UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

FACULTAD INTEGRAL DE ICHILO

FINI – U.A.G.R.M.

CARRERA DE INGENIERIA EN SISTEMAS

ANALISIS DE RIESGO DE LA EMPRESA “UMBRELLA SERVICES”

DOCENTE: Ing. Julio Cesar Becerra Lino

ESTUDIANTE: SIXTEVEN ZURITA RUIZ

REGISTRO: 218109441

YAPACANI – SANTA CRUZ

INDICE GENERAL

Resumen..............................................................................................................................................1

Introducción........................................................................................................................................2

1. Objetivos......................................................................................................................................3

1.1 Objetivo General......................................................................................................................3

1.2 Objetivos Específicos...............................................................................................................3

2. Conociendo el entorno del negocio...............................................................................................3

2.1 Conociendo la empresa............................................................................................................3

2.1.1 Antecedentes y actividades..............................................................................................3

2.1.2 Visión.................................................................................................................................4

2.1.3 Misión................................................................................................................................4

2.1.4 Estructura organizacional...............................................................................................4

2.1.5 Principales procesos del negocio.....................................................................................5

2.2 Conociendo el departamento de TI........................................................................................5

2.2.1 Estructura organizacional...............................................................................................5

2.2.2 Funciones relevantes del personal de TI........................................................................6

2.2.3 Principales procedimientos de TI...................................................................................6

3. Análisis de riesgos con MAGERIT 3.0.........................................................................................7

3.1 Caracterización de los activos.................................................................................................7

3.1.1 Identificación de los activos.............................................................................................7

3.1.2 Dependencias entre activos..............................................................................................8

3.1.3 Valoración de los activos................................................................................................11

3.2 Caracterización de las amenazas..........................................................................................13

 3.2.1 Identificación de las amenazas......................................................................................13

3.2.2 Valoración de las amenazas...........................................................................................15

3.3 Caracterización de las salvaguardas....................................................................................18

3.3.1 Identificación de las salvaguardas................................................................................18

3.3.2 Valoración de las salvaguardas.....................................................................................21

Resumen

El presente proyecto está dirigido al análisis de riesgo de TI de la empresa de soporte tecnológico

de negocios UMBRELLA SERVICES S.A.

Donde se utilizó la metodología MAGERIT 3.0 donde pudimos identificar y clasificar a los

activos, amenazas, salvaguardas y estimar el impacto y el riesgo que puede causar a la empresa de

UMBRELLA SERVICES S.A.

Mediante la valoración de los activos, la identificación y las dependencias de los mismos, así

también la identificación de las amenazas y su respectiva valoración, como también la

identificación de las salvaguardas y su valoración, recolectando los datos encontrados en cada una

de las tablas realizadas a los datos encontrados y proporcionados se realizó la estimación del

impacto y el riesgo, primeramente calculando el impacto potencial, seguido del Riesgo Potencial y

finalmente en la matriz de riesgo utilizando estos datos de impacto y Riesgo se pudo ver la

estimación del impacto y el riesgo en base al % de entre 0% a 100% y al impacto entre una escala

de 0 a 10 pudimos encontrar falencias y vulnerabilidades o amenazas moderadas y mayores en,

errores en los usuarios en la base de datos Moderada, avería de origen físico o lógico amenaza

mayor, fallo en los servidores de comunicación amenaza mayor, Error de los usuarios en el sistema

de facturación amenaza mayor, Errores en la seguridad por acceso no autorizado amenaza mayor,

alteración de la información amenaza mayor, Error del administrador del sistema probable.

Página 1 de 36
Introducción

El activo más importante que se posee en las organizaciones de hoy en día es la información, por lo

tanto, deben existir técnicas que la aseguren, mas allá de la seguridad física que se establezca sobre

los equipos en los cuales se almacena y en la implementación de técnicas que brinden la seguridad

lógica. Estas barreras consisten en la aplicación de procedimientos que resguardan el acceso a los

datos y solo permitan acceder a ellos a las personas autorizadas para hacerlo.

Para lograr el aseguramiento se debe implementar un sistema de medidas de seguridad informática

que incluya el establecimiento de las políticas y procedimientos que conforman una estrategia de

cómo tratar los aspectos de seguridad. La base de este proceso radica en la realización de un

análisis de riesgos que implica el examen de cada uno de ellos y su clasificación por niveles, a

partir de la probabilidad de su ocurrencia y la severidad del impacto que puedan producir en la

información de la empresa.

Con el ánimo de buscar buenas practicas que ayuden a mejorar y administrar de manera segura los

sistemas de información se plantea la implementación de la metodología MAGERIT. En este se

proporciona una metodología para identificación, calificación y cuantificación del riesgo al que se

ve expuesta la empresa u organización. Además, es el primer paso hacia la implementación de un

sistema de gestión de seguridad informática ISO 27001.

La seguridad de la información, extendida a todas las infraestructuras físicas, lógicas y

organizativas donde se gestiona, se ha convertido en una prioridad. Estas cuestiones derivan en la

existencia de una serie de normas y estándares, aceptadas como acreditaciones de la seguridad de

la información, y cuya implementación aporta a la organización no solo una certificación

reconocida sino también como punto fundamental, una cultura y práctica de la seguridad que le

aporta valores al negocio o servicio en muy diferentes aspectos, tales como: Mejora de la

competitividad, mejora de la imagen corporativa, protección y continuidad del negocio,

Página 2 de 36
cumplimiento legal y reglamentario, optimización de recursos e inversión en tecnología, reducción

de costes entre otros.

Página 3 de 36
 1. Objetivos

1.1 Objetivo General

Realizar un análisis de riesgo de TI para la empresa Umbrella Services S.A.

utilizando la metodología MAGERIT 3.0

1.2 Objetivos Específicos

 Identificar y clasificar los activos

 Identificar y clasificar las amenazas

 Identificar y clasificar las salvaguardas

 Estimar el impacto y el Riesgo

2. Conociendo el entorno del negocio

2.1 Conociendo la empresa

Umbrella Services S.A. es una empresa dedicada al sector de centro de atención al

cliente y externalización de procesos de negocios de TI.

Siendo su área de tecnología su eje central del funcionamiento del negocio, dado

que soporta toda la operación y provee todos los servicios requeridos desde las

comunicaciones, hasta las terminales desde donde los operadores cumplen con sus

funciones y servicios que se requieran para cumplir con su objetivo social.

2.1.1 Antecedentes y actividades

La empresa de servicio Umbrella S.A., es una de las principales empresas que brinda
Página 4 de 36
estos servicios tecnológicos a las personas que más lo requieran y que desconozcan de

estos aspectos que son importantes para el negocio de la empresa.

La empresa de servicios Umbrella S.A. Cuenta con una trayectoria corta en el mercado de

BPO (externalización de procesos de negocios), con 3 años desde su creación hasta la

fecha. Durante este tiempo no se ha realizado un ejercicio de aseguramiento ni análisis de

riesgo en su infraestructura tecnológica. No se cuenta con un área o responsable en la toma

de decisión sobre la actitud de riesgo, lo que implica que ante una afectación todas las

cuestiones son escaladas al gerente general, quien a su vez estima los pasos que se deben

seguir/tomar para no impactar los servicios. El personal de tecnología se encarga de

soportar, sin embargo, no se cuenta con procesos/ procedimientos establecidos, por lo que

no se aplican estándares.

Página 5 de 36
2.1.2 Visión

Llegar a ser la empresa de servicios tecnológicos de atención al cliente y

externalización de procesos de negocios de TI más reconocida a nivel nacional

para poder implementar mas sucursales y nuevos servicios tecnológicos a brindar a

la población.

Gracias a que mediante el análisis de riesgo que se realice se puedan detectar las

falencias que se tiene en la empresa y proponer mejoras en estos aspectos.

2.1.3 Misión

Brindar un servicio eficiente para darnos a conocer como una empresa de

servicios tecnológicos de atención al cliente y externalización de procesos de

negocios de TI número uno en el área.

2.1.4 Estructura organizacional

Página 6 de 36
Página 7 de 36
2.1.5 Principales procesos del negocio

 Brindar apoyo con estrategias de negocio a las empresas que inician con

activos de TI

 Hacer conocer la importancia del uso de las TI

 Dar a conocer los activos de la empresa contratista mediante las TI

 Capacitar sobre los activos de TI que se tiene en la empresa

 Lograr generar un incremento notable de la salida de los activos de TI de

la empresa

 Tener un sistema de inventario y facturación para mostrar y dar conocer los

activos de la empresa contratista mediante el uso de las TI

2.2 Conociendo el departamento de TI

2.2.1 Estructura organizacional

Página 8 de 36
Diagrama #NN: Descripción del diagrama

Página 9 de 36
2.2.2 Funciones relevantes del personal de TI

Nro. Profesional Cargo Equipo al que Colabora Colabora con: Colabora con:

pertenece con: “Redes “Desarrollo y “Soporte Help

y Soporte a Desk”

Telecomuni Aplicaciones”

caciones”

1 Ing. Sistemas Jefe de Jefatura de TI NO SI SI

TI

2 Ing. Administr Redes y

SI SI SI
Telecomunicacion ador de Telecomunicacion

es Red es

Ing. Sistemas Program Desarrollo y

3 ador 1 Soporte a NO NO SI

Aplicaciones

Ing. Sistemas Program Desarrollo y

4 ador 2 Soporte a

Aplicaciones NO NO SI

Ing. Soporte Soporte y Help

5 Telecomunicacion Técnico Desk SI NO NO

es

Tabla #NN: Listado del personal de TI

2.2.3 Principales procedimientos de TI

Página 10 de 36
ID Procedimientos relevantes del departamento de TI

PTI1 Adquisición de equipos

PTI2 Instalación de equipos

PTI3 Mantenimiento de equipos

PTI4 Respaldo de información (backup)

PTI5 Administración de cuentas de usuarios

PTI6 Administración del acceso a internet

PTI7 Acceso a los archivos y documentos digitales

PTI8 Nuevos desarrollos de software

PTI9 Modificaciones de software

PTI10 Actualizaciones de software

PTI11 Gestión de bases de datos

PTI12 Soporte a usuarios locales

Página 11 de 36
 PTI13 Soporte a usuarios remotos

PTI15 Administración de uso de dispositivos de almacenamiento

Tabla #NN: Principales procedimientos

3. Análisis de riesgos con MAGERIT 3.0

3.1 Caracterización de los activos

3.1.1 Identificación de los activos

Esta tarea es crítica porque una, buena identificación permite realizar las

siguientes tareas:

 Establecer las dependencias entre los activos

 Permite valorar a los activos con precisión

 Ayuda a identificar y valorar las amenazas

 Identificar que salvaguardas serán necesarias para proteger el sistema

 [DT] DATOS / INFORMACIÓN

[FACT_DT] BASE DE DATOS FACTURACION

[VENTA_DT] BASE DE DATOS VENTA

[BACKUP_DT] COPIA DE RESPALDO

Página 12 de 36
 [ST] SERVICIOS

[EMAIL_ST] CORREO ELECTRÓNICO

 [SWT] APLICACIONES (SOFTWARE)

[SISF_SWT] SISTEMA DE FACTURACION TESEC

[PWB_SWT] PAGINA WEB TESEC

[OFI_SWT] OFIMÁTICA

[AVI_SWT] ANTIVIRUS

[OS_SWT] SISTEMA OPERATIVO

 [HWT] EQUIPOS

[SBP_HWT] SERVIDOR BASE DE DATOS Y PAGINA WEB

[PC1_HWT] COMPUTADORA ENCARGADO [PRINT_HWT]

MEDIO DE IMPRESIÓN

[PC2_HWT] COMPUTADORA ADMINISTRADOR DE RED

[PC3_HWT] COMPUTADORA PROGRAMADOR 1

[PC4_HWT] COMPUTADORA PROGRAMADOR 2

[ROUT_HWT] ROUTER TP-LINK

Página 13 de 36
 [SWI_HWT] SWITCH CISCO SG-

 [COM] COMUNICACIONES

[WIFI_COM] RED WIFI

[INT_COM] INTERNET

[TELEF_COM] TELEFONIA MOVIL

 [MET] SOPORTES DE INFORMACION

[USB_MET] MEMORIA USB

 [AUXT] EQUIPAMIENTO AUXILIAR

[CAB_AUXT] CABLEADO

[UPS_AUXT] SISTEMA DE ALIMENTACION INITERRUMPIDA

[SISVG_AUXT] SISTEMA DE VIGILANCIA

[MOB_AUXT] MOBILIARIO

 [LT] INSTALACIONES

Página 14 de 36
 [EOC_LT] EDIFICIO OFICINA CENTRAL

 [PET] PERSONAL

[EDS_PET] ENCARGADO DEL DPTO. DE SISTEMAS

[ADR_PET] ADMINISTRADOR DE LA RED

[PRO1_PET] PROGRAMADOR 1

[PRO2_PET] PROGRAMADOR 2

[MAN_PET] ENSAMBLADOR DE EQUIPOS INFORMÁTICOS

3.1.2 Dependencias entre activos

El objetivo de este punto es reconocer las dependencias entre activos, es decir la medida

en que un activo de orden superior se puede ver perjudicado por una amenaza

materializada sobre un activo de orden inferior.

Página 15 de 36
 Activo: [SISF_SWT] SISTEMA DE FACTURACION UMBRELLA

Datos: Lenguaje de programación: C# NET

Base de Datos: SQL Server 2016

Plataforma: Windows

Responsable: Alicia Montaño

Empresa: Umbrella S.A.

Correo: [email protected]

Descripción El sistema de divide en módulos:

 Activos fijos

 Contabilidad

 Inventario

 Venta

 Cuentas por cobrar

 Producto

 Costo del producto

 ID de factura

 Nombre del cliente

 Fecha de emisión

Superiores (activos que dependen de este) Tipo Grado

Inferiores (activos de los que depende este) Tipo Grado

 [FACT_DT] BASE DE DATOS FACTURACION  Directa  100%

 [SBP_HWT] SERVIDOR BASE DE DATOS Y PAGINA  Indirecta  100%

WEB

Tabla #NN: Análisis de dependencia activo 1

Página 16 de 36
 Activo: [FACT_DT] BASE DE DATOS FACTURACION

Plataforma: Windows
Datos:
Responsable: SQL Server 2016

Base de datos relacional entre la tabla más importante:

 Id de facturación

 Cliente

 Producto
Descripción:
 Roles de Usuario

 Venta

 Cargos

 Fecha de Emisión

Superiores (activos que dependen de este) Tipo Grado

 [SISF_SWT] SISTEMA DE FACTURACION UMBRELLA  Directa  100%

Inferiores (activos de los que depende este) Tipo Grado

 [SBP_HWT] SERVIDOR BASE DE DATOS Y PAGINA WEB  Directa  100%

Página 17 de 36
 Tabla #NN: Análisis de dependencia activo 2

Activo: [SBP_HWT] SERVIDOR BASE DE DATOS Y PAGINA WEB

Datos: Nombre: Umbrella S.A. IP:

192.168.2.101

Mask: 255.255.255.0

Gateway: 192.168.0.5

DNS: 192.168.0.1

S.O: Windows Server 2019

Descripción: Es un servidor con bajo coste de adquisición para clientes con presupuestos ajustados.

Superiores (activos que dependen de este) Tipo Grado

 [SISF_SWT] SISTEMA DE FACTURACION UMBRELLA  Indirecta  100%

 [FACT_DT] BASE DE DATOS FACTURACION  Directa  100%

Inferiores (activos de los que depende este) Tipo Grado

Tabla #NN: Análisis de dependencia activo 3

Se realizó la dependencia de activos gracias a las entrevistas y encuestas realizadas a los

empleados donde se pudo categorizar a los activos.

Los programas que están instalados en los equipos son importantes como el caso del

paquete de Microsoft Office ya que pueden hacer reportes e informes.

En el mismo nivel se encuentra el Sistema Operativo y el Antivirus.

El servidor está por encima de todos los equipos el motivo es que almacena información

Página 18 de 36
y por debajo están las computadoras de escritorio.

En los activos inferiores están el router, los equipos auxiliares, impresora y CDs.

Entre los activos de menor jerarquía tenemos: La red WIFI, red LAN y el

internet.

Todos los activos están dentro de un mismo edificio.

Página 19 de 36
3.1.3 Valoración de los activos

Para cada valoración conviene tomar en consideración la siguiente información:

 Dimensiones en las que el activo es relevante

 Estimación de la valoración en cada dimensión

 Criterios de valoración

Tabla #NN: Criterios de Valoración

Página 20 de 36
 Dimensiones de valoración

 [D] Disponibilidad

 [I] Integridad de los datos

 [C] Confidencialidad de los datos

 [A] Autenticidad de los usuarios y de la información

 [T] Trazabilidad del servicio y de los datos

Página 21 de 36
 ACTIVOS DIMENSIONES (Valoración)

Clase Cód. Nombre [D] [I] [C] [A] [T]

[FACT_DT] BASE DE DATOS FACTURACION 10 9 8 8 7

[DT] DATOS /

INFORMACIÓ [VENTA_DT] BASE DE DATOS VENTA 8 9 9 9 8

N [BACKUP_DT] COPIA DE RESPALDO 8 10 8 7 8

[ST] SERVICIOS [EMAIL_ST] CORREO ELECTRÓNICO 4 4 5 8 8

[SISF_SWT] SISTEMA DE FACTURACION UMBRELLA 10 8 9 9 8

[PWB_SWT] PAGINA WEB UMBRELLA 6 0 0 0 0

[SWT]
[OFI_SWT] OFIMÁTICA 5 0 0 0 0
APLICACIONE
[AVI_SWT] ANTIVIRUS 9 8 0 0 7
S (SOFTWARE)

[OS_SWT] SISTEMA OPERATIVO 8 0 9 0 6

SERVIDOR BASE DE DATOS Y PAGINA 9

[SBP_HWT] 9 10 8 8
WEB

[PC1_HWT] COMPUTADORA ENCARGADO 5 4 4 4 6

[PRINT_HWT] MEDIO DE IMPRESIÓN 0 0 0 0 7

COMPUTADORA ADMINISTRADOR DE 5
[PC2_HWT] 4 4 5 7
RED
[HWT] EQUIPOS

[PC3_HWT] COMPUTADORA PROGRAMADOR 1 6 5 5 6 7

[PC4_HWT] COMPUTADORA PROGRAMADOR 2 6 5 5 6 7

[ROUT_HWT] ROUTER TP-LINK 3 0 0 0 7

[SWI_HWT] SWITCH CISCO SG- 3 0 0 0 7

[WIFI_COM] RED WIFI 6 0 4 0 9

[COM] [INT_COM] INTERNET 9 0 0 9 9

COMUNICACIONE
[TELEF_COM] TELEFONIA MOVIL 4 0 6 7 8

Página 22 de 36
S

[MET] SOPORTES 0 0
[USB_MET] MEMORIA USB 7 7 0
DE INFORMACIÓN

[CAB_AUXT] CABLEADO 9 0 0 0 0

SISTEMA DE ALIMENTACION 0
[AUXT] [UPS_AUXT] 7 0 0 0
INITERRUMPIDA
EQUIPAMIENT

O AUXILIAR [SISVG_AUXT] SISTEMA DE VIGILANCIA 8 0 0 0 0

[MOB_AUXT] MOBILIARIO 6 0 0 0 0

[LT] 9 0
[EOC_LT] EDIFICIO OFICINA CENTRAL 0 8 0
INSTALACIONES

[EDS_PET] ENCARGADO DEL DPTO. DE SISTEMAS 10 0 8 3 0

[ADR_PET] ADMINISTRADOR DE LA RED 8 0 6 3 0

[PRO1_PET] PROGRAMADOR 1 7 0 6 3 0
[PET] PERSONAL
[PRO2_PET] PROGRAMADOR 2 7 0 6 3 0

ENSAMBLADOR DE EQUIPOS
[MAN_PET] 9 0 6 3 0
INFORMÁTICOS

Tabla #NN: Valoración de activos

Página 23 de 36
 3.2 Caracterización de las amenazas

Según MAGERIT las amenazas están clasificadas en cuatro grupos:

 [N] Desastres Naturales

 [I ] De origen industrial

 [E] Errores y fallos no intencionados

 [A] Ataques intencionados

El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el sistema, que

puede pasar, que consecuencias se derivan y cuan probable es que pase.

Esta actividad consta de 2 sub-tareas:

 Identificación de las amenazas

 Valoración de las amenazas

3.2.1 Identificación de las amenazas

El objetivo de esta tarea es: Identificar las amenazas relevantes sobre cada activo.

CLASE ACTIVO COD. AMENAZA

[ET.01] Errores de los usuarios

[DT] DATOS / [FACT_DT] BASE DE [ET.02] Errores del administrador

INFORMACIÓ DATOS

N FACTURACION

Página 24 de 36
 [ET.01] Errores de los usuarios

[ST] SERVICIOS [EMAIL_ST] [AT.05] Suplantación de la identidad del usuario

CORREO

ELECTRÓNICO

[ET.01] Errores de los usuarios

[SISF_SWT] SISTEMA

DE FACTURACION Errores de mantenimiento / actualización de programas

[ET.21]

UMBRELLA (software)

[SWT] [AT.08] Difusión de software dañino

APLICACIONES [AVI_SWT]
[ET.20] Vulnerabilidades de los programas (software)
(SOFTWARE) ANTIVIRU

Página 25 de 36
 [NT.01] Fuego
[SBP_HWT]

SERVIDOR BASE DE [NT.02] Daños por agua

DATOS Y PAGINA

WEB

[NT.0*] Desastres naturales

[PC1_HWT]
[IT.0*] Desastres industriales
COMPUTADOR
[HWT] EQUIPOS
A ENCARGADO

[PRINT_HWT] [NT.01] Fuego

MEDIO DE [IT.05] Avería de origen físico o lógico

IMPRESIÓN

[ROUT_HWT] [NT.01] Fuego

ROUTER TP-LINK
[IT.05] Avería de origen físico o lógico

[IT.08] Fallo de servicios de comunicaciones

[COM] [ET.09] Errores de [re-]encaminamiento

COMUNICACION [INT_COM] INTERNET

ES

[CAB_AUXT] [NT.01] Fuego

CABLEADO [IT.07] Condiciones inadecuadas de temperatura o humedad

[AUXT]

EQUIPAMIENT

O AUXILIAR [UPS_AUXT] [NT.01] Fuego

[NT.01] Fuego

[NT.02] Daños por agua

Página 26 de 36
[L] [BUILDING_PIB

INSTALACIONES ] EDIFICIO

Página 27 de 36
 [JF_PIB] JEFA DEL [ET.28] Enfermedad

DEPARTAMENTO
[P] PERSONAL [ET.07] Deficiencia en la Organización
FINANCIERO

Tabla #NN: Identificación de las Amenazas

3.2.2 Valoración de las amenazas

Los objetivos planteados en esta tarea son:

 Evaluar la probabilidad de ocurrencia de cada amenaza concerniente a cada

activo.

 Estimar la degradación que causaría la amenaza en cada dimensión del activo si

llegara a materializarse.

Para valorar las amenazas de cada activo se han tomado en cuenta la degradación de valor

y la probabilidad de ocurrencia.

Página 28 de 36
 Tabla #NN: Degradación del valor

MA 100 100 muy frecuente a diario

A 10 10 frecuente mensualmente

M 1 1 normal una vez al año

B 1/10 0.1 poco frecuente cada varios años

MB 1/100 0.01 muy poco frecuente siglos

Tabla #NN: Probabilidad de ocurrencia

La probabilidad de que ocurra la amenaza y la degradación que podría sufrir el activo se

sacó en base a los datos tomados en las encuestas y entrevistas y a las estadísticas que se

pueden obtener de empresas alineadas al mismo rubro que ya han hecho este tipo de

análisis dentro de sus organizaciones.

Página 29 de 36
 MA muy alta 100% 1 90.1% - 100%

A alta 90% 0.9 50.1% - 90%

M media 50% 0.5 10.1% - 50%

B baja 10% 0.1 1.1% - 10%

MB muy baja 1% 0.01 0% - 1%

ACTIVOS AMENAZAS PRO DIMENSIONES(Degradación)

Clase Activo Cod. Amenaza B% [D] [I] [C] [A] [T]

[ET.01] Errores de los usuarios 0.90 0.40 0.90 0.40 0 0

[DT] DATOS / [FACT_DT] BASE

[ET.02] Errores del administrador 0.50 0.80 0.60 0.60 0 0
INFORMACI DE DATOS

ÓN FACTURACION

[ST] [EMAIL_ST] [ET.01] Errores de los usuarios 1 0 0.60 0.60 0.55 0.55

SERVICIOS CORREO
Suplantación de la identidad del
[AT.05] 0.55 0 0 0.40 0.40 0.60
ELECTRÓNICO
usuario

[ET.01] Errores de los usuarios 0.75 0 0.70 0 0.40 0

[SISF_SWT]

SISTEMA DE Errores de mantenimiento /

FACTURACION [ET.21] actualización de programas 0.70 0.90 0.60 0 0 0

UMBRELLA (software)
[SWT]

APLICACION

Página 30 de 36
ES [AT.08] Difusión de software dañino 0.85 0.80 0.75 0.85 0 0
(SOFTWARE)
[AVI_SWT] Vulnerabilidades de los programas
[ET.20] 0.70 0.60 0.55 0.55 0 0
ANTIVIRU (software)

[SBP_HWT] [NT.01] Fuego 0.25 0.90 0.60 0 0 0

[HWT] SERVIDOR BASE [NT.02] Daños por agua 0.30 0.90 0.55 0 0 0

EQUIPOS DE DATOS Y

PAGINA WEB

Página 31 de 36
 [NT.0*] Desastres naturales 0.25 0.90 0 0 0 0

[PC1_HWT] [IT.0*] Desastres industriales 0.25 0.80 0 0 0 0

COMPUTADOR 0.20

A ENCARGADO

[PRINT_HWT [NT.01] Fuego 0.25 0.90 0 0 0 0

] MEDIO DE
[IT.05] Avería de origen físico o lógico 0.60 0.90 0 0 0 0
IMPRESIÓN

[NT.01] Fuego 0.25 0.10 0 0 0 0.10

[ROUT_HWT]

ROUTER TP- [IT.05] Avería de origen físico o lógico 0.60 0.50 0 0 0 0

LINK

[COM] [IT.08] Fallo de servicios de comunicaciones 0.90 0.90 0 0 0 0

COMUNICACI [INT_COM
[ET.09] Errores de [re-]encaminamiento 0.60 0.10 0 0.10 0 0

ONES ]

INTERNE

[NT.01] Fuego 0.25 0.90 0 0 0 0

[CAB_AUXT]

CABLEADO Condiciones inadecuadas de

[AUXT] [IT.07] 0.40 0.10 0 0 0 0
temperatura o humedad
EQUIPAMIE

N TO
[UPS_AUXT] [NT.01] Fuego 0.25 0.10 0 0 0 0
AUXILIAR

[EOC_LT] [NT.01] Fuego 0.25 0.80 0 0 0 0

[LT] EDIFICIO
[NT.02] Daños por agua 0.35 0.40 0 0 0 0
INSTALACI OFICINA

Página 32 de 36
O NES CENTRAL

Página 33 de 36
 [ET.28] Enfermedad 0.85 0.60 0 0 0 0
[PET] [EDS_PET]
[ET.07] Deficiencia en la Organización 0.90 0.60 0 0 0 0
PERSONAL ENCARGADO

DEL DPTO. DE

SISTEMAS

Tabla #NN. Valoración de Amenazas por cada uno de los activos

3.3 Caracterización de las salvaguardas

Se definen las salvaguardas o contra medidas como aquellos procedimientos o

mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar

organizándose adecuadamente, otras requieren elementos técnicos (programas o equipos),

otras, seguridad física y por último, está la política de personal.

En esta actividad se identifican las salvaguardas efectivas para la organización junto con la

eficacia que tiene cada una de ellas para mitigar el riesgo. Dentro de esta metodología se

pueden definir varias etapas de estudio que pueden abarcar lapsos de tiempo corto o largos

incluso de un año, pero nuestro caso de estudio tomaremos tres fases:

 Primera etapa llamada POTENCIAL(Potential)

 Segunda etapa llamada SITUACIÓN ACTUAL (Current)

 Tercera etapa llamada OBJETIVO (Target)

Página 34 de 36
Esta actividad consta de dos sub-tareas:

 Identificación de las salvaguardas pertinentes

 Valoración de las salvaguardas

3.3.1 Identificación de las salvaguardas

Su objetivo principal es: Identificar las salvaguardas convenientes para proteger el sistema.

Página 35 de 36
 ACTIVOS AMENAZAS SALVAGUARDAS

Cód. Activo Cód. Amenaza Clase Salvaguarda

Salvaguardas relativas al PS.AT Formación y

[ET.01] Errores de los usuarios
personal concienciación
[FACT_DT] BASE DE

DATOS Errores del Salvaguardas relativas al PS.AT Formación y

[ET.02]

FACTURAC administrador personal concienciación

I ON

Salvaguardas relativas al PS.AT Formación y

[ET.01] Errores de los usuarios
personal concienciación
CORREO
[EMAIL_ST] Suplantación de la Protecciones generales u H.IA Identificación y
ELECTRÓN [AT.05]
identidad del usuario horizontales autenticación
I CO

Salvaguardas relativas al PS.AT Formación y

[ET.01] Errores de los usuarios
SISTEMA personal concienciación

DE Errores de
[SISF_SWT] SW.CM Cambios
FACTURAC mantenimiento / Protección de las aplicaciones
(actualizaciones y
[ET.21]
I ON actualización de (software)
mantenimiento)
UMBRELLA programas (software)

Difusión de software Protecciones generales u

[AT.08] H Protecciones Generales
dañino horizontales
[AVI_SWT] ANTIVIRUS

Vulnerabilidades de los Protecciones generales u H.VM Gestión de

[ET.20]
programas (software) horizontales vulnerabilidades

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego
organizativo seguridad
SERVIDOR

Página 36 de 36
 BASE DE Salvaguardas de tipo G.plan Planificación de la
[SBP_HWT] [NT.02] Daños por agua
DATOS Y organizativo seguridad

PAGINA

WEB

Página 37 de 36
 Salvaguardas de tipo G.plan Planificación de la
[NT.0*] Desastres naturales
organizativo seguridad
COMPUTA
[PC1_HWT] BC.DRP Plan de
D
[IT.0*] Desastres industriales Continuidad de operaciones Recuperación de Desastres
ORENCARG
(DRP)
ADO

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego

[PRINT_H MEDIO DE organizativo seguridad

W T] IMPRESIÓ Avería de origen físico o Protección de las aplicaciones SW Protección de las

[IT.05]
N lógico (software) Aplicaciones Informáticas

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego
organizativo seguridad

[ROUT_HW ROUTE
Avería de origen físico o Protección de las aplicaciones SW Protección de las
T] R TP-
[IT.05] lógico (software) Aplicaciones Informáticas
LINK

Fallo de servicios de Protección de las COM Protección de las

[IT.08]
[INT_COM] comunicaciones comunicaciones Comunicaciones
INTERNET
Errores de [re- Protección de las COM Protección de las
[ET.09]
]encaminamiento comunicaciones Comunicaciones

Página 38 de 36
[CAB_AUXT
Salvaguardas de tipo G.plan Planificación de la
] [NT.01] Fuego
organizativo seguridad

Condiciones
CABLEADO
inadecuadas de [I.7] Condiciones inadecuadas de Protección de los elementos
[IT.07]
temperatura o temperatura o humedad auxiliares humedad

humedad

[UPS_AUXT Salvaguardas de tipo G.plan Planificación de la

UPS [NT.01] Fuego
] organizativo seguridad

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego

EDIFICI organizativo seguridad

[EOC_LT]
O Salvaguardas de tipo G.plan Planificación de la
[NT.02] Daños por agua
OFICINA organizativo seguridad

CENTRA

Salvaguardas relativas al PS.A Aseguramiento de la

[ET.28] Enfermedad

[EDS_PET] personal disponibilidad

ENCARGAD

O DEL Deficiencia en la Salvaguardas relativas al PS.A Aseguramiento de la

[ET.07]
DPTO. DE Organización personal disponibilidad

SISTEMAS

Tabla #NN: Identificación de las Salvaguardas

3.3.2 Valoración de las salvaguardas

Página 39 de 36
El Objetivo de esta valoración es determinar la eficacia de las salvaguardas pertinentes.

En esta tarea se valora la efectividad de las salvaguardas identificadas en el punto anterior, tomando

en consideración los siguientes puntos:

- La idoneidad de la salvaguarda para el fin perseguido.

- La calidad de la implantación (la calidad de cómo se instaló e implementó la

salvaguarda).

- La formación de los responsables de su configuración y operación.

Página 40 de 36
 - La información de los usuarios, si tienen un papel activo.

- La existencia de controles de medida de su efectividad.

- La existencia de procedimientos de revisión regular.

Para poder evaluar el anterior análisis, se propone usar los siguientes niveles de madurez (L0, L1, L2,

L3, L4 y L5) para poder calificar a una salvaguarda.

Además, es importante estimar la eficacia (0% al 100%) que tiene una salvaguarda para afrontar

una determinada amenaza.

Eficaci Nivel Madurez Estado

0% L0 inexistente inexistente

10% L1 inicial iniciado

50% L2 reproducible, pero parcialmente realizado

90% L3 proceso definido en funcionamiento

95% L4 gestionado y medible monitorizado

100% L5 optimizado mejora continua

Tabla #NN: Niveles de Madurez

VALORACIÓN SOBRE
ACTIVOS AMENAZAS SALVAGUARDAS
LA “SITUACIÓN

Página 41 de 36
 ACTUAL”

Estimación Nivel

de la De

Eficacia de Madurez de
Activo Cód. Amenaza Clase Salvaguarda Salvaguarda
la la

Salvaguard a Salvaguard

Errores de los Salvaguardas relativas al PS.AT Formación y

[ET.01] 0.6 L2
usuarios personal concienciación
[FACT_DT] BASE

DE DATOS Errores del Salvaguardas relativas al PS.AT Formación y

[ET.02] 0.6 L2
FACTURACION administrador personal administrativo concienciación

Errores de los Salvaguardas relativas al PS.AT Formación y

[ET.01] 0.5 L2
usuarios personal concienciación
[EMAIL_ST]

CORREO Suplantación de la
Protecciones generales u H.IA Identificación y

ELECTRÓNIC [AT.05] identidad del 0.4 L1

horizontales autenticación

O usuario

[SISF_SWT] Errores de los Salvaguardas relativas al PS.AT Formación y

[ET.01] 0.5 L2
SISTEMA DE usuarios personal concienciación

Página 42 de 36
 FACTURACION Errores de

UMBRELLA mantenimiento / SW.CM Cambios

[ET.21] Protección de las 0.7 L2
actualización de (actualizaciones y
aplicaciones (software)
programas mantenimiento)

(software)

Difusión de Protecciones generales u

[AT.08] H Protecciones Generales 0.5 L0
software dañino horizontales

[AVI_SWT]
Vulnerabilidades
Protecciones generales u H.VM Gestión de
ANTIVIRUS [ET.20] 0.5 L0
de los programas
horizontales vulnerabilidades
(software)

[SBP_HWT] Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego 0.2 L0
SERVIDOR BASE organizativo seguridad

DE DATOS Y
Salvaguardas de tipo G.plan Planificación de la
[NT.02] Daños por agua 0.3 L0
PAGINA WEB
organizativo seguridad

Desastres Salvaguardas de tipo G.plan Planificación de la

[NT.0*] 0.3 L0
naturales organizativo seguridad
[PC1_HWT]

COMPUTADORE BC.DRP Plan de

Desastres Continuidad de
NCARGADO [IT.0*] Recuperación de Desastres 0.3 L0
industriales operaciones
(DRP)

Página 43 de 36
 Salvaguardas de tipo G.plan Planificación de la
[PRINT_HWT] [NT.01] Fuego 0.2 L0
organizativo seguridad
MEDIO DE

IMPRESIÓN Avería de origen Protección de las SW Protección de las

[IT.05] 0.6 L1
físico o lógico aplicaciones (software) Aplicaciones Informáticas

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego 0.2 L0
organizativo seguridad

[ROUT_HWT]
Avería de origen Protección de las SW Protección de las
ROUTER
[IT.05] físico o lógico aplicaciones (software) Aplicaciones Informáticas 0.6 L1
TP-LINK

Fallo de servicios
Protección de las COM Protección de las
[IT.08] de 0.4 L1
[INT_COM comunicaciones Comunicaciones
comunicaciones
]

INTERNE Errores de [re- Protección de las COM Protección de las

[ET.09] 0.3 L0

T ]encaminamiento comunicaciones Comunicaciones

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego 0.2 L0
organizativo seguridad

[CAB_AUXT] Condiciones
Condiciones inadecuadas de
CABLEADO inadecuadas de Protección de los elementos
[IT.07] temperatura o humedad 0.3 L0
temperatura o auxiliares

humedad

Salvaguardas de tipo G.plan Planificación de la

[UPS_AUXT] [NT.01] Fuego 0.2 L0
organizativo seguridad

Salvaguardas de tipo G.plan Planificación de la

[NT.01] Fuego 0.4 L0

[EOC_LT organizativo seguridad

Página 44 de 36
 ] Salvaguardas de tipo G.plan Planificación de la
[NT.02] Daños por agua 0.4 L0
EDIFICIO organizativo seguridad

OFICINA

CENTRAL

[EDS_PET] Salvaguardas relativas al PS.A Aseguramiento de la

[ET.28] Enfermedad 0.4 L1
ENCARGADO personal disponibilidad

Página 45 de 36
DEL DPTO. DE
Deficiencia en la Salvaguardas relativas al PS.A Aseguramiento de la
SISTEMAS [ET.07] 0.3 L1
Organización personal disponibilidad

Salvaguardas relativas al
[AT.29] Extorsión PS Gestión del Personal 0.2 L0
personal

Tabla #NN: Valoración de Salvaguardas

Página 46 de 36