Análisis de Riegos FIDEVAL

1
CAPTULO I
INTRODUCCIN
1.1 GENERALIDADES
1.1.1 La sociedad de la informacin
La masificacin del uso de ordenadores en las dos ltimas
dcadas provoc un nuevo cambio en la sociedad; vivimos en la
sociedad de la informacin. En la actualidad es difcil concebir
nuestra vida sin la asistencia de un ordenador para realizar
nuestro
trabajo,
compartir
informacin
con
entidades
financieras y estatales o disfrutar de momentos de ocio. Ms

all de la utilizacin personal de un ordenador, todas las
organizaciones, tanto privadas como estatales sustentan su
actividad en el uso de tecnologas informticas. El desarrollo de
las tecnologas informticas le ha permitido a las organizaciones
gestionar
de
manera
muy
eficiente
el
trnsito
las
tecnologas
almacenamiento de la informacin
1.1.2 Amenazas informticas
Si
bien
es
cierto
que
el
desarrollo
de
informticas ha permitido un flujo gil de la informacin a

travs de una organizacin, tambin es cierto que ha permitido
que personas inescrupulosas traten insistentemente de vulnerar
el canal por donde fluye la informacin con el fin de conseguir
datos confidenciales de las organizaciones y as obtener
ventajas competitivas en el mercado donde se desarrollen las
actividades de la empresa vctima como tambin obtener
informacin delicada de sus funcionarios y clientes.
(Peltier, 2005, p. 18) clasifica a la amenazas en los siguientes
conjuntos:
Amenazas naturales: debidas a la accin de la naturaleza
Amenazas
permitidos por seres humanos

Amenazas de entorno: debidas a la interaccin de la
humanas:
eventos
que
son
causados
estructura fsica de un sistema informtico con el entorno

que le rodea.
1.1.3 Seguridad informtica
En respuesta a la presencia de amenazas informticas en toda
organizacin, nace la necesidad de crear polticas de proteccin
de la informacin de la organizacin. Los criterios referentes al
tema de la seguridad informtica se recogen en la familia de
normas ISO 2700 que busca ser un modelo a seguir cuando se
requiera gestionar los riesgos informticos de una organizacin;
en general, estas normas pretenden proveer a cualquier
organizacin, indistintamente de su tamao y naturaleza,
herramientas para implementar y operar un Sistema de Gestin
de Seguridad Informtica o ISMS por sus siglas en ingls (ISO /
IEC, 2009)
1.2 ANTECEDENTES
1.2.1 Fideval
Fideval es una empresa dedicada a la administracin de fondos
y fideicomisos con presencia en el mercado ecuatoriano desde
1998. La empresa ha venido manejando una importante
cantidad dinero en activos de terceros, siendo en la actualidad
la
principal
administradora
de
fondos
fideicomisos
ecuatoriana. La tabla 1.1 muestra la evolucin de la empresa a

travs del tiempo.
Tabla 1.1. Evolucin de la empresa Fideval a travs del tiempo
Ao
Acontecimiento
199 Creacin de la empresa como parte del grupo
8
200
1
financiero Arseval
Fideval se independiza de Grupos financieros
200
Fideval inicia su participacin en el proceso de
5
200
titularizacin
Fideval inicia
9
201
administracin de fideicomisos masivos

Fideval inicia el proceso de fusin con Fondos
2
201
Pichincha
Fideval se especializa en fondos de inversin
3
201
Fideval lanza el Fondo Fix 90
su
modelo
de
gestin
en
4
Nota: Tomado de (Fideval, 2014)
Fideval se ha caracterizado por sus esfuerzos en gestionar de
manera eficiente la informacin de todos sus clientes para lo
cual cuenta con un equipo completo de profesionales dedicados
a desarrollar soluciones informticas que le permita a los
clientes disponer de su informacin en cualquier lugar del
mundo (Fideval, 2014).
1.2.2 Gestin de riesgos informticos en Fideval
A pesar de los grandes esfuerzos de la empresa en el rea
tecnolgica, existe una observacin importante: debido a que
se encuentra en proceso de fusin con Fondos Pichincha, la
empresa no cuenta con un sistema de gestin de riesgos
informticos integral ya que en la actualidad cada empresa
realiza su propio anlisis de riesgos y toma medidas preventivas
cada una por su cuenta.
Algunos de los problemas que pueden identificarse dentro de la
empresa se mencionan a continuacin:
No existe una valoracin de activos en la empresa

No existen indicadores de las amenazas potenciales sobre
los sistemas de informacin

No se ha estimado el impacto ni el riesgo informtico
No existe un levantamiento de inventario informtico
basado en una metodologa formal
No se ha identificado las vulnerabilidades y amenazas de
cada uno de los activos del inventario

Al no identificar vulnerabilidades y amenazas de activos
tampoco se cuenta con las salvaguardas, por lo tanto no
se pueden calcular los impacto y el riesgo.
1.3 JUSTIFICACIN
Con el creciente uso de tecnologas informticas en empresas
que manejan informacin delicada como es el caso de Fideval,
lamentablemente tambin crece el nmero de antisociales que
pretenden apoderarse de manera ilcita de esta informacin con
el fin de sacar provecho propio y perjudicar a la empresa y sus
clientes. La piratera informtica debe ser combatida por los
especialistas en esta rea de cada empresa.
Este proyecto pretende utilizar los conocimientos impartidos en
la Carrera de Ingeniera en Sistemas para proveer a la empresa
Fideval de un Sistema de Gestin de Riesgos Informticos tal que
le permita a la empresa salvaguardar la informacin delicada que
maneja tanto propia como de sus clientes, mantener el flujo de
dicha informacin a travs de un canal seguro de comunicacin y
defenderse de ataques malintencionados oportunamente.
1.4 OBJETIVOS
1.4.1 Objetivo General
Realizar un anlisis de riesgos informticos para disminuir el
impacto y el riesgo, mediante el uso de la metodologa MAGERIT
v3 en la empresa Fideval
1.4.2 Objetivos Especficos
Catalogar e identificar los activos de la empresa Fideval

Identificar las vulnerabilidades y amenazas de los activos
de la empresa Fideval
Utilizar las tcnicas de valoracin para el clculo del
impacto y riesgo
Elaborar contramedidas que permitan minimizar el
impacto y el riego
Utilizar la herramienta PILAR para la obtencin de
reportes
1.5 ALCANCE
Este proyecto tiene como objetivo implementar un Sistema de
Gestin de Seguridad Informtica para los sistemas informticos
de la empresa Fideval para asegurar la integridad, disponibilidad,
confidencialidad y control de la informacin de la empresa y sus
clientes.
Dentro del desarrollo del proyecto se pretende desarrollar las
siguientes actividades:
Creacin de la matriz de amenazas y vulnerabilidades

Desarrollo de un catlogo de inventarios
Elaboracin del rbol de dependencias
Redaccin del informe de vulnerabilidades
Redaccin del informe de valor de activos
Confeccin de la matriz de relacin de posibles amenazas
Creacin del mapa de riesgos
Redaccin de la declaracin de aplicabilidad
Redaccin de los informes de impacto
Elaboracin del plan de seguridad
CAPTULO 2
FUNDAMENTOS TERICOS
2.1 ANLISIS Y GESTIN DE RIESGOS

2.1.1
Generalidades
La gestin de riesgos es una herramienta gerencial que permite
evaluar los costos de proteger los bienes de la empresa de posibles
amenazas; en el caso de las tecnologas de la informacin la gestin
de riesgos permite determinar el costo-beneficio de integrar al
sistema informtico polticas de seguridad a fin de preservar la
integridad y confidencialidad de la informacin de la empresa.
La gestin de riesgos trata sobre el anlisis de eventos virtuales
inciertos por lo que el nivel de proteccin que genere en los sistemas
no siempre ser total; en la prctica, lo el nivel de seguridad debe
llevarse a un nivel aceptable donde la informacin sea resguardada
de acuerdo a su importancia.
La gestin de riesgos se compone de cuatro distintos procesos:
anlisis de riesgos, valoracin de riesgos, mitigacin del riesgo y
valoracin y evaluacin de controles de la vulnerabilidad (Peltier,
2005, p. 7).
Anlisis de riesgos
El anlisis de riesgos comprende la identificacin y valoracin de
amenazas, vulnerabilidades y eventos que tienen el potencial de
daar los activos de una organizacin (Kouns, 2010, p. 7).
El anlisis de riesgos permite a los administradores y encargados de
los sistemas informticos de una organizacin conocer las amenazas
a las que estn expuestos los activos. Adems, el anlisis de riesgos

permite clasificar los activos y sus posibles amenazas de acuerdo al
valor que tienen cada uno de ellos.
Valoracin de riesgos
Es el proceso de calcular cuantitativamente el dao potencial y costo
monetario causado por una amenaza que tiene impacto sobre un
activo informtico de la organizacin (Kouns, 2010, p. 7).
Es el computo del riesgo. El riesgo es una amenaza que explota una
vulnerabilidad para causar dao sobre un activo. El algoritmo del
riesgo computa el riesgo como funcin de los activos, amenazas y
vulnerabilidades (Peltier, 2005, p. 8).
De los conceptos anteriores se destaca que la valoracin de riesgos
arroja datos numricos de los riesgos que indican la cantidad de dao
que
pueden
causar
as
como
su
impacto
econmico
en
la
organizacin. Adems se menciona que clculo del riesgo es funcin

de los activos, amenazas y vulnerabilidades por lo que estos
componentes debern ser expresados tambin en valores numricos.
Mitigacin de riesgos
Mediante este proceso una organizacin implementa controles y
salvaguardas para prevenir la ocurrencia de los riesgos identificados.
Al mismo tiempo comprende la implementacin de recursos para
recuperar los sistemas en caso que los riesgos se materialicen
(Peltier, 2005, p. 8).
La mitigacin de riesgos incluye el anlisis costo-beneficio, seleccin,
implementacin,
pruebas
evaluacin
salvaguardas (Kouns, 2010, p. 7).
de
seguridad
de
las
El proceso de mitigacin de riesgos incluye el anlisis de la

factibilidad, eficiencia y costos de las medidas de seguridad y
salvaguardas planteadas en base a la valoracin de riesgos; adems
incluye la implementacin de las mismas.
Valoracin y evaluacin de controles de la vulnerabilidad

Es la examinacin sistemtica de una infraestructura crtica, de los
subsistemas interconectados que la soportan y sus productos para
determinar
si
las
medidas
de
seguridad
implementadas
son
adecuadas, si existe alguna debilidad y evaluar alternativas de

implementacin (Peltier, 2005, p. 8).
Es el monitoreo del sistema para comparar la efectividad contra el
conjunto de amenazas, vulnerabilidades y eventos previo as como el
nuevo conjunto de amenazas, vulnerabilidades y eventos derivado de
las modificaciones realizadas al sistema (Kouns, 2010, p. 7)
La valoracin y evaluacin de los controles de la vulnerabilidad es la
etapa
de
evaluacin
de
las
protecciones
salvaguardas
implementadas en contra del conjunto de riesgos detectados en

primera instancia a fin de determinar su efectividad; asimismo,
debido a que es improductivo alcanzar niveles de riesgos nulos, se
encarga de evaluar la efectividad de las medidas implementadas en
contra del conjunto de riesgos creado a partir del mejoramiento del
sistema
2.1.2 Anlisis de riesgos

Anlisis de riesgos es una tcnica utilizada para identificar y valorar
factores que podran poner en riesgo el xito de un proyecto el
alcanzar una meta (Peltier, 2005, p. 15).
El anlisis de riesgos puede considerarse como un estudio de

factibilidad
que
realiza
organizacin
antes
de
ejecutar
los
procedimientos prcticos de la gestin de riesgos informticos. Por

tanto, tal y como se expresa en (Peltier, 2005, p. 15), parte de este
anlisis implica un estudio costo-beneficio de la implementacin del
sistema de salvaguardas as como la no implementacin del mismo;
adems el autor manifiesta que otro aspecto de este anlisis es el
impacto que tendrn las salvaguardas sobre los funcionarios de la
organizacin y los clientes
2.1.3 Valoracin del riesgo

Las organizaciones utilizan la valoracin de riesgos para determinar
qu amenazas existen sobre un activo especfico y el nivel de riesgo
asociado a dicha amenaza (Peltier, 2005, p. 16).
La
valoracin
de
riesgos
comprende
el
primer
conjunto
de
procedimientos prcticos en la gestin de riesgos informticos; los

procedimientos
desarrollados
permitirn
determinar
cuantitativamente el nivel de riesgo al que estn sometidos los

activos de la empresa; (Peltier, 2005, p. 16) define seis sub-procesos
en la valoracin del riesgo:
Definicin de activos
Identificacin de las amenazas
Determinacin de la probabilidad de ocurrencia
Determinacin del impacto de la amenaza
Recomendacin de controles
Documentacin
2.1.3.1 Definicin de los activos

Como activo debe entenderse a un sistema, aplicacin, procedimiento
o bien material que tiene valor o relevancia para la organizacin y
que se desea proteger; la definicin de los activos debe realizarse en
forma precisa ya que de otro modo no se podrn identificar las
amenazas (Peltier, 2005, p. 16)
2.1.3.2 Identificacin de amenazas

Una amenaza se define como un evento indeseado que tiene
impacto en los activos de la empresa (Peltier, 2005, p. 18).
La
identificacin
de
amenazas
comprende
el
estudio
de
las
caractersticas de los activos de la empresa en busca de situaciones

que puedan comprometer su integridad o desarrollo. (Peltier, 2005)
agrupa los diferentes tipos de amenazas en tres categoras:
Amenazas naturales
Amenazas humanas
Amenazas del entorno
Amenazas naturales
Se producen por efecto de la madre naturaleza. Por ejemplo
tormentas
elctricas,
terremotos,
erupciones
volcnicas,
inundaciones, etc.
Amenazas humanas
Se deben a la accin del ser humano; la ocurrencia de estos
acontecimientos se puede producir por la omisin del personal y
usuarios del sistema informtico de la empresa al no tener en cuenta
las polticas de seguridad o bien por ataques deliberados como
pueden ser accesos no autorizados al sistema, ataques con virus

informticos, robo de equipos, etc.
Amenazas del entorno

Estas se deben al deterioro de los elementos fsicos que conforman el
sistema informtico con el medio ambiente; ejemplos de este tipo de
amenazas son la contaminacin por polvo, humedad ambiental,
sobretensiones en la lnea, oxidacin, etc.
2.1.3.3 Determinacin de la probabilidad de ocurrencia

Una vez que la elaboracin de la lista de amenazas termine, ser
necesario determinar cul es la probabilidad de que estas ocurran
(Peltier, 2005, pg. 19)
La determinacin de la probabilidad de ocurrencia permitir asignarle
la importancia justa a cada una de las amenazas. La probabilidad de
ocurrencia depende en gran medida de naturaleza de la actividad de
cada empresa y su ubicacin geogrfica; por ejemplo, la posibilidad
de que la empresa sea alcanzada por un misil es casi nula en Ecuador
mientras que en Medio Oriente debe ser alta.
2.1.3.4 Determinacin del impacto de la amenaza

(Peltier, 2005, pg. 24) menciona que impacto es la magnitud de la
prdida de valor de un activo.
La determinacin del impacto es la medida cuantitativa del dao que
puede causar una amenaza sobre los activos de la empresa; el valor
del impacto de
una
determinada
magnitud depender
de la
naturaleza de la empresa as como el criterio del grupo de trabajo que

realice la valoracin.
2.1.3.5 Recomendacin de controles

Despus que el nivel de riesgo sea asignado, se deber identificar
los controles o salvaguardas para eliminar el riesgo o al menos
reducirlo a un nivel aceptable (Peltier, 2005, pg. 25).
La determinacin del nivel de riesgo de las amenazas identificadas
permitir al grupo de estudio de riesgos plantear las mejores
alternativas de control y salvaguarda de la integridad de los activos
de la empresa desde el punto de vista tcnico; ejemplos de controles
propuestos pueden ser implementacin de lectores de huellas
dactilares, antivirus, porteros electrnicos, adquisicin de cajas
fuertes, etc.
2.1.3.6 Documentacin
Una
vez
terminado
documentados
en
un
el
estudio,
formato
los
estndar
resultados
y
deben
presentados
ser
a
la
administracin (Peltier, 2005, pg. 27).

La documentacin del anlisis de riesgos permitir un mejor
entendimiento de todos los pasos que se han seguido desde la
identificacin de los activos hasta la recomendacin de los controles.
Los documentos generados servirn adems como soporte para
futuros estudios y como puente de entre el departamento tcnico y la
administracin.
2.1.4 Anlisis del costo-beneficio

Es anlisis costo beneficio es una herramienta administrativa que
permitir evaluar las ventajas econmicas de la implementacin de
los controles y las salvaguardas recomendadas en el anlisis tcnico.
Si bien ya no es competencia directa del departamento tcnico, es
necesario nombrarlo ya que constituye la etapa decisiva del proyecto.

(Peltier, 2005, pg. 27) recomienda tener en cuenta algunos aspectos
a la hora de realizar este anlisis:
Costos de implementacin, que incluyen tanto el hardware, el

software
Reduccin con el tiempo de la efectividad del sistema
Implementacin de nuevas polticas y procedimientos a fin de

sostener los nuevos controles
Posibilidad de que nuevo personal deba ser contratado o al

menos de que una parte del personal actual deba ser
capacitado
Mantenimiento del sistema
2.2 INTRODUCCIN A MAGERIT

Magerit es el acrnimo para Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin (Ministerio de Hacienda y
Administraciones Pblicas, 2012, pg. 6) y puede entenderse como
una metodologa desarrollada para asistir a los departamentos
tcnicos en el anlisis de riesgos informticos
Magerit
ha
sido
desarrollada
por
el
Consejo
Superior
de
Administracin Electrnica, entidad de regulacin espaola en el

campo de las tecnologas informticas, de acuerdo a las normas ISO
31000
2.3 DESCRIPCIN DE LA METODOLOGA MAGERIT V3

La
metodologa
Magerit
desarrolla
principalmente:
Identificacin de los activos
Identificacin de las amenazas
las
siguientes
tareas
Determinacin de las salvaguardas
Determinacin del impacto residual
Determinacin del riesgo residual
2.3.1 Identificacin de los activos

2.3.1.1 Identificacin
Un activo, como se indica en el apartado 2.1.3.1, es cualquier
elemento que tenga valor para la empresa; software, hardware,
instalaciones, informacin y procesos son ejemplos que indican la
diversidad que existe en la naturaleza de los activos. Para su
identificacin, Magerit ha desarrollado un Catalogo de elementos;
esto le permite a los departamentos tcnicos estandarizar la
identificacin de los activos y los resultados del anlisis de riesgos
(Ministerio de Hacienda y Administraciones Pblicas, 2012, pg. 133)
2.3.1.2 Dependencia
El concepto de dependencia nace al estudiar la estructura jerrquica
de los bienes; existen bienes que dependen de otros para su
funcionamiento y en consecuencia, las amenazas de los que se
encuentran abajo tambin afectaran al que se encuentra arriba de la
estructura jerrquica
2.3.1.3 Valoracin
En Magerit existen dos formas de valoracin de los activos: cualitativa
y cuantitativa (Ministerio de Hacienda y Administraciones Pblicas,
2012, pg. 26); la valoracin cualitativa es ms fcil de realizar y
entender; la valoracin cuantitativa de los activos requiere ms
esfuerzo pero permite realizar un anlisis de riesgos ms concreto.
2.3.2 Determinacin de las amenazas

2.3.2.1 Identificacin
De la misma manera que los activos, muchas amenazas tpicas se
encuentran catalogadas por Magerit a fin de facilitar el trabajo del
departamento tcnico y estandarizar los resultados del anlisis de
riesgos. La determinacin de las amenazas debe realizarse sobre
cada activo teniendo en cuenta que la naturaleza del mismo influye
sobre el tipo de amenazas a las que est expuesto
2.3.2.2 Valoracin
La valoracin de la amenaza se realiza de acuerdo a dos criterios:
dao que puede causar sobre un activo y probabilidad de ocurrencia
(Ministerio de Hacienda y Administraciones Pblicas, 2012, pg. 28).
La valoracin de las amenazas, as como con los activos, puede
realizarse
cualitativa
cuantitativamente
dependiendo
de
la
exactitud que se requiera en el anlisis de riesgos
2.3.3 Determinacin del impacto potencial

Un sinnimo acertado, para este caso, de impacto es consecuencia; la
determinacin
del
impacto
potencial
permitir
representar
numricamente las potenciales consecuencias de las amenazas que

atentan contra la integridad de para su evaluacin dentro del anlisis
de riesgos.
menciona que la valoracin del impacto puede calcularse a travs de
dos indicadores: impacto acumulado e impacto repercutido; el
impacto acumulado se calcula para todas las amenazas de todos los
activo y es funcin del valor acumulado del activo y el valor de la
amenaza; por su parte el impacto repercutido tambin se calcula para
todas las amenazas de todos los activos pero es funcin del valor
propio del activo y el valor de las amenazas de los activos de los que
depende. La utilidad del clculo del impacto repercutido radica en

determinar las salvaguardas a implementarse mientras que el fin de
calcular el impacto repercutido es determinar el valor del sistema
informtico dentro en relacin a los dems activos de la empresa
2.3.4 Determinacin del riesgo potencial

Se denomina riesgo potencial a la medida del dao probable sobre
un sistema (Ministerio de Hacienda y Administraciones Pblicas,
2012, pg. 29). El clculo del riesgo potencial es fcil de realizar una
vez que se obtenido el valor del impacto potencial ya que este es
funcin del impacto potencial y la probabilidad de la amenaza
2.3.5 Planteamiento de las salvaguardas

Salvaguardas
son
aquellos
procedimientos
mecanismos
tecnolgicos que reducen el riesgo (Ministerio de Hacienda y

Administraciones Pblicas, 2012, pg. 31). Una adecuada seleccin de
las salvaguardas implica determinar, en funcin de la naturaleza de
los riesgos a los que se ven sometidos los activos, los mecanismos de
proteccin ms simples y efectivos a fin de disminuir los riesgos a
niveles aceptables
2.3.5.1 Seleccin de las salvaguardas

Al seleccionar las salvaguardas ms adecuadas para un activo,
recomienda que se tomen en cuentas los siguientes aspectos
Naturaleza del activo
Valor del activo
Naturaleza de las amenazas
Probabilidad de ocurrencia de las amenazas
Al final se deber determinar si las salvaguardas seleccionadas

aplican para la proteccin de un determinado activo y si su uso se
justifica desde el punto de vista tcnico
2.3.5.2 Clasificacin de salvaguardas

La clasificacin de las salvaguardas puede realizarse de acuerdo a
diferentes criterios; por ejemplo, teniendo en cuenta el tipo de activo
que protegen, (Ministerio de Hacienda y Administraciones Pblicas,
2012, pg. 180) agrupa las salvaguardas en los siguientes conjuntos:
Proteccin general
Proteccin de los datos/informacin
Proteccin de claves criptogrficas
Proteccin de los servicios
Proteccin de las aplicaciones
Proteccin de las comunicaciones
Proteccin de los soportes de informacin
Proteccin de los elementos auxiliares
Proteccin de las instalaciones
Salvaguardas relativas al personal
Salvaguardas de tipo organizativo
2.3.6 Clculo del impacto residual

En esta operacin intervienen dos valores: el impacto que fue
calculado
sin
salvaguardas
el
impacto
calculado
con
las
salvaguardas propuestas; la diferencia entre estos dos valores ser el

impacto residual
2.3.7 Clculo del riesgo residual

Esta operacin es una diferencia entre el riesgo calculado sobre los
activos sin salvaguardas y el riesgo calculado cuando se toman en
cuenta las salvaguardas propuestas; hay que tomar en cuenta que las
salvaguardas no solo afectan el porcentaje de degradacin de los
activos sino tambin la frecuencia con la que estas se materializan
2.3.8 Elaboracin de la documentacin

Una vez completadas las actividades descritas en los apartados 2.3.1
al 2.3.7, se deber elaborar la documentacin referente al anlisis. La
presentacin del anlisis de riesgos debe contener los siguientes
informes:
Modelo de valor
Documento que contiene la informacin referente a los activos
Mapa de riesgos
Documento que contiene informacin referente a las amenazas
Declaracin de aplicabilidad
Documento que recoge informacin referente a la naturaleza de
las salvaguardas seleccionadas
Evaluacin de salvaguardas
Documento que recoge informacin referente a la eficacia de
las de las salvaguardas seleccionadas
Informe de insuficiencias o vulnerabilidades

Documento que recoge informacin acerca de las salvaguardas
que deberan ser implementadas pero que no lo estn
Estado de riesgo
Documento que muestra informacin del impacto y riesgo que
afectan a cada activo por cada amenaza
2.4 OBJETIVOS DE MAGERIT V3

Magerit se ha desarrollado bajo la norma ISO 31000 a fin de realizar
una gestin de riesgos en sistemas informticos eficiente (Ministerio
de Hacienda y Administraciones Pblicas, 2012, pg. 7). Entre los
objetivos que esta metodologa se plantea se encuentran los
siguientes:
Objetivos directos
Hacer conciencia en las organizaciones de la existencia de

riesgos y la necesidad de gestionarlos
Ofrecer un metodo para analizar los riesgos asiciados al uso de

las tecnologias de informacion y comunicacin
Proveer a la organizacin de herramientas que le permitan

mantener los riesgos en niveles aceptables
Objetivos indirectos
Preparar a la organizacin para los procesos de evaluacion,

auditora, certificacin o acreditacin segn sea el caso
2.5 ELEMENTOS DE MAGERIT V3

2.5.1 Activos
Son aquellos componentes o funcionalidades de un sistema que tiene
algn valor para la organizacin y que pueden llegar a ser vctimas de
una amenaza. La naturaleza de los activos es muy variada; entre los
activos comnmente identificados dentro de una organizacin pueden
mencionarse los siguientes:
Datos que materializan la informacin.
Servicios auxiliares que se necesitan para poder organizar el

sistema.
Aplicaciones informticas (software) que permiten manejar

los datos.
Equipos informti cos (hardware) y que permiten hospedar

datos, aplicaciones y servicios.
Soportes
de
informacin
que
son
dispositivos
de
almacenamiento de datos.
Equipamiento
auxiliar
que
complementa
el
material
informtico.
Redes de comunicaciones que permiten intercambiar datos.
Instalaciones
que
acogen
equipos
informticos
de
comunicaciones.
Personas
que
explotan
operan
todos
los
elementos
anteriormente citados.
2.5.2 Amenazas
Son
eventos
que
perjudican
de
alguna
manera
el
correcto
funcionamiento de un sistema. Las amenazas pueden agruparse de

acuerdo a su naturaleza en las siguientes categoras (Ministerio de
Hacienda y Administraciones Pblicas, 2012, pg. 27):
De origen natural
Son las provocados por las fuerzas de la naturaleza; en nuestro
medio son probables inundaciones, terremotos y erupciones
volcnicas
De origen industrial
Aquellas que provocan deterioro fsico sobre los activos;
algunos de los ms comunes son: sobre-voltaje, oxidacin,
temperaturas ambientales extremas, humedad excesiva, etc.
Defectos del sistema

Este tipo de amenazas se deben a defectos presentes en el
hardware o errores de programacion en el software; ejemplos
de las primeras son ordenadores defectuosos, cables en mal
estado mientras que ejemplos de los segundos pueden ser
errores de configuracin, errores de desarrollo, etc.
Causadas por las personas de forma accidental

Las personas con acceso al sistema de informacin pueden ser
causa de problemas no intencionados; un ejemplo de este tipo
de amenazas es la prdida de claves de acceso, dejar a la vista
de todos documentos clasificados, etc.
Causadas por las personas de forma deliberada

Las personas con acceso al sistema de informacin pueden ser
causa de problemas intencionados: ataques deliberados; bien
con nimo de beneficiarse indebidamente, bien con nimo de
causar daos y perjuicios a la organizacin
2.5.3 Salvaguardas
Una salvaguarda es todo aquello que permite proteger un bien
de la materializacin de una amenaza; la naturaleza de las
salvaguardas depende de los activos que resguarde; una
clasificacin propuesta por Magerit agrupa las salvaguardas en
los siguientes conjuntos:
Proteccin general
Proteccin de los datos/informacin
Proteccin de claves criptogrficas
Proteccin de los servicios
Proteccin de las aplicaciones
Proteccin de las comunicaciones
Proteccin de los soportes de informacin
Proteccin de los elementos auxiliares
Proteccin de las instalaciones
Salvaguardas relativas al personal
Salvaguardas de tipo organizativo
2.5.4 Impactos y riesgos

Impacto y riesgo son medidores de la de la importancia que tendra la
materializacin de una amenaza sobre un determinado activo; en
Magerit se puede diferenciar dos tipos de impacto y riesgo: potencial
y residual, los primeros se calculan sin tomar en cuenta las
salvaguardas mientras que el segundo es la diferencia entre el riesgo
potencial y el que se calcula tomando en cuenta las salvaguardas
seleccionadas
2.5.5 Documentacin
La presentacin del anlisis de riesgos debe contener los siguientes
informes:
Modelo de valor
Documento que contiene la informacin referente a los activos
Mapa de riesgos
Documento que contiene informacin referente a las amenazas
Declaracin de aplicabilidad
Documento que recoge informacin referente a la naturaleza de
las salvaguardas seleccionadas
Evaluacin de salvaguardas
Documento que recoge informacin referente a la eficacia de
las de las salvaguardas seleccionadas
Informe de insuficiencias o vulnerabilidades

Documento que recoge informacin acerca de las salvaguardas
que deberan ser implementadas pero que no lo estn
Estado de riesgo
Documento que muestra informacin del impacto y riesgo que
afectan a cada activo por cada amenaza
2.6 APLICACIN DE MAGERIT V3

El anlisis de los riesgos incluye las tareas mencionadas en la figura
2.2
Figura 2-1.Tareas que incluye el mtodo de anlisis de riesgos
MAR 1: Caracterizacin de los activos

La caracterizacin de los activos se realiza seleccionando las
existencias con mayor riesgo dentro de la organizacin y en
concordancia con el catlogo de elementos de Magerit. El
resultado de esta actividad se plasma en el Modelo de valor
(Ministerio de Hacienda y Administraciones Pblicas, 2012, pg.
36).
MAR 2: Caracterizacin de las amenazas

Una vez determinados los activos sobre los cuales se va a
trabajar,
se
realiza
la
identificacin
las
amenazas
ms
peligrosas que podran atacar los activos y su frecuencia de

ocurrencia. El resultado de esta actividad es el informe
denominado mapa de riesgos (Ministerio de Hacienda y
Administraciones Pblicas, 2012, pg. 36).
MAR.3: Caracterizacin de las salvaguardas

La caracterizacin de las salvaguardas busca identificar y
evaluar los procesos recomendados con el fin de mitigar la
influencia de las amenazas sobre los activos de la organizacin.
El resultado de esta actividad se concreta en varios informes
(Ministerio de Hacienda y Administraciones Pblicas, 2012, pg.
36):
o Declaracin de aplicabilidad
o Evaluacin de salvaguardas
o Insuficiencias
(o
vulnerabilidades
del
sistema
de
proteccin)
MAR.4: Estimacin del estado de riesgo
El clculo del riesgo y el impacto resume todas las actividades

anteriores y nos permite cuantificar las mejoras que se lograron con
la implementacin de las salvaguardas sobre el sistema informtico
2.7 INTRODUCCIN A PILAR

PILAR es el acrnimo de Procedimiento informtico Lgico para el
Anlisis de Riesgos (Ministerio de Hacienda y Administraciones
Pblicas, 2012, pg. 125); este software ha sido desarrollado con el
fin de asistir en el Anlisis de riesgos informticos de acuerdo a la
metodologa Magerit; a saber:
Caracterizacin de los activos
Caracterizacin de las amenazas
Evaluacin de las salvaguardas
A fin se seguir la metodologa y estandarizar los resultados del

anlisis, PILAR tiene cargado el catlogo de elementos de esta
metodologa
que
incluye
activos,
amenazas,
dimensiones
de
evaluacin, salvaguardas, etc.

PILAR realiza los clculos de impacto y riesgo y genera graficas e
informes con los resultados del anlisis de riesgos realizado
Anlisis de riesgos
3.1 Anlisis de riesgos con PILAR

El anlisis de riesgos informticos de una organizacin puede
realizarse a travs del software PILAR. Este software permite realizar
el anlisis siguiendo los siguientes pasos:
Identificacin de activos
Valoracin de activos
Identificacin de amenazas
Valoracin de amenazas
Primer clculo del impacto y riesgo
Determinacin de las salvaguardas
Valoracin de salvaguardas
Clculo del impacto y riesgo finales
3.1.1 Identificacin de Activos

La tabla 3.1 muestra la identificacin de los activos ms
representativos de la empresa Fideval; la identificacin de los activos
en el software PILAR se ilustra en la Figura 3.2
Tabla 3-2. Identificacin de activos
Capa
Activo
Ficheros
Copias de respaldo
Datos
Credenciales
Servicios
Pblicos
Observacin
Archivos
que
contiene toda la
informacin de la
empresa
Copias de respaldo
de la informacin
de la empresa
Incluye tarjetas de
identificacin
y
passwords
que
permiten el acceso
a instalaciones y
secciones virtuales
Servicios para los
que no se requiere
identificacin; por
ejemplo,
la
Internos
Clientes
Equipamie
nto
Desarrollo propio
A medida
Software
Estndar
Equipos
Equipos grandes
Equipos medianos
empresa
ofrece
simuladores
de
fondos de inversin
Procesos
que
utilizan
los
integrantes de la
empresa para su
desempeo
Bsicamente son la
razn de ser la
empresa ya que la
empresa se dedica
a
administrar
fondos
y
fideicomisos
La empresa cuenta
con
software
desarrollado
puertas
adentro
para
manejar
algunos
de
sus
servicios
Adems
de
software propio, la
empresa
cuenta
con
software
especializado que
le permite agilitar
las
tareas
que
realiza as como los
servicios
que
presta
Como
en
toda
empresa de este
sector, tambin se
cuenta
con
software estndar
tal como antivirus,
navegador, editor
de texto, visor de
archivos PDF, etc.
Equipos de gran
valor
y
pocas
existencias; entre
ellos
se
puede
nombrar
a
los
servidores
De menor valor y
ms
existencias
Equipos personales
que los equipos

grandes
Equipos utilizados
por la mayora de
personal;
entre
ellos
puede
nombrarse a las
computadoras
porttiles, routers,
etc.
Internet
Comunicac
LAN
in
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Encargado de la
implementacin,
mantenimiento,
monitorear
y
asegurar
el
funcionamiento del
sistema
informtico
El
objetivo
de
la administracin
de
seguridad es
lograr la exactitud,
integridad
y
proteccin
de
todos los procesos
y recursos de los
sistemas
de
informacin
Figura 3.2. Identificacin de los activos en el software PILAR
3.1.2 Valoracin de los activos

Magerit propone la evaluacin de activos en cinco dimensiones:
disponibilidad,
integridad,
confidencialidad,
autenticidad
y
trazabilidad.
3.1.2.1 Escala
Para la valoracin de los activos se utiliz una escala del uno al diez
de acuerdo a la importancia de los activos dentro del sistema
informtico
3.1.2.2 Valoracin
En la Tabla 3-3 se muestra la valoracin de los activos identificados en
el apartado 3.1.1; el procedimiento anlogo en PILAR se ilustra en la
Figura 3.3
Tabla 3-3. Valoracin de los activos

Capa
Activo
Ficheros
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software A medida
Estndar
Equipos grandes
Equipos Equipos medianos
Equipamie
Equipos personales
nto
Internet
Comunica
LAN
cin
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Datos
Valoracin
Disponibi Integri Confidenci Autentic Trazabili
lidad
dad
alidad
idad
dad
10
10
7
10
10
10
2
5
2
9
9
8
10
10
9
9
10
9
8
9
7
5
2
10
8
10
8
8
10
8
8
8
10
9
10
10
8
7
10
10
10
10
7
Figura 3.3. Valoracin de activos en PILAR
3.1.3 Identificacin de las amenazas

La identificacin de las amenazas se realiza sobre cada activo de
acuerdo al catlogo de amenazas de Magerit tal como se muestra en
la Tabla 3-4; la identificacin de las amenazas en el software PILAR se
ilustra en la Figura 3.4
Tabla 3-4. Identificacin de amenazas
Capa
Activo
Ficheros
Datos
Copias de respaldo
Credenciales
Amenazas
Uso indebido
Difusin de software daino
Modificacin de la informacin
Destruccin de la informacin
Revelacin de la informacin
Vulnerabilidad de los programas
Pblicos
Servicios
Internos
Errores de mantenimiento /
actualizacin
Errores del administrador del
sistema
Fuga de informacin
Clientes
Equipamie
nto
Desarrollo propio
Cada del sistema por agotamiento

de recursos
sistema
Errores de configuracin
Software
A medida

sistema
Errores de los usuarios
Estndar
Difusin de software daino
Equipos
Equipos grandes
Avera de origen fsico o lgico
Robo de equipo
Equipos medianos
Equipos personales
Internet
Comunicac
in
LAN
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Clientes
Proveedores

Robo de equipo
Robo de equipo
Uso indebido
Suplantacin de identidad
Abuso de privilegios de acceso
Uso indebido
Robo de equipo
Robo de equipo
Fuego
Ataque destructivo
sistema
Indisponibilidad del personal
Extorsin
Figura 3.4. Identificacin de amenazas en PILAR
3.1.4 Valoracin de las amenazas

La valoracin de la degradacin que una amenaza puede producir
sobre un activo se realiza en las mismas cinco dimensiones que los
activos; en esta valoracin debe aadirse la frecuencia de
materializacin de las amenazas en el sistema
3.1.4.1 Escala de la frecuencia

Para esta escala se escogi un rango entre 0 y 365, esto indica que
las amenazas pueden materializarse de 0 a 365 veces por ao; este
valor corresponde a f ao . La frecuencia que se utilizar para los
clculos se obtiene pasando la escala a un rango entre 0 y 1; este
valor corresponde a f .
3.1.4.2 Escala de la valoracin
Para esta escala se utiliz un rango entre 0 y 1; este valor representa
el porcentaje de degradacin del activo
3.1.4.3 Valoracin
La valoracin de las amenazas se muestra en la Tabla 3-5; el proceso
anlogo en PILAR se ilustra en la Figura 3.5
Tabla 3-5. Valoracin de las amenazas

Degradacin
Servicios
Pblicos
Internos
5
10
0
20
0
0,05
0,1 0,3 0,9
5
0,11
0,8 0,9 0,7
0
0,11
1
0
0,01
1
4
0,27
1
4
0,54
0,5 0,6 0,8
8
80
0,21
0,8 0,7
9
70
0,19
0,8 0,4 0,8
2
20 0,54
0
8
0,3
Trazabilidad
Credenciales
40
Autenticida
d
Confidencial
idad
Copias de respaldo
40
Integridad
Datos
Uso indebido
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Errores de
mantenimiento /
actualizacin
Errores del
administrador del
sistema
Revelacin de la
informacin
20
Disponibilid
ad
Ficheros
Amenazas
Activo
ao
Capa
Desarrollo propio
Fuga de informacin
Cada del sistema por
agotamiento de recursos
Errores del
administrador del
sistema
A medida
Errores del
administrador del
sistema
Clientes
Equipamien
to
Software
Estndar
Equipos
Equipos grandes
Equipos medianos
Equipos personales

Difusin de software
daino
Avera de origen fsico o
lgico
Robo de equipo
lgico
Robo de equipo
lgico
Robo de equipo
0,21
9
20 0,54
0,9
0
8
80
30
0,08
0,7 0,8
2
50
0,13
0,3 0,4 0,6
7
70
0,19
0,7 0,8
2
40
90
36
0
40
10
80
10
30
0
15
0,11
0
0,24
7
0,98
6
0,11
0
0,02
7
0,21
9
0,02
7
0,82
2
0,41
0,3 0,4 0,6

0,7 0,8
0,5 0,7 0,3

1
1
0,2
0,7
0,9
0,6
0,8
0,9
0,3
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
comunicaciones
Errores del
administrador del
sistema
comunicaciones
Errores del
administrador del
sistema
lgico
Robo de equipo
lgico
Robo de equipo
Instalaciones
Edificio
Fuego
Ataque destructivo
0
1
20 0,54
0,6
0
8
80
0,21
0,5 0,6 0,8
9
12 0,32
0,8
0
9
40
0,11
0,9 0,7
0
20
0,05
0,4
5
60
0,16
0,4 0,6 0,7
4
40
10
10
5
10
10
0,11
0
0,02
7
0,02
7
0,01
4
0,02
7
0,02
7
0,9
1
0,9
0,9
0,2
0,3
Administradores del
sistema
Personal
Administradores de
seguridad
Errores del
administrador del
sistema
Indisponibilidad del
personal
Extorsin
personal
80
0,21
0,7
9
0,16
0,9
4
0,16
60
0,7
4
0,13
50
0,6 0,3 0,5
7
60
Figura 3.5. Valoracin de amenazas en PILAR
3.1.5 Clculo del impacto y el riesgo sin salvaguardas

El clculo del impacto y el riesgo se realiza en primer lugar sin tomar
en cuenta salvaguarda alguna. El impacto es el producto del valor del
activo y la degradacin potencial del activo; por su parte el riesgo es
el producto del impacto por la frecuencia de materializacin de la
amenaza. Los resultados del clculo de estos valores se muestran en
la Figura 3.6
3.1.6 Clculo del impacto y el riesgo

El clculo del impacto y el riesgo se realiza sin el planteamiento de nuevas
salvaguardas. El impacto es el producto del valor del activo y la degradacin
potencial del activo; por su parte el riesgo es el producto del impacto por la
frecuencia de materializacin de la amenaza. Los resultados del clculo de
estos valores se muestran en la Figura 3.6
Impacto
Administradores de seguridad
Administradores del sistema
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Integridad
Equipos medianos
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
10
12
Riesgo
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Integridad
Equipos medianos
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
0.1
0.2
0.3
0.4
0.5
0.6
Figura 3.6. Resultados de impacto y riesgo sobre los activos

(a) Impacto (b) Riesgo
3.1.7 Determinacin de las salvaguardas

3.1.7.1 Salvaguardas
Puede recomendarse una o ms salvaguardas a fin de mitigar el
efecto de una amenaza sobre un activo; en este proyecto se ha
utilizado nicamente la salvaguarda ms relevante para cada activo
3.1.7.2 Eficacia
La eficacia de una salvaguarda es un valor entre 0 y 1 que mide la
capacidad de una salvaguarda para proteger el activo
La determinacin de las salvaguardas se muestra en la Tabla 3-6
Tabla 3-6. Determinacin de las salvaguardas

Capa
Activo
Amenazas
Uso indebido
Ficheros
Datos
Copias de respaldo
Credenciales
Servicios
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
programas
Pblicos
Internos
Clientes
Errores de
mantenimiento /
actualizacin
Salvaguardas
Claves de acceso ms
seguras
Actualizacin de
antivirus
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
fuente de aplicaciones
pblicas
Mantenimiento ms
frecuente
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Revelacin de la
Revisin de privilegios de
informacin
usuarios internos
Fuga de informacin
los clientes
Eficaci
a
0,6
0,8
0,5
0,6
0,4
0,7
0,8
0,7
0,6
0,8
Desarrollo propio
Software
A medida
Equipamient
o
Estndar
Equipos grandes
Equipos
Equipos medianos
Mejoramiento de
tecnologa de equipos
agotamiento de recursos
grandes
Capacitacin del
administrador del
del sistema
sistema
Mantenimiento cdigo
Errores de configuracin fuente de aplicaciones
de desarrollo propio
Capacitacin del
administrador del
del sistema
sistema
Mantenimiento cdigo
de desarrollo a medida
Capacitacin del
administrador del
sistema
Mantenimiento cdigo
Difusin de software
daino
estndar
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
lgico
Robo de equipo
0,9
0,7
0,6
0,7
0,6
0,7
0,6
0,8
0,4
0,8
0,4
Equipos personales
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico

lgico
Mantenimiento de
Robo de equipo
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
lgico
Robo de equipo
lgico
Robo de equipo
0,7
0, 4
0,8
0,7
0,8
0,7
0,8
0,7
0,6
0,8
0,6
0,4
Ataque destructivo
Capacitacin del
administrador del
del sistema
sistema
Motivacin al personal
personal
Capacitacin del
Extorsin
personal de seguridad
personal
Fuego
Instalaciones
Personal
Edificio
Administradores del
sistema
Administradores de
seguridad
0,6
0,6
0,4
0,3
0,3
0,3
3.1.8 Clculo de impacto y riesgo residuales

Una vez determinada la eficacia de las salvaguardas es posible
determinar el impacto y riesgos residuales de acuerdo a las siguientes
frmulas:
impacto res= (1e )impacto
riesgores =( 1e )riesgo
La Figura 3.7 muestra los resultados del clculo del impacto residual y
el riesgo residual
Impacto residual
Edificio
Generador elctrico
UPS
Telefona
LAN
Disponibilidad
Integridad
Internet
Confidencialidad
Equipos personales
Equipos medianos
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
Riesgo residual
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Equipos medianos
Integridad
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
0.05 0.1 0.15 0.2 0.25
Figura 3.7. Clculo del impacto y riesgo residuales (a) Impacto

residual (b) Riesgo residual
Gestin de riesgos
4.1 Toma de decisiones

Ningn sistema informtico, debidamente planificado, carece de
salvaguardas; sin embargo, con el paso del tiempo las amenazas a las
que se ve expuesto cambian por lo que las salvaguardas deben ser
actualizadas
4.1.1 Identificacin de riesgos crticos
Al analizar la Tabla 4-7 se observa que la mayora de los activos se
veran afectados en ms de la mitad de su valor si se llegara a
materializar alguna de las amenazas identificadas. Otro punto a
tomar en cuenta en este anlisis es que el riesgo es considerable
(mayor al 50%) solo en pocos activos; sin embargo, el resto de
valores del riesgo no debe ser despreciado ya que a pesar de ser muy
poco frecuentes, su impacto es elevado
De acuerdo a la Tabla 4-7 los activos que presentan riesgo crtico son:
Copias de respaldo
Credenciales
Servicios a clientes
Software de desarrollo propio
Equipos grandes
UPS
Tabla 4-7. Anlisis del impacto actual y riesgo actual
Impacto
9
1
0
Confidencial
idad
Integridad
Disponibilid
ad
Copias de respaldo
Uso indebido
Difusin de
software daino
Modificacin de la
informacin
Destruccin de la
Confidencial
idad
Integridad
Ficheros
Amenazas
Disponibilid
ad
Activo
Riesgo
6, 0,05 0,16 0,34

3
5
4
5
4, 0,43 0,49 0,26
9
8
3
8
0,54
8
0,54
Credenciales
Servicios pblicos
Servicios internos
Software de
desarrollo propio
Software a medida
Software estndar
Equipos grandes
Equipos medianos
Equipos personales
Internet
informacin
Revelacin de la
informacin
Vulnerabilidad de
los programas
Errores de
mantenimiento /
actualizacin
Errores del
administrador del
sistema
Revelacin de la
informacin
Fuga de
informacin
Cada del sistema
por agotamiento de
recursos
Errores del
administrador del
sistema
Errores de
configuracin
Errores del
administrador del
sistema
Errores de
configuracin
Errores de los
usuarios
Difusin de
software daino
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
comunicaciones
Errores del
administrador del
sistema
1
0,54
0
8
1, 0,05 0,16 0,08
6
5
4
8
1, 3,
6 5
0,08 0,19
8
2
7, 3, 6, 0,39 0,19 0,35

2 6 4
5
7
1
2,
4
1
0
0,13
2
0,54
8
0,49
3
9
6, 7,
3 2
1 0,34 0,39 0,54

0
5
5
8
2, 3,
7 6
0,14 0,19 0,32

8
7
9
6, 6,
3 4
0,34 0,35 0,49

5
1
3
2, 3, 5, 0,14 0,17 0,29

7 2 4
8
5
6
4,
0,26 0,21
4 2
0,11
9
8
9
3, 3, 0, 0,19 0,19 0,03
5 5 6
2
2
3
1
0,54
0
8
1
1, 0,54
0,08
0
6
8
8
0,38
7
4
4, 0,49
0,26
9
8
3
3
6,
0,35
4
1
7,
0,39
0,16
3
2
5
4
4,
0,26
8
3
4
4, 6, 0,21 0,26 0,35

8 4
9
3
1
LAN
Telefona
UPS
Generador elctrico
comunicaciones
Errores del
administrador del
sistema
comunicaciones
Errores del
administrador del
sistema
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
Fuego
Edificio
Ataque destructivo
Errores del
administrador del
Administradores del
sistema
sistema
personal
Administradores de
seguridad
Extorsin
personal
0,43
8
8
9
6,
3
0,21
9
4
4
1 0,49 0,34 0,54

0
3
5
8
4, 4, 0,21 0,26 0,26

8 9
9
3
8
9
1
0
9
9
2
3
7
9
4,
9
4, 2,
2 7
0,49
3
0,54
8
0,49
3
0,49
3
0,11
0,16
4
0,38
4
0,49
3
0,26
8
4 0,23
0,14 0,21
8
9
4.2 Plan de seguridad

4.2.1 Salvaguardas
Una vez determinados los activos con riesgo crtico, se establece un
conjunto de salvaguardas para mitigarlos.
Las salvaguardas seleccionadas se muestran en la tabla 4.2; para la
elaboracin de este anlisis se han seleccionado las salvaguardas con
menor costo de implementacin y mayor efectividad posible
Tabla 4-8. Prioridad de salvaguardas recomendadas

Activo
Amenazas
Uso indebido
Ficheros
Copias de respaldo
Credenciales
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
programas
Servicios pblicos
Servicios internos
Errores de
mantenimiento /
actualizacin
Salvaguardas
Claves de acceso ms
seguras
Actualizacin de
antivirus
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
pblicas
Mantenimiento ms
frecuente
Capacitacin del
administrador del
del sistema
sistema
Revelacin de la
informacin
usuarios internos
Fuga de informacin
los clientes
Mejoramiento de
agotamiento de recursos tecnologa de equipos
Prioridad
Normal
Normal
Crtica
Crtica
Crtica
Normal
Normal
Normal
Normal
Crtica
Crtica
grandes
Software de desarrollo
propio
Software a medida
Software estndar
Equipos grandes
Equipos medianos
Capacitacin del
administrador del
del sistema
sistema
Mantenimiento cdigo
de desarrollo propio
Capacitacin del
administrador del
del sistema
sistema
Mantenimiento cdigo
de desarrollo a medida
Capacitacin del
administrador del
sistema
Mantenimiento cdigo
Difusin de software
daino
estandar
lgico
Robo de equipo
lgico
Robo de equipo
Crtica
Crtica
Normal
Normal
Normal
Normal
Crtica
Crtica
Normal
Normal
Equipos personales
Internet
LAN
Telefona
UPS
Generador elctrico

lgico
Mantenimiento de
Robo de equipo
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
comunicaciones
servicio
Capacitacin del
administrador del
del sistema
sistema
lgico
Robo de equipo
lgico
Robo de equipo
Normal
Normal
Normal
Normal
Normal
Normal
Normal
Normal
Crtica
Crtica
Normal
Normal
Ataque destructivo
Capacitacin del
administrador del
del sistema
sistema
personal
Capacitacin del
Extorsin
personal de seguridad
personal
Fuego
Edificio
Administradores del
sistema
Administradores de
seguridad
Normal
Normal
Normal
Normal
Normal
Normal
4.2.2 Programa de seguridad

Una vez determinado el conjunto de salvaguardas se procede a
confeccionar el programa para ponerlas en marcha. La tabla 4.3
muestra el programa para la implementacin de salvaguardas
4.2.3 Impacto y riesgo residuales
Tal como se observ en las grficas 3.5 y 3.6, la el programa de
seguridad recomendado tiene la capacidad de reducir el impacto a la
mitad y eliminar valores crticos en el riesgo
Tabla 4-9. Programa de seguridad

Tarea
Creacin de respaldos de
informacin redundantes
Disminucin del tiempo de
valides de claves y
credenciales
Revisin y actualizacin de
los privilegios de los clientes
sobre el sistema
Mejoramiento de la
tecnologa de los equipos
grandes
Prioridad
Responsable
Plazo de ejecucin
Crtica
Departamento
de sistemas
Crtica
Departamento
de sistemas
Dos semanas
Crtica
Departamento
de sistemas
Dos meses
Crtica
Departamento
de logstica
Dos meses
Capacitacin tcnica de los

administradores del sistema
Crtica
Departamento
de recursos
humanos
Seis meses
Capacitacin de los
desarrolladores de software
Crtica
Departamento
de recursos
humanos
Seis meses
Crtica
Departamento
de sistemas
Dos semanas
Crtica
Departamento
de logstica
Un mes
Normal
Departamento
de sistemas
Un mes
Aumento en la frecuencia de
mantenimiento a equipos
grandes
Mejoramiento de la
seguridad de las
instalaciones
Actualizacin de los antivirus
Observaciones
Un mes
En la actualidad el tiempo en el
que las claves se resetean es 1
mes
Se debe capacitar al personal en

temas inherentes al manejo del
sistema as como en politicas de
seguridad
Mantenimiento de software
de desarrollo propio,
desarrollado a medida y
estndar
Revisin y actualizacin de
los privilegios de los usuarios
internos
Normal
Departamento
de sistemas
Tres meses
Normal
Departamento
de sistemas
Un mes
Realizacin de actividades de
motivacin al personal
Opcional
Departamento
de recursos
humanos
servicio de internet y
telefona
Opcional
Administracin
Conclusiones y recomendaciones
5.1 Conclusiones
Se realiz el anlisis de riesgos informticos sobre los activos

ms expuestos de la empresa FIDEVAL encontrndose que
algunos de ellos se encontraban en riesgo crtico
La utilizacin de la metodologa Magerit facilit enormemente la

realizacin del anlisis de riesgos informticos ya que propone
un cumplimiento de tareas elemental y existe abundante
documentacin en espaol
Se determinaron las salvaguardas ms adecuadas para reducir

el impacto y el riesgo sobre los activos ms expuestos de la
empresa y se proyect una reduccin general del riesgo de 50%
5.2 Recomendaciones
No promover el uso de software pago para la realizacin de

anlisis de riesgos informticos; es mejor desarrollar una
aplicacin de acuerdo a los requerimientos de casa empresa
Promover la cultura de gestin de riesgos informticos ya que

es una herramienta muy til para la administracin de una
organizacin en lo referido a seguridad en general
Empezar la recomendacin de salvaguardas por las ms fciles

de implementar y por las ms evidentes
Bibliography
Fideval. (01 de 01 de 2014). Quines somos? Obtenido de

Fideval:
http://www.fideval.com/index.php?
page=2&&language=es
ISO / IEC. (2009). Information technology Security techniques

Information security management systems Overview and
vocabulary. Ginebra: ISO.
Kouns, J. (2010). Information technology risk management.

Hovoken, NJ: Jhon Wiley & Sons.
Ministerio de Hacienda y Administraciones Pblicas. (2012).

MAGERIT versin 3.0. Catlogo de elementos. Madrid:
Ministerio de Hacienda y Administraciones Pblicas.
Ministerio de Hacienda y Administraciones Pblicas. (2012).

MAGERIT versin 3.0. Mtodo. Madrid: Ministerio de Hacienda
y Administraciones Pblicas.
Peltier, T. (2005). Anlisis de riesgos en seguridad informtica.

Boca Ratn: CRC Press.

Análisis de Riegos FIDEVAL

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Análisis de Riegos FIDEVAL

Încărcat de

Drepturi de autor:

Formate disponibile

1

financieras y estatales o disfrutar de momentos de ocio. Ms

informticas ha permitido un flujo gil de la informacin a

Amenazas naturales: debidas a la accin de la naturaleza

permitidos por seres humanos

estructura fsica de un sistema informtico con el entorno

ecuatoriana. La tabla 1.1 muestra la evolucin de la empresa a

Fideval inicia su participacin en el proceso de

administracin de fideicomisos masivos

Fideval lanza el Fondo Fix 90

No existe una valoracin de activos en la empresa

los sistemas de informacin

No se ha identificado las vulnerabilidades y amenazas de

cada uno de los activos del inventario

Catalogar e identificar los activos de la empresa Fideval

Elaborar contramedidas que permitan minimizar el

Creacin de la matriz de amenazas y vulnerabilidades

2.1 ANLISIS Y GESTIN DE RIESGOS

a las que estn expuestos los activos. Adems, el anlisis de riesgos

organizacin. Adems se menciona que clculo del riesgo es funcin

salvaguardas (Kouns, 2010, p. 7).

El proceso de mitigacin de riesgos incluye el anlisis de la

Valoracin y evaluacin de controles de la vulnerabilidad

adecuadas, si existe alguna debilidad y evaluar alternativas de

implementadas en contra del conjunto de riesgos detectados en

2.1.2 Anlisis de riesgos

El anlisis de riesgos puede considerarse como un estudio de

procedimientos prcticos de la gestin de riesgos informticos. Por

2.1.3 Valoracin del riesgo

procedimientos prcticos en la gestin de riesgos informticos; los

cuantitativamente el nivel de riesgo al que estn sometidos los

Identificacin de las amenazas

Determinacin de la probabilidad de ocurrencia

Determinacin del impacto de la amenaza

2.1.3.1 Definicin de los activos

2.1.3.2 Identificacin de amenazas

caractersticas de los activos de la empresa en busca de situaciones

Amenazas del entorno

pueden ser accesos no autorizados al sistema, ataques con virus

Amenazas del entorno

2.1.3.3 Determinacin de la probabilidad de ocurrencia

2.1.3.4 Determinacin del impacto de la amenaza

naturaleza de la empresa as como el criterio del grupo de trabajo que

2.1.3.5 Recomendacin de controles

administracin (Peltier, 2005, pg. 27).

2.1.4 Anlisis del costo-beneficio

necesario nombrarlo ya que constituye la etapa decisiva del proyecto.

Costos de implementacin, que incluyen tanto el hardware, el

Reduccin con el tiempo de la efectividad del sistema

Implementacin de nuevas polticas y procedimientos a fin de

Posibilidad de que nuevo personal deba ser contratado o al

Mantenimiento del sistema

2.2 INTRODUCCIN A MAGERIT

Administracin Electrnica, entidad de regulacin espaola en el

2.3 DESCRIPCIN DE LA METODOLOGA MAGERIT V3

Identificacin de los activos

Identificacin de las amenazas

Determinacin de las salvaguardas

Determinacin del impacto residual

Determinacin del riesgo residual

2.3.1 Identificacin de los activos

2.3.2 Determinacin de las amenazas

exactitud que se requiera en el anlisis de riesgos

2.3.3 Determinacin del impacto potencial