________________________________________________________________
___________________________________________________________________
13. El antivirus que utilizan actualmente cumple con los requerimientos de la empresa.
___________________________________________________________________
___________________________________________________________________
14. Utilizan en el servidor algn tipo de firewall?

___________________________________________________________________
___________________________________________________________________
15. Las personas que accedan al equipo de cmputo entran con alguna contrasea.
___________________________________________________________________
___________________________________________________________________
16. Las aplicaciones consideradas fundamentales cuentan con algn tipo de contrasea o
usuarios especficos?
___________________________________________________________________
___________________________________________________________________
31
Identificacin de Activos.
Tablas de inventario de activos
Departamento: Mercadeo
No Descripcin Finalidad Categora Criticidad
2 Computadoras Control de precios, HW, SW, SI Alto

Promociones,
Dell,
publicidad
1 Impresora Canon, Publicaciones e HW medio

para todo el impresiones
departamento
Departamento: Ventas
2 Computadoras Control de Ventas, HW, SW, SI Alto

clientes, proveedores,
Dell
cotizaciones
1 Computadora Dell Para las cajeras HW, SW, SI Alto
1 Impresora Reportes ventas, precios HW medio

Panasonic, para e impresiones varias
todo el
departamento
1 Scanner para Captura de datos, HW bajo

todo el informes de ventas y
departamento cotizaciones
32
Departamento: Contabilidad
2 Computadoras Finanzas HW, SW, SI Alto
Dell,
1 Impresora HP Impresiones varias del HW medio

departamento
1 Scanner para Reportes y cotizaciones, HW bajo

todo el de acuerdo al
departamento departamento.
1 Fax y Para transacciones y HW medio

Fotocopiadora datos e informes
(multifuncin), generales de la empresa
Panasonic uso general.
Departamento: Recursos Humanos.
2 Computadoras Informacin de los HW, SW, SI Alto

empleados
Dell.
1 Impresora Impresiones varias del HW medio

Panasonic, para departamento
todo el
departamento
33
Departamento: Gerencia General
1 Computadoras Uso del Gerente HW, SW, SI Alto
Dell.
1 Impresora HP. Uso Exclusivo del Gerente HW medio
1 Scanner Uso del Gerente HW bajo
1 Modem (Conexin a Internet) HW medio

speedtoucher pertenece al proveedor
1 Fax y Uso del Gerente HW medio

Fotocopiadora
34
Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades
Desastres Naturales [DesN]
[DesN.1] Fuego
[HW] Equipos Informticos (hardware) [Dis] Disponibilidad
[SI] Soportes de Informacin
[EAUX] Equipamiento Auxiliar
Descripcin
Incendios: Existe el riesgo de que un corto circuito provoque un incendio y el fuego dae el
equipo de la empresa.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios

No existen suficientes extintores de incendios, o no estn distribuidos en los
sitios claves de manejo de informacin.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios crticos de manejo de
informacin.
Hay paredes de concreto pero tambin hay paredes de material inflamables
tales como madera o plywood.
[DesN.2] Daos por agua
Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los recursos del sistema.
35
Existe la posibilidad de que haya filtracin de agua en la poca de invierno en

los lugares donde se encuentra equipo informtico.
Amenazas de origen industrial [Indus.]
[Indus.1] Corte del Suministro Elctrico
Descripcin:
El que haya un corte permanente o corto de energa elctrica.
No cuentan aun con una planta elctrica para este tipo de emergencias.
No todos los equipos informticos son alimentados mediante UPS.
Cortes de energa prolongados (ms de veinte minutos) requerirn que los
equipos de misin crtica de la institucin sean apagados. No existir
disponibilidad de los servicios de informacin en la institucin durante el
lapso que dure el corte de energa.
Los sistemas elctricos podran ser susceptibles a cortos circuitos que
podran provocar la interrupcin del suministro total o parcial.
El corte de energa podra dejar sin trabajar al personal de la empresa.
[Indus.2] Condiciones Inadecuadas de Temperatura
Descripcin: Deficiencias en la climatizacin de los locales, excediendo los mrgenes

de trabajo de los equipos: excesivo calor.
36
No existe un mecanismo de aire acondicionado para toda la empresa.

Presentan un ambiente en la mayora de departamentos con calor,
excediendo la temperatura de las maquinas.
[Indus.3] Degradacin de los soportes de almacenamiento de la informacin
[SI] Soportes de Informacin [Dis] Disponibilidad
Descripcin:
Como consecuencia del paso del tiempo
No hay una ubicacin adecuada para almacenar y resguardar soportes de

informacin (medios magnticos, medios pticos, documentos en papel)
Los backups se hacen en medios pticos (DVDs y CDs)
Documentos en papel no se convierten a otro medio (no se digitalizan).
Estos documentos son susceptibles a los daos que pueda sufrir el papel
como consecuencia de un proceso de archivado inadecuado o daos
provocados por el paso del tiempo.
Amenazas a Causa de Ataques Intencionados [A_Int.]
[A_Int.1] Manipulacin de la Configuracin
[D] Datos / informacin 1. [I] Integridad
[SW] Aplicaciones (software) 2. [C] Confidencialidad
[HW] Equipos informticos (hardware) 3. [A_S] Autenticidad del servicio
4. [A_D] Autenticidad de los datos
7. [D] Disponibilidad
Descripcin: Prcticamente todos los activos dependen de su configuracin y sta de

la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de
actividad, encaminamiento, etc.
37
No existe un sistema para deteccin de intrusos dentro de la red de

informacin.
No mantienen un sistema de monitoreo constante en el cual detecten
notificaciones automticas a quienes administran la red.
Nunca han implementado un nivel de polticas de seguridad como el uso de
contraseas, y el cambio constante de estas.
No mantienen un sistema de Active Directory u otros servicios.
[A_Int.2] Suplantacin de la Identidad del Usuario
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la
Organizacin o por personal contratado temporalmente.
No hay restricciones sobre la cantidad de sesiones que un usuario puede

iniciar.
Tampoco existen restricciones sobre las estaciones de trabajo sobre las
cuales los usuarios pueden iniciar sesin, aun a pesar de que de manera
fsica, cada usuario tiene asignado un puesto de trabajo y una estacin de
trabajo.
No se han implementado a nivel de las polticas de seguridad el uso de
contraseas fuertes y el cambio obligatorio de estas en forma peridica.
38
No existe dentro de la administracin de usuarios, directivas o polticas que

deshabilite a los usuarios que por diversas razones se ausenten de sus
puestos de trabajo en periodos temporales relativamente largos, como por
ejemplo cuando algn usuario est de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a formar
parte de la organizacin o cuando dejan de trabajar en la misma, no es
automtico. Hasta que se reciben las notificaciones de recursos humanos,
el administrador del dominio tomas las acciones correspondientes para
actualizar el directorio, lo cual podra generar ciertos espacios de riesgo
sobre uso inautorizado de los recursos de informacin.
[A_Int.3] Abuso de Privilegios de Acceso
[HW] Equipos Informticos (hardware) 2. [I] Integridad
Descripcin:
Cada usuario disfruta de un nivel de privilegios para un determinado propsito;

cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de
su competencia, hay problemas.
No existen procedimientos de revisin peridica de los derechos y permisos

efectivos de los usuarios, para comprobar si debido a un cambio de
configuracin, o a una accin errnea o indebida se le han concedido a un
usuario o grupo de usuarios ms derechos y permisos de los que le
corresponden.
No existen sistemas de monitorizacin en lnea que detecten y generen
alarmas y notificaciones automticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuracin que pudieran afectar el
funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles
abusos de privilegios en las aplicaciones.
39
[A_Int.4] Uso no Previsto
[SW] Aplicaciones (software) [Dis] Disponibilidad
[HW] Equipos Informticos (hardware)
Descripcin:
Utilizacin de los recursos del sistema para fines no previstos, tpicamente de inters
personal: juegos, consultas personales en Internet, bases de datos personales,
programas personales, almacenamiento de datos personales, etc.
No existen herramientas de control de contenido o monitorizacin de

trfico para el uso de Internet u otros servicios de la infraestructura de red
y los sistemas de informacin.
Tampoco se implementan inventarios automatizados de software y
hardware para comprobar que no se hayan instalado componentes
adicionales y no autorizados a los equipos de los usuarios.
[A_Int.5] Difusin de software daino
[SW] Aplicaciones (software) 1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos
Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos, troyanos, bombas

lgicas, etc.
40
Los equipos de computo tienen un software de antivirus en el cual esta

actualizado y bajo licencia.
No existen controles de las conexiones a red dentro de la empresa.
Por medio de que no tienen control en la red se conectan equipos
personales en los cuales se puede infectar de virus peligrosos la red.
No mantienen un control para el uso de memorias USB, discos duros
externos, etc.
[A_Int.6] Destruccin de la informacin
[D] Datos / Informacin [Dis] Disponibilidad
Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un beneficio o causar

un perjuicio.
Hacen frecuentemente la realizacin de backup por medio de DVDs y CDs

de los datos.
No se cuenta con un cuidado exclusivo del almacenamiento de datos por
medio pticos.
No se cuenta con una oficina, en la cual se pueda guardar la informacin de
los backups y las aplicaciones fundamentales de la empresa.
[A_Int.7] Denegacin de Servicio
Descripcin:
La carencia de recursos suficientes provoca la cada del sistema cuando la carga de

trabajo es desmesurada.
41
No existen sistemas de deteccin y prevencin de intrusos en la institucin

(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de informacin.
[A_Int.8] Robo
[HW] Equipos Informticos (hardware) 1. [Dis] Disponibilidad
[SI] Soportes de Informacin 2. [C] Confidencialidad
Descripcin:
La sustraccin de informacin empresarial se puede dar mediante el robo que pueda

hacer personal interno no personal ajeno a la compaa.
Los controles y mecanismos de seguridad fsica orientados a prevenir el

robo de activos de informacin en la institucin son mnimos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locacin de la divisin de informtica que es
donde se encuentran los equipos de misin critica para las operaciones de
la empresa.
Los documentos de identificacin de los empleados no llevan fotografa que
facilite la comprobacin de la identidad de alguien en forma inmediata, ni la
autenticidad de dicha identificacin.
En el caso de los visitantes, las tarjetas de visitantes no son de un color
diferente a las identificaciones de los empleados, y no difieren en mucho de
estas, salvo por el hecho que llevan el texto que dice visitante, pero
pueden fcilmente ser confundidas.
42
ANLISIS DE RIESGOS E IMPACTOS
Catalogo Completo de Amenazas Analizadas
Cdigo Descripcin
[DesN.1] Fuego
[DesN.2] Daos por Agua
[Indus.1] Corte del Suministro Elctrico
[Indus.2] Condiciones Inadecuadas de temperatura
[Indus.3] Degradacin de los Soportes de Almacenamiento de la Informacin
[A_Int.1] Manipulacin de la Configuracin
[A_Int.2] Suplantacin de la Identidad del Usuario
[A_Int.3] Abuso de Privilegios de Acceso
[A_Int.4] Uso no Previsto
[A_Int.5] Difusin de Software Daino
[A_Int.6] Destruccin la Informacin
[A_Int.7] Denegacin de Servicio
[A_Int.8] Robo
43
CONCLUSIONES
Entre las conclusiones que se dan en base al desarrollo del presente trabajo se
han determinado diferentes amenazas a las cuales se ven afectada la empresa estn
las naturales como lo son el fuego es decir peligro a incendios que puedan causar
estragos o incluso acabar con los recurso de sistemas de informacin con los cuales
cuentan equipos informticos entendindose por esto hardware debido a que se han
identificado diferentes vulnerabilidades con las que se ve relacionada esta amenaza
siendo las principales que no existen suficientes extintores de incendios tambin de no
contar con sensores de humo o alarmas de incendios adems el personal no cuenta
con un mtodo o procedimientos a seguir ante un siniestro de esta naturaleza.
Otra amenaza que se ha identificado de origen industrial es la de no contar con

suministro elctrico optimo que la empresa necesita debido a que existe la
vulnerabilidades de no contar todos los equipos informticos son alimentados
elctricamente por un UPS. Vindose afectados cuando un corte de energa elctrica
se d ya que no existir disponibilidad de los servicios de informacin durante este
problema se d o dure el corte de energa adems de presentarse el riesgo de que los
sistemas elctricos podran ser susceptibles a cortos circuitos que podran provocar la
interrupcin del suministro total o parcial, debido a la quema de fusibles de proteccin
entre otros.
La amenaza la cual fue muy evidente notar consista en que podan haber
ataques intencionados como robo de informacin entre las vulnerabilidades que se
tomaron en cuenta era que no existen sistemas de deteccin y prevencin de intrusos
en la institucin que pudiera detectar movimientos o patrones de conducta anormales
en el entorno de la red, orientados a alterar la configuracin de los sistemas de
informacin. No se han implementado a nivel de las polticas de seguridad el uso de
contraseas.
44
Adems de Destruccin la informacin por parte intencional del personal con

nimo de obtener un beneficio o causar un perjuicio.
Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin
est en algn soporte informtico, hay amenazas especficas.
Estas son las principales amenazas a las que la empresa se ve afectada de acuerdo a las
vulnerabilidades que se han observado por parte del grupo de consultores entre otras
que se han dado a conocer por parte de la empresa.
Las cuales se esperan ser solventadas de acuerdo a las recomendaciones que se

presenten a medida se desarrolle esta metodologa que se est siguiendo y las cuales
sern presentadas en el siguiente avance de este documento.
45
GLOSARIO.
Activos: Los recursos del sistema de informacin o relacionados con ste,

necesarios para que la Organizacin funcione correctamente y alcance los objetivos
propuestos por su direccin.
Autenticidad: (de quin hace uso de los datos o servicios), que no haya duda de
quin se hace responsable de una informacin o prestacin de un servicio, tanto a
fin de confiar en l como de poder perseguir posteriormente los incumplimientos o
errores. Contra la autenticidad se dan suplantaciones y engaos que buscan
realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y,
como tal, fundamenta el comercio electrnico o la administracin electrnica,
permitiendo confiar sin papeles ni presencia fsica.
Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a

que est expuesta una Organizacin.
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa.
Comnmente se indican como amenazas a las fallas, a los ingresos no
autorizados, a los virus, uso inadecuado de software, los desastres
ambientales como terremotos o inundaciones, accesos no autorizados,
facilidad de acceso a las instalaciones, etc.
Botnet: es un trmino que hace referencia a una coleccin de software robots, o

bots, que se ejecutan de manera autnoma.
Confidencialidad: Caracterstica de la informacin por la que la misma slo puede

ser revelada a los usuarios autorizados.
Disponibilidad: disposicin de los servicios a ser usados cuando sea necesario. La

carencia de disponibilidad supone una interrupcin del servicio. La disponibilidad
afecta directamente a la productividad de las organizaciones.
Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer,

prevenir, impedir, reducir o controlar los riesgos identificados.
46
Integridad: mantenimiento de las caractersticas de completitud y correccin de los

datos. Contra la integridad, la informacin puede aparecer manipulada, corrupta o
incompleta. La integridad afecta directamente al correcto desempeo de las
funciones de una Organizacin.
Impactos: las consecuencias de la ocurrencia de las distintas amenazas son

siempre negativas. Las prdidas generadas pueden ser financieras, no financieras,
de corto plazo o de largo plazo.
Malware informtico: es el trmino para el cdigo malicioso diseado para

molestar o destruir un sistema informtico.
Magerit: es una metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin elaborada por el Consejo Superior de Administracin Electrnica para
minimizar los riesgos de la implantacin y uso de las Tecnologas de la Informacin,
enfocada a las Administraciones Pblicas
Probabilidad: prediccin calculada de la ocurrencia de un accidente en un cierto

periodo de tiempo.
Riesgo: estimacin del grado de exposicin a que una amenaza se materialice

sobre uno o ms activos causando daos o perjuicios a la Organizacin.
Seguridad: es la capacidad de las redes o de los sistemas de informacin para

resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o
malintencionadas que comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles.
Virus informtico: es un programa de ordenador que puede infectar otros

programas modificndolos, para incluir una copia de si mismo tambin Programa
que se duplica a s mismo en un sistema informtico incorporndose a otros
programas que son utilizados por varios sistemas.
Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en

su entorno que facilitan que las amenazas se materialicen llevan a esos activos a
ser vulnerables. Mediante el uso de las debilidades existentes es que las
amenazas logran materializarse, o sea, las amenazas siempre estn presentes,
pero sin la identificacin de una vulnerabilidad no podrn ocasionar ningn
impacto.
47
BIBLIOGRAFIA.
Enlaces bibliogrficos.
Web del Ministerio de Administraciones Pblicas. Consejo Superior de

Informtica:
www.map.es/csi/csi.htm
Las Siete Guas Metodolgicas:
www.map.es/csi/herramientas/GuiasMagerit.exe
Herramienta MAGERIT:
www.map.es/csi/herramientas/HerramientaMagerit.exe
Foro MAGERIT:
http://foro.map.es/
URLS.
http://www.csi.map.es/csi/pg5m20.htm
http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html
48

Riesgo Inform A Tico

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Riesgo Inform A Tico

Uploaded by

Copyright:

Available Formats

Escuela de Ciencia y Tecnologa

DESARROLLO DE REDES IV.

METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA

Catedrtico: Ing. Rodrigo Torres

Arvalo Bernal, Oscar William 25-0610-2002

Montoya Lpez, Ana Beatriz 25-2382-2003

Orellana Melndez, Jos Hernn 25-1005-1999

San Salvador, 21 de Mayo del 2009

Identificacin de las vulnerabilidades 11

Limitantes del anlisis de riesgo 13

Planteamiento del Problema 15

Organizacin interna de la empresa 17

Planteamiento del problema 17

Descripcin de la metodologa utilizada. 18

Tipos de Activos a determinar 20

Tipos de Amenazas a determinar 23

Valoracin de las amenazas 24

Paso 3: Determinacin del impacto. 25

Paso 4: Determinacin del riesgo 26

Tablas de inventario de activos 32

Tablas de Amenazas y Vulnerabilidades 35

Anlisis de riesgos e impactos 43

En el presente trabajo se ha realizado la documentacin sobre una consultora de seguridad

Para llevar a cabo la investigacin se hizo uso de diferentes tcnicas de recoleccin de

En la segunda parte se da una explicacin de forma breve pero detallada sobre el

En la tercera parte se da a conocer de forma detallada la documentacin tcnica de la

La cual se desarrolla en la cuarta parte segn lo que se ha presentado en por parte de la

consultora de seguridad a la empresa.

Implementar de forma correcta y eficiente la Metodologa de Anlisis y Gestin de Riesgos

Realizar un planteamiento de anlisis de Riesgos de seguridad con miras a identificar

vulnerabilidades as como tambin los riesgos potenciales y polticas de la empresa

cuales se debe tener usos restringidos considerados como fundamentales para la

1.0 MARCO TEORICO

La funcin de la evaluacin consiste en ayudar a alcanzar un nivel razonable de consenso en

PROBABILIDAD: establecer la probabilidad de ocurrencia puede realizarse de manera

VULNERABILIDADES: son ciertas condiciones inherentes a los activos o presentes en su entorno

Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las

Una vulnerabilidad comn es contar con antivirus no actualizado, la cual permitir al

IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son siempre

Las amenazas se pueden convertir en realidad a travs de fallas de seguridad, que

Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin principal a tomar

Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en:

Son los hechos que deben ser

El activo ms importante que se posee es la informacin y, por lo tanto, deben

Los medios para conseguirlo son:

1. Restringir el acceso (de personas de la organizacin y de las que no lo son) a los

Una vez que la programacin y el funcionamiento de un dispositivo de

Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema

programas pueden ser un virus informtico, un gusano informtico, un troyano,

1.1 Determinacin de la probabilidad.

Con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un

Fuente de la amenaza y su capacidad.

1.2 Identificacin de Vulnerabilidades.

Para la identificacin de vulnerabilidades sobre la plataforma de tecnologa, se

Seguridad en las conexiones a Internet.

Seguridad en la infraestructura de comunicaciones.

Seguridad en Sistema Operacionales (Unix, Windows)

Seguridad en las aplicaciones Crticas

1.3 Identificacin de Amenazas.

Desastres del entorno.

Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y

No siempre hemos de contemplar a las amenazas como actos intencionados contra