Seguridad en Redes

ANÁLISIS DE RIESGO A SERVIDOR LINUX

CON REFERENCIA ISO 27005

1
Seguridad en Redes

CONTENIDO
1 Establecimiento del contexto................................................................................................... 3
1.1 Consideraciones generales................................................................................................ 3
1.2 Criterios básicos ............................................................................................................... 3
1.2.1 Criterios de valoración de los activos........................................................................ 3
1.2.2 Criterios de probabilidad de ocurrencia de amenazas ............................................... 4
1.2.3 Criterios de valoración de Impacto ........................................................................... 4
1.2.4 Criterios para la evaluación del riesgo ...................................................................... 5
1.2.5 Criterios para el tratamiento del riesgo ..................................................................... 5
1.2.6 Criterios para la prioridad en la aplicación de los controles ..................................... 6
1.3 El alcance y los límites ..................................................................................................... 6
2 Valoración del riesgo de la seguridad de la información ........................................................ 7
2.1 Descripción general de la valoración del riesgo en SGI................................................... 7
2.2 Análisis del riesgo ............................................................................................................ 7
2.2.1 Identificación del riesgo ............................................................................................ 7
2.2.2 Estimación del riesgo ................................................................................................ 8
2.3 Evaluación del riesgo........................................................................................................ 8
2.3.1 Observaciones de la evaluación del riesgo ................................................................ 9
3 Tratamiento del riesgo de la seguridad de la información ...................................................... 9
3.1 Descripción general del tratamiento del riesgo ................................................................ 9
3.2 Reducción del riesgo ...................................................................................................... 10
3.3 Retención del riesgo ....................................................................................................... 10
3.4 Evitación del riesgo ........................................................................................................ 10
3.5 Transferencia del riesgo.................................................................................................. 10
4 Referencias ............................................................................................................................ 11

2
Seguridad en Redes

1 Establecimiento del contexto

1.1 Consideraciones generales

Los problemas de seguridad que se da al momento de la utilización de una red de

comunicación siempre están presentes en cualquier tipo de organización. En particular,
aquellas que se generan y procesan gran cantidad de información, como los son empresas
que cuentan con sedes en diferentes lugares del país o fuera del mismo. Las empresas
multinacionales son blanco de ataques, por el valor que representa para la empresa la
información que se genera.

X es una compañía, con sede en la ciudad de Quito, pero cuenta con sucursales en las
provincias de Esmeraldas, Lago Agrio y Pichincha. Inmersa en la industria Forestal del
Ecuador, generando producto tales como: tableros, alistonados y chapas decorativas
cumpliendo normas de calidad, para el mercado nacional internacional.

El departamento de sistemas de la sede Quito, es la encargada de resguardar o tiene en su

custodia los servidores de los servicios informáticos de la empresa, los cuales manejan
todo el volumen de datos. Estos activos para la empresa son de gran importancia para la
realización de las operaciones de la empresa.

De allí su importancia de analizar y evaluar los riesgos a los estos pueden estar
sometidos, para con este análisis poder gestionarlos y minimizar sus posibles efectos.

1.2 Criterios básicos

1.2.1 Criterios de valoración de los activos

Los criterios valoración de los activos en este análisis no se especificarán, ya que el

análisis se aplicará a un activo y desde el inicio se tiene conocimiento que es un activo
crítico.

1 Él activo tiene poca importancia para la entrega

POCO IMPORTANTE de los servicios.
2 Él es importante para la entrega de los servicios.
IMPORTANTE

3 Él activo es vital para la entrega de los servicios.

CRÍTICO

Tabla 1. Criterios de valoración de los activos (Importancia). 1

3
Seguridad en Redes

1.2.2 Criterios de probabilidad de ocurrencia de amenazas

En la siguiente tabla se especificará los criterios cualitativos y valores numéricos a ser

utilizados para la valoración de la probabilidad de ocurrencia de amenaza.

1 POCO PROBABLE Probabilidad muy baja de que una

(0-25) % amenaza explote una vulnerabilidad.

2 MEDIANAMENTE PROBABLE Probabilidad baja de que una amenaza

(26-50) % explote una vulnerabilidad.

3 PROBABLE Probabilidad alta de que una amenaza

(51-75) % explote una vulnerabilidad.

4 MUY PROBABLE Probabilidad muy alta de que una

(76-100) % amenaza explote una vulnerabilidad.

Tabla 2. Criterios de probabilidad de ocurrencia de amenazas. 1

1.2.3 Criterios de valoración de Impacto

Con los criterios de valoración de impacto, se calculará el efecto que tendría un riesgo si
llegase a ocurrir, con estos criterios se calculara el impacto a la integridad,
confidencialidad y disponibilidad, lo que hace importante especificar la valoración.

Se tendrá 3 niveles de valoración en el primero (1) si es bajo, en el segundo (2) si es

medio y en el tercero (3) si es alto.

Si el impacto a la confidencialidad, integridad y

1 BAJO disponibilidad es mínimo.

Si el impacto a la confidencialidad, integridad y

2 MEDIO disponibilidad es medio.

Si el impacto a la confidencialidad, integridad y

3 ALTO disponibilidad es alto.

Tabla 3. Criterios de valoración de Impacto. 1

4
Seguridad en Redes

1.2.4 Criterios para la evaluación del riesgo

El nivel de riesgo es la probabilidad que ocurra una amenaza y el impacto que esta pueda
provocar.

1-2 BAJO El riesgo del activo es bajo.

3-4 MODERADO El riesgo del activo es

moderado.
5-8 ALTO El riesgo del activo es alto.

9 -12 CRÍTICO El riesgo del activo es

crítico.

NIVEL DE RIESGO = PROBABILIDAD * IMPACTO

Tabla 4. Criterios para la evaluación del riesgo. 1

1.2.5 Criterios para el tratamiento del riesgo

El tratamiento que se le dará a los diferentes riesgos dependerá de la estrategia que tenga
la empresa. Las acciones que se pueden tomar son:

 Reducir: para reducir el riesgo se deberá seleccionar controles de corrección,

eliminación, prevención, mitigación del impacto, detección, recuperación,
monitoreo y concienciación.
 Aceptar: no se necesita implementar controles, la organización asume la
responsabilidad de los daños provocados por la ocurrencia del riesgo.
 Evitar: hace referencia a la eliminación del riesgo, casi nunca se logra esto
mediante controles, para eliminar el riesgo se debe eliminar el proceso o el activo.
 Transferir: a un tercero de forma que se asegure el activo.

Por políticas ya definidas en la empresa, las acciones para el tratamiento de un riesgo

son: “Aceptar”, “Reducir” y “Transferir”.

Se ACEPTA el riesgo si el mismo no afecta de manera considerable el buen

funcionamiento de las actividades de la organización.

Se REDUCE el riesgo si el mismo afecta las actividades de la organización con la

paralización durante no más de medio día (12 h).

Se TRANSFIERE el riesgo si el mismo afecta considerablemente las actividades de la

organización con la paralización durante de más de un día.

5
Seguridad en Redes

ACEPTAR EL RIESGO
BAJO

MODERADO REDUCIR EL RIESGO

ALTO
TRANFERIR EL RIESGO
CRÍTICO

Tabla 5. Criterios para el tratamiento del riesgo. 1

1.2.6 Criterios para la prioridad en la aplicación de los controles

Existen controles que pueden esperar su aplicación, así como los que se hace urgente
realizarlos. Por este motivo se de priorizar los controles que no pueden esperar, para
identificarlos.

1 - 13 Los controles pueden esperar

BAJA hasta que culminen los controles
de media y alta prioridad.

14 – 24 Los controles pueden esperar

MEDIA hasta que culminen los controles
de alta prioridad.

24 - 36 Los controles no pueden esperar

ALTA hasta.

PRIORIDAD DE LA APLICACIÓN = NIVEL DE IMPORTANCIA * IVEL DEL RIESGO

Tabla 6. Criterios para la prioridad de la aplicación de los controles. 1

1.3 El alcance y los límites

El análisis de riesgo que se presenta en este documento está orientado al “SERVIDOR

LINUX”, que tiene en él los servicios más relevantes de la empresa, por lo que es
importante que funcione correctamente.

El objetivo del análisis es identificar las vulnerabilidades y amenazas al que está expuesto
este activo, y posteriormente evaluar los riesgos para poder exponer recomendaciones
que ayuden a mitigar eventos que puedan afectar a los servicios que se brinda desde este
servidor.

6
Seguridad en Redes

Se presentará este análisis a la gerencia, la cual tomará la decisión de realizar

correcciones o no. La ejecución de los correctivos necesarios para la mitigación de los
eventos, no se dará por el equipo que presenta este análisis.

2 Valoración del riesgo de la seguridad de la información

2.1 Descripción general de la valoración del riesgo en SGI

Los criterios básicos del análisis de riesgo del “SERVIDOR LINUX”, se utilizará
calificaciones cuantitativas y cualitativas, teniendo una combinación en el cual se pueda
entender de mejor manera el análisis, la calificación cualitativa estará siempre
acompañada de una valoración numérica para su cálculo.

2.2 Análisis del riesgo

En el momento de realizar un análisis de riesgo se busca identificar los activos que son
fundamentales en la organización y al mismo tiempo las amenazas que podrían
interrumpir las actividades normales de la organización. Si se ha identificado la amenaza
se debe calcular el impacto que tendría y como se podría minimizar o eliminar el impacto
de los riesgos existentes que se podrían llegar a dar.

2.2.1 Identificación del riesgo

[Link] Identificación de vulnerabilidades y amenazas

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser

aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por
sí mismos sin tratarse de un ataque intencionado. A las vulnerabilidades se les consideran
un elemento interno del sistema, por lo que es tarea de los administradores y usuarios el
detectarlos, valorarlos y reducirlos. [2]

Las vulnerabilidades fueron identificadas mediante entrevistas al personal del

Departamento de Sistema de la empresa.

TIPO AMENAZA VULNERABILIDAD

Hardware Polvo El equipo esta susceptible al
polvo y la suciedad.
Hardware Error en el uso Ausencia de un eficiente control
de cambios en la configuración.
Lugar Interferencia electromagnética El cuarto de servidor se
encuentra a lado de la planta de
producción.
Software Abuso de los derechos No se culmina la sesión, cuando
se abandona la estación de
trabajo.
Hardware Falla del equipo El equipo es un equipo que ya
tiene varios años de uso.
Hardware Disminución de la capacidad de Un slot de memoria se daño y no
procesamiento. se ha reparado.

7
 Seguridad en Redes

Red Uso no autorizado del equipo Se permite conexión desde una

red externa hacia el servidor.
Organización Abuso de los derechos Ausencia de auditorías regulares
al uso del dispositivo.
Organización Corrupción de los datos El cambio de los datos lo realiza
el analista, pero sin una
justificación por parte del
solicitante.
Personal Sabotaje Se permite el ingreso de personas
ajenas al departamento de
sistemas al área de servidores
y en ocasiones se les deja solo.

Tabla 7. Identificación de Vulnerabilidades según el tipo de amenazas. 1

2.2.2 Estimación del riesgo

La estimación del riesgo es la Actividad para asignar valores a la posibilidad y las
consecuencias de un riesgo [6]

Para la valoración del impacto se utilizará los criterios antes especificados y definidos de la tabla
2 de este documento.

Para la valoración de las ocurrencias se utilizará los criterios antes especificados y definidos de
la tabla 1 de este documento.

2.3 Evaluación del riesgo

AMENAZA VULNERABILIDAD IMPACTO OCURRENCIA RIESGO PT

AMENAZA
Polvo El equipo esta 1 2 2 Aceptar
susceptible al polvo y la
suciedad.
Error en el uso Ausencia de un eficiente 3 2 6 Reducir
control de cambios en la
configuración
Interferencia El cuarto de servidor se 2 2 4 Reducir
electromagnética encuentra a lado de la
planta de producción
Abuso de los No se culmina la sesión, 2 1 2 Aceptar
derechos cuando se abandona la
estación de trabajo
Falla del equipo El equipo es un equipo 3 4 12 Transferir
que ya tiene varios años
de uso
Disminución de Un slot de memoria se 2 3 6 Reducir
la capacidad de dañó y no se ha
procesamiento. reparado.
Uso no Se permite conexión 3 2 6 Reducir
autorizado del desde una red externa
equipo hacia el servidor
Abuso de los Ausencia de auditorías 1 2 2 Aceptar
derechos regulares al uso del
dispositivo

8
 Seguridad en Redes

Corrupción de El cambio de los datos lo 3 2 6 Reducir

los datos realiza el analista, pero
sin una
justificación por parte
del solicitante.
Sabotaje Se permite el ingreso de 2 2 4 Reducir
personas ajenas al
departamento de
sistemas al área de
servidores y en
ocasiones se les deja
solo

Tabla 8. Estimación del riesgo.

2.3.1 Observaciones de la evaluación del riesgo

Después de realizar la evaluación al activo critico en correspondencia a sus amenazas y
vulnerabilidades, se es posible realizar las siguientes observaciones:

 Existe una amenaza que tiene el nivel de riesgo más alto que las demás la cual es; Falla
del equipo esto se debe, porque el equipo ya es antiguo y tiene antecedentes de daño por
su vida útil. La cual tomando en consideración que este activo si llegara a fallar afectaría
las actividades de la organización hasta con la suspensión de las actividades.

 Es importante que se implementen los controles necesarios según el nivel de riesgo de las
amenazas. Los podemos guiar mediante los colores.

3 Tratamiento del riesgo de la seguridad de la información

3.1 Descripción general del tratamiento del riesgo

La norma ya establece los controles que se deben llevar a cabo para tratar los riesgos
identificado. Para identificar la prioridad con la cual se debe implementar los controles se
debe de realizar la operación especifica en la parte inferior de la tabla 6.

Guiados por la tabla 6 se identificó al de más alta prioridad la cual es:

ACTIVO NI AMENAZA VULNERABILIDAD CONTROL NR PRIORIDAD

Servidor 3 Falla del El equipo es un Contratar 12 36
Linux equipo equipo que ya tiene un seguro.
varios años de uso

9
Seguridad en Redes

3.2 Reducción del riesgo

Para reducir el riesgo la organización deberá de implementar controles. Según la Norma

ISO/IEC27002:2009 en sus diferentes incisos especifica la manera y el tipo de control
que se debe de implementar.

El control para la Conexión Remota. – se especifica que el lugar de donde se realizará en

trabajo remoto deberá tener, seguridad física y seguridad en la red doméstica con sus
componentes de software para el mismo como: antivirus, firewall etc.

En el inciso 10 que hace referencia a la Gestión del Cambio. – cuando se realiza los
cambios, es conveniente conservar un registro que contenga toda la información
pertinente.

En el inciso 9 que hace referencia a la Seguridad física y el entorno. – se debe de

realizar un control de acceso físico al lugar en donde se encuentra el activo. Se
recomienda que el espacio se utilice únicamente para activadas que estén íntimamente
relacionadas con el activo.

3.3 Retención del riesgo

Los riesgos son aceptados por parte de la empresa, si estos cumplen o están alineados con
la política de seguridad que tiene implementada la empresa y tras un posterior análisis en
el cual se especifique que riesgos se pueden retener. Los riesgos que retiene la empresa,
es responsabilidad de esta y ella tomara los controles pertinentes en el momento y forma
como lo vea conveniente.

3.4 Evitación del riesgo

La empresa ya tiene plenamente definido sus actividades y activos, los cuales dan valor a
las actividades de la organización, está no pretende eliminar algún proceso o activo. La
eliminación de un activo se da cuando este ha cumplido su vida útil.

3.5 Transferencia del riesgo

La empresa transferirá los riesgos cuando estos se han críticos y supongan un impacto de
gran importancia a las actividades normales de la empresa.

 Según el análisis efectuado, la empresa deberá transferir la amenaza de la falla del

servidor debido a su vida útil. Se recomienda contratar una POLIZA DE SEGUROS,
que cubra el activo, de este tipo de inconvenientes.

10
Seguridad en Redes

4 Referencias
[1]"Escuela Politécnica Nacional", [Link], 2018. [Online]. Available:
[Link] [Accessed: 18- Feb- 2018].
[2]"Tutorial", [Link], 2018. [Online]. Available: [Link]
[Link]/proyectos/tsi/capi/[Link]. [Accessed: 18- Feb- 2018].
[3]"Universidad EAN", [Link], 2018. [Online]. Available:
[Link]
[Accessed: 18- Feb- 2018].
[4]"Incibe", [Link], 2018. [Online]. Available:
[Link]
[Link]. [Accessed: 18- Feb- 2018].
[5]"USBMED", [Link], 2018. [Online]. Available:
[Link]
[Accessed: 18- Feb- 2018].

11