universidad de guayaquil facultad de ciencias...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING

Y TELECOMUNICACIONES

“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE

ACCIÓN A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE

INFORMACIÓN CON MAGERIT PARA IDENTIFICAR Y PROPONER UNA

SOLUCIÓN EN LA CLÍNICA URDENOR DE GUAYAQUIL”

PROYECTO DE TITULACIÓN

Previa a la obtención del título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR:

Grijalva Alvarado Esteban Eduardo

TUTOR:

Ing. Leonel Vasquez Cevallos, Ph.D.

GUAYAQUIL – ECUADOR

2018

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO:

“Análisis, diseño y simulación de un prototipo de plan de acción a través de un análisis de riesgos de los sistemas de información con MAGERIT para identificar y proponer una solución en la clínica Urdenor de Guayaquil”

AUTOR (ES): Grijalva Alvarado Esteban Eduardo

REVISOR(ES)/TUTOR(ES): Ing. Leonel Vasquez Cevallos, Ph.D.

INSTITUCIÓN: Universidad de Guayaquil

UNIDAD/FACULTAD: Ciencias Matemáticas y Físicas

MAESTRÍA/ESPECIALIDAD: Networking y Telecomunicaciones

GRADO OBTENIDO: Ingeniero en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: No. DE PÁGINAS:

ÁREAS TEMÁTICAS: Networking y Telecomunicaciones

PALABRAS CLAVES

/KEYWORDS:

MAGERIT, plan de acción, salvaguardas, amenazas.

RESUMEN/ABSTRACT: Este trabajo de titulación busca el presentar medidas que deben tomar los directivos de la clínica

Urdenor para hacer frente ante las vulnerabilidades que se presentan en la tecnología informática. Este análisis se realiza a

través de la metodología MAGERIT, por la cual se logran identificar y valorar los activos que posee la clínica, descubrir las

amenazas a las que se enfrenta y las salvaguardas que pueden ser implementadas para reducir las afectaciones. Se presenta

un plan de acción donde se resumen los puntos importantes que permitirán cumplir con el objetivo del proyecto.

ADJUNTO PDF: SI X NO

CONTACTO CON

AUTOR/ES:

Teléfono: 0990775771 E-mail: [email protected]

CONTACTO CON LA

INSTITUCIÓN:

Nombre: Ab. Juan Chávez Atocha

Teléfono: 042307729

E-mail: [email protected]

mailto:[email protected]

II

CARTA DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación, “Análisis, diseño y simulación de un

prototipo de plan de acción a través de un análisis de riesgos de los sistemas de

información con MAGERIT para identificar y proponer una solución en la clínica Urdenor

de Guayaquil” elaborado por el Sr. Esteban Eduardo Grijalva Alvarado, Alumno no

titulado de la Carrera de Ingeniería en Networking y Telecomunicaciones, Facultad de

Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención

del Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que

luego de haber orientado, estudiado y revisado, la apruebo en todas sus partes.

Atentamente

Ing. Leonel Vasquez Cevallos, Ph.D.

TUTOR

III

DEDICATORIA

El presente proyecto de titulación está

dedicado principalmente a Dios ya que sin

Él no soy nada, a toda mi familia por ser el

soporte vital en el transcurso de mi carrera

profesional, a mi enamorada por ayudarme

y apoyarme en todo momento y a la

prestigiosa clínica Urdenor por permitirme

realizar mi proyecto de tesis en sus

instalaciones.

ESTEBAN EDUARDO GRIJALVA ALVARADO

IV

AGRADECIMIENTO

Agradezco a nuestro Dios por hacer

realidad mis metas y sueños, mi familia,

pareja, amigos, profesores y toda persona

que en algún momento de forma directa o

indirecta me ayudaron a cumplir con esta

meta de ser Ing. en Networking y

Telecomunicaciones.


V

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Eduardo Santos Baquerizo, M.Sc.

DECANO DE LA FACULTAD

CIENCIAS MATEMÁTICAS Y FÍSICAS

Ing. Harry Luna Aveiga, M.Sc.

DIRECTOR DE LA CARRERA DE

INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

Ing. Mitchell Vásquez Bermúdez, M.Sc.

PROFESOR TUTOR REVISOR DEL

PROYECTO DE TITULACIÓN

Ing. José Moran Agusto, M.Sc.

DOCENTE DEL ÁREA

Ab. Juan Chávez Atocha, Esp.

SECRETARIO TITULAR

VI

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de

este Proyecto de Titulación, me

corresponde exclusivamente; y el

patrimonio intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”.


VII





Autoría

“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE ACCIÓN

A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE



Proyecto de Titulación que se presenta como requisito para optar por el título de

INGENIERO EN NETWORKING Y TELECOMUNICACIONES.

Autor: Esteban Eduardo Grijalva Alvarado

C.I.: 095159463-9

Tutor: Ing. Leonel Vasquez Cevallos, Ph.D.

Guayaquil, septiembre de 2018

VIII

CERTIFICADO DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo

de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por el estudiante

ESTEBAN EDUARDO GRIJALVA ALVARADO, como requisito previo para optar

por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema es:

“Análisis, diseño y simulación de un prototipo de plan de acción a través de

un análisis de riesgos de los sistemas de información con MAGERIT para

identificar y proponer una solución en la clínica Urdenor de Guayaquil”

Considero aprobado el trabajo en su totalidad.

Presentado por:

Grijalva Alvarado Esteban Eduardo 095159463-9

Apellidos y Nombres Completos Cédula de ciudadanía N.º


Guayaquil, septiembre de 2018

IX





Autorización para publicación de Proyecto de Titulación en Formato Digital

1. Identificación del Proyecto de Titulación

Nombres Alumnos: Esteban Eduardo Grijalva Alvarado

Dirección: Durán, Los Helechos Sc 6 Mz L

S 2

Teléfono: 042806355

0990775771 E-mail: [email protected]

Facultad: Facultad de Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título al que opta: Ingeniero en Networking y Telecomunicaciones

Profesor guía: Ing. Leonel Vasquez Cevallos, Ph.D.

Título del Proyecto de titulación: “Análisis, diseño y simulación de un prototipo

de plan de acción a través de un análisis de riesgos de los sistemas de información

con MAGERIT para identificar y proponer una solución en la clínica Urdenor de

Guayaquil”

Tema del Proyecto de Titulación:

X

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil

y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión

electrónica de este Proyecto de Titulación.

Publicación Electrónica:

Firma Alumno:

3. Forma de Envío

El texto del proyecto de titulación debe ser enviado en formato Word, como

archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen

pueden ser: .gif,.jpg o .TIFF.

DVDROM CDROM

Inmediata X Después de 1 Año

XI

ÍNDICE GENERAL

CARTA DE APROBACIÓN DEL TUTOR ............................................................. II

DEDICATORIA ................................................................................................... III

AGRADECIMIENTO ........................................................................................... IV

TRIBUNAL PROYECTO DE TITULACIÓN .......................................................... V

DECLARACIÓN EXPRESA ................................................................................ VI

Autoría ............................................................................................................... VII

CERTIFICADO DE APROBACIÓN DEL TUTOR .............................................. VIII

Autorización para publicación ............................................................................. IX

ÍNDICE GENERAL ............................................................................................. XI

ABREVIATURAS ............................................................................................. XIV

ÍNDICE DE FIGURAS ....................................................................................... XV

ÍNDICE DE TABLAS ........................................................................................ XVI

RESUMEN ...................................................................................................... XVII

ABSTRACT ................................................................................................... XVIII

INTRODUCCIÓN ................................................................................................. 1

CAPÍTULO I ......................................................................................................... 3

EL PROBLEMA ................................................................................................... 3

PLANTEAMIENTO DEL PROBLEMA .............................................................. 3

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ........................................ 3

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS. ........................................... 4

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ....................................... 5

DELIMITACIÓN DEL PROBLEMA ................................................................ 5

FORMULACIÓN DEL PROBLEMA ............................................................... 6

EVALUACIÓN DEL PROBLEMA .................................................................. 6

OBJETIVOS ................................................................................................. 7

ALCANCE DEL PROBLEMA ........................................................................ 7

XII

JUSTIFICACIÓN E IMPORTANCIA .............................................................. 8

CAPÍTULO II ...................................................................................................... 10

MARCO TEÓRICO ............................................................................................ 10

ANTECEDENTES DEL ESTUDIO .................................................................. 10

FUNDAMENTACIÓN TEÓRICA ..................................................................... 12

¿Qué es la seguridad? ............................................................................... 12

Seguridad de la información ....................................................................... 12

Metodologías de análisis de riesgos ............................................................... 16

OCTAVE ..................................................................................................... 16

OSSTMM .................................................................................................... 17

MAGERIT ................................................................................................... 19

FUNDAMENTACIÓN LEGAL ......................................................................... 25

CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN DELITOS

INFORMÁTICOS ........................................................................................ 25

HIPÓTESIS .................................................................................................... 26

VARIABLES DE INVESTIGACIÓN ................................................................. 27

DEFINICIONES CONCEPTUALES ................................................................ 27

CAPÍTULO III ..................................................................................................... 29

PROPUESTA TECNOLÓGICA .......................................................................... 29

ANÁLISIS DE FACTIBILIDAD ........................................................................ 29

FACTIBILIDAD OPERACIONAL .................................................................... 29

FACTIBILIDAD TÉCNICA .............................................................................. 30

FACTIBILIDAD LEGAL .................................................................................. 30

FACTIBILIDAD ECONÓMICA ........................................................................ 31

ETAPAS DE LA METODOLOGÍA DEL PROYECTO ...................................... 31

MAR.1 ............................................................................................................ 32

MAR.11 – Identificación de los activos ........................................................ 32

MAR.12 – Dependencias entre activos ....................................................... 36

MAR.13 – Valoración de los activos ........................................................... 38

MAR.2 – CARACTERIZACIÓN DE LAS AMENAZAS .................................... 39

MAR.21 – Identificación de las amenazas .................................................. 40

MAR.22 – Valoración de las amenazas ...................................................... 41

MAR.3 – CARACTERIZACIÓN DE LAS SALVAGUARDAS ........................... 43

XIII

MAR.31 – Identificación de las salvaguardas pertinentes ........................... 43

MAR.32 – Valoración de las salvaguardas ................................................. 46

MAR.4 – ESTIMACIÓN DEL ESTADO DE RIESGO ...................................... 47

MAR.41 – Estimación del impacto .............................................................. 47

MAR.42 – Estimación del riesgo ................................................................. 49

ENTREGABLES DEL PROYECTO ............................................................ 52

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 60

PROCESAMIENTO Y ANÁLISIS ................................................................ 61

CAPÍTULO IV .................................................................................................... 73

Criterios de aceptación del producto .............................................................. 73

Conclusiones ................................................................................................. 74

Recomendaciones ......................................................................................... 74

Bibliografía......................................................................................................... 76

Anexos ........................................................................................................... 78

XIV

ABREVIATURAS

MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

TI Tecnologías de la Información.

CSAE Consejo Superior de Administración Electrónica.

ISO Organización Internacional de Normalización.

MAR Metodología de Análisis de Riesgos.

LAN Red de área local.

WLAN

PILAR

Red de área local inalámbrica.

Procedimiento Informático Lógico para el Análisis de Riesgos

XV

ÍNDICE DE FIGURAS

Gráfico 1: Ubicación del lugar. ...................................................................................... 3

Gráfico 2: Evolución en el tiempo del Análisis de Riesgos .................................... 10

Gráfico 3: Estructuración de la gestión de riesgos .................................................. 15

Gráfico 4: Secciones de seguridad. ........................................................................... 18

Gráfico 5: Escala de riesgo ......................................................................................... 23

Gráfico 6: Escala de valor de riesgo .......................................................................... 24

Gráfico 7: Diseño actual de la red .............................................................................. 30

Gráfico 8: Método de análisis de riesgos .................................................................. 32

Gráfico 9: Identificación de activos ............................................................................ 33

Gráfico 10: Activos en la herramienta PILAR ........................................................... 35

Gráfico 11: Dependencia de los activos .................................................................... 36

Gráfico 12: Dependencia de los activos en mapa de buses en PILAR ................ 37

Gráfico 13: Código de colores para la dependencia de activos en PILAR .......... 37

Gráfico 14: Escala de valoración de los activos. ..................................................... 38

Gráfico 15: Valoración de las amenazas .................................................................. 42

Gráfico 16: Identificación de las salvaguardas ......................................................... 45

Gráfico 17: Medida de las salvaguardas ................................................................... 47

Gráfico 18: Escala de valor del impacto .................................................................... 48

Gráfico 19: Estimación del riesgo ............................................................................... 50

Gráfico 20: Niveles de criticidad ................................................................................. 50

Gráfico 21: Análisis de resultados de la pregunta 1 ................................................ 61












XVI

ÍNDICE DE TABLAS

Tabla 1: Causas y Consecuencias del Problema ....................................................... 5

Tabla 2: Comparación de versiones MAGERIT ........................................................ 20

Tabla 3: Valoración de los activos .............................................................................. 39

Tabla 4: Identificación de amenazas .......................................................................... 40

Tabla 5: Tabla de probabilidad MAGERIT ................................................................. 41

Tabla 6: Tabla de degradación MAGERIT ................................................................ 42

Tabla 7: Peso relativo ................................................................................................... 45

Tabla 8: Nivel de Madurez de las salvaguardas ....................................................... 46

Tabla 9: Impacto Acumulado ....................................................................................... 48

Tabla 10: Impacto Repercutido ................................................................................... 49

Tabla 11: Riesgo Acumulado ....................................................................................... 51

Tabla 12: Riesgo Repercutido ..................................................................................... 51

Tabla 13: Análisis de resultados de la pregunta 1 ................................................... 61












Tabla 25: Criterios de aceptación ............................................................................... 73

XVII





“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE

ACCIÓN A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE



Autor: Grijalva Alvarado Esteban Eduardo


RESUMEN

“Este trabajo de titulación busca el presentar medidas que deben tomar los

directivos de la clínica Urdenor para hacer frente ante las vulnerabilidades que se

presentan en la tecnología informática. Este análisis se realiza a través de la

metodología MAGERIT, por la cual se logran identificar y valorar los activos que

posee la clínica, descubrir las amenazas a las que se enfrenta y las salvaguardas

que pueden ser implementadas para reducir las afectaciones. Se presenta un plan

de acción donde se resumen los puntos importantes que permitirán cumplir con el

objetivo del proyecto.”

Palabras claves: MAGERIT, plan de acción, salvaguardas, amenazas.

XVIII

UNIVERSITY OF GUAYAQUIL

FACULTY OF MATHEMATICAL AND PHYSICAL SCIENCES

ENGINEERING CAREER IN NETWORKING

AND TELECOMMUNICATIONS

"ANALYSIS, DESIGN AND SIMULATION OF A PROTOTYPE OF AN ACTION

PLAN THROUGH A RISK ANALYSIS OF THE INFORMATION SYSTEMS

WITH MAGERIT TO IDENTIFY AND PROPOSE A SOLUTION IN THE

URDENOR CLINIC OF GUAYAQUIL"

Author: Grijalva Alvarado Esteban Eduardo


ABSTRACT

“This degree work seeks to present measures that should be taken by the

managers of the Urdenor clinic to deal with the vulnerabilities that arise in computer

technology. This analysis is carried out through the MAGERIT methodology,

whereby the assets owned by the clinic are identified and valued, the threats it

faces and the safeguards that can be implemented to reduce the effects are

discovered. An action plan is presented which summarizes the important points

that will allow to fulfill the objective of the project.”

Keywords: MAGERIT, action plan, safeguards, threats.

1

INTRODUCCIÓN

En la actualidad, la información es considerada un activo de gran importancia para

las organizaciones las cuales pueden ser bancos, clínicas de salud, hospitales,

etc. Por lo que la seguridad en la información debe ser alta; las empresas

actualmente manejan esta de manera electrónica dejando de lado la manipulación

de datos de forma manual o en hojas. Pero este manejo de datos conlleva riesgos

que muchas organizaciones desconocen, ya sea al almacenarlos en equipos de

cómputo, discos duros, internet o por la incorrecta manipulación de parte del

personal en la empresa.

Para hacer frente ante dichos riesgos, las empresas optan por implementar

medidas temporales o inmediatas de forma empírica con la finalidad de hacer

frente al problema presentado, pero desconociendo que esas acciones podrían

desencadenar en amenazas mayores en contra de los datos, por ello es necesario

realizar periódicamente un análisis en la infraestructura tecnológica de manera

completa, a través de controles, políticas de seguridad o procesos que pueden ser

gestionados de manera concisa y precisa por medio de una metodología de

seguridad de la información la cual será presentada y analizada en este trabajo.

Existen principalmente dos causas por las cuales los servicios de tecnología de

una organización pueden quedar indisponibles: las internas dadas por fallas en la

administración de los sistemas de información, la propagación de un software

dañino, errores de configuración, entre otros. Y las externas como los desastres

naturales, ataques desde fuera de la empresa, contaminaciones ambientales, etc.

Estas causas pueden terminar en afectaciones totales o parciales en uno o varios

servicios brindados por las instituciones y al depender estas de los servicios la

magnitud del daño será mayor o menor dependiendo del grado de daño. (Cadena,

2012)

De acuerdo con la literatura, los sistemas de información de las empresas tienen

problemas de seguridad los cuales no son gestionados hasta que se presente

algún fallo o ataque hacia los datos, y esto se da por falta de conocimiento o

experiencia; por lo cual el realizar un estudio en la seguridad de los datos antes

2

que se presenten problemas es la mejor opción para las instituciones que desean

mantener segura su información.

La importancia de mantener la información a salvo para las empresas es

prioritaria, y es por esta razón que deben ser implementados mecanismos que

ayuden a disminuir los posibles problemas que ponen en peligro los datos, pero

para poder ejecutar estas acciones se necesita de un estudio previo que permita

a la empresa determinar las principales falencias en su seguridad informática.

El análisis de riesgos de seguridad de la información brinda a las empresas un

panorama completo de las debilidades y fortalezas en la infraestructura

tecnológica con las que cuenta. Gracias a este análisis se pueden generar

controles y normativas en las políticas de seguridad de la información con las que

cuente o caso contrario, crear dichas políticas para proteger los datos y activos

que son de importancia para la empresa.

La estructura general de ese proyecto de tesis está dividida en 4 capítulos que se

detallan a continuación

• CAPITULO I: En esta parte se encuentra detallado el problema que

presenta la empresa en cuestión, así como sus causas y consecuencias y

los objetivos que han sido establecidos.

• CAPITULO II: Establecido como el “MARCO TEORICO” donde se

argumentan las conceptualizaciones que engloba el trabajo, así como, las

leyes y reglamentaciones en las que se debe enmarcar la tesis.

• CAPITULO III: Se refiere al desarrollo de la metodología MAGERIT,

desglosando lo activos, sus amenazas, salvaguardas, el impacto y el

riesgo que tienen estos, además de detallar en análisis de factibilidad del

proyecto.

• CAPITULO IV: Es donde se presentan los criterios de validación de la

propuesta, las conclusiones y recomendaciones que se dan después haber

culminado con el proyecto.

3

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

La clínica Urdenor es una organización privada, ubicada en el norte de la ciudad

de Guayaquil, provincia del Guayas, en el sector denominado “Urdenor” como se

puede apreciar en el gráfico 1, cuya finalidad es la de mejorar la calidad de vida

de sus pacientes de acuerdo con las diferentes especialidades médicas que

poseen como cirugía general, gastroenterología, ginecología, obstetricia,

traumatología entre otras, brindando atención a aproximadamente 300 personas

al mes, cuenta con una infraestructura tecnológica capaz de desarrollar las

actividades generales del establecimiento la cual que no ha sido sometida a un

análisis de riesgos de la información.

Gráfico 1: Ubicación del lugar.

Elaborado por: Esteban Grijalva

Fuente: Google Maps

La clínica Urdenor busca mantener y mejorar el crecimiento del negocio

aumentando la cantidad de especialidades médicas para brindar una mejor

atención a los pacientes, este crecimiento tiene un impacto directo en las

tecnologías de la información que deberían poseer para que puedan gestionar de

manera correcta los requerimientos que se generarán.

4

La infraestructura de red actual del establecimiento es manejada bajo el protocolo

TCP/IP; dicho protocolo a nivel de seguridad presenta múltiples falencias que

siguen en crecimiento como son los virus, atacantes maliciosos, robo de

información, entre otros, que podrían perjudicar las actividades de la clínica, así

como, incidir en la integridad de los datos de la empresa.

Existen problemáticas que afectan de manera directa o indirecta a las actividades

de un negocio; entre las cuales podemos destacar: los ciberataques cuya finalidad

es la de suspender temporal o indefinidamente las labores diarias del personal,

los virus que atentan contra la integridad y disponibilidad de los datos que

repercute en perdida de dinero e incluso falta de credibilidad por parte de sus

clientes al momento de manejar su información personal. Estos problemas deben

ser minimizados con controles periódicos en la seguridad informática.

La revolución tecnológica ha traído consigo mejoras que han ayudado en los

accesos y la rapidez al momento de prestar un servicio, pero así como han llegado

mejoras, la inseguridad y peligros a nivel tecnológico también han aumentado; “por

ello se debe mantener identificadas y controladas esas vulnerabilidades lo cual se

logra con un adecuado sistema de seguridad de la información elaborado en base

a un análisis de riesgos”. (Rosero, 2014)

SITUACIÓN CONFLICTO. NUDOS CRÍTICOS.

Los riesgos de la seguridad de la información están presenten en las redes

empresariales, debido al crecimiento de las instituciones por mantenerse a la

vanguardia en la tecnología y aumentar la capacidad de sus negocios; estas

mejoras traen consigo vulnerabilidades por parte de la tecnología que de no

tratarse debidamente pueden causar un impacto directo en las actividades de las

empresas. “Actualmente se ha desarrollado una creciente dependencia de las

tecnologías de información lo que las ha convertido en un gran factor de riesgo y

quizás, uno de los más importantes de este siglo.” (Gómez, Hernán, Donoso, &

Herrera, 2010). Ese crecimiento ha impulsado a que personas ajenas a lo bueno,

intenten aprovecharse del desconocimiento o la falta de atención en las redes

empresariales para generar problemas o lucrarse con actividades ilícitas.

5

El crecimiento de estas actividades ilegales es proporcional al crecimiento de las

redes de datos y de la infraestructura tecnológica en constante innovación; como

el robo de información, que puede generarse por métodos como la ingeniería

social la cual consiste en obtener la confianza de la víctima para luego, a través

de mentiras por email, teléfono, etc., extraer la información sensible que puede

ser de carácter personal o bancario; otro de los métodos más comunes es el

denominado phishing que consiste en suplantar la identidad de alguna entidad

conocida para engañar a las personas y obtener su información.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Tabla 1: Causas y Consecuencias del Problema

Causas Consecuencias

Falta de inversión en dispositivos y

sistemas para la seguridad de la

información.

Cero garantías en la disponibilidad,

integridad y confidencialidad de la

información manejada.

Escaso conocimiento en seguridad de

la información por parte del personal de

la empresa.

Múltiples dificultades en el manejo de la

información.

Poco interés de mantener seguros los

sistemas informáticos.

La información puede ser cambiada o

alterada lo que ocasiona pérdidas en el

negocio.

Desconocimiento de cuán segura es la

infraestructura actual de la clínica.

No poder aplicar las medidas

preventivas y correctivas para

solucionar los problemas presentes.

El constante crecimiento de los ataques

y problemas de seguridad.

Sufrir de algún ataque directo o

indirecto que afecte al desenvolvimiento

de la empresa.

Fuente: Datos de la investigación Autor: Grijalva Esteban

DELIMITACIÓN DEL PROBLEMA

• CAMPO: Tecnología

• ÁREA: Tecnología de la Información y Comunicación

6

• ASPECTOS: Seguridad de redes informáticas.

• TEMA: Análisis, diseño y simulación de un prototipo de plan de acción a

través de un análisis de riesgos de los sistemas de información con

MAGERIT para identificar y proponer una solución en la clínica Urdenor de

Guayaquil.

FORMULACIÓN DEL PROBLEMA

¿Cuál es la importancia de realizar un análisis de riesgos en los sistemas de

información en la infraestructura de la clínica Urdenor y encontrar las amenazas a

la seguridad informática?

EVALUACIÓN DEL PROBLEMA

Se presentan los aspectos generales para la evaluación del problema del proyecto

los cuales son:

• Delimitado: Las acciones actuales que tiene presente el personal de la

clínica Urdenor ante ataques informáticos no son suficientes para disminuir

o eliminar el problema, por lo cual se presenta este proyecto que generará

un plan de acción para que los trabajadores y directivos tengan en

conocimiento las acciones a tomar en caso de, presentarse un problema y

conocer las vulnerabilidades tecnológicas con las que cuenta la clínica.

• Claro: El análisis de riesgos de los sistemas de información en la

infraestructura de la clínica Urdenor pretende generar un plan de acción

ante las vulnerabilidades que tienen sus activos informáticos para

minimizar los daños que podrían ser causados por la explotación de dichas

vulnerabilidades.

• Evidente: Los inconvenientes que se presentan por falta de seguridad en

el manejo de la información han causado problemas en cierto momento a

la clínica.

7

• Concreto: El análisis de riesgos ayudará a evitar los problemas que

pueden ser causados factores internos o externos a la Clínica.

• Relevante: El proyecto será de mucha importancia ya que logrará mitigar

los posibles inconvenientes que se presenten en la infraestructura

tecnológica de la clínica.

• Original: El análisis será realizado con la metodología MAGERIT que no

ha sido aplicada en esta clínica, además de ser un avance en la gestión

de riesgos para la institución.

• Factible: Es viable en cuanto al tiempo que se realizará, el cual no tendrá

costo alguno para la empresa.

OBJETIVOS

Objetivo general

Realizar un plan de acción a través de un análisis de riesgos de los sistemas de

información con la metodología MAGERIT para proponer una solución en la clínica

Urdenor de Guayaquil.

Objetivos específicos

• Examinar, identificar y clasificar los elementos tecnológicos de información

en la clínica Urdenor.

• Determinar las amenazas a la seguridad en la infraestructura tecnológica

por medio de la herramienta PILAR en la clínica Urdenor.

• Sugerir un plan de acción para minimizar las amenazas encontradas en el

análisis, basado en normativas internacionales.

ALCANCE DEL PROBLEMA

La realización del proyecto se presenta como un análisis, diseño y simulación de

un prototipo de plan de acción a través de un análisis de riesgos de los sistemas

de información con MAGERIT para identificar y proponer una solución en la clínica

Urdenor de Guayaquil, esta solución incurre en la clasificación y valoración de los

8

activos con los que cuenta la empresa, la identificación de las amenazas,

salvaguardas, niveles de riesgos e impacto que tendrán los activos conforme se

desarrolle el proyecto. Además, podrá ayudar a los directivos y/o encargado(s) de

las tecnologías de información en la clínica a tomar acciones en contra de los

riesgos presentes.

Este análisis será realizado solo a la infraestructura tecnológica en esta clínica sin

tomar en cuenta la tecnología médica usada en los pacientes por los doctores.

JUSTIFICACIÓN E IMPORTANCIA

La clínica Urdenor cuenta con una infraestructura tecnológica en crecimiento,

debido a la demanda y de la cual tienen dependencia procesos, servicios y

funcionamiento administrativo; la mayor parte de la información que se genera es

almacenada en equipos informáticos, aunque también existen documentos que se

manejan de manera física, pero no se evidencian políticas de control que permitan

brindar un correcto tratamiento a este activo.

Actualmente empresas, de cualquier denominación, deben tener en cuenta dentro

de sus procesos de gestión, el aseguramiento de la información que podrá ser

gestionado a través de metodologías o herramientas que ayuden a determinar los

riesgos a los cuales la información están expuesta dentro de la empresa, “estos

riesgos constituyen una parte importante, y cada vez más, del riesgo operativo ya

que la simbiosis entre las operaciones de las empresas y el uso de TI es cada vez

más intensa.” (Martín & Torres, 2008)

Las problemáticas primordiales son la falta de concienciación en temas de

seguridad informática, poca inversión en dispositivos y sistemas de seguridad,

motivo por el cual este proyecto sirve para analizar el abanico de amenazas por

medio de software libre para evitar costos a la empresa.

METODOLOGÍA DEL PROYECTO

Para el desarrollo del presente proyecto se usará la metodología de análisis y

gestión de riesgos de los sistemas de información MAGERIT, la cual ayudará a

9

descubrir y planificar el tratamiento específico para mitigar los riesgos y

mantenerlos controlados.

“MAGERIT fue elaborada por la CSAE (Consejo Superior de Administración

Electrónica), su creación se debió al nivel elevado de tecnologías de información

al que están sujetas las administraciones para el cumplimiento de sus objetivos.”

(Nivicela, 2014)

Este método para gestionar los riesgos consta de cuatro etapas principales, donde

cada una cumple una función específica para cumplir los objetivos de este

proyecto, son:

• Caracterización de los activos

En esta etapa se identifican los activos a analizar en el proceso del

proyecto, luego se generan dependencias entre dichos activos para así

poder realizar una valoración sobre estos.

• Caracterización de las amenazas

Luego de tener caracterizados los activos se identifican las amenazas a

las que podrían estar expuestos los datos, los sistemas de información o

la infraestructura en sí, y se las valora para comprender la magnitud de

estas a través de escalas de valor.

• Caracterización de las salvaguardas

Al igual que con los activos y las amenazas, las salvaguardas son

identificadas y valorados para de esa forma comprender que tan efectivo

resulta implementarlas o no, además de ver si estas pueden disminuir los

posibles efectos de las amenazas.

• Estimación del estado de riesgo

El estado de riesgo nos muestra, por medio de escalas de valor, la

“cantidad” de impacto y riesgo que se generan en los activos con

salvaguardas implementados o sin ellas.

10

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

La seguridad informática se remonta a la década de los ochenta y noventa donde

se convierte en una pieza principal para el funcionamiento de las empresas en la

planificación y organización, por estos años es cuando las empresas empiezan a

palpar los riesgos de seguridad que incrementan con el pasar del tiempo y el

avance tecnológico. A mediados del siglo XX se generó un auge en torno a la

seguridad de las organizaciones, a través de las empresas de seguros, buscando

disminuir los riesgos en dicha época (López, 2012). Como puede verse en el

gráfico 2, desde los años 70 hasta 90 el riesgo empresarial se incrementó por las

guerras y los problemas en la economía mundial en aquellos tiempos; los

problemas fueron incrementando exponencialmente con el auge tecnológico

llegando así a afectar de manera directa a los datos de las empresas.

Debido a que, a finales del siglo XX los atentados y fraudes corporativos

empezaron a realizarse en gran magnitud, las instituciones en general empezaron

a desarrollar el campo de seguridad de la información en su entorno laboral para

poder evitar y/o afrontar las situaciones.

Gráfico 2: Evolución en el tiempo del Análisis de Riesgos

Elaborado por: López David

Fuente: Análisis de riesgos dinámicos en sistemas de información

Por ello esta investigación tratará los riesgos de seguridad en la clínica Urdenor

por medio de un análisis de riesgos con la metodología MAGERIT para conocer

11

el conjunto de herramientas y salvaguardas que ayudaran a alcanzar un nivel

básico de protección para los sistemas existentes en la empresa.

Para obtener una visión más clara del tema de este proyecto se hace mención a

temas similares que brindan un estudio más claro al problema, entre los cuales se

tiene:

Analizando el tema: “Análisis de vulnerabilidades en la infraestructura tecnológica

de una empresa, utilizando herramientas de test de intrusión” es de utilidad debido

a que realizan un estudio completo de las amenazas de seguridad en la red de la

institución educativa “Escuela Culinaria de las Américas”, ubicada en Guayaquil,

usando una metodología de análisis denominada Metodología Abierta de Testeo

de Seguridad (OSSTMM), de la cual se puede obtener información que sirve de

guía para llevar a cabo el análisis del presente proyecto. (Yánez & Parra, 2017)

Con la información recopilada del tema de tesis: “Propuesta de un plan de gestión

de riesgos de tecnología aplicado en la Escuela Superior Politécnica del Litoral”,

se ha obtenido una guía de esquemas para poder presentar la información de una

gestión de riesgos que usa como medio la herramienta PILAR utilizada en este

proyecto, además de que dicha tesis abarca temas puntuales, utilizando

información precisa como fundamento lo cual brinda un valor agregado a este

proyecto. (Molina, 2015)

Otro de los trabajos que contienen información relevante para el desarrollo de este

proyecto es: “Uso de herramientas de pentesting para el análisis de

vulnerabilidades en las comunicaciones móviles de las operadoras ubicadas en la

ciudad de Guayaquil”, en el cual se habla sobre un diagnóstico de vulnerabilidades

que puso en evidencia las posibles soluciones que brinda su proyecto para mitigar

dichas vulnerabilidades en los sistemas de comunicaciones móviles; la

información que los autores han recopilado es útil para el proyecto actual porque

sirve de guía para encaminar el análisis de riesgos presentado. (Quiñones &

Pérez, 2017)

12

FUNDAMENTACIÓN TEÓRICA

Sistemas de información

Son conjuntos de activos informáticos y recursos humanos relacionados entre sí,

con el objetivo de satisfacer los requerimientos de información para las

organizaciones y ayudar así en la toma de decisiones y gestión empresarial.

Dentro de estos sistemas de información existentes elementos esenciales como

son: (INCAP, s.f.)

• Hardware: Es el conjunto de equipos computacionales indispensables

para administrar los sistemas de información.

• Recurso humano: Aquellas personas destinadas a interactuar con el/los

sistemas(s) de información y el hardware.

• Información o datos: El eje principal por el cual las empresas mantienen

sus actividades de negocio.

• Software: Métodos que se emplean para procesar la información.

¿Qué es la seguridad?

Se entiende que es un estado o una característica que denota el correcto

comportamiento, que se encuentre protegido ante amenazas, libre de peligro o

daño de un sistema (informático o no). (Ecured, 2018)

Seguridad de la información

“Es un conjunto de medidas de prevención, detección y corrección, orientadas a

proteger la confidencialidad, la integridad y la disponibilidad de los recursos

informáticos”. (Benchimol, 2011)

En cambio, para Santos C. consiste en “Asegurar que los recursos del sistema de

información de una organización sean utilizados de la manera que se decidió y

que el acceso a la información allí contenida solo sea posible a las personas que

se encuentren acreditadas”. (Costas, 2011)

A partir de estas conceptualizaciones se define que la seguridad de la información

es mantener bajo resguardo los datos y el software que cumple la función de

administrar y proteger dichos datos para así evitar problemas de acceso no

autorizados, interrupciones, fallas o uso no autorizado.

13

Teniendo en cuenta que la información es activo principal para las organizaciones

es necesaria su protección, para asegurar las dimensiones de las empresas dadas

por ejes como:

• Disponibilidad: Es la condición de que los datos se encuentran

disponibles para su correcta administración, que no sean borrados o

permanezcan sin acceso.

Si existiera en una empresa u organización la falta de disponibilidad de la

información podría repercutir en los servicios prestados, o actividades

que dependan de los datos, afectando de esa forma a la productividad o

repercutir en pérdidas monetarias para la empresa.

Generalmente los ataques en contra de los sistemas de información

están direccionados a eliminar el acceso a los datos.

• Integridad: Es la propiedad que busca garantizar que la información no

pueda ser alterada de forma espontánea o inesperada. Esta alteración

puede estar dada por errores humanos, eventos catastróficos dentro de

una organización o algún daño intencional.

En caso de que la información se administre de forma incorrecta y sea

modificada erróneamente puede quedar inutilizable o peligrosa cuando

esa información mantiene una importancia crítica en la empresa.

‘’Los datos reciben una alta valoración desde el punto de vista de

integridad cuando su alteración, voluntaria o intencionada, causaría

graves daños a la organización.’’ (Amutio, 2012)

• Confidencialidad: Define que la información no esté disponible a aquellos

que no se encuentran debidamente autorizados para su manipulación. La

implementación de reglas y mecanismos que permitan controlar el

acceso del personal a la información confidencial es lo que debe

implementarse en las empresas para disminuir los riesgos de seguridad.

La seguridad de la información protege a las organizaciones ante la gran variedad

de amenazas y así mantener la continuidad del negocio, reducir al máximo los

14

posibles daños de los que pueda ser víctima e incrementar las oportunidades de

negocio e inversiones.

Es necesario tener en cuenta que la protección de los datos está dada por varias

razones, cuyas principales son:

• Gran cantidad de los sistemas de información no fueron desarrollados

completamente para ser seguros y hacer frente a los ataques informáticos.

• Actualmente la cantidad de riesgos y amenazas es exponencial como el

hacking, virus, fraudes, suplantación de identidad, denegación de

servicios, problemas ambientales; todos ellos generados por diversas

fuentes.

Actores de la seguridad: Se conoce como todas aquellas personas que se

encuentran involucradas en la administración de la información, sea esta

manipulada de manera física o digital.

Vulnerabilidad: Aquellas debilidades o falencias de los sistemas tecnológicos de

una institución causados por defectos de fábrica o por las limitaciones propias del

sistema que pueden ser aprovechadas por los atacantes.

Según Muñoz, F. es la “debilidad en un sistema permitiendo a un atacante violar

la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del

sistema o de sus datos y aplicaciones.” (Muñoz, 2017)

Amenazas: De forma general todo sistema puede ser vulnerable a amenazas

puesto que no se puede asegurar al 100% un activo informático. Una amenaza es

considerada como una acción que tienen como preámbulo una vulnerabilidad que

puede ser aprovechada para fines maliciosos o éticos y se dividen en dos:

Las internas que son de mayor criticidad ya que sus consecuencias pueden ser

devastadoras debido a que se generan internamente en la empresa.

Las externas que, al ser generadas por personas ajenas a la empresa

aprovechándose de diversos métodos, pueden tener acceso a la red empresarial

y generar inconvenientes que de no ser tratados a tiempo se convierten en un

problema mayor.

15

Riesgo: “El riesgo es un incidente o situación, que ocurre en un sitio concreto

durante un intervalo de tiempo determinado, con consecuencias positivas o

negativas que podrían afectar el cumplimiento de los objetivos.” (Maxitana &

Naranjo, 2017)

Análisis de riesgos: Es la sucesión de actividades que estiman la dimensión de

los riesgos a los que se enfrenta una empresa o institución.

Gestión de riesgos: La elección e implementación de salvaguardas que permitan

a la empresa disminuir, manejar, saber o prevenir aquellos riesgos que han sido

determinados por un análisis previo.

Según la norma internacional ISO 31000 la gestión de riesgos se estructura de la

forma como se presenta en el gráfico 3:

Gráfico 3: Estructuración de la gestión de riesgos

Elaborado por: ISO Internacional Fuente: ISO 31000

16

Metodologías de análisis de riesgos

A nivel empresarial existen múltiples metodologías para la gestión y análisis de

los riesgos en la información, entre las principales de ellas tenemos:

OCTAVE

Por sus siglas en ingles “Operationally Critical Threat, Asset And Vulnerability

Evaluation” es una metodología de evaluación de amenazas, activos y

vulnerabilidades creada por el Centro de Coordinación del Equipo de Respuesta

a Emergencias Informáticas CERT/CC el cual estudia las vulnerabilidades de

seguridad de Internet desde 1988.

La metodología Octave tiene como finalidad facilitar la evaluación de los riesgos

inherentes de seguridad informática que existen en las organizaciones, además

de focalizarse en el día a día de las instituciones.

La determinación de los riesgos empieza con identificar los activos que

administran o tienen relación con la información que posee la empresa (hardware,

software, sistemas informáticos, personal humano, archivos, etc.).

En esta metodología es importante que el personal de la empresa,

independientemente de su nivel jerárquico, se encuentre involucrada en el

proceso de determinación de riesgos para de esta forma mantengan conocimiento

y tomen acciones preventivas para disminuir la afectación de los activos que están

involucrados con la información.

Desarrollo de OCTAVE

Octave es desarrollada por un conjunto de acciones y análisis que involucran a

personal de TI y administrativo para identificar los activos de impacto y el

levantamiento de la información, este proceso consta de tres fases:

• Fase 1: Construcción de perfiles de amenazas basados en los activos

En esta primera fase se evalúa a la organización, para poder construir los

perfiles activo-amenaza validando los activos centrales y las amenazas

que puedan incidir en dichos activos.

• Fase 2: Identificación de vulnerabilidades en la información

17

Es aquí donde el equipo de TI, que realiza la metodología, establece los

activos que presentan vulnerabilidades identificando los componentes más

importantes que se vinculan con los activos críticos para tener una visión

general de los posibles puntos de acceso a la información.

• Fase 3: Desarrollo de estrategias y planes de seguridad

En esta fase se crean planes y estrategias de seguridad, después de un

completo análisis de los riesgos presentes en la empresa, en base al

impacto que puedan tener dichos riesgos; impactos que son medidos en

términos de riesgo bajo, medio y alto, estos términos son basados en la

información recolectada en las fases anteriores.

Métodos de Octave

OCTAVE consta de dos métodos adicionales que tienen características

específicas los cuales son:

Octave-s

Está basada completamente en la metodología Octave, pero adaptada para

realizarse en empresas pequeñas de 100 personas o menos. Cumple con los

requisitos de su metodología de origen, pero de forma limitada, es decir, utiliza

procesos simplificados con adaptación a los limitados activos que poseen estas

empresas pequeñas pero que al final producen un tipo de resultado igual que la

metodología principal.

Octave allegro

Mantiene un parecido con la metodología Octave, pero es más simplificada ya que

su enfoque es en la información como el activo central de la evaluación. De esta

forma puede disminuir la probabilidad de que la recopilación de datos se vea

relacionada con activos que no se encuentran definidos como un ente

administrador de la información, o bien, tomar en cuenta activos que necesitan de

un análisis más a fondo como en la metodología Octave.

OSSTMM

El manual de la metodología abierta de testeo de seguridad o por sus siglas en

ingles “Open Source Security Testing Methodology Manual” fue desarrollado por

18

la ISECOM a finales del año 2000 el cual generó un impacto en las empresas de

dicha época por el hecho del auge y crecimiento de los riesgos y amenazas

tecnológicas que crecían exponencialmente debido a la demanda.

Es una de las metodologías usadas en la actualidad para probar la seguridad de

las empresas de forma externa, es decir, se realizan diferentes pruebas en

entornos controlados para poder vulnerar la seguridad de los activos informáticos

escalando desde un usuario sin privilegios a uno con privilegios de administrador

y así tener acceso a la información y control de los sistemas.

Gráfico 4: Secciones de seguridad.

Elaborado por: autores

Fuente: Metodología Osstmm Como se ilustra en el gráfico 4, esta metodología abarca seis secciones de

seguridad las que se desglosan de la siguiente forma:

• Sección A -Seguridad de la Información

En la cual se realiza una revisión de la privacidad y recolección de

documentos e información pertinentes para los fines del análisis.

• Sección B – Seguridad de los Procesos

Aquí se realizan las pruebas hacia el recurso humano confiable de la

empresa y los procesos que estas manejan.

• Sección C – Seguridad en las tecnologías de Internet

19

Testeo de forma general a las conexiones presentes, los protocolos de

comunicaciones usados, reglas de privacidad, denegación de servicio,

entre otras

• Sección D – Seguridad en las Comunicaciones

Pruebas realizadas a los mecanismos de comunicación usados en la

institución como los correos de voz.

• Sección E – Seguridad Inalámbrica

Son analizadas todas las tecnologías que transmitan información de forma

inalámbrica usando protocolos específicos para este fin como las redes

bluetooth, sistemas infrarrojos, radiación electromagnética, etc.

• Sección F – Seguridad Física

Talleres con la finalidad de encontrar vulnerabilidades en el área física

donde residen los activos informáticos de la empresa.

MAGERIT

La metodología de análisis y gestión de riesgos de los sistemas de información

(MAGERIT) es la que va a ser usada en este proyecto de tesis la cual fue

desarrollada en España por el Consejo Superior de Administración Electrónica

(CSAE) “como respuesta a la percepción de que la administración, y, en general,

toda la sociedad, dependen de forma creciente de las tecnologías de la

información para el cumplimiento de su misión.” (Amutio, 2012)

La idea central por la que MAGERIT surgió fue el crecimiento de las tecnologías

de la información, ya que brinda grandes beneficios para las personas que las

usan, pero a la vez traen consigo riesgos que deben ser disminuidos con medidas

de seguridad obtenidas a través de la aplicación de este análisis.

Historia y Desarrollo

MAGERIT fue desarrollada en 1997 donde se lanzó su primera publicación, la

segunda fue en el 2005 con un sin número de mejoras y actualizaciones hasta

consolidarse en la versión 3.0 que fue presentada en el año 2012.

20

La versión 1.0 constaba de 7 libros que funcionaban como una guía de técnicas y

procedimientos que fueron modificados y resumidos en 3 libros de los cuales

consta la versión actual 3.0

En la tabla 2 se especifica la evolución de la metodología MAGERIT:

Tabla 2: Comparación de versiones MAGERIT

MAGERIT versión 1 MAGERIT versión 3

Libro I. Guía de aproximación a la seguridad de los sistemas de información

Libro I – Método

Libro II. Guía de procedimientos Libro I – Método

Libro III. Guía de técnicas Libro III – Guía de Técnicas

Libro IV. Guía para desarrolladores de aplicaciones

Libro I – Método / Capítulo 7 Desarrollo de sistemas de información

Libro V. Guía para responsables del dominio protegible

Libro I – Método

Libro II – Catálogo de Elementos

Libro VI. Arquitectura de la información y especificaciones de la interfaz para el

intercambio de datos

Libro II – Catálogo de Elementos / formatos XML

Libro VII. Referencia de normas legales y técnicas

Libro I – Método / Apéndice 3. Marco legal

Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica

Objetivos de MAGERIT

• Generar una concienciación en los administradores de TI o responsables

de la información en las empresas sobre los riesgos presentes en la

tecnología y la forma en cómo gestionarlos para disminuir el impacto de

los ataques en caso de recibir alguno.

21

• Ofrecer mecanismos para analizar los riesgos que acarrea el uso de las

tecnologías de información y comunicación en las empresas.

• Proporcionar un tratamiento de los riesgos oportuno para evitar que dichos

riesgos se salgan de control y se conviertan en posibles amenazas para

los activos de la empresa.

• “Preparar a la Organización para procesos de evaluación, auditoría,

certificación o acreditación, según corresponda en cada caso.” (Amutio,

2012)

Estructuración de MAGERIT

MAGERIT trae consigo 3 libros:

• Libro 1: Método

• Libro 2: Catálogo de elementos

• Libro 3: Guía de Técnicas.

Libro 1: Método

Se divide en ocho capítulos estructurados de la siguiente forma:

• Introducción. Capítulo 1: representa una introducción al análisis y gestión

de riesgos además de conceptualizar la metodología y su división.

• Visión de conjunto. Capítulo 2: se presentan los conceptos de forma

informal sin profundizar en terminologías específicas. Las actividades de

análisis y el tratamiento de la gestión de riesgos son el eje principal de este

capítulo.

• Método de análisis de riesgos. Capítulo 3: se detallan los pasos y se

especifica el orden de las tareas del análisis de los riesgos.

• Proceso de gestión de riesgos. Capítulo 4: este capítulo describe las

actividades que van a ser realizadas dentro del análisis y gestión del

riesgo.

22

• Proyectos de análisis de riesgos. Capítulo 5: se especializa en los

proyectos que se van a realizar para generar el análisis de riesgos en los

sistemas.

• Plan de seguridad. Capítulo 6: se especifican cuáles serán los pasos que

seguir en los planes de seguridad.

• Desarrollo de sistemas de información. Capítulo 7: vigila y controla desde

el proceso de creación de los sistemas de información hasta su puesta en

marcha velando por que se cumplan los mecanismos de seguridad

correspondientes.

• Consejos prácticos. Capítulo 8: recomendaciones en base a proyectos e

información recopilada que ayuda en la realización del análisis.

Libro 2: Catálogo de elementos

Este libro es una continuación ligada al Libro 1: Método, donde se conocen los

tipos, dimensiones de valoración y criterios de valoración de los activos

empresariales, además de, dar pautas sobre las amenazas típicas y medidas a

considerar para proteger los sistemas.

Dos son los objetivos que denota este libro:

• Dar facilidad a los encargados del proyecto brindando elementos estándar

a los que puedan acudir y por estos centrarse en lo especifico.

• Generalizar los resultados del análisis para promover terminologías y

criterios uniformes y poder comparar análisis ya realizados.

Dentro de este libro se especifica la escala de riesgo de uso general que sugiere

MAGERIT, véase gráfico 5.

23

Gráfico 5: Escala de riesgo

Elaborado por: Consejo Superior de Administración Electrónica

Fuente: Libro 2 de MAGERIT versión 3.0

Libro 3: Guía de Técnicas

Al realizar el análisis de riesgos este libro provee una introducción a diferentes

técnicas que se realizan generalmente para culminar estos proyectos como:

• Sesiones de trabajo: entrevistas, reuniones y presentaciones

• Técnicas específicas para el análisis de riesgos

• Técnicas gráficas

• Análisis mediante tablas

Dentro de este libro MAGERIT sugiere una escala para calificar el valor de los

activos, la magnitud del impacto y la magnitud del riesgo:

• MB: muy bajo

• B: bajo

• M: medio

• A: alto

• MA: muy alto

24

Gráfico 6: Escala de valor de riesgo



Como se ve en el gráfico 6, aquellos activos que posean una escala de impacto

muy alta (MA) deberían ser objeto de atención inmediata.

Derechos de utilización

“MAGERIT es una metodología de carácter público, perteneciente al Ministerio de

Hacienda y Administraciones Públicas; su utilización no requiere autorización

previa del mismo.” (Secretaría General de Administración, 2012)

PILAR

Es el acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos”

cuya función es la de realizar un análisis de riesgos basándose en la metodología

MAGERIT. Fue desarrollada por el Centro Nacional de Inteligencia en España.

Debido a que es basada completamente en MAGERIT esta herramienta puede

trabajar con todas las fases de la metodología, como la caracterización de los

activos, amenazas; así como el impacto, riesgo y la identificación de las

salvaguardas. La herramienta dispone de poder evaluar el impacto y riesgos de

forma acumulada y residual mostrando los resultados de manera entendible para

que el analista puede sacar sus conclusiones de la manera correcta.

La versión usada en este proyecto es v7.1.9.

25

Los resultados que se generan son presentados en forma de informes, gráficos

estadísticos que muestran el desarrollo de las fases, o en tablas que pueden ser

exportadas para usarse en herramientas de cálculo como Excel.

FUNDAMENTACIÓN LEGAL

CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR

CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN DELITOS

INFORMÁTICOS

Art. 178 Violación a la intimidad. - La persona que, sin contar con el

consentimiento o la autorización legal, acceda, intercepte, examine, retenga,

grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,

audio y vídeo, objetos postales, información contenida en soportes informáticos,

comunicaciones privadas o reservadas de otra persona tiene una pena privativa

de 1 a 3 años.

Art. 229. Revelación ilegal de bases de datos. - La persona que, en provecho

propio o de un tercero, revele información registrada, contenida en ficheros,

archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema

electrónico, informático, telemático o de telecomunicaciones; materializando

voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad

de las personas, será sancionada con pena privativa de libertad de uno a tres

años. Si esta conducta se comete por una o un servidor público, empleadas o

empleados bancarios internos o de instituciones de la economía popular y

solidaria que realicen intermediación financiera o contratistas, será sancionada

con pena privativa de libertad de tres a cinco años.

Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena

privativa de libertad de tres a cinco años:

1. La persona que, sin orden judicial previa, en provecho propio o de un

tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma

un dato informático en su origen, destino o en el interior de un sistema

26

informático, una señal o una transmisión de datos o señales con la

finalidad de obtener información registrada o disponible.

Artículo 232.- Ataque a la integridad de sistemas informáticos. - La persona

que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal

funcionamiento, comportamiento no deseado o suprima datos informáticos,

mensajes de correo electrónico, de sistemas de tratamiento de información,

telemático o de telecomunicaciones a todo o partes de sus componentes lógicos

que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.

Con igual pena será sancionada la persona que:

1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute,

venda o distribuya de cualquier manera, dispositivos o programas

informáticos maliciosos o programas destinados a causar los efectos

señalados en el primer inciso de este artículo.

2. Destruya o altere sin la autorización de su titular, la infraestructura

tecnológica necesaria para la transmisión, recepción o procesamiento de

información en general. Si la infracción se comete sobre bienes

informáticos destinados a la prestación de un servicio público o vinculado

con la seguridad ciudadana, la pena será de cinco a siete años de

privación de libertad.

Artículo 234.- Acceso no consentido a un sistema informático, telemático o

de telecomunicaciones.- La persona que sin autorización acceda en todo o en

parte a un sistema informático o sistema telemático o de telecomunicaciones o se

mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo

derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web,

desviar o re direccionar de tráfico de datos o voz u ofrecer servicios que estos

sistemas proveen a terceros, sin pagarlos a los proveedores de servicios

legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.

HIPÓTESIS

¿Se podrán detectar los agujeros de seguridad en la clínica Urdenor con la

aplicación del análisis de riesgos en su infraestructura tecnológica?

27

¿La metodología de análisis y gestión de riesgos de los sistemas de información

ayudará a generar planes de acción para mitigar las vulnerabilidades en la clínica

Urdenor?

VARIABLES DE INVESTIGACIÓN

Variable Independiente: Análisis de riesgos

Variable dependiente: Infraestructura tecnológica de la clínica Urdenor.

DEFINICIONES CONCEPTUALES

Riesgos

“Es la probabilidad latente de que ocurra un hecho que produzca ciertos efectos,

la combinación de la probabilidad de la ocurrencia de un evento y la magnitud del

impacto que puede causar, así mismo es la incertidumbre frente a la ocurrencia

de eventos y situaciones que afecten los beneficios de una actividad” (Escuela

Penitenciaria Nacional, 2018)

Vulnerabilidades

Está íntimamente relacionado con el riesgo y la amenaza, se puede definir como

la debilidad o grado de exposición de objeto o sistema a dichas amenazas.

Análisis de riesgos

“El análisis del riesgo establece la probabilidad de ocurrencia de los riesgos y el

impacto de sus consecuencias, calificándolos y evaluándolos para obtener

información para así establecer el nivel de riesgo y las acciones a implementar.”

(Domínguez, 2015)

Infraestructura tecnológica

Es el conjunto de aplicaciones, dispositivos que brindan un servicio determinado

necesario para las actividades de una empresa que es gestionado a través de

equipos, máquinas y software.

28

Pilar

“Consiste en una aplicación informática que compila los activos del sistema, sus

relaciones de interdependencia y su valor para la organización. Conocido el

sistema, permite introducir las amenazas posibles en los aspectos de

disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad, para

derivar los riesgos potenciales sobre el sistema.” (Secretaría General de

Administración, 2012)

29

CAPÍTULO III

PROPUESTA TECNOLÓGICA

ANÁLISIS DE FACTIBILIDAD

Este proyecto busca analizar la infraestructura tecnológica de la cínica Urdenor

con la finalidad de identificar la vulnerabilidades y amenazas que pueden

encontrarse en dicho lugar, usando una metodología de análisis y gestión de

riesgos (MAGERIT). Dado que, luego de haber realizado una visita técnica a la

clínica y mantener un diálogo con la autoridad de esta institución, se realizó un

estudio que permitió reconocer los posibles problemas a los que estaría expuesta

la infraestructura tecnología.

Con este análisis se busca identificar y valorar los activos que posee la empresa

para de esa forma conocer el impacto que podrían causar diversas amenazas.

Gracias al apoyo brindado por las autoridades de la clínica es factible realizar este

proyecto de titulación con nombre: “Análisis, diseño y simulación de un prototipo

de plan de acción a través de un análisis de riesgos de los sistemas de información

con MAGERIT para identificar y proponer una solución en la clínica Urdenor de

Guayaquil”. Dándome así acceso a la institución y a los activos que se

mencionarán para realizar este proyecto.

Este proyecto se realiza tomando en cuenta 4 aspectos importantes como son:

• Factibilidad Operacional

• Factibilidad Técnica

• Factibilidad Legal

• Factibilidad Económica

FACTIBILIDAD OPERACIONAL

El proyecto propuesto a la clínica Urdenor cuenta con la aprobación y apoyo de

las autoridades y personal administrativo los cuales aseguran que: el conocer y

saber cómo actuar ante situaciones que posiblemente puedan presentarse es de

suma importancia ya que en este lugar se maneja información de carácter

sensible, privado y vital para la salud y recuperación de los pacientes.

30

Por ello el fin perseguido por este proyecto es la de dar a conocer las acciones a

tomar en cuenta al momento de querer eliminar o disminuir las amenazas que

pueden presentarse en la parte tecnológica de la clínica.

FACTIBILIDAD TÉCNICA

Para llevar a cabo el proyecto se cuenta con las herramientas de hardware, en

este caso son los activos de la clínica que se identificarán en las etapas de la

metodología, a los cuales se tiene acceso sin restricciones exclusivamente para

el ámbito de desarrollo del proyecto. Los elementos de software usados son las

herramientas que nos provee MAGERIT que es la metodología de estudio y la

herramienta PILAR que nos permitirá realizar el desarrollo de las etapas que

conllevan un análisis de vulnerabilidades, dicha herramienta es de uso gratuito

basada en la metodología MAGERIT.

En el gráfico 7 se presenta el diseño de la red actual de la Clínica Urdenor

permitiendo poder identificar sus activos informáticos más relevantes.

Gráfico 7: Diseño actual de la red

Elaborado por: Grijalva Esteban

Fuente: Datos del proyecto.

FACTIBILIDAD LEGAL

El análisis de riesgos que se realiza en la clínica Urdenor no infringe ni viola las

leyes actuales de la república del Ecuador, debido a que la finalidad de este trabajo

31

es de identificar y dar a conocer a los directivos de esta prestigiosa clínica las

amenazas a las que está expuesto para así puedan tomar medidas guiándose de

las sugerencias que este trabajo brindará como resultado.

Las herramientas usadas en la realización de este proyecto no infringen leyes

algunas ya que son de uso libre.

Toda documentación e información está debidamente citada para no violentar los

derechos de autor de algún libro, tesis o método de información elegido en este

trabajo.

FACTIBILIDAD ECONÓMICA

El presente proyecto de análisis de riesgos es factible económicamente ya que

no incurre en gastos para la clínica Urdenor porque se utilizan herramientas de

uso libre, como lo es la metodología MAGERIT y el equipamiento de hardware

es propiedad del autor que realiza el proyecto.

ETAPAS DE LA METODOLOGÍA DEL PROYECTO

Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información (MAGERIT)

MAGERIT es la metodología implementada en este proyecto y consta 4 fases

principales con subdivisiones que buscan lograr el objetivo deseado, dichas fases

se detallan en el gráfico 8 y se desarrollaran conforme lo establece el libro Método

de la metodología MAGERIT.

El uso de la herramienta PILAR en el desarrollo del análisis permitirá simular el

accionar de las salvaguardas ante las amenazas dando como resultado la

estimación del impacto y el riesgo al cual pueden ser sometidos los activos de la

clínica. Dicha simulación se verá reflejada en los gráficos correspondientes a cada

fase del desarrollo de la metodología.

32

Gráfico 8: Método de análisis de riesgos



MAR.1 – CARACTERIZACIÓN DE LOS ACTIVOS

MAR.11 – Identificación de los activos

Identificar los activos que componen el sistema, determinando sus características,

atributos y clasificación en los tipos determinados. (Amutio, 2012)

En esta tarea se identifican los activos que forman parte de la infraestructura

tecnológica de la clínica Urdenor, es de gran importancia ya que es el punto de

partida para las demás actividades.

En el gráfico 9 se denota la composición general de los activos en la clínica

Urdenor.

33

Gráfico 9: Identificación de activos


Fuente: Datos del proyecto.

Los datos fueron clasificados de la siguiente manera:

• Equipamiento

• Instalaciones.

• Personal.

• Equipamiento auxiliar.

• Servicios Internos.

Esta clasificación de activos se desglosa de la siguiente forma:

[E] Equipamiento

[SW] Software

• Ofimáticos: Herramientas usadas por el personal para desarrollar sus

labores diarias en materia de reportes, citas médicas, certificados, etc.

• Antivirus: Software free de protección ante virus y software malicioso

• Sistema Operativo: Considerados para que el personal realice sus labores

diarias.

34

• Navegador: Para realizar actividades que dependan del uso de la red de

internet.

• Sistema Administrativo: Denominado SIGACT (Sistema Integrado de

Gestión Administrativa y Contable) es el software usado para manejar

temas administrativos y contables dentro de la empresa.

[HW] Hardware

• Switch LAN: Cumple la función de mantener conectada internamente a la

empresa.

• Router: Provee la conexión hacia internet para los usuarios.

• Servidor de Base de Datos: Se guardan los registros y datos ingresados

en el sistema de administración.

• Computadoras Personales: Para realizar las labores diarias del personal

administrativo y doctores.

• Medios de Impresión: Considerados para imprimir informes, fichas

médicas, etc.

[COM] Comunicaciones

• Red de datos LAN: Posibilita el intercambio de información entre activos

informáticos dentro de la clínica.

• Red de datos WLAN: Posibilita el intercambio de información vía

inalámbrica entre activos informáticos dentro de la clínica.

[I] Instalaciones

• Edificio: Lugar físico donde se encuentra establecida la clínica.

• Ambulancia: Activo que tiene sus funciones específicas.

[P] Personal

• Administrativo: Administran de forma general a la clínica.

• Limpieza: Realizan labores de limpieza y saneamiento de las instalaciones.

• Doctores: Cumplen la finalidad de la clínica la cual es mejorar la calidad de

vida de los pacientes.

[AUX] Elementos Auxiliares

• Cableado general: Caracterizado por el tendido de los cables LAN y

eléctricos en las instalaciones.

• Climatización: Funcional para todas las áreas de la clínica.

35

• Sistemas de alimentación ininterrumpida (UPS): Considerado para cuando

la corriente eléctrica deja de llegar a la clínica.

[IS] Servicios internos

• Telefonía interna: PBX para intercomunicar las diferentes áreas y personal

de la empresa.

• Internet: Recurso usado para diferentes fines.

• Servicio de vigilancia: Funcional para vigilar las actividades de los clientes

y personal de la clínica.

Con la ayuda de la herramienta PILAR se crea un nuevo proyecto ingresando los

activos que fueron identificados previamente para posterior definir dependencias

y valores a los activos, como se ve en el gráfico 10 los activos han sido ingresados

en PILAR.

Gráfico 10: Activos en la herramienta PILAR


Fuente: Herramienta PILAR v7.1.9

36

MAR.12 – Dependencias entre activos

Las dependencias de los activos son usadas para propagar el valor que

representan los activos más prioritarios hacia los activos de menor jerarquía.

En los gráficos 11 y 12 se denota que los equipos de hardware mantienen bajo su

nivel a las computadoras y servidor de base de datos, estos a su vez se mantienen

vinculados con el software que modela los datos generados por las actividades de

la clínica.

Gráfico 11: Dependencia de los activos


Fuente: Datos del proyecto

37

Gráfico 12: Dependencia de los activos en mapa de buses en PILAR



Gráfico 13: Código de colores para la dependencia de activos en PILAR



El proceso de dependencia de activos es uno de los pasos iniciales cuando se

utiliza la herramienta PILAR que permite comprobar las relaciones directas de los

sistemas con el equipamiento e indirecta con los elementos auxiliares para

administrar la información.

38

MAR.13 – Valoración de los activos

La valoración de activos es un paso esencial para entender lo que vale un activo

indistinto de lo que este pueda costarle a empresa, este proceso determina si se

puede o no prescindir de un activo, en caso de que una amenaza o la finalización

del tiempo de vida de un activo cause alguna perdida para la empresa significa

que dicho elemento tiene valor, por lo tanto, merece una valoración.

Cuando existe una dependencia entre los activos, los centrales como la

información, datos o el sistema de administración de datos son los de mayor

estimación para la empresa.

La valoración de los activos puede ser cuantitativa, por medio de una cantidad

numérica o cualitativa a través de una escala de valores.

En este análisis, usando la herramienta PILAR, la valoración se realizó en base a

una escala de valores representada en el gráfico 14, donde los criterios van desde

un nivel 10, en el cual la valoración ante la pérdida de un activo por alguna

amenaza es alta y crítica para la empresa; hacia un nivel 0 que representa

pérdidas despreciables o nulas para la clínica.

Gráfico 14: Escala de valoración de los activos.

Elaborado por: Grijalva Esteban Fuente: Metodología MAGERIT.

En la tabla 3 se observa la valoración de los activos bajo los criterios de [D]

Disponibilidad, [I] Integridad, [C] Confiabilidad.

39

Tabla 3: Valoración de los activos ACTIVOS [D] [I] [C]

[IS] Servicios internos

[TLPH-URD] Telefonía Interna [4]

[4]

[INT-URD] Internet [7] [2]

[VIG-URD] Servicio Vigilancia [5]

[E] Equipamiento

[SW] Aplicaciones

[OFI-URD] Ofimáticos

[7] [6]

[ANT-URD] Antivirus

[8]

[SO-URD] Sistema Operativo [8] [4]

[NAV-URD] Navegador [2]

[6]

[OTRO- URD] Otros [2] [1]

[SIGAC-URD] Sistema Administrativo

[HW] Equipos

[SW-URD] Switch LAN [6]

[RO-URD] Router [7] [2]

[SRVBD-URD] Servidor de Base de Datos [9]

[9]

[PC-URD] Computadoras Personales [7] [3]

[IMP-URD] Medios de Impresión [1]

[COM] Comunicaciones

[WLAN-URD] RED DE DATOS WIFI [2]

[LAN-URD] RED DE AREA LOCAL [7]

[L] Instalaciones

[BUILDING-URD] Edificio [9] [3]

[AMB-URD] Ambulancia [9]

[P] Personal

[PERSONAL-URD] ADMINISTRATIVO

[7]

[PERSONA-URD] LIMPIEZA [5]

[2]

[DOC-URD] Doctores [10] [7]

[AUX] Elementos Auxiliares

[CAB-URD] Cableado General

[6]

[AC-URD] Climatización [7]

[3]

[UPS-URD] Sistema de alimentación ininterrumpida

[3]

Fuente: PILAR v 7.1.9 Autor: Grijalva Esteban

MAR.2 – CARACTERIZACIÓN DE LAS AMENAZAS

Las amenazas son eventos que pueden ocurrir y causar daños a los activos de la

empresa; por ello las amenazas fueron clasificadas por su forma: accidental o

intencional.

Cuando una amenaza es intencional se da por causas como robo, accesos no

permitidos, extorsión manipulación, entre otras.

Y cuando se menciona amenazas accidentales se tiene las causadas por

situaciones:

40

• Naturales: desastres naturales, fuegos, daños por agua, etc.

• Industriales: contaminación industrial, corte suministro eléctrico, etc.

• Humanas: errores u omisiones.

En la herramienta PILAR las amenazas se rigen bajo la metodología MAGERIT la

cual clasifica en grupos:

• [N] Desastres naturales

• [I] De origen industrial

• [E] Errores y fallos no intencionados

• [A] Ataques intencionados

Tomando en cuenta este grupo se realiza la identificación de las amenazas en los

activos ya especificados.

MAR.21 – Identificación de las amenazas

Tabla 4: Identificación de amenazas

[E] Equipamiento [SW] Aplicaciones [SIGAC-URD] Sistema Administrativo

[E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.4] Errores de configuración [E.15] Alteración de la información [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualización de programas

(software) [HW] Equipos [RO-URD] Router

[I.6] Corte del suministro eléctrico [I.7] Condiciones inadecuadas de temperatura o humedad [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.24] Caída del sistema por agotamiento de recursos [A.11] Acceso no autorizado [A.24] Denegación de servicio

[SRVBD-URD] Servidor de Base de Datos [I.7] Condiciones inadecuadas de temperatura o humedad [E.3] Errores de monitorización (log) [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.24] Caída del sistema por agotamiento de recursos [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.11] Acceso no autorizado [A.24] Denegación de servicio

[COM] Comunicaciones [WLAN-URD] Red de datos inalámbrica

41

[I.8] Fallo de servicios de comunicaciones [E.2] Errores del administrador del sistema / de la seguridad [E.10] Errores de secuencia [A.5] Suplantación de la identidad [A.11] Acceso no autorizado [A.14] Interceptación de información (escucha) [A.15] Modificación de la información

Fuente: PILAR v 7.1.9 Autor: Grijalva Esteban

En la tabla 4 se especifica una parte de las amenazas generales a las que están

expuestos los activos de la clínica Urdenor, en el Anexo 2 se encuentra el detalle

de todas las amenazas encontradas.

MAR.22 – Valoración de las amenazas

Cuando un activo es perjudicado por una amenaza no siempre afecta todas sus

dimensiones (disponibilidad, integridad, confidencialidad). Teniendo en cuenta

que los activos pueden sufrir daños por causa de las amenazas se debe valorar a

estos en dos sentidos:

• Degradación: denota cuan perjudicado puede resultar un activo por las

amenazas.

• Frecuencia: cada cuánto se concreta una amenaza.

Las consecuencias de probabilidad que se materialice de una amenaza se

describen en la tabla 5:

Tabla 5: Tabla de probabilidad MAGERIT


potencial probabilidad nivel facilidad frecuencia

XL extragrande

CS casi seguro

MA muy alto

F fácil

100

L grande

MA muy alta

A alto

M medio

10

M medio

P posible

M medio

D difícil

1

S pequeño

PP poco probable

B bajo

MD muy difícil

0,1

XS muy

pequeño

MR muy rara

MB muy bajo

ED extremadamen

te difícil 0.01

42

Las consecuencias de degradación que se materialice de una amenaza se

describen en la tabla 6:

Tabla 6: Tabla de degradación MAGERIT

nivel porcentaje

T - total 100%

MA - muy alta 90%

A – alta 50%

M – media 10%

B – baja 1%


Gráfico 15: Valoración de las amenazas


Fuente: PILAR v 7.1.9

En el gráfico 15 se evidencian parte de todas las amenazas generales

asignándose los valores de degradación y probabilidad, el resto de las amenazas

puede verse en el anexo 3; podemos destacar las amenazas que mantienen una

valoración alta:

• Caída del sistema por agotamiento de recursos. - Genera pérdidas, en

cuanto a, información y tiempos de respuesta hacia los clientes; este

43

genera un impacto directo en la disponibilidad de la información, que puede

convertirse en algo crítico en caso de requerir, por ejemplo, de urgencia

algún dato para un paciente.

• Denegación de servicios. – Afecta directamente a la disponibilidad de los

sistemas, servidor que funcionan diariamente en la clínica, este tipo de

amenaza es común en la mayoría de los sistemas, pero no deja de generar

un impacto alto en las actividades del negocio.

• Difusión de software dañino. – Incide en la integridad de la información que

se encuentra alojada en las computadoras del personal y servidor.

• Errores de los usuarios. – Pueden afectar tanto al hardware como el

software, además de poder generar inconvenientes al momento de

ingresar información por falta de procedimientos no establecidos.

• Ingeniería social. – Dada por personas externas a la institución que

manipulan a sus objetivos con la finalidad de obtener información y así

cumplir sus metas específicas.

Después de una completa identificación y valoración de las amenazas, se procede

a simular por medio de la herramienta PILAR la importancia que tienen las

salvaguardas en los activos, brindando una valoración que permite observar la

medida del impacto y riesgo sobre los activos.

MAR.3 – CARACTERIZACIÓN DE LAS SALVAGUARDAS

“Se definen las salvaguardas o contra medidas como aquellos procedimientos o

mecanismos tecnológicos que reducen el riesgo.” (Amutio, 2012)

MAR.31 – Identificación de las salvaguardas pertinentes

Para poder caracterizar las salvaguardas que permitirán reducir los riesgos es

necesario entender tres partes principales de estas: el aspecto, el tipo de

protección, el peso relativo.

El aspecto que tratan las salvaguardas indica la relación que tienen éstas con las

amenazas que van a ser aplacadas.

44

• G para Gestión

• T para Técnico

• F para seguridad Física

• P para gestión del Personal

El tipo de protección indica que estrategia tendrá la salvaguarda ante los

incidentes para disminuir las amenazas.

• PR (prevención): Disminuye las oportunidades de que un incidente ocurra,

es decir, en caso de que la salvaguarde no funcione y ocurra un incidente

los daños serán los mismos.

• EL (eliminación): Son aquellas que cumplen su función antes de que los

acontecimientos sucedan, es decir, impide que los incidentes tengan lugar.

• IM (minimización del impacto): Limita las consecuencias de los accidentes,

por ejemplo, en caso de un ataque desconecta los equipos de

comunicación o detiene los servicios.

• CR (corrección): Son correctivas porque actúan después de producirse un

daño, pero lo repara reduciendo así su impacto, por ejemplo, una línea de

comunicación alternativa o redundancia.

• RC (recuperación): Es una salvaguarda que permite volver al estado

anterior de un incidente, por ejemplo, un backup o respaldo de información.

• AD (administrativa): Pueden considerarse medidas preventivas como los

inventarios de activos, análisis de riesgos, etc.

• AW (concienciación): Aquellas llamadas a capacitar al personal

relacionado con los sistemas de información de las empresas, es decir,

mantener capacitado al personal con cursos, por ejemplo.

45

• DC (detección): Sirve como detección de las amenazas que se están

materializando en un determinado momento como los sensores que

detectan incendios o antivirus.

El peso relativo es la importancia relativa que mantiene una salvaguarda, que se

identifica con la simbología de la tabla 7.

Tabla 7: Peso relativo

máximo peso crítica

peso alto muy importante

peso normal importante

peso bajo interesante

aseguramiento: componentes certificados


Gráfico 16: Identificación de las salvaguardas

Elaborado por: Grijalva Esteban Fuente: PILAR v 7.1.9

En el gráfico 16 se identifican las salvaguardas generadas por la herramienta

PILAR que se deberán tomar en cuenta en el análisis de riesgos para que así las

amenazas no generen tanto daño, el resto de salvaguardase están especificadas

en el anexo 4.

46

MAR.32 – Valoración de las salvaguardas

Las salvaguardas son medidas por la eficacia en su protección que van desde un

0% para aquellas que no se cumplen o no existen, y un 100% para las que están

perfectamente implementadas y son precisas para su función. Por ello son

medidas por una escala de madurez para demostrar el efecto que tienen estás

sobre los activos, en la tabla 8 se detallan los niveles de madurez de las

salvaguardas.

Tabla 8: Nivel de Madurez de las salvaguardas

Nivel Valor Significado

0% L0 - Inexistente Procedimiento: No se realiza.

Elemento: No se tiene. Documento: No se tiene.

L1 - Inicial / ad hoc

Procedimiento: Se está empezando a hacer, o sólo lo hacen algunas personas.

Elemento: Se tiene, pero no se usa apenas. Documento: Se está preparando su elaboración.

L2 - Reproducible,

pero intuitivo

Procedimiento: Todos lo hacen igual, pero no está documentado.

Elemento: Se tiene, pero se está terminando de afinar. Documento: Se está elaborando.

L3 - Proceso definido

Procedimiento: Todos lo hacen igual y está documentado.

Elemento: Se tiene y funciona correctamente. Documento: Se tiene.

L4 - Gestionado y

medible

Procedimiento: Se obtienen indicadores. Elemento: Se obtienen indicadores.

Documento: Se obtienen indicadores.

100% L5 - Optimizado

Procedimiento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.

Elemento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.

Documento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.

Fuente: Metodología MAGERIT Autor: Consejo Superior de Administración Electrónica

47

Gráfico 17: Medida de las salvaguardas


En el gráfico 17 se especifica la medida que tienen las salvaguardas en la clínica

donde actualmente la eficacia de estas están en un nivel L0 – L2, lo que significa

que las salvaguardas que se usan no están bien ejecutadas, mal documentadas,

tienen falta de fundamentos, o bien no existen.

Gracias al análisis que se ha realizado se tiene como objetivo aplicar salvaguardas

que permitan elevar el nivel de eficacia a L2 – L4, lo que conlleva a que los

procesos de gestión de salvaguardas se empiecen a aplicar debidamente

documentados, manteniendo indicadores que permitan identificar las fallas y

avances en la gestión.

MAR.4 – ESTIMACIÓN DEL ESTADO DE RIESGO

MAR.41 – Estimación del impacto

“El Impacto Acumulado (potencial), al que está expuesto el área teniendo en

cuenta el valor de los activos y la valoración de las amenazas; pero no las

salvaguardas actualmente desplegadas.” (Amutio, 2012)

El impacto acumulado está caracterizado por evidenciar, bajo una tabla de niveles,

el valor que tienen los activos que se han tratado en este proyecto, sumado a esto

el valor dado a las amenazas identificadas, obteniendo así datos que permiten

observar el impacto que reciben los activos sin la aplicación de las salvaguardas

identificadas en el proceso.

48

En el gráfico 18 se presenta la escala de valor usada para darle una medida al

impacto.

Gráfico 18: Escala de valor del impacto


En la tabla 9 se identifica el impacto acumulado, que se encuentra divido en tres

secciones:

• El impacto potencial

• El impacto actual

• El impacto objetivo

Cada uno de estos impactos nos muestra resultados diferentes poniendo en

evidencia la complicada situación actual del impacto de los activos contra lo que

se busca o se espera en dichos activos.

Tabla 9: Impacto Acumulado Impacto Potencial Impacto Actual Impacto Objetivo

[E] Equipamiento [9] [8] [9] [7] [6] [8] [4] [3] [5]

[SW] Aplicaciones [9] [8] [9] [7] [6] [7] [4] [3] [4]

[OFI-URD] Ofimáticos [8] [7] [9] [6] [5] [7] [3] [2] [4]

[ANT-URD] Antivirus [8] [8] [9] [6] [6] [7] [3] [3] [4]

[SO-URD] Sistema Operativo [8] [6] [9] [6] [4] [7] [3] [1] [4]

[SIGAC-URD] Sistema Administrativo [9] [6] [9] [6] [4] [7] [3] [1] [4]

[HW] Equipos [9] [6] [9] [7] [5] [8] [4] [2] [5]

[SW-URD] Switch LAN [9] [3] [3] [7] [2] [2] [4] [0] [0]

[RO-URD] Router [9] [3] [3] [7] [2] [2] [4] [0] [0]

[SRVBD-URD] Servidor de Base de Datos [9] [6] [9] [7] [5] [8] [4] [2] [5]

[COM] Comunicaciones [8] [4] [2] [7] [3] [1] [3] [0] [0]

[WLAN-URD] RED DE DATOS WIFI [8] [4] [2] [7] [3] [1] [3] [0] [0]

[LAN-URD] RED DE AREA LOCAL [8] [4] [2] [7] [3] [1] [3] [0] [0]

Fuente: Herramienta PILAR Autor: Grijalva Esteban

49

En el anexo 5 se detalla el impacto acumulado.

“El Impacto Repercutido (residual), al que está expuesto el área teniendo en

cuenta el valor de los activos y la valoración de las amenazas, así como la eficacia

de las salvaguardas actualmente desplegadas.” (Amutio, 2012)

Cuando se toman en cuenta los valores del impacto repercutido se utiliza la misma

valoración dada en el impacto acumulado, con la diferencia de que los valores

cambian porque se toma en cuenta la implementación de las salvaguardas como

se puede observar en la tabla 10.

Tabla 10: Impacto Repercutido

Impacto Potencial Impacto Actual Impacto Objetivo D I C D I C D I C

[OFI-URD] Ofimáticos [7] [6] [5] [4] [2] [1]

[ANT-URD] Antivirus [8] [6] [3]

[SO-URD] Sistema Operativo [7] [4] [5] [2] [2] [0]


[SW-URD] Switch LAN [6] [4] [1]

[RO-URD] Router [7] [0] [5] [0] [2] [0]

[SRVBD-URD] Servidor de Base de Datos [6] [9] [4] [8] [1] [5]

[WLAN-URD] RED DE DATOS WIFI [2] [0] [0]

[LAN-URD] RED DE AREA LOCAL [7] [5] [2]


En el anexo 6 se detalla el impacto repercutido.

MAR.42 – Estimación del riesgo

“Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo

el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más

que tener en cuenta la probabilidad de ocurrencia.” (Amutio, 2012)

Como se puede apreciar en el gráfico 19 el riesgo aumenta conforme al impacto

y la probabilidad, distinguiendo esto por sectores establecidos como:

50

Gráfico 19: Estimación del riesgo


• Sector 1: riesgos altamente probables y de impacto elevado.

• Sector 2: engloba situaciones que van desde las poco probables y de

impacto medio hasta las altamente probables, pero de impacto reducido.

• Sector 3: riesgos poco probables y de impacto reducido.

• Sector 4: riesgos poco probables, pero de impacto elevado

Los riesgos que se presentan son regidos bajo la escala representada en el gráfico

20 conocida como niveles de criticidad.

Gráfico 20: Niveles de criticidad

Fuente: Herramienta PILAR Autor: Consejo Superior de Administración Electrónica

51

Así como en el impacto, en el riesgo existen dos diferenciaciones. El riesgo

acumulado y el repercutido.

• El riesgo acumulado hace referencia al impacto acumulado más la

probabilidad de que una amenaza se materialice, véase en la tabla 11.

• El riesgo repercutido es cuando se toma en cuenta el impacto repercutido

que tienen los activos y la probabilidad de la amenaza, véase en la tabla

12.

El detalle del riesgo acumulado y repercutido puede verse en los anexos 7 y 8

respectivamente.

Tabla 11: Riesgo Acumulado

Riesgo Potencial Riesgo Actual Riesgo Objetivo D I C D I C D I C

[E] Equipamiento {6,6} {7,3} {7,5} {5,7} {5,7} {6,0} {2,6} {2,8} {3,1}

[SW] Aplicaciones {6,6} {7,3} {7,5} {4,7} {5,7} {6,0} {2,0} {2,8} {3,1}

[OFI-URD] Ofimáticos {5,7} {5,1} {6,2} {3,8} {3,4} {4,6} {1,1} {0,90} {1,7}

[ANT-URD] Antivirus {6,4} {7,3} {7,5} {4,7} {5,7} {6,0} {1,8} {2,8} {3,1}

[SO-URD] Sistema Operativo {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}

[SIGAC-URD] Sistema Administrativo {6,6} {5,9} {6,0} {4,7} {4,7} {4,9} {2,0} {2,1} {2,3}

[HW] Equipos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}

[SW-URD] Switch LAN {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}

[RO-URD] Router {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}

[SRVBD-URD] Servidor de Base de Datos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}


Tabla 12: Riesgo Repercutido



{5,1} {4,5}

{3,4} {2,9}

{0,90} {0,79}

[ANT-URD] Antivirus

{7,3}

{5,7}

{2,8}

[SO-URD] Sistema Operativo {5,1} {3,3}

{3,2} {1,6}

{0,90} {0,55}


[SW-URD] Switch LAN {4,8}

{3,3}

{0,96}

[RO-URD] Router {5,4} {0,87}

{3,8} {0,60}

{1,4} {0,08}

[SRVBD-URD] Servidor de Base de Datos {4,8}

{7,5} {3,3}

{6,0} {0,96}

{3,1}


52

ENTREGABLES DEL PROYECTO

Se detalla el plan de acción sugerido a las autoridades y encargados competentes

en la clínica Urdenor para hacer frente ante las amenazas encontradas en los

activos informáticos tomando como apoyo la normativa internacional ISO 27002.

PLAN DE ACCIÓN PARA LA CLÍNICA URDENOR

El objetivo principal de este plan de acción es que estos pasos, detallados a

continuación, sean tomados en cuenta en la gestión de la seguridad en la clínica

Urdenor para así poder mejorar el estado actual de los activos informáticos en

medidas de seguridad.

Este plan está provisto a realizarse en la clínica Urdenor, para el área de los

sistemas de información, y las áreas que mantengan relación con esta. Todo el

personal de la empresa tendrá parte en las acciones a tomarse, debido a que, hay

ciertas recomendaciones que todo el personal debe cumplir.

1 - SEGURIDAD LÓGICA

1.1 IDENTIFICACIÓN – ID

Cada usuario es responsable del mecanismo de acceso asignado, es decir, su

“ID” login de usuario y contraseña necesarios para acceder al sistema

integrado de gestión administrativa y contable (SIGACT), aplicativos y correos

por lo que se deberá mantener de forma confidencial.

Cada empleado debe contar con su usuario y contraseña para el ingreso a los

sistemas de información.

Los usuarios son responsables de todas las actividades llevadas a cabo con

su código de usuario y clave personal.

Para que un usuario pueda tener acceso al SIGACT debe establecerse un

proceso formal que contenga los siguientes datos:

• ID de usuario, valor único.

• Contraseña única de usuario.

• Nombres y apellidos completos.

53

• Tiempo de expiración de la contraseña.

• Rol que tendrá dentro del sistema.

A los usuarios del SIGACT y del equipamiento en general que requieran un

inicio de sesión o ingreso debe asignárseles permisos mínimos y específicos

para que el personal realice sus actividades laborales de forma correcta dentro

de la clínica Urdenor tomando en cuenta que:

• No pueden ingresar a los sistemas en horarios no laborales

establecidos en sus contratos.

• Deben ser desactivadas las cuentas de usuarios que se encuentren en

vacaciones o con licencias médicas debidamente notificadas.

• Debe existir un control sobre las estaciones de trabajo autorizadas (Pc

/ computadoras) para las conexiones de los usuarios.

El administrador del sistema o la persona encargada de dicha función deberá

realizar verificaciones periódicas de los usuarios creados en el sistema

chequeando así que existan solo cuentas permitidas.

1.2 USUARIOS

El área de recursos humanos debe notificar al administrador del sistema los

cambios de personal que se produzcan para dar de baja al usuario y

contraseña que dicho personal haya poseído.

Las computadoras del personal deben tener en configuración que al término

de un tiempo determinado (recomendado 5 minutos) se debe cerrar la sesión

del usuario actual.

En medida de lo posible se debe evitar la creación de usuarios con máximos

privilegios de lectura, creación, modificación o eliminación, ya que esos

privilegios solo deben ser manejados por el administrador.

Para crear nuevas cuentas de usuario, se debe realizar un escrito

especificando los motivos de la creación y firmado por el empleado a quien se

le crea la cuenta.

Los usuarios deben informar inmediatamente al área o persona encargada que

corresponda dentro de la clínica toda vulnerabilidad encontrada en los

54

sistemas, aparición de virus o programas sospechosos e intentos de

intromisión y no deben distribuir este tipo de información interna o

externamente.

Los usuarios solo pueden instalar software en sus computadores o en

servidores con una debida autorización.

Los funcionarios no deben alterar, destruir, copiar o distribuir los archivos o

datos de la Clínica Urdenor sin los permisos respectivos.

1.3 CONTRASEÑA

En la actualidad existen organismos y entidades encargadas de estandarizar

la creación de contraseñas de los cuales se toman como referencia las

siguientes consideraciones:

• La contraseña de verificación de identidad no debe ser común o fácil

de adivinar.

• La fecha de expiración de la contraseña deberá ser de 3 meses. El

sistema exigirá automáticamente el cambio, una vez cumplido el plazo.

• Ser de al menos 8 caracteres de longitud.

• Se deben combinar caracteres alfabéticos y no alfabéticos (números,

signos de puntuación o caracteres especiales).

• La contraseña no deberá contener el nombre de la empresa, el nombre

del usuario, ni palabras reservadas.

Bloquear el perfil de todo usuario que haya intentado acceder al sistema en

forma fallida por más de cinco veces consecutivas.

No contener su ID de usuario como parte la contraseña.

En caso de que renueve la contraseña debe ser distinta a por lo menos las

últimas cuatro utilizadas.

El usuario no debe guardar su contraseña en una forma legible en archivos en

texto y tampoco debe escribirla en papel ni dejarla en sitios donde pueda ser

vista.

55

2 SEGURIDAD EN LAS TELECOMUNICACIONES

2.1 PROPIEDAD DE LA INFORMACIÓN

Los datos que sean ingresados, los mensajes, los respaldos de información,

toda la información en general creada dentro de la empresa, se considera

propiedad de la clínica Urdenor y no de los empleados.

2.2 USO DE LOS SISTEMAS DE COMUNICACIÓN

Todo recurso de comunicación que pertenezca a la clínica Urdenor debe ser

usado para actividades laborales, en caso de que, el uso sea de forma

personal será permitido siempre que no afecte, disminuya o consuma el tiempo

y recursos de la empresa.

2.3 RED DE DATOS

El uso de las redes de datos de la clínica es esencial por lo cual es necesario

documentar toda información como:

• El tráfico de datos entrante y saliente.

• El ancho de banda que se utiliza regularmente.

• Intentos de penetración (intrusión).

• El estado de los recursos utilizados por el servidor.

• Cantidad de puntos de red.

• Estado físico de la red.

• Cantidad de usuarios conectados a la red

Cada vez que se instale un nuevo hardware o software que tenga relación con

la red de datos, cambio de algún implemento o configuración como: cambio de

direcciones ip, cambio de números de extensiones, restauración del switch o

router, entre otros, deberá estar debidamente aprobado y/o realizarse por el

administrador o persona encargada de los sistemas de información.

Se deberá realizar la documentación del estado de la red de datos, así como

los diagramas físicos y lógicos de la misma.

Mantener redundancia con enlaces de internet en caso de falla en la conexión

a internet principal.

56

El direccionamiento interno de la empresa no debe ser visible a las conexiones

externas.

Todas las líneas que permitan el acceso a la red de comunicaciones deben

pasar a través de un firewall.

2.4 CONEXIONES EXTERNAS

La conexión a internet sea alámbrica o inalámbrica (wifi) para los empleados

será otorgada si existe una petición escrita el administrador y su finalidad sea

con propósitos laborales.

Aquellos empleados o usuarios en general que no están autorizados de usar

el internet de la clínica deberán ser imposibilitados de conectarse.

Asegurarse que el tráfico entrante como saliente de la red de datos de la

empresa sea controlado por un firewall para identificar el tráfico que no esté

permitido o autorizado.

El uso de Internet debe ser monitoreado periódicamente por una persona con

conocimientos; si se cree que la seguridad dentro de la red puede ser o está

siendo violada.

2.5 ANTIVIRUS

El software antivirus debe ser instalado en todas las computadoras que cuente

la empresa y este debe ejecutarse y actualizarse de forma automática y

continua, además de cumplir con las siguientes con:

• De preferencia contar con un servidor antivirus dedicado para así evitar

infecciones de virus y otros problemas de seguridad.

• Actualizar la base de datos de virus constantemente.

• No incurrir en problemas legales, es decir, que el software debe ser

original sea con licencia o software libre.

• Generar alertas en caso de alguna infección por virus.

2.6 FIREWALL

57

El firewall que debe implementarse en la clínica Urdenor debe como mínimo:

• Restringir el uso de cualquier aplicación que no contribuya

positivamente a las actividades de la empresa.

• Cerrar todos los puertos que no sean necesarios para la empresa.

• Controlar las aplicaciones que accedan a la red internet.

• Limitar el ancho de banda para las aplicaciones.

3 SEGURIDAD FÍSICA

3.1 INSTALACIONES

Solo el personal autorizado por la gerencia tendrá acceso al cuarto donde

residen los elementos de red (Switch, Router, PBX, Servidores, etc.).

Tener controles de acceso físico a las instalaciones es una prioridad para

poder supervisar, controlar, y velar por la seguridad de los equipos.

Deberá existir un cuarto exclusivo para el uso de los equipos de

comunicaciones, servidores o similares; protegido contra incendios, humedad

y climatizado.

El suministro eléctrico para el cuarto de sistemas debe ser independiente del

resto de cableado eléctrico, además de contar con redundancia eléctrica para

hacer frente a cortes de energía.

Controlar que los usuarios no reubiquen, muevan o manipulen los equipos de

cómputo o de comunicaciones sin previa autorización del administrador o la

persona encargada.

3.2 CABLEADO ESTRUCTURADO

El tendido y arreglo del cableado estructurado debe seguir las normas vigentes

internacionales, para así garantizar su correcto funcionamiento.

Se debe tener documentado en físico y digital el diagrama de la red completo.

Se debe tener cableado adicional en caso de expansión de puestos de trabajo.

3.3 DISPOSITIVOS DE SOPORTE

58

La clínica Urdenor debe contar con los siguientes equipos que ayudarán a

cuidar el hardware:

Generados de energía: Deberá entrar en funcionamiento cuando existan

problemas con el suministro de energía eléctrica o cortes de luz, y así

salvaguardar no solo los equipos informáticos sino todos los implementos

médicos también.

UPS (Sistema de Energía Ininterrumpida): Deberá existir uno al menos para

atender al servidor y las computadoras principales para que la información no

se pierda y puedan apagarse de una forma correcta y segura.

Toda área de trabajo debe poseer herramientas necesarias para cuidar de los

recursos tecnológicos y la información como extintores, alarmas contra

incendios, lámpara de emergencia, botones de pánico, etc.

Aire acondicionado: para el área de cómputo o donde se encuentren los

equipos informáticos la temperatura debe mantenerse entre 160 y 200 C.

Todos estos dispositivos deben ser evaluados de forma periódica.

4 SEGURIDAD DE LAS APLICACIONES.

4.1 SOFTWARE Y DATOS

La clínica Urdenor debe contar en todo momento con un inventario actualizado

del software de su propiedad, el comprado a terceros, el adquirido bajo

licenciamiento y el software libre.

Todos los datos de propiedad de la clínica Urdenor se deben clasificar como:

secreto, confidencial, privado, y para los datos no sensibles la categoría es

público.

Solo tendrán acceso a las aplicaciones de la clínica, como el SIGACT el

personal autorizado por la gerencia.

Realizar copias de seguridad diarias y programadas para poder recuperar

información en caso de alguna anomalía.

59

Los usuarios no deben descargar aplicaciones o programas de internet ya que

pueden ser de fuentes no confiables, toda descarga será tramitada por el

encargado o administrador de los sistemas de información.

Cada estación de trabajo o computadora personal solo debe tener instalado

los programas que usaran como parte de las actividades diarias.

Antes de que el administrador realice un cambio, actualización o modificación

en el servidor se debe realizar una copia de seguridad en caso de que algo

falle.

Al momento de que una nueva persona ingrese a laborar se debe indicarle las

medidas de seguridad vigentes.

Toda información secreta debe estar encriptada, en cualquier medio de

almacenamiento.

Toda información sensible debe tener un proceso periódico de respaldo.

El acceso a la información secreta se debe otorgar únicamente a personas

específicas.

CONCLUSIÓN DEL PLAN DE ACCIÓN

En caso de que este plan de acción sea realizado, como resultado se

obtendrán lineamientos establecidos que permitirán a la clínica mantener la

confidencialidad, integridad y disponibilidad de la información para sus

empleados y clientes.

Tal vez no existe un plan de acción que permita eliminar todas las posibles

amenazas de seguridad que pueda enfrentar la clínica, pero al carecer de uno,

es primordial empezar a realizar las acciones recomendadas en esta

propuesta para hacer frente a las vulnerabilidades que trae consigo la

tecnología.

Este proyecto se considera uno de los pasos iniciales y principales para

alcanzar un estado de seguridad tecnológica considerable, además de, servir

para una certificación o auditoria de seguridad.

60

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA

Para validar la propuesta que se presenta en este proyecto se realizaron

encuestas al cuerpo administrativo, doctores y demás personal del

establecimiento, donde los encuestados manifiestan como excelente y necesaria

la ejecución del análisis de riesgos, que le permitirá a la empresa conocer los

posibles problemas y cómo gestionarlos, además la Dra. Yina Rivadeneira,

presidenta de la clínica Urdenor, y el Ingeniero en Sistemas Computacionales

Marco Polo Espinoza y el Ingeniero en Redes y Telecomunicaciones Christian

Quinchuela Quito, validaron la propuesta presentada que se adjunta en el anexo

9. Gracias a estos resultados se comprueba la validación de la propuesta.

Tabla 13: Criterios de validación

DESCRIPCIÓN

VALORACIÓN OBSERVA

CIÓN Malo Regular Bueno Excelente

La propuesta es un método

novedoso para conocer los riegos

tecnológicos en la clínica.

X

El plan de acción está alineado

con los procesos y

requerimientos tecnológicos en la

clínica.

X

Las acciones sugeridas, de ser

ejecutadas, brindarán una mejora

sustancial en la tecnología de la

clínica.

X

La valoración de los activos

brinda una perspectiva general

sobre la importancia de estos en

la clínica.

X

El proceso de elaboración de esta

propuesta se ajusta a la

innovación tecnológica actual.

X

Fuente: Datos de la investigación. Autor: Esteban Grijalva.

61

PROCESAMIENTO Y ANÁLISIS

Para realizar el procesamiento de información se usaron dos modelos de

encuesta, una a los empleados en general y otra para el personal administrativo

en la empresa, de los datos obtenidos se obtuvieron las siguientes conclusiones:

Análisis de la encuesta al personal administrativo.

Pregunta #1

¿Conoce usted sí se aplica alguna metodología de análisis y gestión de

riesgos tecnológicos en esta institución?

Tabla 14: Análisis de resultados de la pregunta 1

OPCIONES CANTIDAD PORCENTAJE

SI 0 0%

NO 8 100%

TOTAL 8 100%


Gráfico 21: Análisis de resultados de la pregunta 1


Análisis: El 100% del cuerpo administrativo afirma que no se aplica alguna

metodología para la gestión de los riesgos dentro de la organización.

62

Pregunta #2

¿Cuál de las siguientes metodologías de gestión de riesgos conoce usted?



MAGERIT 0 0%

OCTAVE 0 0%

OSSTMM 1 12,5%

OTRA 1 12,5%

NINGUNA 6 75%

TOTAL 8 100%




Análisis: Se observa que, del total de encuestados, el 75% no conoce alguna

metodología de gestión de riesgos, y tan solo una 12.5% conoce MAGERIT Y otro

12.5% sabe de otros métodos de análisis, con lo que se concluye como importante

la introducción de estos procedimientos dentro de la empresa.

63

Pregunta #3

¿Sabe usted si existe seguridad de acceso (contraseñas, lector de huellas,

tarjetas electrónicas, etc.) en todos los sistemas de información de la

empresa?



Si 4 50%

No 2 25%

Solo en algunos 2 25%

TOTAL 8 100%




Análisis: Con los datos obtenidos se sabe que solo la mitad del personal

administrativo conoce los mecanismos de seguridad, aunque un 25% no conoce

de estos procesos.

50%

25%

25% Si

No

Solo enalgunos

64

Pregunta #4

Según la escala ¿Qué prioridad cree usted que debe darse a un plan de

acción para hacer frente a los riesgos tecnológicos actuales?



Alta 5 63%

Media 2 25%

Baja 1 13%

Nula 0 0%

TOTAL 8 100%




Análisis: Se obtiene que de los 8 encuestados el 62% afirma que se debe dar

prioridad alta a contar con un plan de acción, el 25% consideró que la prioridad

media está bien, mientras que el 13% restante respondió que es baja.

62%

25%

13%

Alta

Media

Baja

Nula

65

Pregunta #5

¿El software que se usa en la institución para la gestión de la información

es de licencia pagada?



Si 3 38%

No 0 0%

Desconozco 5 63%

TOTAL 8 100%




Análisis: El 63% de los encuestados afirman desconocer si la licencia de uso del

sistema de administración de la información es pagada, un 37% declara que sí es

software pagado.

37%

0%63%

Si

No

Desconozco

66

Pregunta #6

¿Conoce usted los posibles riesgos tecnológicos que podría enfrentar la

empresa?



Si 1 12%

No 7 88%

TOTAL 8 100%




Análisis: El 88% del personal encuestado afirma que no conoce de posibles

riesgos que podría enfrentar la organización, tan solo el 12% tiene conocimiento

de ellos.

12%

88%

Si

No

67

Pregunta #7

Según la escala ¿Cuál considera usted que podría ser el nivel de daño que

enfrentaría la empresa, en caso de que esta sufra un ataque informático?



Grave 2 25%

Moderado 3 37%

Menor 2 25%

Ninguno 1 13%

TOTAL 8 100%




Análisis: De los encuestados un 25% respondieron que la empresa sufriría un

daño de nivel grave en caso de que se concrete un ataque informático, un 37%

afirmó que el daño sería en un nivel moderado, el otro 25% del personal concluyó

que un daño menor sería el resultado y un 13% que no existiría daño alguno.

25%

37%

25%

13% Grave

Moderado

Menor

Ninguno

68

Análisis de la encuesta realizada a todo el personal no administrativo.

Pregunta #1

¿Qué tan segura considera usted que es su red informática laboral?



Muy segura 5 14%

Segura 20 57%

Poco segura 7 20%

Insegura 3 9%

TOTAL 35 100%




Análisis: De la encuesta realizada al personal de la clínica Urdenor, el 57% de los

encuestados afirmó que consideran a la red informática segura, no obstante, el

14% de ellos considera que es muy segura; para el 20% les parece poco segura

la red y el 9% restante admiten que la red es insegura.

14%

57%

20%

9%Muy segura

Segura

Poco segura

Insegura

69

Pregunta #2

¿Ha sido víctima de ataques informáticos (robo de información, virus, etc.)

dentro de la clínica?



Si 7 20%

No 28 80%

TOTAL 35 100%




Análisis: De los 35 encuestados el 80% aseguró no haber sido víctima de un

ataque informático y el 20% restante afirmó que sí ha recibido ataques dentro de

la clínica.

20%

80%

Si No

70

Pregunta #3

¿Considera que se debe dar importancia a la protección de los sistemas de

la clínica ante las amenazas informáticas actuales?



Si 24 69%

No 11 31%

TOTAL 35 100%




Análisis: De la pregunta 3 de la encuesta se obtuvo que un 69% de los

encuestados consideran que sí se debe dar importancia a la protección de los

sistemas informáticos y un 31% que no.

69%

31%

Si No

71

Pregunta #4

¿Considera usted que deban darse charlas de seguridad informática en la

empresa?



Si 29 83%

No 6 17%

TOTAL 35 100%




Análisis: De un total de 35 encuestados el 83% califico de afirmativa la respuesta

a que deben darse charlas de seguridad informática en la empresa y un 17% que

no.

83%

17%

Si No

72

Pregunta #5

Según la escala ¿Cuál es su nivel de aceptación con que se apliquen reglas

en el uso de dispositivos móviles dentro de la clínica?



Totalmente de acuerdo 7 20%

Parcialmente de acuerdo 3 9%

Ni en desacuerdo ni en acuerdo 15 43%

Parcialmente desacuerdo 4 11%

Totalmente en desacuerdo 6 17%

TOTAL 35 100%




Análisis: Del total de encuestados el 43% afirmó no estar de acuerdo ni en

desacuerdo con que se tomen medidas ante el uso de los dispositivos móviles

dentro de la institución, 20% y 9% están totalmente de acuerdo y de acuerdo

respectivamente, del resto de los encuestados, 11% están parcialmente en

desacuerdo y el 17% en total desacuerdo.

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Totalmente deacuerdo

Parcialmentede acuerdo

Ni endesacuerdo ni

en acuerdo

Parcialmentedesacuerdo

Totalmente endesacuerdo

73

CAPÍTULO IV

Criterios de aceptación del producto

La aceptación de la propuesta presentada en la clínica Urdenor fue realizada por

la presidenta de la Clínica Urdenor, Dra. Yina Rivadeneira A. quien después de

haber constatado el trabajo realizado calificó este de la siguiente forma:

Tabla 26: Criterios de aceptación

DESCRIPCIÓN

VALORACIÓN

OBSERVACIÓN

Totalmente

desacuerdo

Desacuerdo

De Acuerdo

Totalmente de

acuerdo

Análisis completo de los sistemas de información, identificando todos los activos que posee la empresa.

X

Determinar las amenazas y salvaguardas que puedan aplicarse, así como detallar el impacto y el riesgo al que están expuestos dichos activos.

X

Todo resultado será transmitido a la persona encargada dentro de la clínica, informándole de la situación actual de la empresa, en temas de riesgos y vulnerabilidades que esta pueda tener.

X

Plan de acción que ayude a disminuir o evitar el impacto de las amenazas en la clínica.

X


74

Conclusiones

• Se ha examinado, identificado y clasificado los elementos tecnológicos de

información en la clínica Urdenor, a través de la caracterización de los

activos, y gracias a esto se podrá conocer el valor de los activos que

poseen para así tomar acciones de prevención para salvaguardarlos de las

amenazas tecnológicas.

• Se logra determinar las amenazas a la seguridad por medio del análisis

realizado permitiendo así validar con la herramienta PILAR las

salvaguardas que podrían implementar las cuales están basadas en la

normativa ISO internacional.

• La metodología MAGERIT fue una herramienta de ayuda para el análisis

de riesgos realizado ya que está basada en las normativas ISO 27001,

complementada con el uso de la herramienta PILAR que permitió realizar

el análisis cualitativo de los activos que posee la clínica.

• Cumplido con el análisis de riesgos en los sistemas de información de la

clínica se concluye que se ha podido identificar claramente los activos, y

las amenazas que conllevan dichos activos, además de, identificar y

valorar las salvaguardas pertinentes para cada amenaza encontrada.

• Se sugiere el plan de acción detallado en el desarrollo del proyecto el cual

permitirá disminuir las amenazas encontradas por el análisis de riesgos

teniendo en cuenta que dicho plan utiliza como apoyo normativas y

controles verificados.

Recomendaciones

• Implementar controles de seguridad de la información para detectar y

corregir las vulnerabilidades que puedan encontrarse a futuro en la

infraestructura tecnológica de la clínica.

75

• Realizar en lo posible uno o dos análisis de riesgos cada año para

minimizar los riesgos y el impacto que podría tener una amenaza en cuanto

a la información.

• Capacitar al personal en general sobre medidas de seguridad que los

ayuden a evitar cualquier fuga de información, además de, hacer que

cumplan con las normativas vigentes en la clínica.

• Documentar toda información recolectada por los análisis de seguridad

ejecutados para facilitar el despliegue de estos y así buscar una

certificación en materia de seguridad informática.

(Unidos, 2018)

76

Bibliografía

Amutio, M. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos.

Madrid.

Benchimol, D. (2011). Hacking desde cero. Buenos Aires: Fox Andina.

Cadena, I. (Quito de 2012). CONSTRUCCIÓN DE UN PLAN DE CONTINUIDAD

DE SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN PARA UNA

EMPRESA DE SEGUROS. Ecuador. Obtenido de

http://repositorio.puce.edu.ec/handle/22000/9754

Costas, J. (2011). SEGURIDAD Y ALTA DISPONIBILIDAD. RA-MA EDITORIAL.

Domínguez, J. (2015). Seguridad Informática Personal y Corporativa.

Ecured. (2018). www.ecured.cu. Obtenido de

https://www.ecured.cu/Seguridad_Inform%C3%A1tica

Escuela Penitenciaria Nacional, C. (2018). Obtenido de http://epn.gov.co/

Gómez, R., Hernán, D., Donoso, Y., & Herrera, A. (2010). Metodología y gobierno

de la gestión de riesgos de tecnologías de la información. Red de Revistas

Científicas de América Latina y el Caribe, España y Portuga, 9. Obtenido

de http://www.redalyc.org/articulo.oa?id=121015012006

INCAP. (s.f.). www.incap.int. Recuperado el julio de 2018, de

http://www.incap.int/sisvan/index.php/es/acerca-de-san/conceptos/797-

sin-categoria/501-sistema-de-informacion

ISO. (2018). https://www.iso.org/home.html.

López, D. (Junio de 2012). ANÁLISIS DE RIESGOS DINÁMICOS EN SISTEMAS

DE INFORMACIÓN. Madrid, España. Obtenido de

https://eprints.ucm.es/16931/

Martín, L., & Torres, Á. (Enero de 2008). Dialnet.Unirioja. Obtenido de

https://dialnet.unirioja.es/servlet/articulo?codigo=4959507

Maxitana, J., & Naranjo, B. (septiembre de 2017). ADMINISTRACIÓN DE

RIESGOS DE TECNOLOGÍA DE INFORMACIÓN DE UNA EMPRESA

77

DEL SECTOR INFORMÁTICO. Obtenido de

https://www.dspace.espol.edu.ec/handle/123456789/40438

Molina, M. (2015). PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS DE

TECNOLOGÍA APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA

DEL LITORAL. Obtenido de

https://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-

2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

Muñoz, F. (2017). Instalación y actualización de sistemas operativos. Ediciones

Paraninfo.

Nivicela, F. (2014). Plan de gestión de riesgos para MADECO CÍA. LTDA. Cuenca,

Ecuador: Universidad del Azuay. Obtenido de

http://dspace.uazuay.edu.ec/bitstream/datos/3585/1/10269.pdf

Quiñones, J., & Pérez, C. (2017). USO DE HERRAMIENTAS DE PENTESTING

PARA EL ANÁLISIS DE VULNERABILIDADES EN LAS

COMUNICACIONES MÓVILES DE LAS OPERADORAS UBICADAS EN

LA CIUDAD DE GUAYAQUIL. Obtenido de

http://repositorio.ug.edu.ec/handle/redug/22444

Rosero, E. (Diciembre de 2014). ANÁLISIS DE RIESGOS DE LA SEGURIDAD

DE LA RED DE ÁREA LOCAL (LAN) DE LA MATRIZ DE LA

CONTRALORÍA GENERAL DEL ESTADO. Quito, Ecuador. Obtenido de

http://www.dspace.uce.edu.ec/handle/25000/2464

Secretaría General de Administración, D. (2012). Administracion Electronica.

Obtenido de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/

pae_Metodolog/pae_Magerit

Unidos, D. d. (2018). https://csrc.nist.gov/about.

Yánez, E., & Parra, M. (2017). ANÁLISIS DE VULNERABILIDADES EN LA

INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO

HERRAMIENTAS DE TEST DE INTRUSIÓN. Obtenido de

http://repositorio.ug.edu.ec/handle/redug/26718

78

Anexos

Anexo 1: Carta de aceptación

79

Anexo 2: Valoración de los activos

82

Anexo 3: Valoración de amenazas

86

Anexo 4: Identificación de amenazas

87

Anexo 5: Impacto acumulado

88

Anexo 6: Impacto repercutido

89

Anexo 7: Riesgo acumulado


[IS] Servicios internos {5,4} {1,6} {2,8} {3,9} {0,81} {1,4} {1,0} {0,23} {0,56}

[TLPH-URD] Telefonía Interna {3,8}

{2,8} {2,2}

{1,4} {0,75}

{0,56}

[INT-URD] Internet {5,4} {1,6}

{3,9} {0,81}

{1,0} {0,23}

[VIG-URD] Servicio Vigilancia {3,4}

{0} {2,3}

{0} {0,67}

{0}

[E] Equipamiento {6,6} {7,3} {7,5} {5,7} {5,7} {6,0} {2,6} {2,8} {3,1}

[SW] Aplicaciones {6,6} {7,3} {7,5} {4,7} {5,7} {6,0} {2,0} {2,8} {3,1}

[OFI-URD] Ofimáticos {5,7} {5,1} {6,2} {3,8} {3,4} {4,6} {1,1} {0,90} {1,7}

[ANT-URD] Antivirus {6,4} {7,3} {7,5} {4,7} {5,7} {6,0} {1,8} {2,8} {3,1}

[SO-URD] Sistema Operativo {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}

[NAV-URD] Navegador {6,2} {4,5} {6,2} {4,7} {3,0} {4,8} {1,8} {0,81} {1,8}

[OTRO- URD] Otros {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}

[SIGAC-URD] Sistema Administrativo {6,6} {5,9} {6,0} {4,7} {4,7} {4,9} {2,0} {2,1} {2,3}

[HW] Equipos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}

[SW-URD] Switch LAN {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}

[RO-URD] Router {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}

[SRVBD-URD] Servidor de Base de Datos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}

[PC-URD] Computadoras Personales {6,2} {2,7} {2,2} {4,6} {1,4} {0,97} {2,1} {0,55} {0,45}

[IMP-URD] Medios de Impresión {5,7}

{2,2} {4,1}

{0,92} {1,7}

{0,43}

[COM] Comunicaciones {6,6} {3,2} {3,2} {5,7} {2,4} {2,4} {2,5} {0,61} {0,61}

[WLAN-URD] RED DE DATOS WIFI {6,6} {3,2} {3,2} {5,7} {2,4} {2,4} {2,5} {0,61} {0,61}

[LAN-URD] RED DE AREA LOCAL {6,6} {3,2} {2,2} {5,7} {2,4} {1,4} {2,5} {0,61} {0,40}

[L] Instalaciones {6,2}

{4,6}

{2,1}

[BUILDING-URD] Edificio {5,4}

{3,7}

{1,2}

[AMB-URD] Ambulancia {6,2}

{4,6}

{2,1}

[P] Personal {6,6} {4,5} {4,7} {5,0} {3,0} {3,2} {2,2} {0,82} {0,85}

[PERSONAL-URD] ADMINISTRATIVO {6,6} {4,1} {4,7} {5,0} {2,6} {3,2} {2,2} {0,73} {0,85}

[PERSONA-URD] LIMPIEZA {4,2}

{2,5} {2,7}

{0,98} {0,76}

{0,40}

[DOC-URD] Doctores {5,9} {4,5} {3,1} {4,4} {3,0} {1,5} {1,5} {0,82} {0,52}

[AUX] Elementos Auxiliares {5,7}

{4,6}

{1,7}

[CAB-URD] Cableado General {5,7}

{4,6}

{1,7}

[AC-URD] Climatización {4,5}

{3,2}

{0,89}


{2,7}

{1,6}

{0,53}

90

Anexo 8: Riesgo repercutido


[INT-URD] Internet {3,8}

{2,8} {2,2}

{1,4} {0,75}

{0,56}

[VIG-URD] Servicio Vigilancia {5,4} {1,6}

{3,9} {0,81}

{1,4} {0,23}

[SW] Aplicaciones {4,2}

{2,7}

{0,85}


{5,1} {4,5}

{3,4} {2,9}

{0,90} {0,79}

[ANT-URD] Antivirus

{7,3}

{5,7}

{2,8}

[SO-URD] Sistema Operativo {5,1} {3,3}

{3,2} {1,6}

{0,90} {0,55}

[NAV-URD] Navegador {2,1}

{4,5} {0,92}

{3,0} {0,34}

{0,81}

[OTRO- URD] Otros {1,6} {1,5}

{0,74} {0,77}

{0,20} {0,20}


[SW-URD] Switch LAN {4,8}

{3,3}

{0,96}

[RO-URD] Router {5,4} {0,87}

{3,8} {0,60}

{1,4} {0,08}

[SRVBD-URD] Servidor de Base de Datos {4,8}

{7,5} {3,3}

{6,0} {0,96}

{3,1}

[PC-URD] Computadoras Personales {5,4} {4,3}

{3,9} {2,9}

{0,99} {0,87}

[IMP-URD] Medios de Impresión {1,9}

{0,80}

{0,25}

[WLAN-URD] RED DE DATOS WIFI {2,5}

{1,6}

{0,49}

[LAN-URD] RED DE AREA LOCAL {5,4}

{4,6}

{1,4}

[BUILDING-URD] Edificio {6,6} {4,3}

{5,7} {2,9}

{2,6} {0,87}

[AMB-URD] Ambulancia {6,2}

{4,6}

{2,1}

[PERSONAL-URD] ADMINISTRATIVO

{4,7}

{3,2}

{0,85}

[PERSONA-URD] LIMPIEZA {4,2}

{2,5} {2,7}

{0,98} {0,76}

{0,40}

[DOC-URD] Doctores {5,9} {4,5}

{4,4} {3,0}

{1,5} {0,82}

[CAB-URD] Cableado General

{6,1}

{4,7}

{2,1}

[AC-URD] Climatización {5,4}

{3,9} {4,6}

{2,5} {1,4}

{0,70}


{4,3}

{2,9}

{0,87}

91

Anexo 9 Criterios de Validación

92

Anexo 10 Detalle de la escala de Valoración

Detalle de la escala de valoración.

Dentro del desarrollo del proyecto, los activos son identificados y valorados

tomando en consideración tres dimensiones principales: Disponibilidad,

Confidencialidad e Integridad; cada una de estas dimensiones se procedieron a

valorar de forma cuantitativa a través de una escala de valores numéricos que

denotan el nivel de importancia dada a un activo o a una etapa de la metodología.

Dentro de este proyecto se tomó en consideración los siguientes ejes:

Para el atributo de Disponibilidad, la escala numérica de valor fue dividida de la

siguiente forma:

10 Extremo Probablemente sea causa de un grave detenimiento en las operaciones de la clínica. Probablemente cause un daño serio a la eficacia o seguridad de la misión operativa o logística. Puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severa.

9 Muy Alto

6-8 Alto

3 - 5 Medio

Probablemente sea causa de una merma de operatividad en la clínica. Probablemente merme la eficacia o seguridad de la misión operativa o logística. Puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderado.

0 - 2 Bajo

Pudiera causar una disminución de tiempo de respuesta ante algún incidente en la seguridad. Pudiera causar la interrupción de actividades propias de la Clínica.

93

Puede afectar la operación normal de la entidad o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.

Para el atributo de Integridad:

Para atributo de Confidencialidad:

universidad de guayaquil facultad de ciencias...

Documents