> REPLACE THIS LINE WITH YOUR PAPER IDENTIFICATION NUMBER (DOUBLE-CLICK HERE TO EDIT) <

Anlisis de Riesgo Activos Informticos

Compaa Proveedora de Servicios TI
(Agosto 2016)
Jhon Jairo Rojas, Jose Caicedo, y Omar Brito
AbstractThe following paper consists in presenting the risk
analysis of three types of information security technologies. These
were chosen as the following: a published web page, an active
directory server, and a firewall. Each was associated with three
risks, from where descriptions, vulnerabilities, threats and
consequences were defined, all of which were taken into account
by the use of the ISO 27001 international standard. Finally, a risk
analysis table is presented, in order to evaluate each asset with its
risks and associated impact.
Index Terms Activo, Amenaza, Anlisis de Riesgo, Directorio
Activo, Firewall, Impacto, Publicacin de Pgina Web.

I.

INTRODUCCIN

el presente, existe un creciente nmero de ataques

informticos que comprometen los recursos y la
informacin de la empresa atacada. Esto significa que
entre ms ataques hayan, habr ms informacin expuesta a la
visibilidad de gente, cuyos propsitos, en su mayora, son
ilegales. Es por eso que contemplar robustecer la seguridad
informtica de empresas es menester para sobrevivir en un
mundo tan competitivo como el actual.
El anlisis de riesgos es un proceso importante de la seguridad
informtica, en el que se evalan los riesgos de activos de una
empresa y los impactos asociados a la materializacin de
dichos riesgos. El presente documento contiene un anlisis de
riesgos de tres activos tecnolgicos de seguridad informtica.
Cada activo estar asociada a tres riesgos, de los cuales sern
extraidos una descripcin, las vulnerabilidades, amenazas y las
consecuencias. Al final se asocia el impacto de la
materializacin de cada uno de los riesgos listados.
N

II. PUBLICACIN DE PGINA WEB

...
...
III. DIRECTORIO ACTIVO

IV.

FIREWALL

Como tercer activo analizado se escogi el firewall, que es

un equipo escencial de la seguridad informtica de una firma
ya que es la compuerta que administra la entrada y salida de
trfico entre dos o ms redes conectadas a l. Los tres riesgos
escogidos para el firewall se describen a continuacin.

A. Acceso de Personas no Autorizadas

El primer caso consiste en analizar el riesgo de encontrar
personas no autorizadas ingresando a la configuracin del
firewall, presentado a continuacin:
Riesgo: Acceso de personal no autorizado a la
configuracin del firewall.
Vulnerabilidad: Falla en control de accesos y la falta
de aplicacin de parches de seguridad en el firewall.
Amenaza: El cambio no controlado de la
configuracin del firewall.
Consecuencias: Habrn efectos inesperados en los
servicios principales de la compaa.
Al hacer la evaluacin del acceso de personal no autorizado al
firewall con el estandar internacional IEC/ISO 27001:2013, se
toma en cuenta el control A.9.4.1. - Information Access
Restriction. Dicha referencia consiste en la restriccin al
acceso a informacin y a aplicaciones de sistemas de acuerdo
a polticas de control de acceso.
B. Lentitud en los Servicios
El segundo caso consiste en el anlisis de riesgo asociado a la
lentitud de servicios, presentado a continuacin:
Riesgo: La lentitud de la red al acceder a los servicios
de la compaa situados tanto en Internet como en
diferentes redes.
Vulnerabilidad: Mal dimencionamiento del equipo
desde la etapa de preventa.
Amenaza: Fallas y latencia en la operacin de la
organizacin.
Consecuencias: La inversion no prevista de otro
equipo y limitacin de mejora continua de la red.
Para usar el IEC/ISO 27001:2013 en el riesgo en mencin, el
punto A.11.2.4 Equipment Maintenance. Este control se
implementa para la supervision del mantenimiento del equipo
para as asegurar su disponibilidad e integridad. Con ste
control es ms viable re-dimensionar el firewall al instante en
el que haya evidencia de lentitud en las operaciones debido a
l.
C. Indisponibilidad de Servicios Permitidos
Por ultimo, se analizar el riesgo de crear indisponibilidad de
acceso a servicios importantes del cliente por errores en la
configuracin, presentado a continuacin:
Riesgo: Indisponibilidad de acceso a servicios
importantes del cliente.

> REPLACE THIS LINE WITH YOUR PAPER IDENTIFICATION NUMBER (DOUBLE-CLICK HERE TO EDIT) <

Vulnerabilidad: Falta de conocimiento del ingeniero o

administrador del firewall.
Amenaza: Fallas en las operaciones bsicas del
cliente.
Consecuencias: La prdida de confianza en el
proveedor.

La referencia a usar es el punto 7.2.a en el IEC/ISO

27001:2013. Ah se habla de la competencia del empleado
trabajando, ya que con la existencia de conocimientos
insuficientes, existir el riesgo de una configuracin
equivocada que afecte el desempeo de la seguridad
informtica.