universidad de guayaquil facultad de ciencias...
TRANSCRIPT
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
Y TELECOMUNICACIONES
“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE
ACCIÓN A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE
INFORMACIÓN CON MAGERIT PARA IDENTIFICAR Y PROPONER UNA
SOLUCIÓN EN LA CLÍNICA URDENOR DE GUAYAQUIL”
PROYECTO DE TITULACIÓN
Previa a la obtención del título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR:
Grijalva Alvarado Esteban Eduardo
TUTOR:
Ing. Leonel Vasquez Cevallos, Ph.D.
GUAYAQUIL – ECUADOR
2018
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO:
“Análisis, diseño y simulación de un prototipo de plan de acción a través de un análisis de riesgos de los sistemas de información con MAGERIT para identificar y proponer una solución en la clínica Urdenor de Guayaquil”
AUTOR (ES): Grijalva Alvarado Esteban Eduardo
REVISOR(ES)/TUTOR(ES): Ing. Leonel Vasquez Cevallos, Ph.D.
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Ciencias Matemáticas y Físicas
MAESTRÍA/ESPECIALIDAD: Networking y Telecomunicaciones
GRADO OBTENIDO: Ingeniero en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: No. DE PÁGINAS:
ÁREAS TEMÁTICAS: Networking y Telecomunicaciones
PALABRAS CLAVES
/KEYWORDS:
MAGERIT, plan de acción, salvaguardas, amenazas.
RESUMEN/ABSTRACT: Este trabajo de titulación busca el presentar medidas que deben tomar los directivos de la clínica
Urdenor para hacer frente ante las vulnerabilidades que se presentan en la tecnología informática. Este análisis se realiza a
través de la metodología MAGERIT, por la cual se logran identificar y valorar los activos que posee la clínica, descubrir las
amenazas a las que se enfrenta y las salvaguardas que pueden ser implementadas para reducir las afectaciones. Se presenta
un plan de acción donde se resumen los puntos importantes que permitirán cumplir con el objetivo del proyecto.
ADJUNTO PDF: SI X NO
CONTACTO CON
AUTOR/ES:
Teléfono: 0990775771 E-mail: [email protected]
CONTACTO CON LA
INSTITUCIÓN:
Nombre: Ab. Juan Chávez Atocha
Teléfono: 042307729
E-mail: [email protected]
II
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “Análisis, diseño y simulación de un
prototipo de plan de acción a través de un análisis de riesgos de los sistemas de
información con MAGERIT para identificar y proponer una solución en la clínica Urdenor
de Guayaquil” elaborado por el Sr. Esteban Eduardo Grijalva Alvarado, Alumno no
titulado de la Carrera de Ingeniería en Networking y Telecomunicaciones, Facultad de
Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención
del Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que
luego de haber orientado, estudiado y revisado, la apruebo en todas sus partes.
Atentamente
Ing. Leonel Vasquez Cevallos, Ph.D.
TUTOR
III
DEDICATORIA
El presente proyecto de titulación está
dedicado principalmente a Dios ya que sin
Él no soy nada, a toda mi familia por ser el
soporte vital en el transcurso de mi carrera
profesional, a mi enamorada por ayudarme
y apoyarme en todo momento y a la
prestigiosa clínica Urdenor por permitirme
realizar mi proyecto de tesis en sus
instalaciones.
ESTEBAN EDUARDO GRIJALVA ALVARADO
IV
AGRADECIMIENTO
Agradezco a nuestro Dios por hacer
realidad mis metas y sueños, mi familia,
pareja, amigos, profesores y toda persona
que en algún momento de forma directa o
indirecta me ayudaron a cumplir con esta
meta de ser Ing. en Networking y
Telecomunicaciones.
ESTEBAN EDUARDO GRIJALVA ALVARADO
V
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS Y FÍSICAS
Ing. Harry Luna Aveiga, M.Sc.
DIRECTOR DE LA CARRERA DE
INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Ing. Mitchell Vásquez Bermúdez, M.Sc.
PROFESOR TUTOR REVISOR DEL
PROYECTO DE TITULACIÓN
Ing. José Moran Agusto, M.Sc.
DOCENTE DEL ÁREA
Ab. Juan Chávez Atocha, Esp.
SECRETARIO TITULAR
VI
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de
este Proyecto de Titulación, me
corresponde exclusivamente; y el
patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”.
ESTEBAN EDUARDO GRIJALVA ALVARADO
VII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
Y TELECOMUNICACIONES
Autoría
“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE ACCIÓN
A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE
INFORMACIÓN CON MAGERIT PARA IDENTIFICAR Y PROPONER UNA
SOLUCIÓN EN LA CLÍNICA URDENOR DE GUAYAQUIL”
Proyecto de Titulación que se presenta como requisito para optar por el título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES.
Autor: Esteban Eduardo Grijalva Alvarado
C.I.: 095159463-9
Tutor: Ing. Leonel Vasquez Cevallos, Ph.D.
Guayaquil, septiembre de 2018
VIII
CERTIFICADO DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo
de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el estudiante
ESTEBAN EDUARDO GRIJALVA ALVARADO, como requisito previo para optar
por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema es:
“Análisis, diseño y simulación de un prototipo de plan de acción a través de
un análisis de riesgos de los sistemas de información con MAGERIT para
identificar y proponer una solución en la clínica Urdenor de Guayaquil”
Considero aprobado el trabajo en su totalidad.
Presentado por:
Grijalva Alvarado Esteban Eduardo 095159463-9
Apellidos y Nombres Completos Cédula de ciudadanía N.º
Tutor: Ing. Leonel Vasquez Cevallos, Ph.D.
Guayaquil, septiembre de 2018
IX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
Y TELECOMUNICACIONES
Autorización para publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombres Alumnos: Esteban Eduardo Grijalva Alvarado
Dirección: Durán, Los Helechos Sc 6 Mz L
S 2
Teléfono: 042806355
0990775771 E-mail: [email protected]
Facultad: Facultad de Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: Ing. Leonel Vasquez Cevallos, Ph.D.
Título del Proyecto de titulación: “Análisis, diseño y simulación de un prototipo
de plan de acción a través de un análisis de riesgos de los sistemas de información
con MAGERIT para identificar y proponer una solución en la clínica Urdenor de
Guayaquil”
Tema del Proyecto de Titulación:
X
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil
y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión
electrónica de este Proyecto de Titulación.
Publicación Electrónica:
Firma Alumno:
3. Forma de Envío
El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen
pueden ser: .gif,.jpg o .TIFF.
DVDROM CDROM
Inmediata X Después de 1 Año
XI
ÍNDICE GENERAL
CARTA DE APROBACIÓN DEL TUTOR ............................................................. II
DEDICATORIA ................................................................................................... III
AGRADECIMIENTO ........................................................................................... IV
TRIBUNAL PROYECTO DE TITULACIÓN .......................................................... V
DECLARACIÓN EXPRESA ................................................................................ VI
Autoría ............................................................................................................... VII
CERTIFICADO DE APROBACIÓN DEL TUTOR .............................................. VIII
Autorización para publicación ............................................................................. IX
ÍNDICE GENERAL ............................................................................................. XI
ABREVIATURAS ............................................................................................. XIV
ÍNDICE DE FIGURAS ....................................................................................... XV
ÍNDICE DE TABLAS ........................................................................................ XVI
RESUMEN ...................................................................................................... XVII
ABSTRACT ................................................................................................... XVIII
INTRODUCCIÓN ................................................................................................. 1
CAPÍTULO I ......................................................................................................... 3
EL PROBLEMA ................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA .............................................................. 3
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ........................................ 3
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS. ........................................... 4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ....................................... 5
DELIMITACIÓN DEL PROBLEMA ................................................................ 5
FORMULACIÓN DEL PROBLEMA ............................................................... 6
EVALUACIÓN DEL PROBLEMA .................................................................. 6
OBJETIVOS ................................................................................................. 7
ALCANCE DEL PROBLEMA ........................................................................ 7
XII
JUSTIFICACIÓN E IMPORTANCIA .............................................................. 8
CAPÍTULO II ...................................................................................................... 10
MARCO TEÓRICO ............................................................................................ 10
ANTECEDENTES DEL ESTUDIO .................................................................. 10
FUNDAMENTACIÓN TEÓRICA ..................................................................... 12
¿Qué es la seguridad? ............................................................................... 12
Seguridad de la información ....................................................................... 12
Metodologías de análisis de riesgos ............................................................... 16
OCTAVE ..................................................................................................... 16
OSSTMM .................................................................................................... 17
MAGERIT ................................................................................................... 19
FUNDAMENTACIÓN LEGAL ......................................................................... 25
CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN DELITOS
INFORMÁTICOS ........................................................................................ 25
HIPÓTESIS .................................................................................................... 26
VARIABLES DE INVESTIGACIÓN ................................................................. 27
DEFINICIONES CONCEPTUALES ................................................................ 27
CAPÍTULO III ..................................................................................................... 29
PROPUESTA TECNOLÓGICA .......................................................................... 29
ANÁLISIS DE FACTIBILIDAD ........................................................................ 29
FACTIBILIDAD OPERACIONAL .................................................................... 29
FACTIBILIDAD TÉCNICA .............................................................................. 30
FACTIBILIDAD LEGAL .................................................................................. 30
FACTIBILIDAD ECONÓMICA ........................................................................ 31
ETAPAS DE LA METODOLOGÍA DEL PROYECTO ...................................... 31
MAR.1 ............................................................................................................ 32
MAR.11 – Identificación de los activos ........................................................ 32
MAR.12 – Dependencias entre activos ....................................................... 36
MAR.13 – Valoración de los activos ........................................................... 38
MAR.2 – CARACTERIZACIÓN DE LAS AMENAZAS .................................... 39
MAR.21 – Identificación de las amenazas .................................................. 40
MAR.22 – Valoración de las amenazas ...................................................... 41
MAR.3 – CARACTERIZACIÓN DE LAS SALVAGUARDAS ........................... 43
XIII
MAR.31 – Identificación de las salvaguardas pertinentes ........................... 43
MAR.32 – Valoración de las salvaguardas ................................................. 46
MAR.4 – ESTIMACIÓN DEL ESTADO DE RIESGO ...................................... 47
MAR.41 – Estimación del impacto .............................................................. 47
MAR.42 – Estimación del riesgo ................................................................. 49
ENTREGABLES DEL PROYECTO ............................................................ 52
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 60
PROCESAMIENTO Y ANÁLISIS ................................................................ 61
CAPÍTULO IV .................................................................................................... 73
Criterios de aceptación del producto .............................................................. 73
Conclusiones ................................................................................................. 74
Recomendaciones ......................................................................................... 74
Bibliografía......................................................................................................... 76
Anexos ........................................................................................................... 78
XIV
ABREVIATURAS
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
TI Tecnologías de la Información.
CSAE Consejo Superior de Administración Electrónica.
ISO Organización Internacional de Normalización.
MAR Metodología de Análisis de Riesgos.
LAN Red de área local.
WLAN
PILAR
Red de área local inalámbrica.
Procedimiento Informático Lógico para el Análisis de Riesgos
XV
ÍNDICE DE FIGURAS
Gráfico 1: Ubicación del lugar. ...................................................................................... 3
Gráfico 2: Evolución en el tiempo del Análisis de Riesgos .................................... 10
Gráfico 3: Estructuración de la gestión de riesgos .................................................. 15
Gráfico 4: Secciones de seguridad. ........................................................................... 18
Gráfico 5: Escala de riesgo ......................................................................................... 23
Gráfico 6: Escala de valor de riesgo .......................................................................... 24
Gráfico 7: Diseño actual de la red .............................................................................. 30
Gráfico 8: Método de análisis de riesgos .................................................................. 32
Gráfico 9: Identificación de activos ............................................................................ 33
Gráfico 10: Activos en la herramienta PILAR ........................................................... 35
Gráfico 11: Dependencia de los activos .................................................................... 36
Gráfico 12: Dependencia de los activos en mapa de buses en PILAR ................ 37
Gráfico 13: Código de colores para la dependencia de activos en PILAR .......... 37
Gráfico 14: Escala de valoración de los activos. ..................................................... 38
Gráfico 15: Valoración de las amenazas .................................................................. 42
Gráfico 16: Identificación de las salvaguardas ......................................................... 45
Gráfico 17: Medida de las salvaguardas ................................................................... 47
Gráfico 18: Escala de valor del impacto .................................................................... 48
Gráfico 19: Estimación del riesgo ............................................................................... 50
Gráfico 20: Niveles de criticidad ................................................................................. 50
Gráfico 21: Análisis de resultados de la pregunta 1 ................................................ 61
Gráfico 22: Análisis de resultados de la pregunta 2 ................................................ 62
Gráfico 23: Análisis de resultados de la pregunta 3 ................................................ 63
Gráfico 24: Análisis de resultados de la pregunta 4 ................................................ 64
Gráfico 25: Análisis de resultados de la pregunta 5 ................................................ 65
Gráfico 26: Análisis de resultados de la pregunta 6 ................................................ 66
Gráfico 27: Análisis de resultados de la pregunta 7 ................................................ 67
Gráfico 28: Análisis de resultados de la pregunta 1 ................................................ 68
Gráfico 29: Análisis de resultados de la pregunta 2 ................................................ 69
Gráfico 30: Análisis de resultados de la pregunta 3 ................................................ 70
Gráfico 31: Análisis de resultados de la pregunta 4 ................................................ 71
Gráfico 32: Análisis de resultados de la pregunta 5 ................................................ 72
XVI
ÍNDICE DE TABLAS
Tabla 1: Causas y Consecuencias del Problema ....................................................... 5
Tabla 2: Comparación de versiones MAGERIT ........................................................ 20
Tabla 3: Valoración de los activos .............................................................................. 39
Tabla 4: Identificación de amenazas .......................................................................... 40
Tabla 5: Tabla de probabilidad MAGERIT ................................................................. 41
Tabla 6: Tabla de degradación MAGERIT ................................................................ 42
Tabla 7: Peso relativo ................................................................................................... 45
Tabla 8: Nivel de Madurez de las salvaguardas ....................................................... 46
Tabla 9: Impacto Acumulado ....................................................................................... 48
Tabla 10: Impacto Repercutido ................................................................................... 49
Tabla 11: Riesgo Acumulado ....................................................................................... 51
Tabla 12: Riesgo Repercutido ..................................................................................... 51
Tabla 13: Análisis de resultados de la pregunta 1 ................................................... 61
Tabla 14: Análisis de resultados de la pregunta 2 ................................................... 62
Tabla 15: Análisis de resultados de la pregunta 3 ................................................... 63
Tabla 16: Análisis de resultados de la pregunta 4 ................................................... 64
Tabla 17: Análisis de resultados de la pregunta 5 ................................................... 65
Tabla 18: Análisis de resultados de la pregunta 6 ................................................... 66
Tabla 19: Análisis de resultados de la pregunta 7 ................................................... 67
Tabla 20: Análisis de resultados de la pregunta 1 ................................................... 68
Tabla 21: Análisis de resultados de la pregunta 2 ................................................... 69
Tabla 22: Análisis de resultados de la pregunta 3 ................................................... 70
Tabla 23: Análisis de resultados de la pregunta 4 ................................................... 71
Tabla 24: Análisis de resultados de la pregunta 5 ................................................... 72
Tabla 25: Criterios de aceptación ............................................................................... 73
XVII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING
Y TELECOMUNICACIONES
“ANÁLISIS, DISEÑO Y SIMULACIÓN DE UN PROTOTIPO DE PLAN DE
ACCIÓN A TRAVÉS DE UN ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE
INFORMACIÓN CON MAGERIT PARA IDENTIFICAR Y PROPONER UNA
SOLUCIÓN EN LA CLÍNICA URDENOR DE GUAYAQUIL”
Autor: Grijalva Alvarado Esteban Eduardo
Tutor: Ing. Leonel Vasquez Cevallos, Ph.D.
RESUMEN
“Este trabajo de titulación busca el presentar medidas que deben tomar los
directivos de la clínica Urdenor para hacer frente ante las vulnerabilidades que se
presentan en la tecnología informática. Este análisis se realiza a través de la
metodología MAGERIT, por la cual se logran identificar y valorar los activos que
posee la clínica, descubrir las amenazas a las que se enfrenta y las salvaguardas
que pueden ser implementadas para reducir las afectaciones. Se presenta un plan
de acción donde se resumen los puntos importantes que permitirán cumplir con el
objetivo del proyecto.”
Palabras claves: MAGERIT, plan de acción, salvaguardas, amenazas.
XVIII
UNIVERSITY OF GUAYAQUIL
FACULTY OF MATHEMATICAL AND PHYSICAL SCIENCES
ENGINEERING CAREER IN NETWORKING
AND TELECOMMUNICATIONS
"ANALYSIS, DESIGN AND SIMULATION OF A PROTOTYPE OF AN ACTION
PLAN THROUGH A RISK ANALYSIS OF THE INFORMATION SYSTEMS
WITH MAGERIT TO IDENTIFY AND PROPOSE A SOLUTION IN THE
URDENOR CLINIC OF GUAYAQUIL"
Author: Grijalva Alvarado Esteban Eduardo
Tutor: Ing. Leonel Vasquez Cevallos, Ph.D.
ABSTRACT
“This degree work seeks to present measures that should be taken by the
managers of the Urdenor clinic to deal with the vulnerabilities that arise in computer
technology. This analysis is carried out through the MAGERIT methodology,
whereby the assets owned by the clinic are identified and valued, the threats it
faces and the safeguards that can be implemented to reduce the effects are
discovered. An action plan is presented which summarizes the important points
that will allow to fulfill the objective of the project.”
Keywords: MAGERIT, action plan, safeguards, threats.
1
INTRODUCCIÓN
En la actualidad, la información es considerada un activo de gran importancia para
las organizaciones las cuales pueden ser bancos, clínicas de salud, hospitales,
etc. Por lo que la seguridad en la información debe ser alta; las empresas
actualmente manejan esta de manera electrónica dejando de lado la manipulación
de datos de forma manual o en hojas. Pero este manejo de datos conlleva riesgos
que muchas organizaciones desconocen, ya sea al almacenarlos en equipos de
cómputo, discos duros, internet o por la incorrecta manipulación de parte del
personal en la empresa.
Para hacer frente ante dichos riesgos, las empresas optan por implementar
medidas temporales o inmediatas de forma empírica con la finalidad de hacer
frente al problema presentado, pero desconociendo que esas acciones podrían
desencadenar en amenazas mayores en contra de los datos, por ello es necesario
realizar periódicamente un análisis en la infraestructura tecnológica de manera
completa, a través de controles, políticas de seguridad o procesos que pueden ser
gestionados de manera concisa y precisa por medio de una metodología de
seguridad de la información la cual será presentada y analizada en este trabajo.
Existen principalmente dos causas por las cuales los servicios de tecnología de
una organización pueden quedar indisponibles: las internas dadas por fallas en la
administración de los sistemas de información, la propagación de un software
dañino, errores de configuración, entre otros. Y las externas como los desastres
naturales, ataques desde fuera de la empresa, contaminaciones ambientales, etc.
Estas causas pueden terminar en afectaciones totales o parciales en uno o varios
servicios brindados por las instituciones y al depender estas de los servicios la
magnitud del daño será mayor o menor dependiendo del grado de daño. (Cadena,
2012)
De acuerdo con la literatura, los sistemas de información de las empresas tienen
problemas de seguridad los cuales no son gestionados hasta que se presente
algún fallo o ataque hacia los datos, y esto se da por falta de conocimiento o
experiencia; por lo cual el realizar un estudio en la seguridad de los datos antes
2
que se presenten problemas es la mejor opción para las instituciones que desean
mantener segura su información.
La importancia de mantener la información a salvo para las empresas es
prioritaria, y es por esta razón que deben ser implementados mecanismos que
ayuden a disminuir los posibles problemas que ponen en peligro los datos, pero
para poder ejecutar estas acciones se necesita de un estudio previo que permita
a la empresa determinar las principales falencias en su seguridad informática.
El análisis de riesgos de seguridad de la información brinda a las empresas un
panorama completo de las debilidades y fortalezas en la infraestructura
tecnológica con las que cuenta. Gracias a este análisis se pueden generar
controles y normativas en las políticas de seguridad de la información con las que
cuente o caso contrario, crear dichas políticas para proteger los datos y activos
que son de importancia para la empresa.
La estructura general de ese proyecto de tesis está dividida en 4 capítulos que se
detallan a continuación
• CAPITULO I: En esta parte se encuentra detallado el problema que
presenta la empresa en cuestión, así como sus causas y consecuencias y
los objetivos que han sido establecidos.
• CAPITULO II: Establecido como el “MARCO TEORICO” donde se
argumentan las conceptualizaciones que engloba el trabajo, así como, las
leyes y reglamentaciones en las que se debe enmarcar la tesis.
• CAPITULO III: Se refiere al desarrollo de la metodología MAGERIT,
desglosando lo activos, sus amenazas, salvaguardas, el impacto y el
riesgo que tienen estos, además de detallar en análisis de factibilidad del
proyecto.
• CAPITULO IV: Es donde se presentan los criterios de validación de la
propuesta, las conclusiones y recomendaciones que se dan después haber
culminado con el proyecto.
3
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La clínica Urdenor es una organización privada, ubicada en el norte de la ciudad
de Guayaquil, provincia del Guayas, en el sector denominado “Urdenor” como se
puede apreciar en el gráfico 1, cuya finalidad es la de mejorar la calidad de vida
de sus pacientes de acuerdo con las diferentes especialidades médicas que
poseen como cirugía general, gastroenterología, ginecología, obstetricia,
traumatología entre otras, brindando atención a aproximadamente 300 personas
al mes, cuenta con una infraestructura tecnológica capaz de desarrollar las
actividades generales del establecimiento la cual que no ha sido sometida a un
análisis de riesgos de la información.
Gráfico 1: Ubicación del lugar.
Elaborado por: Esteban Grijalva
Fuente: Google Maps
La clínica Urdenor busca mantener y mejorar el crecimiento del negocio
aumentando la cantidad de especialidades médicas para brindar una mejor
atención a los pacientes, este crecimiento tiene un impacto directo en las
tecnologías de la información que deberían poseer para que puedan gestionar de
manera correcta los requerimientos que se generarán.
4
La infraestructura de red actual del establecimiento es manejada bajo el protocolo
TCP/IP; dicho protocolo a nivel de seguridad presenta múltiples falencias que
siguen en crecimiento como son los virus, atacantes maliciosos, robo de
información, entre otros, que podrían perjudicar las actividades de la clínica, así
como, incidir en la integridad de los datos de la empresa.
Existen problemáticas que afectan de manera directa o indirecta a las actividades
de un negocio; entre las cuales podemos destacar: los ciberataques cuya finalidad
es la de suspender temporal o indefinidamente las labores diarias del personal,
los virus que atentan contra la integridad y disponibilidad de los datos que
repercute en perdida de dinero e incluso falta de credibilidad por parte de sus
clientes al momento de manejar su información personal. Estos problemas deben
ser minimizados con controles periódicos en la seguridad informática.
La revolución tecnológica ha traído consigo mejoras que han ayudado en los
accesos y la rapidez al momento de prestar un servicio, pero así como han llegado
mejoras, la inseguridad y peligros a nivel tecnológico también han aumentado; “por
ello se debe mantener identificadas y controladas esas vulnerabilidades lo cual se
logra con un adecuado sistema de seguridad de la información elaborado en base
a un análisis de riesgos”. (Rosero, 2014)
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS.
Los riesgos de la seguridad de la información están presenten en las redes
empresariales, debido al crecimiento de las instituciones por mantenerse a la
vanguardia en la tecnología y aumentar la capacidad de sus negocios; estas
mejoras traen consigo vulnerabilidades por parte de la tecnología que de no
tratarse debidamente pueden causar un impacto directo en las actividades de las
empresas. “Actualmente se ha desarrollado una creciente dependencia de las
tecnologías de información lo que las ha convertido en un gran factor de riesgo y
quizás, uno de los más importantes de este siglo.” (Gómez, Hernán, Donoso, &
Herrera, 2010). Ese crecimiento ha impulsado a que personas ajenas a lo bueno,
intenten aprovecharse del desconocimiento o la falta de atención en las redes
empresariales para generar problemas o lucrarse con actividades ilícitas.
5
El crecimiento de estas actividades ilegales es proporcional al crecimiento de las
redes de datos y de la infraestructura tecnológica en constante innovación; como
el robo de información, que puede generarse por métodos como la ingeniería
social la cual consiste en obtener la confianza de la víctima para luego, a través
de mentiras por email, teléfono, etc., extraer la información sensible que puede
ser de carácter personal o bancario; otro de los métodos más comunes es el
denominado phishing que consiste en suplantar la identidad de alguna entidad
conocida para engañar a las personas y obtener su información.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Tabla 1: Causas y Consecuencias del Problema
Causas Consecuencias
Falta de inversión en dispositivos y
sistemas para la seguridad de la
información.
Cero garantías en la disponibilidad,
integridad y confidencialidad de la
información manejada.
Escaso conocimiento en seguridad de
la información por parte del personal de
la empresa.
Múltiples dificultades en el manejo de la
información.
Poco interés de mantener seguros los
sistemas informáticos.
La información puede ser cambiada o
alterada lo que ocasiona pérdidas en el
negocio.
Desconocimiento de cuán segura es la
infraestructura actual de la clínica.
No poder aplicar las medidas
preventivas y correctivas para
solucionar los problemas presentes.
El constante crecimiento de los ataques
y problemas de seguridad.
Sufrir de algún ataque directo o
indirecto que afecte al desenvolvimiento
de la empresa.
Fuente: Datos de la investigación Autor: Grijalva Esteban
DELIMITACIÓN DEL PROBLEMA
• CAMPO: Tecnología
• ÁREA: Tecnología de la Información y Comunicación
6
• ASPECTOS: Seguridad de redes informáticas.
• TEMA: Análisis, diseño y simulación de un prototipo de plan de acción a
través de un análisis de riesgos de los sistemas de información con
MAGERIT para identificar y proponer una solución en la clínica Urdenor de
Guayaquil.
FORMULACIÓN DEL PROBLEMA
¿Cuál es la importancia de realizar un análisis de riesgos en los sistemas de
información en la infraestructura de la clínica Urdenor y encontrar las amenazas a
la seguridad informática?
EVALUACIÓN DEL PROBLEMA
Se presentan los aspectos generales para la evaluación del problema del proyecto
los cuales son:
• Delimitado: Las acciones actuales que tiene presente el personal de la
clínica Urdenor ante ataques informáticos no son suficientes para disminuir
o eliminar el problema, por lo cual se presenta este proyecto que generará
un plan de acción para que los trabajadores y directivos tengan en
conocimiento las acciones a tomar en caso de, presentarse un problema y
conocer las vulnerabilidades tecnológicas con las que cuenta la clínica.
• Claro: El análisis de riesgos de los sistemas de información en la
infraestructura de la clínica Urdenor pretende generar un plan de acción
ante las vulnerabilidades que tienen sus activos informáticos para
minimizar los daños que podrían ser causados por la explotación de dichas
vulnerabilidades.
• Evidente: Los inconvenientes que se presentan por falta de seguridad en
el manejo de la información han causado problemas en cierto momento a
la clínica.
7
• Concreto: El análisis de riesgos ayudará a evitar los problemas que
pueden ser causados factores internos o externos a la Clínica.
• Relevante: El proyecto será de mucha importancia ya que logrará mitigar
los posibles inconvenientes que se presenten en la infraestructura
tecnológica de la clínica.
• Original: El análisis será realizado con la metodología MAGERIT que no
ha sido aplicada en esta clínica, además de ser un avance en la gestión
de riesgos para la institución.
• Factible: Es viable en cuanto al tiempo que se realizará, el cual no tendrá
costo alguno para la empresa.
OBJETIVOS
Objetivo general
Realizar un plan de acción a través de un análisis de riesgos de los sistemas de
información con la metodología MAGERIT para proponer una solución en la clínica
Urdenor de Guayaquil.
Objetivos específicos
• Examinar, identificar y clasificar los elementos tecnológicos de información
en la clínica Urdenor.
• Determinar las amenazas a la seguridad en la infraestructura tecnológica
por medio de la herramienta PILAR en la clínica Urdenor.
• Sugerir un plan de acción para minimizar las amenazas encontradas en el
análisis, basado en normativas internacionales.
ALCANCE DEL PROBLEMA
La realización del proyecto se presenta como un análisis, diseño y simulación de
un prototipo de plan de acción a través de un análisis de riesgos de los sistemas
de información con MAGERIT para identificar y proponer una solución en la clínica
Urdenor de Guayaquil, esta solución incurre en la clasificación y valoración de los
8
activos con los que cuenta la empresa, la identificación de las amenazas,
salvaguardas, niveles de riesgos e impacto que tendrán los activos conforme se
desarrolle el proyecto. Además, podrá ayudar a los directivos y/o encargado(s) de
las tecnologías de información en la clínica a tomar acciones en contra de los
riesgos presentes.
Este análisis será realizado solo a la infraestructura tecnológica en esta clínica sin
tomar en cuenta la tecnología médica usada en los pacientes por los doctores.
JUSTIFICACIÓN E IMPORTANCIA
La clínica Urdenor cuenta con una infraestructura tecnológica en crecimiento,
debido a la demanda y de la cual tienen dependencia procesos, servicios y
funcionamiento administrativo; la mayor parte de la información que se genera es
almacenada en equipos informáticos, aunque también existen documentos que se
manejan de manera física, pero no se evidencian políticas de control que permitan
brindar un correcto tratamiento a este activo.
Actualmente empresas, de cualquier denominación, deben tener en cuenta dentro
de sus procesos de gestión, el aseguramiento de la información que podrá ser
gestionado a través de metodologías o herramientas que ayuden a determinar los
riesgos a los cuales la información están expuesta dentro de la empresa, “estos
riesgos constituyen una parte importante, y cada vez más, del riesgo operativo ya
que la simbiosis entre las operaciones de las empresas y el uso de TI es cada vez
más intensa.” (Martín & Torres, 2008)
Las problemáticas primordiales son la falta de concienciación en temas de
seguridad informática, poca inversión en dispositivos y sistemas de seguridad,
motivo por el cual este proyecto sirve para analizar el abanico de amenazas por
medio de software libre para evitar costos a la empresa.
METODOLOGÍA DEL PROYECTO
Para el desarrollo del presente proyecto se usará la metodología de análisis y
gestión de riesgos de los sistemas de información MAGERIT, la cual ayudará a
9
descubrir y planificar el tratamiento específico para mitigar los riesgos y
mantenerlos controlados.
“MAGERIT fue elaborada por la CSAE (Consejo Superior de Administración
Electrónica), su creación se debió al nivel elevado de tecnologías de información
al que están sujetas las administraciones para el cumplimiento de sus objetivos.”
(Nivicela, 2014)
Este método para gestionar los riesgos consta de cuatro etapas principales, donde
cada una cumple una función específica para cumplir los objetivos de este
proyecto, son:
• Caracterización de los activos
En esta etapa se identifican los activos a analizar en el proceso del
proyecto, luego se generan dependencias entre dichos activos para así
poder realizar una valoración sobre estos.
• Caracterización de las amenazas
Luego de tener caracterizados los activos se identifican las amenazas a
las que podrían estar expuestos los datos, los sistemas de información o
la infraestructura en sí, y se las valora para comprender la magnitud de
estas a través de escalas de valor.
• Caracterización de las salvaguardas
Al igual que con los activos y las amenazas, las salvaguardas son
identificadas y valorados para de esa forma comprender que tan efectivo
resulta implementarlas o no, además de ver si estas pueden disminuir los
posibles efectos de las amenazas.
• Estimación del estado de riesgo
El estado de riesgo nos muestra, por medio de escalas de valor, la
“cantidad” de impacto y riesgo que se generan en los activos con
salvaguardas implementados o sin ellas.
10
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
La seguridad informática se remonta a la década de los ochenta y noventa donde
se convierte en una pieza principal para el funcionamiento de las empresas en la
planificación y organización, por estos años es cuando las empresas empiezan a
palpar los riesgos de seguridad que incrementan con el pasar del tiempo y el
avance tecnológico. A mediados del siglo XX se generó un auge en torno a la
seguridad de las organizaciones, a través de las empresas de seguros, buscando
disminuir los riesgos en dicha época (López, 2012). Como puede verse en el
gráfico 2, desde los años 70 hasta 90 el riesgo empresarial se incrementó por las
guerras y los problemas en la economía mundial en aquellos tiempos; los
problemas fueron incrementando exponencialmente con el auge tecnológico
llegando así a afectar de manera directa a los datos de las empresas.
Debido a que, a finales del siglo XX los atentados y fraudes corporativos
empezaron a realizarse en gran magnitud, las instituciones en general empezaron
a desarrollar el campo de seguridad de la información en su entorno laboral para
poder evitar y/o afrontar las situaciones.
Gráfico 2: Evolución en el tiempo del Análisis de Riesgos
Elaborado por: López David
Fuente: Análisis de riesgos dinámicos en sistemas de información
Por ello esta investigación tratará los riesgos de seguridad en la clínica Urdenor
por medio de un análisis de riesgos con la metodología MAGERIT para conocer
11
el conjunto de herramientas y salvaguardas que ayudaran a alcanzar un nivel
básico de protección para los sistemas existentes en la empresa.
Para obtener una visión más clara del tema de este proyecto se hace mención a
temas similares que brindan un estudio más claro al problema, entre los cuales se
tiene:
Analizando el tema: “Análisis de vulnerabilidades en la infraestructura tecnológica
de una empresa, utilizando herramientas de test de intrusión” es de utilidad debido
a que realizan un estudio completo de las amenazas de seguridad en la red de la
institución educativa “Escuela Culinaria de las Américas”, ubicada en Guayaquil,
usando una metodología de análisis denominada Metodología Abierta de Testeo
de Seguridad (OSSTMM), de la cual se puede obtener información que sirve de
guía para llevar a cabo el análisis del presente proyecto. (Yánez & Parra, 2017)
Con la información recopilada del tema de tesis: “Propuesta de un plan de gestión
de riesgos de tecnología aplicado en la Escuela Superior Politécnica del Litoral”,
se ha obtenido una guía de esquemas para poder presentar la información de una
gestión de riesgos que usa como medio la herramienta PILAR utilizada en este
proyecto, además de que dicha tesis abarca temas puntuales, utilizando
información precisa como fundamento lo cual brinda un valor agregado a este
proyecto. (Molina, 2015)
Otro de los trabajos que contienen información relevante para el desarrollo de este
proyecto es: “Uso de herramientas de pentesting para el análisis de
vulnerabilidades en las comunicaciones móviles de las operadoras ubicadas en la
ciudad de Guayaquil”, en el cual se habla sobre un diagnóstico de vulnerabilidades
que puso en evidencia las posibles soluciones que brinda su proyecto para mitigar
dichas vulnerabilidades en los sistemas de comunicaciones móviles; la
información que los autores han recopilado es útil para el proyecto actual porque
sirve de guía para encaminar el análisis de riesgos presentado. (Quiñones &
Pérez, 2017)
12
FUNDAMENTACIÓN TEÓRICA
Sistemas de información
Son conjuntos de activos informáticos y recursos humanos relacionados entre sí,
con el objetivo de satisfacer los requerimientos de información para las
organizaciones y ayudar así en la toma de decisiones y gestión empresarial.
Dentro de estos sistemas de información existentes elementos esenciales como
son: (INCAP, s.f.)
• Hardware: Es el conjunto de equipos computacionales indispensables
para administrar los sistemas de información.
• Recurso humano: Aquellas personas destinadas a interactuar con el/los
sistemas(s) de información y el hardware.
• Información o datos: El eje principal por el cual las empresas mantienen
sus actividades de negocio.
• Software: Métodos que se emplean para procesar la información.
¿Qué es la seguridad?
Se entiende que es un estado o una característica que denota el correcto
comportamiento, que se encuentre protegido ante amenazas, libre de peligro o
daño de un sistema (informático o no). (Ecured, 2018)
Seguridad de la información
“Es un conjunto de medidas de prevención, detección y corrección, orientadas a
proteger la confidencialidad, la integridad y la disponibilidad de los recursos
informáticos”. (Benchimol, 2011)
En cambio, para Santos C. consiste en “Asegurar que los recursos del sistema de
información de una organización sean utilizados de la manera que se decidió y
que el acceso a la información allí contenida solo sea posible a las personas que
se encuentren acreditadas”. (Costas, 2011)
A partir de estas conceptualizaciones se define que la seguridad de la información
es mantener bajo resguardo los datos y el software que cumple la función de
administrar y proteger dichos datos para así evitar problemas de acceso no
autorizados, interrupciones, fallas o uso no autorizado.
13
Teniendo en cuenta que la información es activo principal para las organizaciones
es necesaria su protección, para asegurar las dimensiones de las empresas dadas
por ejes como:
• Disponibilidad: Es la condición de que los datos se encuentran
disponibles para su correcta administración, que no sean borrados o
permanezcan sin acceso.
Si existiera en una empresa u organización la falta de disponibilidad de la
información podría repercutir en los servicios prestados, o actividades
que dependan de los datos, afectando de esa forma a la productividad o
repercutir en pérdidas monetarias para la empresa.
Generalmente los ataques en contra de los sistemas de información
están direccionados a eliminar el acceso a los datos.
• Integridad: Es la propiedad que busca garantizar que la información no
pueda ser alterada de forma espontánea o inesperada. Esta alteración
puede estar dada por errores humanos, eventos catastróficos dentro de
una organización o algún daño intencional.
En caso de que la información se administre de forma incorrecta y sea
modificada erróneamente puede quedar inutilizable o peligrosa cuando
esa información mantiene una importancia crítica en la empresa.
‘’Los datos reciben una alta valoración desde el punto de vista de
integridad cuando su alteración, voluntaria o intencionada, causaría
graves daños a la organización.’’ (Amutio, 2012)
• Confidencialidad: Define que la información no esté disponible a aquellos
que no se encuentran debidamente autorizados para su manipulación. La
implementación de reglas y mecanismos que permitan controlar el
acceso del personal a la información confidencial es lo que debe
implementarse en las empresas para disminuir los riesgos de seguridad.
La seguridad de la información protege a las organizaciones ante la gran variedad
de amenazas y así mantener la continuidad del negocio, reducir al máximo los
14
posibles daños de los que pueda ser víctima e incrementar las oportunidades de
negocio e inversiones.
Es necesario tener en cuenta que la protección de los datos está dada por varias
razones, cuyas principales son:
• Gran cantidad de los sistemas de información no fueron desarrollados
completamente para ser seguros y hacer frente a los ataques informáticos.
• Actualmente la cantidad de riesgos y amenazas es exponencial como el
hacking, virus, fraudes, suplantación de identidad, denegación de
servicios, problemas ambientales; todos ellos generados por diversas
fuentes.
Actores de la seguridad: Se conoce como todas aquellas personas que se
encuentran involucradas en la administración de la información, sea esta
manipulada de manera física o digital.
Vulnerabilidad: Aquellas debilidades o falencias de los sistemas tecnológicos de
una institución causados por defectos de fábrica o por las limitaciones propias del
sistema que pueden ser aprovechadas por los atacantes.
Según Muñoz, F. es la “debilidad en un sistema permitiendo a un atacante violar
la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.” (Muñoz, 2017)
Amenazas: De forma general todo sistema puede ser vulnerable a amenazas
puesto que no se puede asegurar al 100% un activo informático. Una amenaza es
considerada como una acción que tienen como preámbulo una vulnerabilidad que
puede ser aprovechada para fines maliciosos o éticos y se dividen en dos:
Las internas que son de mayor criticidad ya que sus consecuencias pueden ser
devastadoras debido a que se generan internamente en la empresa.
Las externas que, al ser generadas por personas ajenas a la empresa
aprovechándose de diversos métodos, pueden tener acceso a la red empresarial
y generar inconvenientes que de no ser tratados a tiempo se convierten en un
problema mayor.
15
Riesgo: “El riesgo es un incidente o situación, que ocurre en un sitio concreto
durante un intervalo de tiempo determinado, con consecuencias positivas o
negativas que podrían afectar el cumplimiento de los objetivos.” (Maxitana &
Naranjo, 2017)
Análisis de riesgos: Es la sucesión de actividades que estiman la dimensión de
los riesgos a los que se enfrenta una empresa o institución.
Gestión de riesgos: La elección e implementación de salvaguardas que permitan
a la empresa disminuir, manejar, saber o prevenir aquellos riesgos que han sido
determinados por un análisis previo.
Según la norma internacional ISO 31000 la gestión de riesgos se estructura de la
forma como se presenta en el gráfico 3:
Gráfico 3: Estructuración de la gestión de riesgos
Elaborado por: ISO Internacional Fuente: ISO 31000
16
Metodologías de análisis de riesgos
A nivel empresarial existen múltiples metodologías para la gestión y análisis de
los riesgos en la información, entre las principales de ellas tenemos:
OCTAVE
Por sus siglas en ingles “Operationally Critical Threat, Asset And Vulnerability
Evaluation” es una metodología de evaluación de amenazas, activos y
vulnerabilidades creada por el Centro de Coordinación del Equipo de Respuesta
a Emergencias Informáticas CERT/CC el cual estudia las vulnerabilidades de
seguridad de Internet desde 1988.
La metodología Octave tiene como finalidad facilitar la evaluación de los riesgos
inherentes de seguridad informática que existen en las organizaciones, además
de focalizarse en el día a día de las instituciones.
La determinación de los riesgos empieza con identificar los activos que
administran o tienen relación con la información que posee la empresa (hardware,
software, sistemas informáticos, personal humano, archivos, etc.).
En esta metodología es importante que el personal de la empresa,
independientemente de su nivel jerárquico, se encuentre involucrada en el
proceso de determinación de riesgos para de esta forma mantengan conocimiento
y tomen acciones preventivas para disminuir la afectación de los activos que están
involucrados con la información.
Desarrollo de OCTAVE
Octave es desarrollada por un conjunto de acciones y análisis que involucran a
personal de TI y administrativo para identificar los activos de impacto y el
levantamiento de la información, este proceso consta de tres fases:
• Fase 1: Construcción de perfiles de amenazas basados en los activos
En esta primera fase se evalúa a la organización, para poder construir los
perfiles activo-amenaza validando los activos centrales y las amenazas
que puedan incidir en dichos activos.
• Fase 2: Identificación de vulnerabilidades en la información
17
Es aquí donde el equipo de TI, que realiza la metodología, establece los
activos que presentan vulnerabilidades identificando los componentes más
importantes que se vinculan con los activos críticos para tener una visión
general de los posibles puntos de acceso a la información.
• Fase 3: Desarrollo de estrategias y planes de seguridad
En esta fase se crean planes y estrategias de seguridad, después de un
completo análisis de los riesgos presentes en la empresa, en base al
impacto que puedan tener dichos riesgos; impactos que son medidos en
términos de riesgo bajo, medio y alto, estos términos son basados en la
información recolectada en las fases anteriores.
Métodos de Octave
OCTAVE consta de dos métodos adicionales que tienen características
específicas los cuales son:
Octave-s
Está basada completamente en la metodología Octave, pero adaptada para
realizarse en empresas pequeñas de 100 personas o menos. Cumple con los
requisitos de su metodología de origen, pero de forma limitada, es decir, utiliza
procesos simplificados con adaptación a los limitados activos que poseen estas
empresas pequeñas pero que al final producen un tipo de resultado igual que la
metodología principal.
Octave allegro
Mantiene un parecido con la metodología Octave, pero es más simplificada ya que
su enfoque es en la información como el activo central de la evaluación. De esta
forma puede disminuir la probabilidad de que la recopilación de datos se vea
relacionada con activos que no se encuentran definidos como un ente
administrador de la información, o bien, tomar en cuenta activos que necesitan de
un análisis más a fondo como en la metodología Octave.
OSSTMM
El manual de la metodología abierta de testeo de seguridad o por sus siglas en
ingles “Open Source Security Testing Methodology Manual” fue desarrollado por
18
la ISECOM a finales del año 2000 el cual generó un impacto en las empresas de
dicha época por el hecho del auge y crecimiento de los riesgos y amenazas
tecnológicas que crecían exponencialmente debido a la demanda.
Es una de las metodologías usadas en la actualidad para probar la seguridad de
las empresas de forma externa, es decir, se realizan diferentes pruebas en
entornos controlados para poder vulnerar la seguridad de los activos informáticos
escalando desde un usuario sin privilegios a uno con privilegios de administrador
y así tener acceso a la información y control de los sistemas.
Gráfico 4: Secciones de seguridad.
Elaborado por: autores
Fuente: Metodología Osstmm Como se ilustra en el gráfico 4, esta metodología abarca seis secciones de
seguridad las que se desglosan de la siguiente forma:
• Sección A -Seguridad de la Información
En la cual se realiza una revisión de la privacidad y recolección de
documentos e información pertinentes para los fines del análisis.
• Sección B – Seguridad de los Procesos
Aquí se realizan las pruebas hacia el recurso humano confiable de la
empresa y los procesos que estas manejan.
• Sección C – Seguridad en las tecnologías de Internet
19
Testeo de forma general a las conexiones presentes, los protocolos de
comunicaciones usados, reglas de privacidad, denegación de servicio,
entre otras
• Sección D – Seguridad en las Comunicaciones
Pruebas realizadas a los mecanismos de comunicación usados en la
institución como los correos de voz.
• Sección E – Seguridad Inalámbrica
Son analizadas todas las tecnologías que transmitan información de forma
inalámbrica usando protocolos específicos para este fin como las redes
bluetooth, sistemas infrarrojos, radiación electromagnética, etc.
• Sección F – Seguridad Física
Talleres con la finalidad de encontrar vulnerabilidades en el área física
donde residen los activos informáticos de la empresa.
MAGERIT
La metodología de análisis y gestión de riesgos de los sistemas de información
(MAGERIT) es la que va a ser usada en este proyecto de tesis la cual fue
desarrollada en España por el Consejo Superior de Administración Electrónica
(CSAE) “como respuesta a la percepción de que la administración, y, en general,
toda la sociedad, dependen de forma creciente de las tecnologías de la
información para el cumplimiento de su misión.” (Amutio, 2012)
La idea central por la que MAGERIT surgió fue el crecimiento de las tecnologías
de la información, ya que brinda grandes beneficios para las personas que las
usan, pero a la vez traen consigo riesgos que deben ser disminuidos con medidas
de seguridad obtenidas a través de la aplicación de este análisis.
Historia y Desarrollo
MAGERIT fue desarrollada en 1997 donde se lanzó su primera publicación, la
segunda fue en el 2005 con un sin número de mejoras y actualizaciones hasta
consolidarse en la versión 3.0 que fue presentada en el año 2012.
20
La versión 1.0 constaba de 7 libros que funcionaban como una guía de técnicas y
procedimientos que fueron modificados y resumidos en 3 libros de los cuales
consta la versión actual 3.0
En la tabla 2 se especifica la evolución de la metodología MAGERIT:
Tabla 2: Comparación de versiones MAGERIT
MAGERIT versión 1 MAGERIT versión 3
Libro I. Guía de aproximación a la seguridad de los sistemas de información
Libro I – Método
Libro II. Guía de procedimientos Libro I – Método
Libro III. Guía de técnicas Libro III – Guía de Técnicas
Libro IV. Guía para desarrolladores de aplicaciones
Libro I – Método / Capítulo 7 Desarrollo de sistemas de información
Libro V. Guía para responsables del dominio protegible
Libro I – Método
Libro II – Catálogo de Elementos
Libro VI. Arquitectura de la información y especificaciones de la interfaz para el
intercambio de datos
Libro II – Catálogo de Elementos / formatos XML
Libro VII. Referencia de normas legales y técnicas
Libro I – Método / Apéndice 3. Marco legal
Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica
Objetivos de MAGERIT
• Generar una concienciación en los administradores de TI o responsables
de la información en las empresas sobre los riesgos presentes en la
tecnología y la forma en cómo gestionarlos para disminuir el impacto de
los ataques en caso de recibir alguno.
21
• Ofrecer mecanismos para analizar los riesgos que acarrea el uso de las
tecnologías de información y comunicación en las empresas.
• Proporcionar un tratamiento de los riesgos oportuno para evitar que dichos
riesgos se salgan de control y se conviertan en posibles amenazas para
los activos de la empresa.
• “Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.” (Amutio,
2012)
Estructuración de MAGERIT
MAGERIT trae consigo 3 libros:
• Libro 1: Método
• Libro 2: Catálogo de elementos
• Libro 3: Guía de Técnicas.
Libro 1: Método
Se divide en ocho capítulos estructurados de la siguiente forma:
• Introducción. Capítulo 1: representa una introducción al análisis y gestión
de riesgos además de conceptualizar la metodología y su división.
• Visión de conjunto. Capítulo 2: se presentan los conceptos de forma
informal sin profundizar en terminologías específicas. Las actividades de
análisis y el tratamiento de la gestión de riesgos son el eje principal de este
capítulo.
• Método de análisis de riesgos. Capítulo 3: se detallan los pasos y se
especifica el orden de las tareas del análisis de los riesgos.
• Proceso de gestión de riesgos. Capítulo 4: este capítulo describe las
actividades que van a ser realizadas dentro del análisis y gestión del
riesgo.
22
• Proyectos de análisis de riesgos. Capítulo 5: se especializa en los
proyectos que se van a realizar para generar el análisis de riesgos en los
sistemas.
• Plan de seguridad. Capítulo 6: se especifican cuáles serán los pasos que
seguir en los planes de seguridad.
• Desarrollo de sistemas de información. Capítulo 7: vigila y controla desde
el proceso de creación de los sistemas de información hasta su puesta en
marcha velando por que se cumplan los mecanismos de seguridad
correspondientes.
• Consejos prácticos. Capítulo 8: recomendaciones en base a proyectos e
información recopilada que ayuda en la realización del análisis.
Libro 2: Catálogo de elementos
Este libro es una continuación ligada al Libro 1: Método, donde se conocen los
tipos, dimensiones de valoración y criterios de valoración de los activos
empresariales, además de, dar pautas sobre las amenazas típicas y medidas a
considerar para proteger los sistemas.
Dos son los objetivos que denota este libro:
• Dar facilidad a los encargados del proyecto brindando elementos estándar
a los que puedan acudir y por estos centrarse en lo especifico.
• Generalizar los resultados del análisis para promover terminologías y
criterios uniformes y poder comparar análisis ya realizados.
Dentro de este libro se especifica la escala de riesgo de uso general que sugiere
MAGERIT, véase gráfico 5.
23
Gráfico 5: Escala de riesgo
Elaborado por: Consejo Superior de Administración Electrónica
Fuente: Libro 2 de MAGERIT versión 3.0
Libro 3: Guía de Técnicas
Al realizar el análisis de riesgos este libro provee una introducción a diferentes
técnicas que se realizan generalmente para culminar estos proyectos como:
• Sesiones de trabajo: entrevistas, reuniones y presentaciones
• Técnicas específicas para el análisis de riesgos
• Técnicas gráficas
• Análisis mediante tablas
Dentro de este libro MAGERIT sugiere una escala para calificar el valor de los
activos, la magnitud del impacto y la magnitud del riesgo:
• MB: muy bajo
• B: bajo
• M: medio
• A: alto
• MA: muy alto
24
Gráfico 6: Escala de valor de riesgo
Elaborado por: Consejo Superior de Administración Electrónica
Fuente: Libro 3 de MAGERIT versión 3.0
Como se ve en el gráfico 6, aquellos activos que posean una escala de impacto
muy alta (MA) deberían ser objeto de atención inmediata.
Derechos de utilización
“MAGERIT es una metodología de carácter público, perteneciente al Ministerio de
Hacienda y Administraciones Públicas; su utilización no requiere autorización
previa del mismo.” (Secretaría General de Administración, 2012)
PILAR
Es el acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos”
cuya función es la de realizar un análisis de riesgos basándose en la metodología
MAGERIT. Fue desarrollada por el Centro Nacional de Inteligencia en España.
Debido a que es basada completamente en MAGERIT esta herramienta puede
trabajar con todas las fases de la metodología, como la caracterización de los
activos, amenazas; así como el impacto, riesgo y la identificación de las
salvaguardas. La herramienta dispone de poder evaluar el impacto y riesgos de
forma acumulada y residual mostrando los resultados de manera entendible para
que el analista puede sacar sus conclusiones de la manera correcta.
La versión usada en este proyecto es v7.1.9.
25
Los resultados que se generan son presentados en forma de informes, gráficos
estadísticos que muestran el desarrollo de las fases, o en tablas que pueden ser
exportadas para usarse en herramientas de cálculo como Excel.
FUNDAMENTACIÓN LEGAL
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
CÓDIGO ORGÁNICO INTEGRAL PENAL SECCIÓN DELITOS
INFORMÁTICOS
Art. 178 Violación a la intimidad. - La persona que, sin contar con el
consentimiento o la autorización legal, acceda, intercepte, examine, retenga,
grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,
audio y vídeo, objetos postales, información contenida en soportes informáticos,
comunicaciones privadas o reservadas de otra persona tiene una pena privativa
de 1 a 3 años.
Art. 229. Revelación ilegal de bases de datos. - La persona que, en provecho
propio o de un tercero, revele información registrada, contenida en ficheros,
archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema
electrónico, informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad
de las personas, será sancionada con pena privativa de libertad de uno a tres
años. Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será sancionada
con pena privativa de libertad de tres a cinco años.
Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena
privativa de libertad de tres a cinco años:
1. La persona que, sin orden judicial previa, en provecho propio o de un
tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma
un dato informático en su origen, destino o en el interior de un sistema
26
informático, una señal o una transmisión de datos o señales con la
finalidad de obtener información registrada o disponible.
Artículo 232.- Ataque a la integridad de sistemas informáticos. - La persona
que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal
funcionamiento, comportamiento no deseado o suprima datos informáticos,
mensajes de correo electrónico, de sistemas de tratamiento de información,
telemático o de telecomunicaciones a todo o partes de sus componentes lógicos
que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute,
venda o distribuya de cualquier manera, dispositivos o programas
informáticos maliciosos o programas destinados a causar los efectos
señalados en el primer inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura
tecnológica necesaria para la transmisión, recepción o procesamiento de
información en general. Si la infracción se comete sobre bienes
informáticos destinados a la prestación de un servicio público o vinculado
con la seguridad ciudadana, la pena será de cinco a siete años de
privación de libertad.
Artículo 234.- Acceso no consentido a un sistema informático, telemático o
de telecomunicaciones.- La persona que sin autorización acceda en todo o en
parte a un sistema informático o sistema telemático o de telecomunicaciones o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web,
desviar o re direccionar de tráfico de datos o voz u ofrecer servicios que estos
sistemas proveen a terceros, sin pagarlos a los proveedores de servicios
legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.
HIPÓTESIS
¿Se podrán detectar los agujeros de seguridad en la clínica Urdenor con la
aplicación del análisis de riesgos en su infraestructura tecnológica?
27
¿La metodología de análisis y gestión de riesgos de los sistemas de información
ayudará a generar planes de acción para mitigar las vulnerabilidades en la clínica
Urdenor?
VARIABLES DE INVESTIGACIÓN
Variable Independiente: Análisis de riesgos
Variable dependiente: Infraestructura tecnológica de la clínica Urdenor.
DEFINICIONES CONCEPTUALES
Riesgos
“Es la probabilidad latente de que ocurra un hecho que produzca ciertos efectos,
la combinación de la probabilidad de la ocurrencia de un evento y la magnitud del
impacto que puede causar, así mismo es la incertidumbre frente a la ocurrencia
de eventos y situaciones que afecten los beneficios de una actividad” (Escuela
Penitenciaria Nacional, 2018)
Vulnerabilidades
Está íntimamente relacionado con el riesgo y la amenaza, se puede definir como
la debilidad o grado de exposición de objeto o sistema a dichas amenazas.
Análisis de riesgos
“El análisis del riesgo establece la probabilidad de ocurrencia de los riesgos y el
impacto de sus consecuencias, calificándolos y evaluándolos para obtener
información para así establecer el nivel de riesgo y las acciones a implementar.”
(Domínguez, 2015)
Infraestructura tecnológica
Es el conjunto de aplicaciones, dispositivos que brindan un servicio determinado
necesario para las actividades de una empresa que es gestionado a través de
equipos, máquinas y software.
28
Pilar
“Consiste en una aplicación informática que compila los activos del sistema, sus
relaciones de interdependencia y su valor para la organización. Conocido el
sistema, permite introducir las amenazas posibles en los aspectos de
disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad, para
derivar los riesgos potenciales sobre el sistema.” (Secretaría General de
Administración, 2012)
29
CAPÍTULO III
PROPUESTA TECNOLÓGICA
ANÁLISIS DE FACTIBILIDAD
Este proyecto busca analizar la infraestructura tecnológica de la cínica Urdenor
con la finalidad de identificar la vulnerabilidades y amenazas que pueden
encontrarse en dicho lugar, usando una metodología de análisis y gestión de
riesgos (MAGERIT). Dado que, luego de haber realizado una visita técnica a la
clínica y mantener un diálogo con la autoridad de esta institución, se realizó un
estudio que permitió reconocer los posibles problemas a los que estaría expuesta
la infraestructura tecnología.
Con este análisis se busca identificar y valorar los activos que posee la empresa
para de esa forma conocer el impacto que podrían causar diversas amenazas.
Gracias al apoyo brindado por las autoridades de la clínica es factible realizar este
proyecto de titulación con nombre: “Análisis, diseño y simulación de un prototipo
de plan de acción a través de un análisis de riesgos de los sistemas de información
con MAGERIT para identificar y proponer una solución en la clínica Urdenor de
Guayaquil”. Dándome así acceso a la institución y a los activos que se
mencionarán para realizar este proyecto.
Este proyecto se realiza tomando en cuenta 4 aspectos importantes como son:
• Factibilidad Operacional
• Factibilidad Técnica
• Factibilidad Legal
• Factibilidad Económica
FACTIBILIDAD OPERACIONAL
El proyecto propuesto a la clínica Urdenor cuenta con la aprobación y apoyo de
las autoridades y personal administrativo los cuales aseguran que: el conocer y
saber cómo actuar ante situaciones que posiblemente puedan presentarse es de
suma importancia ya que en este lugar se maneja información de carácter
sensible, privado y vital para la salud y recuperación de los pacientes.
30
Por ello el fin perseguido por este proyecto es la de dar a conocer las acciones a
tomar en cuenta al momento de querer eliminar o disminuir las amenazas que
pueden presentarse en la parte tecnológica de la clínica.
FACTIBILIDAD TÉCNICA
Para llevar a cabo el proyecto se cuenta con las herramientas de hardware, en
este caso son los activos de la clínica que se identificarán en las etapas de la
metodología, a los cuales se tiene acceso sin restricciones exclusivamente para
el ámbito de desarrollo del proyecto. Los elementos de software usados son las
herramientas que nos provee MAGERIT que es la metodología de estudio y la
herramienta PILAR que nos permitirá realizar el desarrollo de las etapas que
conllevan un análisis de vulnerabilidades, dicha herramienta es de uso gratuito
basada en la metodología MAGERIT.
En el gráfico 7 se presenta el diseño de la red actual de la Clínica Urdenor
permitiendo poder identificar sus activos informáticos más relevantes.
Gráfico 7: Diseño actual de la red
Elaborado por: Grijalva Esteban
Fuente: Datos del proyecto.
FACTIBILIDAD LEGAL
El análisis de riesgos que se realiza en la clínica Urdenor no infringe ni viola las
leyes actuales de la república del Ecuador, debido a que la finalidad de este trabajo
31
es de identificar y dar a conocer a los directivos de esta prestigiosa clínica las
amenazas a las que está expuesto para así puedan tomar medidas guiándose de
las sugerencias que este trabajo brindará como resultado.
Las herramientas usadas en la realización de este proyecto no infringen leyes
algunas ya que son de uso libre.
Toda documentación e información está debidamente citada para no violentar los
derechos de autor de algún libro, tesis o método de información elegido en este
trabajo.
FACTIBILIDAD ECONÓMICA
El presente proyecto de análisis de riesgos es factible económicamente ya que
no incurre en gastos para la clínica Urdenor porque se utilizan herramientas de
uso libre, como lo es la metodología MAGERIT y el equipamiento de hardware
es propiedad del autor que realiza el proyecto.
ETAPAS DE LA METODOLOGÍA DEL PROYECTO
Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información (MAGERIT)
MAGERIT es la metodología implementada en este proyecto y consta 4 fases
principales con subdivisiones que buscan lograr el objetivo deseado, dichas fases
se detallan en el gráfico 8 y se desarrollaran conforme lo establece el libro Método
de la metodología MAGERIT.
El uso de la herramienta PILAR en el desarrollo del análisis permitirá simular el
accionar de las salvaguardas ante las amenazas dando como resultado la
estimación del impacto y el riesgo al cual pueden ser sometidos los activos de la
clínica. Dicha simulación se verá reflejada en los gráficos correspondientes a cada
fase del desarrollo de la metodología.
32
Gráfico 8: Método de análisis de riesgos
Elaborado por: Consejo Superior de Administración Electrónica
Fuente: Libro 2 de MAGERIT versión 3.0
MAR.1 – CARACTERIZACIÓN DE LOS ACTIVOS
MAR.11 – Identificación de los activos
Identificar los activos que componen el sistema, determinando sus características,
atributos y clasificación en los tipos determinados. (Amutio, 2012)
En esta tarea se identifican los activos que forman parte de la infraestructura
tecnológica de la clínica Urdenor, es de gran importancia ya que es el punto de
partida para las demás actividades.
En el gráfico 9 se denota la composición general de los activos en la clínica
Urdenor.
33
Gráfico 9: Identificación de activos
Elaborado por: Grijalva Esteban
Fuente: Datos del proyecto.
Los datos fueron clasificados de la siguiente manera:
• Equipamiento
• Instalaciones.
• Personal.
• Equipamiento auxiliar.
• Servicios Internos.
Esta clasificación de activos se desglosa de la siguiente forma:
[E] Equipamiento
[SW] Software
• Ofimáticos: Herramientas usadas por el personal para desarrollar sus
labores diarias en materia de reportes, citas médicas, certificados, etc.
• Antivirus: Software free de protección ante virus y software malicioso
• Sistema Operativo: Considerados para que el personal realice sus labores
diarias.
34
• Navegador: Para realizar actividades que dependan del uso de la red de
internet.
• Sistema Administrativo: Denominado SIGACT (Sistema Integrado de
Gestión Administrativa y Contable) es el software usado para manejar
temas administrativos y contables dentro de la empresa.
[HW] Hardware
• Switch LAN: Cumple la función de mantener conectada internamente a la
empresa.
• Router: Provee la conexión hacia internet para los usuarios.
• Servidor de Base de Datos: Se guardan los registros y datos ingresados
en el sistema de administración.
• Computadoras Personales: Para realizar las labores diarias del personal
administrativo y doctores.
• Medios de Impresión: Considerados para imprimir informes, fichas
médicas, etc.
[COM] Comunicaciones
• Red de datos LAN: Posibilita el intercambio de información entre activos
informáticos dentro de la clínica.
• Red de datos WLAN: Posibilita el intercambio de información vía
inalámbrica entre activos informáticos dentro de la clínica.
[I] Instalaciones
• Edificio: Lugar físico donde se encuentra establecida la clínica.
• Ambulancia: Activo que tiene sus funciones específicas.
[P] Personal
• Administrativo: Administran de forma general a la clínica.
• Limpieza: Realizan labores de limpieza y saneamiento de las instalaciones.
• Doctores: Cumplen la finalidad de la clínica la cual es mejorar la calidad de
vida de los pacientes.
[AUX] Elementos Auxiliares
• Cableado general: Caracterizado por el tendido de los cables LAN y
eléctricos en las instalaciones.
• Climatización: Funcional para todas las áreas de la clínica.
35
• Sistemas de alimentación ininterrumpida (UPS): Considerado para cuando
la corriente eléctrica deja de llegar a la clínica.
[IS] Servicios internos
• Telefonía interna: PBX para intercomunicar las diferentes áreas y personal
de la empresa.
• Internet: Recurso usado para diferentes fines.
• Servicio de vigilancia: Funcional para vigilar las actividades de los clientes
y personal de la clínica.
Con la ayuda de la herramienta PILAR se crea un nuevo proyecto ingresando los
activos que fueron identificados previamente para posterior definir dependencias
y valores a los activos, como se ve en el gráfico 10 los activos han sido ingresados
en PILAR.
Gráfico 10: Activos en la herramienta PILAR
Elaborado por: Grijalva Esteban
Fuente: Herramienta PILAR v7.1.9
36
MAR.12 – Dependencias entre activos
Las dependencias de los activos son usadas para propagar el valor que
representan los activos más prioritarios hacia los activos de menor jerarquía.
En los gráficos 11 y 12 se denota que los equipos de hardware mantienen bajo su
nivel a las computadoras y servidor de base de datos, estos a su vez se mantienen
vinculados con el software que modela los datos generados por las actividades de
la clínica.
Gráfico 11: Dependencia de los activos
Elaborado por: Grijalva Esteban
Fuente: Datos del proyecto
37
Gráfico 12: Dependencia de los activos en mapa de buses en PILAR
Elaborado por: Grijalva Esteban
Fuente: Herramienta PILAR v7.1.9
Gráfico 13: Código de colores para la dependencia de activos en PILAR
Elaborado por: Grijalva Esteban
Fuente: Herramienta PILAR v7.1.9
El proceso de dependencia de activos es uno de los pasos iniciales cuando se
utiliza la herramienta PILAR que permite comprobar las relaciones directas de los
sistemas con el equipamiento e indirecta con los elementos auxiliares para
administrar la información.
38
MAR.13 – Valoración de los activos
La valoración de activos es un paso esencial para entender lo que vale un activo
indistinto de lo que este pueda costarle a empresa, este proceso determina si se
puede o no prescindir de un activo, en caso de que una amenaza o la finalización
del tiempo de vida de un activo cause alguna perdida para la empresa significa
que dicho elemento tiene valor, por lo tanto, merece una valoración.
Cuando existe una dependencia entre los activos, los centrales como la
información, datos o el sistema de administración de datos son los de mayor
estimación para la empresa.
La valoración de los activos puede ser cuantitativa, por medio de una cantidad
numérica o cualitativa a través de una escala de valores.
En este análisis, usando la herramienta PILAR, la valoración se realizó en base a
una escala de valores representada en el gráfico 14, donde los criterios van desde
un nivel 10, en el cual la valoración ante la pérdida de un activo por alguna
amenaza es alta y crítica para la empresa; hacia un nivel 0 que representa
pérdidas despreciables o nulas para la clínica.
Gráfico 14: Escala de valoración de los activos.
Elaborado por: Grijalva Esteban Fuente: Metodología MAGERIT.
En la tabla 3 se observa la valoración de los activos bajo los criterios de [D]
Disponibilidad, [I] Integridad, [C] Confiabilidad.
39
Tabla 3: Valoración de los activos ACTIVOS [D] [I] [C]
[IS] Servicios internos
[TLPH-URD] Telefonía Interna [4]
[4]
[INT-URD] Internet [7] [2]
[VIG-URD] Servicio Vigilancia [5]
[E] Equipamiento
[SW] Aplicaciones
[OFI-URD] Ofimáticos
[7] [6]
[ANT-URD] Antivirus
[8]
[SO-URD] Sistema Operativo [8] [4]
[NAV-URD] Navegador [2]
[6]
[OTRO- URD] Otros [2] [1]
[SIGAC-URD] Sistema Administrativo
[HW] Equipos
[SW-URD] Switch LAN [6]
[RO-URD] Router [7] [2]
[SRVBD-URD] Servidor de Base de Datos [9]
[9]
[PC-URD] Computadoras Personales [7] [3]
[IMP-URD] Medios de Impresión [1]
[COM] Comunicaciones
[WLAN-URD] RED DE DATOS WIFI [2]
[LAN-URD] RED DE AREA LOCAL [7]
[L] Instalaciones
[BUILDING-URD] Edificio [9] [3]
[AMB-URD] Ambulancia [9]
[P] Personal
[PERSONAL-URD] ADMINISTRATIVO
[7]
[PERSONA-URD] LIMPIEZA [5]
[2]
[DOC-URD] Doctores [10] [7]
[AUX] Elementos Auxiliares
[CAB-URD] Cableado General
[6]
[AC-URD] Climatización [7]
[3]
[UPS-URD] Sistema de alimentación ininterrumpida
[3]
Fuente: PILAR v 7.1.9 Autor: Grijalva Esteban
MAR.2 – CARACTERIZACIÓN DE LAS AMENAZAS
Las amenazas son eventos que pueden ocurrir y causar daños a los activos de la
empresa; por ello las amenazas fueron clasificadas por su forma: accidental o
intencional.
Cuando una amenaza es intencional se da por causas como robo, accesos no
permitidos, extorsión manipulación, entre otras.
Y cuando se menciona amenazas accidentales se tiene las causadas por
situaciones:
40
• Naturales: desastres naturales, fuegos, daños por agua, etc.
• Industriales: contaminación industrial, corte suministro eléctrico, etc.
• Humanas: errores u omisiones.
En la herramienta PILAR las amenazas se rigen bajo la metodología MAGERIT la
cual clasifica en grupos:
• [N] Desastres naturales
• [I] De origen industrial
• [E] Errores y fallos no intencionados
• [A] Ataques intencionados
Tomando en cuenta este grupo se realiza la identificación de las amenazas en los
activos ya especificados.
MAR.21 – Identificación de las amenazas
Tabla 4: Identificación de amenazas
[E] Equipamiento [SW] Aplicaciones [SIGAC-URD] Sistema Administrativo
[E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.4] Errores de configuración [E.15] Alteración de la información [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualización de programas
(software) [HW] Equipos [RO-URD] Router
[I.6] Corte del suministro eléctrico [I.7] Condiciones inadecuadas de temperatura o humedad [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.24] Caída del sistema por agotamiento de recursos [A.11] Acceso no autorizado [A.24] Denegación de servicio
[SRVBD-URD] Servidor de Base de Datos [I.7] Condiciones inadecuadas de temperatura o humedad [E.3] Errores de monitorización (log) [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.24] Caída del sistema por agotamiento de recursos [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.11] Acceso no autorizado [A.24] Denegación de servicio
[COM] Comunicaciones [WLAN-URD] Red de datos inalámbrica
41
[I.8] Fallo de servicios de comunicaciones [E.2] Errores del administrador del sistema / de la seguridad [E.10] Errores de secuencia [A.5] Suplantación de la identidad [A.11] Acceso no autorizado [A.14] Interceptación de información (escucha) [A.15] Modificación de la información
Fuente: PILAR v 7.1.9 Autor: Grijalva Esteban
En la tabla 4 se especifica una parte de las amenazas generales a las que están
expuestos los activos de la clínica Urdenor, en el Anexo 2 se encuentra el detalle
de todas las amenazas encontradas.
MAR.22 – Valoración de las amenazas
Cuando un activo es perjudicado por una amenaza no siempre afecta todas sus
dimensiones (disponibilidad, integridad, confidencialidad). Teniendo en cuenta
que los activos pueden sufrir daños por causa de las amenazas se debe valorar a
estos en dos sentidos:
• Degradación: denota cuan perjudicado puede resultar un activo por las
amenazas.
• Frecuencia: cada cuánto se concreta una amenaza.
Las consecuencias de probabilidad que se materialice de una amenaza se
describen en la tabla 5:
Tabla 5: Tabla de probabilidad MAGERIT
Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica
potencial probabilidad nivel facilidad frecuencia
XL extragrande
CS casi seguro
MA muy alto
F fácil
100
L grande
MA muy alta
A alto
M medio
10
M medio
P posible
M medio
D difícil
1
S pequeño
PP poco probable
B bajo
MD muy difícil
0,1
XS muy
pequeño
MR muy rara
MB muy bajo
ED extremadamen
te difícil 0.01
42
Las consecuencias de degradación que se materialice de una amenaza se
describen en la tabla 6:
Tabla 6: Tabla de degradación MAGERIT
nivel porcentaje
T - total 100%
MA - muy alta 90%
A – alta 50%
M – media 10%
B – baja 1%
Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica
Gráfico 15: Valoración de las amenazas
Elaborado por: Grijalva Esteban
Fuente: PILAR v 7.1.9
En el gráfico 15 se evidencian parte de todas las amenazas generales
asignándose los valores de degradación y probabilidad, el resto de las amenazas
puede verse en el anexo 3; podemos destacar las amenazas que mantienen una
valoración alta:
• Caída del sistema por agotamiento de recursos. - Genera pérdidas, en
cuanto a, información y tiempos de respuesta hacia los clientes; este
43
genera un impacto directo en la disponibilidad de la información, que puede
convertirse en algo crítico en caso de requerir, por ejemplo, de urgencia
algún dato para un paciente.
• Denegación de servicios. – Afecta directamente a la disponibilidad de los
sistemas, servidor que funcionan diariamente en la clínica, este tipo de
amenaza es común en la mayoría de los sistemas, pero no deja de generar
un impacto alto en las actividades del negocio.
• Difusión de software dañino. – Incide en la integridad de la información que
se encuentra alojada en las computadoras del personal y servidor.
• Errores de los usuarios. – Pueden afectar tanto al hardware como el
software, además de poder generar inconvenientes al momento de
ingresar información por falta de procedimientos no establecidos.
• Ingeniería social. – Dada por personas externas a la institución que
manipulan a sus objetivos con la finalidad de obtener información y así
cumplir sus metas específicas.
Después de una completa identificación y valoración de las amenazas, se procede
a simular por medio de la herramienta PILAR la importancia que tienen las
salvaguardas en los activos, brindando una valoración que permite observar la
medida del impacto y riesgo sobre los activos.
MAR.3 – CARACTERIZACIÓN DE LAS SALVAGUARDAS
“Se definen las salvaguardas o contra medidas como aquellos procedimientos o
mecanismos tecnológicos que reducen el riesgo.” (Amutio, 2012)
MAR.31 – Identificación de las salvaguardas pertinentes
Para poder caracterizar las salvaguardas que permitirán reducir los riesgos es
necesario entender tres partes principales de estas: el aspecto, el tipo de
protección, el peso relativo.
El aspecto que tratan las salvaguardas indica la relación que tienen éstas con las
amenazas que van a ser aplacadas.
44
• G para Gestión
• T para Técnico
• F para seguridad Física
• P para gestión del Personal
El tipo de protección indica que estrategia tendrá la salvaguarda ante los
incidentes para disminuir las amenazas.
• PR (prevención): Disminuye las oportunidades de que un incidente ocurra,
es decir, en caso de que la salvaguarde no funcione y ocurra un incidente
los daños serán los mismos.
• EL (eliminación): Son aquellas que cumplen su función antes de que los
acontecimientos sucedan, es decir, impide que los incidentes tengan lugar.
• IM (minimización del impacto): Limita las consecuencias de los accidentes,
por ejemplo, en caso de un ataque desconecta los equipos de
comunicación o detiene los servicios.
• CR (corrección): Son correctivas porque actúan después de producirse un
daño, pero lo repara reduciendo así su impacto, por ejemplo, una línea de
comunicación alternativa o redundancia.
• RC (recuperación): Es una salvaguarda que permite volver al estado
anterior de un incidente, por ejemplo, un backup o respaldo de información.
• AD (administrativa): Pueden considerarse medidas preventivas como los
inventarios de activos, análisis de riesgos, etc.
• AW (concienciación): Aquellas llamadas a capacitar al personal
relacionado con los sistemas de información de las empresas, es decir,
mantener capacitado al personal con cursos, por ejemplo.
45
• DC (detección): Sirve como detección de las amenazas que se están
materializando en un determinado momento como los sensores que
detectan incendios o antivirus.
El peso relativo es la importancia relativa que mantiene una salvaguarda, que se
identifica con la simbología de la tabla 7.
Tabla 7: Peso relativo
máximo peso crítica
peso alto muy importante
peso normal importante
peso bajo interesante
aseguramiento: componentes certificados
Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica
Gráfico 16: Identificación de las salvaguardas
Elaborado por: Grijalva Esteban Fuente: PILAR v 7.1.9
En el gráfico 16 se identifican las salvaguardas generadas por la herramienta
PILAR que se deberán tomar en cuenta en el análisis de riesgos para que así las
amenazas no generen tanto daño, el resto de salvaguardase están especificadas
en el anexo 4.
46
MAR.32 – Valoración de las salvaguardas
Las salvaguardas son medidas por la eficacia en su protección que van desde un
0% para aquellas que no se cumplen o no existen, y un 100% para las que están
perfectamente implementadas y son precisas para su función. Por ello son
medidas por una escala de madurez para demostrar el efecto que tienen estás
sobre los activos, en la tabla 8 se detallan los niveles de madurez de las
salvaguardas.
Tabla 8: Nivel de Madurez de las salvaguardas
Nivel Valor Significado
0% L0 - Inexistente Procedimiento: No se realiza.
Elemento: No se tiene. Documento: No se tiene.
L1 - Inicial / ad hoc
Procedimiento: Se está empezando a hacer, o sólo lo hacen algunas personas.
Elemento: Se tiene, pero no se usa apenas. Documento: Se está preparando su elaboración.
L2 - Reproducible,
pero intuitivo
Procedimiento: Todos lo hacen igual, pero no está documentado.
Elemento: Se tiene, pero se está terminando de afinar. Documento: Se está elaborando.
L3 - Proceso definido
Procedimiento: Todos lo hacen igual y está documentado.
Elemento: Se tiene y funciona correctamente. Documento: Se tiene.
L4 - Gestionado y
medible
Procedimiento: Se obtienen indicadores. Elemento: Se obtienen indicadores.
Documento: Se obtienen indicadores.
100% L5 - Optimizado
Procedimiento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.
Elemento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.
Documento: Se revisa el mismo y los indicadores, se proponen mejoras y se aplican.
Fuente: Metodología MAGERIT Autor: Consejo Superior de Administración Electrónica
47
Gráfico 17: Medida de las salvaguardas
Elaborado por: Grijalva Esteban Fuente: PILAR v 7.1.9
En el gráfico 17 se especifica la medida que tienen las salvaguardas en la clínica
donde actualmente la eficacia de estas están en un nivel L0 – L2, lo que significa
que las salvaguardas que se usan no están bien ejecutadas, mal documentadas,
tienen falta de fundamentos, o bien no existen.
Gracias al análisis que se ha realizado se tiene como objetivo aplicar salvaguardas
que permitan elevar el nivel de eficacia a L2 – L4, lo que conlleva a que los
procesos de gestión de salvaguardas se empiecen a aplicar debidamente
documentados, manteniendo indicadores que permitan identificar las fallas y
avances en la gestión.
MAR.4 – ESTIMACIÓN DEL ESTADO DE RIESGO
MAR.41 – Estimación del impacto
“El Impacto Acumulado (potencial), al que está expuesto el área teniendo en
cuenta el valor de los activos y la valoración de las amenazas; pero no las
salvaguardas actualmente desplegadas.” (Amutio, 2012)
El impacto acumulado está caracterizado por evidenciar, bajo una tabla de niveles,
el valor que tienen los activos que se han tratado en este proyecto, sumado a esto
el valor dado a las amenazas identificadas, obteniendo así datos que permiten
observar el impacto que reciben los activos sin la aplicación de las salvaguardas
identificadas en el proceso.
48
En el gráfico 18 se presenta la escala de valor usada para darle una medida al
impacto.
Gráfico 18: Escala de valor del impacto
Elaborado por: Grijalva Esteban Fuente: PILAR v 7.1.9
En la tabla 9 se identifica el impacto acumulado, que se encuentra divido en tres
secciones:
• El impacto potencial
• El impacto actual
• El impacto objetivo
Cada uno de estos impactos nos muestra resultados diferentes poniendo en
evidencia la complicada situación actual del impacto de los activos contra lo que
se busca o se espera en dichos activos.
Tabla 9: Impacto Acumulado Impacto Potencial Impacto Actual Impacto Objetivo
[E] Equipamiento [9] [8] [9] [7] [6] [8] [4] [3] [5]
[SW] Aplicaciones [9] [8] [9] [7] [6] [7] [4] [3] [4]
[OFI-URD] Ofimáticos [8] [7] [9] [6] [5] [7] [3] [2] [4]
[ANT-URD] Antivirus [8] [8] [9] [6] [6] [7] [3] [3] [4]
[SO-URD] Sistema Operativo [8] [6] [9] [6] [4] [7] [3] [1] [4]
[SIGAC-URD] Sistema Administrativo [9] [6] [9] [6] [4] [7] [3] [1] [4]
[HW] Equipos [9] [6] [9] [7] [5] [8] [4] [2] [5]
[SW-URD] Switch LAN [9] [3] [3] [7] [2] [2] [4] [0] [0]
[RO-URD] Router [9] [3] [3] [7] [2] [2] [4] [0] [0]
[SRVBD-URD] Servidor de Base de Datos [9] [6] [9] [7] [5] [8] [4] [2] [5]
[COM] Comunicaciones [8] [4] [2] [7] [3] [1] [3] [0] [0]
[WLAN-URD] RED DE DATOS WIFI [8] [4] [2] [7] [3] [1] [3] [0] [0]
[LAN-URD] RED DE AREA LOCAL [8] [4] [2] [7] [3] [1] [3] [0] [0]
Fuente: Herramienta PILAR Autor: Grijalva Esteban
49
En el anexo 5 se detalla el impacto acumulado.
“El Impacto Repercutido (residual), al que está expuesto el área teniendo en
cuenta el valor de los activos y la valoración de las amenazas, así como la eficacia
de las salvaguardas actualmente desplegadas.” (Amutio, 2012)
Cuando se toman en cuenta los valores del impacto repercutido se utiliza la misma
valoración dada en el impacto acumulado, con la diferencia de que los valores
cambian porque se toma en cuenta la implementación de las salvaguardas como
se puede observar en la tabla 10.
Tabla 10: Impacto Repercutido
Impacto Potencial Impacto Actual Impacto Objetivo D I C D I C D I C
[OFI-URD] Ofimáticos [7] [6] [5] [4] [2] [1]
[ANT-URD] Antivirus [8] [6] [3]
[SO-URD] Sistema Operativo [7] [4] [5] [2] [2] [0]
[SIGAC-URD] Sistema Administrativo
[SW-URD] Switch LAN [6] [4] [1]
[RO-URD] Router [7] [0] [5] [0] [2] [0]
[SRVBD-URD] Servidor de Base de Datos [6] [9] [4] [8] [1] [5]
[WLAN-URD] RED DE DATOS WIFI [2] [0] [0]
[LAN-URD] RED DE AREA LOCAL [7] [5] [2]
Fuente: Herramienta PILAR Autor: Grijalva Esteban
En el anexo 6 se detalla el impacto repercutido.
MAR.42 – Estimación del riesgo
“Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo
el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más
que tener en cuenta la probabilidad de ocurrencia.” (Amutio, 2012)
Como se puede apreciar en el gráfico 19 el riesgo aumenta conforme al impacto
y la probabilidad, distinguiendo esto por sectores establecidos como:
50
Gráfico 19: Estimación del riesgo
Fuente: Libro 1 de MAGERIT versión 3.0 Autor: Consejo Superior de Administración Electrónica
• Sector 1: riesgos altamente probables y de impacto elevado.
• Sector 2: engloba situaciones que van desde las poco probables y de
impacto medio hasta las altamente probables, pero de impacto reducido.
• Sector 3: riesgos poco probables y de impacto reducido.
• Sector 4: riesgos poco probables, pero de impacto elevado
Los riesgos que se presentan son regidos bajo la escala representada en el gráfico
20 conocida como niveles de criticidad.
Gráfico 20: Niveles de criticidad
Fuente: Herramienta PILAR Autor: Consejo Superior de Administración Electrónica
51
Así como en el impacto, en el riesgo existen dos diferenciaciones. El riesgo
acumulado y el repercutido.
• El riesgo acumulado hace referencia al impacto acumulado más la
probabilidad de que una amenaza se materialice, véase en la tabla 11.
• El riesgo repercutido es cuando se toma en cuenta el impacto repercutido
que tienen los activos y la probabilidad de la amenaza, véase en la tabla
12.
El detalle del riesgo acumulado y repercutido puede verse en los anexos 7 y 8
respectivamente.
Tabla 11: Riesgo Acumulado
Riesgo Potencial Riesgo Actual Riesgo Objetivo D I C D I C D I C
[E] Equipamiento {6,6} {7,3} {7,5} {5,7} {5,7} {6,0} {2,6} {2,8} {3,1}
[SW] Aplicaciones {6,6} {7,3} {7,5} {4,7} {5,7} {6,0} {2,0} {2,8} {3,1}
[OFI-URD] Ofimáticos {5,7} {5,1} {6,2} {3,8} {3,4} {4,6} {1,1} {0,90} {1,7}
[ANT-URD] Antivirus {6,4} {7,3} {7,5} {4,7} {5,7} {6,0} {1,8} {2,8} {3,1}
[SO-URD] Sistema Operativo {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}
[SIGAC-URD] Sistema Administrativo {6,6} {5,9} {6,0} {4,7} {4,7} {4,9} {2,0} {2,1} {2,3}
[HW] Equipos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}
[SW-URD] Switch LAN {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}
[RO-URD] Router {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}
[SRVBD-URD] Servidor de Base de Datos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}
Fuente: Herramienta PILAR Autor: Grijalva Esteban
Tabla 12: Riesgo Repercutido
Riesgo Potencial Riesgo Actual Riesgo Objetivo D I C D I C D I C
[OFI-URD] Ofimáticos
{5,1} {4,5}
{3,4} {2,9}
{0,90} {0,79}
[ANT-URD] Antivirus
{7,3}
{5,7}
{2,8}
[SO-URD] Sistema Operativo {5,1} {3,3}
{3,2} {1,6}
{0,90} {0,55}
[SIGAC-URD] Sistema Administrativo
[SW-URD] Switch LAN {4,8}
{3,3}
{0,96}
[RO-URD] Router {5,4} {0,87}
{3,8} {0,60}
{1,4} {0,08}
[SRVBD-URD] Servidor de Base de Datos {4,8}
{7,5} {3,3}
{6,0} {0,96}
{3,1}
Fuente: Herramienta PILAR Autor: Grijalva Esteban
52
ENTREGABLES DEL PROYECTO
Se detalla el plan de acción sugerido a las autoridades y encargados competentes
en la clínica Urdenor para hacer frente ante las amenazas encontradas en los
activos informáticos tomando como apoyo la normativa internacional ISO 27002.
PLAN DE ACCIÓN PARA LA CLÍNICA URDENOR
El objetivo principal de este plan de acción es que estos pasos, detallados a
continuación, sean tomados en cuenta en la gestión de la seguridad en la clínica
Urdenor para así poder mejorar el estado actual de los activos informáticos en
medidas de seguridad.
Este plan está provisto a realizarse en la clínica Urdenor, para el área de los
sistemas de información, y las áreas que mantengan relación con esta. Todo el
personal de la empresa tendrá parte en las acciones a tomarse, debido a que, hay
ciertas recomendaciones que todo el personal debe cumplir.
1 - SEGURIDAD LÓGICA
1.1 IDENTIFICACIÓN – ID
Cada usuario es responsable del mecanismo de acceso asignado, es decir, su
“ID” login de usuario y contraseña necesarios para acceder al sistema
integrado de gestión administrativa y contable (SIGACT), aplicativos y correos
por lo que se deberá mantener de forma confidencial.
Cada empleado debe contar con su usuario y contraseña para el ingreso a los
sistemas de información.
Los usuarios son responsables de todas las actividades llevadas a cabo con
su código de usuario y clave personal.
Para que un usuario pueda tener acceso al SIGACT debe establecerse un
proceso formal que contenga los siguientes datos:
• ID de usuario, valor único.
• Contraseña única de usuario.
• Nombres y apellidos completos.
53
• Tiempo de expiración de la contraseña.
• Rol que tendrá dentro del sistema.
A los usuarios del SIGACT y del equipamiento en general que requieran un
inicio de sesión o ingreso debe asignárseles permisos mínimos y específicos
para que el personal realice sus actividades laborales de forma correcta dentro
de la clínica Urdenor tomando en cuenta que:
• No pueden ingresar a los sistemas en horarios no laborales
establecidos en sus contratos.
• Deben ser desactivadas las cuentas de usuarios que se encuentren en
vacaciones o con licencias médicas debidamente notificadas.
• Debe existir un control sobre las estaciones de trabajo autorizadas (Pc
/ computadoras) para las conexiones de los usuarios.
El administrador del sistema o la persona encargada de dicha función deberá
realizar verificaciones periódicas de los usuarios creados en el sistema
chequeando así que existan solo cuentas permitidas.
1.2 USUARIOS
El área de recursos humanos debe notificar al administrador del sistema los
cambios de personal que se produzcan para dar de baja al usuario y
contraseña que dicho personal haya poseído.
Las computadoras del personal deben tener en configuración que al término
de un tiempo determinado (recomendado 5 minutos) se debe cerrar la sesión
del usuario actual.
En medida de lo posible se debe evitar la creación de usuarios con máximos
privilegios de lectura, creación, modificación o eliminación, ya que esos
privilegios solo deben ser manejados por el administrador.
Para crear nuevas cuentas de usuario, se debe realizar un escrito
especificando los motivos de la creación y firmado por el empleado a quien se
le crea la cuenta.
Los usuarios deben informar inmediatamente al área o persona encargada que
corresponda dentro de la clínica toda vulnerabilidad encontrada en los
54
sistemas, aparición de virus o programas sospechosos e intentos de
intromisión y no deben distribuir este tipo de información interna o
externamente.
Los usuarios solo pueden instalar software en sus computadores o en
servidores con una debida autorización.
Los funcionarios no deben alterar, destruir, copiar o distribuir los archivos o
datos de la Clínica Urdenor sin los permisos respectivos.
1.3 CONTRASEÑA
En la actualidad existen organismos y entidades encargadas de estandarizar
la creación de contraseñas de los cuales se toman como referencia las
siguientes consideraciones:
• La contraseña de verificación de identidad no debe ser común o fácil
de adivinar.
• La fecha de expiración de la contraseña deberá ser de 3 meses. El
sistema exigirá automáticamente el cambio, una vez cumplido el plazo.
• Ser de al menos 8 caracteres de longitud.
• Se deben combinar caracteres alfabéticos y no alfabéticos (números,
signos de puntuación o caracteres especiales).
• La contraseña no deberá contener el nombre de la empresa, el nombre
del usuario, ni palabras reservadas.
Bloquear el perfil de todo usuario que haya intentado acceder al sistema en
forma fallida por más de cinco veces consecutivas.
No contener su ID de usuario como parte la contraseña.
En caso de que renueve la contraseña debe ser distinta a por lo menos las
últimas cuatro utilizadas.
El usuario no debe guardar su contraseña en una forma legible en archivos en
texto y tampoco debe escribirla en papel ni dejarla en sitios donde pueda ser
vista.
55
2 SEGURIDAD EN LAS TELECOMUNICACIONES
2.1 PROPIEDAD DE LA INFORMACIÓN
Los datos que sean ingresados, los mensajes, los respaldos de información,
toda la información en general creada dentro de la empresa, se considera
propiedad de la clínica Urdenor y no de los empleados.
2.2 USO DE LOS SISTEMAS DE COMUNICACIÓN
Todo recurso de comunicación que pertenezca a la clínica Urdenor debe ser
usado para actividades laborales, en caso de que, el uso sea de forma
personal será permitido siempre que no afecte, disminuya o consuma el tiempo
y recursos de la empresa.
2.3 RED DE DATOS
El uso de las redes de datos de la clínica es esencial por lo cual es necesario
documentar toda información como:
• El tráfico de datos entrante y saliente.
• El ancho de banda que se utiliza regularmente.
• Intentos de penetración (intrusión).
• El estado de los recursos utilizados por el servidor.
• Cantidad de puntos de red.
• Estado físico de la red.
• Cantidad de usuarios conectados a la red
Cada vez que se instale un nuevo hardware o software que tenga relación con
la red de datos, cambio de algún implemento o configuración como: cambio de
direcciones ip, cambio de números de extensiones, restauración del switch o
router, entre otros, deberá estar debidamente aprobado y/o realizarse por el
administrador o persona encargada de los sistemas de información.
Se deberá realizar la documentación del estado de la red de datos, así como
los diagramas físicos y lógicos de la misma.
Mantener redundancia con enlaces de internet en caso de falla en la conexión
a internet principal.
56
El direccionamiento interno de la empresa no debe ser visible a las conexiones
externas.
Todas las líneas que permitan el acceso a la red de comunicaciones deben
pasar a través de un firewall.
2.4 CONEXIONES EXTERNAS
La conexión a internet sea alámbrica o inalámbrica (wifi) para los empleados
será otorgada si existe una petición escrita el administrador y su finalidad sea
con propósitos laborales.
Aquellos empleados o usuarios en general que no están autorizados de usar
el internet de la clínica deberán ser imposibilitados de conectarse.
Asegurarse que el tráfico entrante como saliente de la red de datos de la
empresa sea controlado por un firewall para identificar el tráfico que no esté
permitido o autorizado.
El uso de Internet debe ser monitoreado periódicamente por una persona con
conocimientos; si se cree que la seguridad dentro de la red puede ser o está
siendo violada.
2.5 ANTIVIRUS
El software antivirus debe ser instalado en todas las computadoras que cuente
la empresa y este debe ejecutarse y actualizarse de forma automática y
continua, además de cumplir con las siguientes con:
• De preferencia contar con un servidor antivirus dedicado para así evitar
infecciones de virus y otros problemas de seguridad.
• Actualizar la base de datos de virus constantemente.
• No incurrir en problemas legales, es decir, que el software debe ser
original sea con licencia o software libre.
• Generar alertas en caso de alguna infección por virus.
2.6 FIREWALL
57
El firewall que debe implementarse en la clínica Urdenor debe como mínimo:
• Restringir el uso de cualquier aplicación que no contribuya
positivamente a las actividades de la empresa.
• Cerrar todos los puertos que no sean necesarios para la empresa.
• Controlar las aplicaciones que accedan a la red internet.
• Limitar el ancho de banda para las aplicaciones.
3 SEGURIDAD FÍSICA
3.1 INSTALACIONES
Solo el personal autorizado por la gerencia tendrá acceso al cuarto donde
residen los elementos de red (Switch, Router, PBX, Servidores, etc.).
Tener controles de acceso físico a las instalaciones es una prioridad para
poder supervisar, controlar, y velar por la seguridad de los equipos.
Deberá existir un cuarto exclusivo para el uso de los equipos de
comunicaciones, servidores o similares; protegido contra incendios, humedad
y climatizado.
El suministro eléctrico para el cuarto de sistemas debe ser independiente del
resto de cableado eléctrico, además de contar con redundancia eléctrica para
hacer frente a cortes de energía.
Controlar que los usuarios no reubiquen, muevan o manipulen los equipos de
cómputo o de comunicaciones sin previa autorización del administrador o la
persona encargada.
3.2 CABLEADO ESTRUCTURADO
El tendido y arreglo del cableado estructurado debe seguir las normas vigentes
internacionales, para así garantizar su correcto funcionamiento.
Se debe tener documentado en físico y digital el diagrama de la red completo.
Se debe tener cableado adicional en caso de expansión de puestos de trabajo.
3.3 DISPOSITIVOS DE SOPORTE
58
La clínica Urdenor debe contar con los siguientes equipos que ayudarán a
cuidar el hardware:
Generados de energía: Deberá entrar en funcionamiento cuando existan
problemas con el suministro de energía eléctrica o cortes de luz, y así
salvaguardar no solo los equipos informáticos sino todos los implementos
médicos también.
UPS (Sistema de Energía Ininterrumpida): Deberá existir uno al menos para
atender al servidor y las computadoras principales para que la información no
se pierda y puedan apagarse de una forma correcta y segura.
Toda área de trabajo debe poseer herramientas necesarias para cuidar de los
recursos tecnológicos y la información como extintores, alarmas contra
incendios, lámpara de emergencia, botones de pánico, etc.
Aire acondicionado: para el área de cómputo o donde se encuentren los
equipos informáticos la temperatura debe mantenerse entre 160 y 200 C.
Todos estos dispositivos deben ser evaluados de forma periódica.
4 SEGURIDAD DE LAS APLICACIONES.
4.1 SOFTWARE Y DATOS
La clínica Urdenor debe contar en todo momento con un inventario actualizado
del software de su propiedad, el comprado a terceros, el adquirido bajo
licenciamiento y el software libre.
Todos los datos de propiedad de la clínica Urdenor se deben clasificar como:
secreto, confidencial, privado, y para los datos no sensibles la categoría es
público.
Solo tendrán acceso a las aplicaciones de la clínica, como el SIGACT el
personal autorizado por la gerencia.
Realizar copias de seguridad diarias y programadas para poder recuperar
información en caso de alguna anomalía.
59
Los usuarios no deben descargar aplicaciones o programas de internet ya que
pueden ser de fuentes no confiables, toda descarga será tramitada por el
encargado o administrador de los sistemas de información.
Cada estación de trabajo o computadora personal solo debe tener instalado
los programas que usaran como parte de las actividades diarias.
Antes de que el administrador realice un cambio, actualización o modificación
en el servidor se debe realizar una copia de seguridad en caso de que algo
falle.
Al momento de que una nueva persona ingrese a laborar se debe indicarle las
medidas de seguridad vigentes.
Toda información secreta debe estar encriptada, en cualquier medio de
almacenamiento.
Toda información sensible debe tener un proceso periódico de respaldo.
El acceso a la información secreta se debe otorgar únicamente a personas
específicas.
CONCLUSIÓN DEL PLAN DE ACCIÓN
En caso de que este plan de acción sea realizado, como resultado se
obtendrán lineamientos establecidos que permitirán a la clínica mantener la
confidencialidad, integridad y disponibilidad de la información para sus
empleados y clientes.
Tal vez no existe un plan de acción que permita eliminar todas las posibles
amenazas de seguridad que pueda enfrentar la clínica, pero al carecer de uno,
es primordial empezar a realizar las acciones recomendadas en esta
propuesta para hacer frente a las vulnerabilidades que trae consigo la
tecnología.
Este proyecto se considera uno de los pasos iniciales y principales para
alcanzar un estado de seguridad tecnológica considerable, además de, servir
para una certificación o auditoria de seguridad.
60
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Para validar la propuesta que se presenta en este proyecto se realizaron
encuestas al cuerpo administrativo, doctores y demás personal del
establecimiento, donde los encuestados manifiestan como excelente y necesaria
la ejecución del análisis de riesgos, que le permitirá a la empresa conocer los
posibles problemas y cómo gestionarlos, además la Dra. Yina Rivadeneira,
presidenta de la clínica Urdenor, y el Ingeniero en Sistemas Computacionales
Marco Polo Espinoza y el Ingeniero en Redes y Telecomunicaciones Christian
Quinchuela Quito, validaron la propuesta presentada que se adjunta en el anexo
9. Gracias a estos resultados se comprueba la validación de la propuesta.
Tabla 13: Criterios de validación
DESCRIPCIÓN
VALORACIÓN OBSERVA
CIÓN Malo Regular Bueno Excelente
La propuesta es un método
novedoso para conocer los riegos
tecnológicos en la clínica.
X
El plan de acción está alineado
con los procesos y
requerimientos tecnológicos en la
clínica.
X
Las acciones sugeridas, de ser
ejecutadas, brindarán una mejora
sustancial en la tecnología de la
clínica.
X
La valoración de los activos
brinda una perspectiva general
sobre la importancia de estos en
la clínica.
X
El proceso de elaboración de esta
propuesta se ajusta a la
innovación tecnológica actual.
X
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
61
PROCESAMIENTO Y ANÁLISIS
Para realizar el procesamiento de información se usaron dos modelos de
encuesta, una a los empleados en general y otra para el personal administrativo
en la empresa, de los datos obtenidos se obtuvieron las siguientes conclusiones:
Análisis de la encuesta al personal administrativo.
Pregunta #1
¿Conoce usted sí se aplica alguna metodología de análisis y gestión de
riesgos tecnológicos en esta institución?
Tabla 14: Análisis de resultados de la pregunta 1
OPCIONES CANTIDAD PORCENTAJE
SI 0 0%
NO 8 100%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 21: Análisis de resultados de la pregunta 1
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: El 100% del cuerpo administrativo afirma que no se aplica alguna
metodología para la gestión de los riesgos dentro de la organización.
62
Pregunta #2
¿Cuál de las siguientes metodologías de gestión de riesgos conoce usted?
Tabla 15: Análisis de resultados de la pregunta 2
OPCIONES CANTIDAD PORCENTAJE
MAGERIT 0 0%
OCTAVE 0 0%
OSSTMM 1 12,5%
OTRA 1 12,5%
NINGUNA 6 75%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 22: Análisis de resultados de la pregunta 2
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: Se observa que, del total de encuestados, el 75% no conoce alguna
metodología de gestión de riesgos, y tan solo una 12.5% conoce MAGERIT Y otro
12.5% sabe de otros métodos de análisis, con lo que se concluye como importante
la introducción de estos procedimientos dentro de la empresa.
63
Pregunta #3
¿Sabe usted si existe seguridad de acceso (contraseñas, lector de huellas,
tarjetas electrónicas, etc.) en todos los sistemas de información de la
empresa?
Tabla 16: Análisis de resultados de la pregunta 3
OPCIONES CANTIDAD PORCENTAJE
Si 4 50%
No 2 25%
Solo en algunos 2 25%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 23: Análisis de resultados de la pregunta 3
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: Con los datos obtenidos se sabe que solo la mitad del personal
administrativo conoce los mecanismos de seguridad, aunque un 25% no conoce
de estos procesos.
50%
25%
25% Si
No
Solo enalgunos
64
Pregunta #4
Según la escala ¿Qué prioridad cree usted que debe darse a un plan de
acción para hacer frente a los riesgos tecnológicos actuales?
Tabla 17: Análisis de resultados de la pregunta 4
OPCIONES CANTIDAD PORCENTAJE
Alta 5 63%
Media 2 25%
Baja 1 13%
Nula 0 0%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 24: Análisis de resultados de la pregunta 4
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: Se obtiene que de los 8 encuestados el 62% afirma que se debe dar
prioridad alta a contar con un plan de acción, el 25% consideró que la prioridad
media está bien, mientras que el 13% restante respondió que es baja.
62%
25%
13%
Alta
Media
Baja
Nula
65
Pregunta #5
¿El software que se usa en la institución para la gestión de la información
es de licencia pagada?
Tabla 18: Análisis de resultados de la pregunta 5
OPCIONES CANTIDAD PORCENTAJE
Si 3 38%
No 0 0%
Desconozco 5 63%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 25: Análisis de resultados de la pregunta 5
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: El 63% de los encuestados afirman desconocer si la licencia de uso del
sistema de administración de la información es pagada, un 37% declara que sí es
software pagado.
37%
0%63%
Si
No
Desconozco
66
Pregunta #6
¿Conoce usted los posibles riesgos tecnológicos que podría enfrentar la
empresa?
Tabla 19: Análisis de resultados de la pregunta 6
OPCIONES CANTIDAD PORCENTAJE
Si 1 12%
No 7 88%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 26: Análisis de resultados de la pregunta 6
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: El 88% del personal encuestado afirma que no conoce de posibles
riesgos que podría enfrentar la organización, tan solo el 12% tiene conocimiento
de ellos.
12%
88%
Si
No
67
Pregunta #7
Según la escala ¿Cuál considera usted que podría ser el nivel de daño que
enfrentaría la empresa, en caso de que esta sufra un ataque informático?
Tabla 20: Análisis de resultados de la pregunta 7
OPCIONES CANTIDAD PORCENTAJE
Grave 2 25%
Moderado 3 37%
Menor 2 25%
Ninguno 1 13%
TOTAL 8 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 27: Análisis de resultados de la pregunta 7
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: De los encuestados un 25% respondieron que la empresa sufriría un
daño de nivel grave en caso de que se concrete un ataque informático, un 37%
afirmó que el daño sería en un nivel moderado, el otro 25% del personal concluyó
que un daño menor sería el resultado y un 13% que no existiría daño alguno.
25%
37%
25%
13% Grave
Moderado
Menor
Ninguno
68
Análisis de la encuesta realizada a todo el personal no administrativo.
Pregunta #1
¿Qué tan segura considera usted que es su red informática laboral?
Tabla 21: Análisis de resultados de la pregunta 1
OPCIONES CANTIDAD PORCENTAJE
Muy segura 5 14%
Segura 20 57%
Poco segura 7 20%
Insegura 3 9%
TOTAL 35 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 28: Análisis de resultados de la pregunta 1
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: De la encuesta realizada al personal de la clínica Urdenor, el 57% de los
encuestados afirmó que consideran a la red informática segura, no obstante, el
14% de ellos considera que es muy segura; para el 20% les parece poco segura
la red y el 9% restante admiten que la red es insegura.
14%
57%
20%
9%Muy segura
Segura
Poco segura
Insegura
69
Pregunta #2
¿Ha sido víctima de ataques informáticos (robo de información, virus, etc.)
dentro de la clínica?
Tabla 22: Análisis de resultados de la pregunta 2
OPCIONES CANTIDAD PORCENTAJE
Si 7 20%
No 28 80%
TOTAL 35 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 29: Análisis de resultados de la pregunta 2
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: De los 35 encuestados el 80% aseguró no haber sido víctima de un
ataque informático y el 20% restante afirmó que sí ha recibido ataques dentro de
la clínica.
20%
80%
Si No
70
Pregunta #3
¿Considera que se debe dar importancia a la protección de los sistemas de
la clínica ante las amenazas informáticas actuales?
Tabla 23: Análisis de resultados de la pregunta 3
OPCIONES CANTIDAD PORCENTAJE
Si 24 69%
No 11 31%
TOTAL 35 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 30: Análisis de resultados de la pregunta 3
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: De la pregunta 3 de la encuesta se obtuvo que un 69% de los
encuestados consideran que sí se debe dar importancia a la protección de los
sistemas informáticos y un 31% que no.
69%
31%
Si No
71
Pregunta #4
¿Considera usted que deban darse charlas de seguridad informática en la
empresa?
Tabla 24: Análisis de resultados de la pregunta 4
OPCIONES CANTIDAD PORCENTAJE
Si 29 83%
No 6 17%
TOTAL 35 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 31: Análisis de resultados de la pregunta 4
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: De un total de 35 encuestados el 83% califico de afirmativa la respuesta
a que deben darse charlas de seguridad informática en la empresa y un 17% que
no.
83%
17%
Si No
72
Pregunta #5
Según la escala ¿Cuál es su nivel de aceptación con que se apliquen reglas
en el uso de dispositivos móviles dentro de la clínica?
Tabla 25: Análisis de resultados de la pregunta 5
OPCIONES CANTIDAD PORCENTAJE
Totalmente de acuerdo 7 20%
Parcialmente de acuerdo 3 9%
Ni en desacuerdo ni en acuerdo 15 43%
Parcialmente desacuerdo 4 11%
Totalmente en desacuerdo 6 17%
TOTAL 35 100%
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Gráfico 32: Análisis de resultados de la pregunta 5
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
Análisis: Del total de encuestados el 43% afirmó no estar de acuerdo ni en
desacuerdo con que se tomen medidas ante el uso de los dispositivos móviles
dentro de la institución, 20% y 9% están totalmente de acuerdo y de acuerdo
respectivamente, del resto de los encuestados, 11% están parcialmente en
desacuerdo y el 17% en total desacuerdo.
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Totalmente deacuerdo
Parcialmentede acuerdo
Ni endesacuerdo ni
en acuerdo
Parcialmentedesacuerdo
Totalmente endesacuerdo
73
CAPÍTULO IV
Criterios de aceptación del producto
La aceptación de la propuesta presentada en la clínica Urdenor fue realizada por
la presidenta de la Clínica Urdenor, Dra. Yina Rivadeneira A. quien después de
haber constatado el trabajo realizado calificó este de la siguiente forma:
Tabla 26: Criterios de aceptación
DESCRIPCIÓN
VALORACIÓN
OBSERVACIÓN
Totalmente
desacuerdo
Desacuerdo
De Acuerdo
Totalmente de
acuerdo
Análisis completo de los sistemas de información, identificando todos los activos que posee la empresa.
X
Determinar las amenazas y salvaguardas que puedan aplicarse, así como detallar el impacto y el riesgo al que están expuestos dichos activos.
X
Todo resultado será transmitido a la persona encargada dentro de la clínica, informándole de la situación actual de la empresa, en temas de riesgos y vulnerabilidades que esta pueda tener.
X
Plan de acción que ayude a disminuir o evitar el impacto de las amenazas en la clínica.
X
Fuente: Datos de la investigación. Autor: Esteban Grijalva.
74
Conclusiones
• Se ha examinado, identificado y clasificado los elementos tecnológicos de
información en la clínica Urdenor, a través de la caracterización de los
activos, y gracias a esto se podrá conocer el valor de los activos que
poseen para así tomar acciones de prevención para salvaguardarlos de las
amenazas tecnológicas.
• Se logra determinar las amenazas a la seguridad por medio del análisis
realizado permitiendo así validar con la herramienta PILAR las
salvaguardas que podrían implementar las cuales están basadas en la
normativa ISO internacional.
• La metodología MAGERIT fue una herramienta de ayuda para el análisis
de riesgos realizado ya que está basada en las normativas ISO 27001,
complementada con el uso de la herramienta PILAR que permitió realizar
el análisis cualitativo de los activos que posee la clínica.
• Cumplido con el análisis de riesgos en los sistemas de información de la
clínica se concluye que se ha podido identificar claramente los activos, y
las amenazas que conllevan dichos activos, además de, identificar y
valorar las salvaguardas pertinentes para cada amenaza encontrada.
• Se sugiere el plan de acción detallado en el desarrollo del proyecto el cual
permitirá disminuir las amenazas encontradas por el análisis de riesgos
teniendo en cuenta que dicho plan utiliza como apoyo normativas y
controles verificados.
Recomendaciones
• Implementar controles de seguridad de la información para detectar y
corregir las vulnerabilidades que puedan encontrarse a futuro en la
infraestructura tecnológica de la clínica.
75
• Realizar en lo posible uno o dos análisis de riesgos cada año para
minimizar los riesgos y el impacto que podría tener una amenaza en cuanto
a la información.
• Capacitar al personal en general sobre medidas de seguridad que los
ayuden a evitar cualquier fuga de información, además de, hacer que
cumplan con las normativas vigentes en la clínica.
• Documentar toda información recolectada por los análisis de seguridad
ejecutados para facilitar el despliegue de estos y así buscar una
certificación en materia de seguridad informática.
(Unidos, 2018)
76
Bibliografía
Amutio, M. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos.
Madrid.
Benchimol, D. (2011). Hacking desde cero. Buenos Aires: Fox Andina.
Cadena, I. (Quito de 2012). CONSTRUCCIÓN DE UN PLAN DE CONTINUIDAD
DE SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN PARA UNA
EMPRESA DE SEGUROS. Ecuador. Obtenido de
http://repositorio.puce.edu.ec/handle/22000/9754
Costas, J. (2011). SEGURIDAD Y ALTA DISPONIBILIDAD. RA-MA EDITORIAL.
Domínguez, J. (2015). Seguridad Informática Personal y Corporativa.
Ecured. (2018). www.ecured.cu. Obtenido de
https://www.ecured.cu/Seguridad_Inform%C3%A1tica
Escuela Penitenciaria Nacional, C. (2018). Obtenido de http://epn.gov.co/
Gómez, R., Hernán, D., Donoso, Y., & Herrera, A. (2010). Metodología y gobierno
de la gestión de riesgos de tecnologías de la información. Red de Revistas
Científicas de América Latina y el Caribe, España y Portuga, 9. Obtenido
de http://www.redalyc.org/articulo.oa?id=121015012006
INCAP. (s.f.). www.incap.int. Recuperado el julio de 2018, de
http://www.incap.int/sisvan/index.php/es/acerca-de-san/conceptos/797-
sin-categoria/501-sistema-de-informacion
ISO. (2018). https://www.iso.org/home.html.
López, D. (Junio de 2012). ANÁLISIS DE RIESGOS DINÁMICOS EN SISTEMAS
DE INFORMACIÓN. Madrid, España. Obtenido de
https://eprints.ucm.es/16931/
Martín, L., & Torres, Á. (Enero de 2008). Dialnet.Unirioja. Obtenido de
https://dialnet.unirioja.es/servlet/articulo?codigo=4959507
Maxitana, J., & Naranjo, B. (septiembre de 2017). ADMINISTRACIÓN DE
RIESGOS DE TECNOLOGÍA DE INFORMACIÓN DE UNA EMPRESA
77
DEL SECTOR INFORMÁTICO. Obtenido de
https://www.dspace.espol.edu.ec/handle/123456789/40438
Molina, M. (2015). PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS DE
TECNOLOGÍA APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA
DEL LITORAL. Obtenido de
https://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf
Muñoz, F. (2017). Instalación y actualización de sistemas operativos. Ediciones
Paraninfo.
Nivicela, F. (2014). Plan de gestión de riesgos para MADECO CÍA. LTDA. Cuenca,
Ecuador: Universidad del Azuay. Obtenido de
http://dspace.uazuay.edu.ec/bitstream/datos/3585/1/10269.pdf
Quiñones, J., & Pérez, C. (2017). USO DE HERRAMIENTAS DE PENTESTING
PARA EL ANÁLISIS DE VULNERABILIDADES EN LAS
COMUNICACIONES MÓVILES DE LAS OPERADORAS UBICADAS EN
LA CIUDAD DE GUAYAQUIL. Obtenido de
http://repositorio.ug.edu.ec/handle/redug/22444
Rosero, E. (Diciembre de 2014). ANÁLISIS DE RIESGOS DE LA SEGURIDAD
DE LA RED DE ÁREA LOCAL (LAN) DE LA MATRIZ DE LA
CONTRALORÍA GENERAL DEL ESTADO. Quito, Ecuador. Obtenido de
http://www.dspace.uce.edu.ec/handle/25000/2464
Secretaría General de Administración, D. (2012). Administracion Electronica.
Obtenido de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit
Unidos, D. d. (2018). https://csrc.nist.gov/about.
Yánez, E., & Parra, M. (2017). ANÁLISIS DE VULNERABILIDADES EN LA
INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO
HERRAMIENTAS DE TEST DE INTRUSIÓN. Obtenido de
http://repositorio.ug.edu.ec/handle/redug/26718
78
Anexos
Anexo 1: Carta de aceptación
79
Anexo 2: Valoración de los activos
80
81
82
Anexo 3: Valoración de amenazas
83
84
85
86
Anexo 4: Identificación de amenazas
87
Anexo 5: Impacto acumulado
88
Anexo 6: Impacto repercutido
89
Anexo 7: Riesgo acumulado
Riesgo Potencial Riesgo Actual Riesgo Objetivo D I C D I C D I C
[IS] Servicios internos {5,4} {1,6} {2,8} {3,9} {0,81} {1,4} {1,0} {0,23} {0,56}
[TLPH-URD] Telefonía Interna {3,8}
{2,8} {2,2}
{1,4} {0,75}
{0,56}
[INT-URD] Internet {5,4} {1,6}
{3,9} {0,81}
{1,0} {0,23}
[VIG-URD] Servicio Vigilancia {3,4}
{0} {2,3}
{0} {0,67}
{0}
[E] Equipamiento {6,6} {7,3} {7,5} {5,7} {5,7} {6,0} {2,6} {2,8} {3,1}
[SW] Aplicaciones {6,6} {7,3} {7,5} {4,7} {5,7} {6,0} {2,0} {2,8} {3,1}
[OFI-URD] Ofimáticos {5,7} {5,1} {6,2} {3,8} {3,4} {4,6} {1,1} {0,90} {1,7}
[ANT-URD] Antivirus {6,4} {7,3} {7,5} {4,7} {5,7} {6,0} {1,8} {2,8} {3,1}
[SO-URD] Sistema Operativo {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}
[NAV-URD] Navegador {6,2} {4,5} {6,2} {4,7} {3,0} {4,8} {1,8} {0,81} {1,8}
[OTRO- URD] Otros {5,7} {4,5} {6,2} {3,8} {2,8} {4,6} {1,1} {0,78} {1,7}
[SIGAC-URD] Sistema Administrativo {6,6} {5,9} {6,0} {4,7} {4,7} {4,9} {2,0} {2,1} {2,3}
[HW] Equipos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}
[SW-URD] Switch LAN {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}
[RO-URD] Router {6,6} {2,7} {2,8} {5,0} {1,4} {1,4} {2,6} {0,55} {0,56}
[SRVBD-URD] Servidor de Base de Datos {6,6} {4,5} {6,2} {5,0} {3,2} {4,9} {2,6} {0,91} {2,3}
[PC-URD] Computadoras Personales {6,2} {2,7} {2,2} {4,6} {1,4} {0,97} {2,1} {0,55} {0,45}
[IMP-URD] Medios de Impresión {5,7}
{2,2} {4,1}
{0,92} {1,7}
{0,43}
[COM] Comunicaciones {6,6} {3,2} {3,2} {5,7} {2,4} {2,4} {2,5} {0,61} {0,61}
[WLAN-URD] RED DE DATOS WIFI {6,6} {3,2} {3,2} {5,7} {2,4} {2,4} {2,5} {0,61} {0,61}
[LAN-URD] RED DE AREA LOCAL {6,6} {3,2} {2,2} {5,7} {2,4} {1,4} {2,5} {0,61} {0,40}
[L] Instalaciones {6,2}
{4,6}
{2,1}
[BUILDING-URD] Edificio {5,4}
{3,7}
{1,2}
[AMB-URD] Ambulancia {6,2}
{4,6}
{2,1}
[P] Personal {6,6} {4,5} {4,7} {5,0} {3,0} {3,2} {2,2} {0,82} {0,85}
[PERSONAL-URD] ADMINISTRATIVO {6,6} {4,1} {4,7} {5,0} {2,6} {3,2} {2,2} {0,73} {0,85}
[PERSONA-URD] LIMPIEZA {4,2}
{2,5} {2,7}
{0,98} {0,76}
{0,40}
[DOC-URD] Doctores {5,9} {4,5} {3,1} {4,4} {3,0} {1,5} {1,5} {0,82} {0,52}
[AUX] Elementos Auxiliares {5,7}
{4,6}
{1,7}
[CAB-URD] Cableado General {5,7}
{4,6}
{1,7}
[AC-URD] Climatización {4,5}
{3,2}
{0,89}
[UPS-URD] Sistema de alimentación ininterrumpida
{2,7}
{1,6}
{0,53}
90
Anexo 8: Riesgo repercutido
Riesgo Potencial Riesgo Actual Riesgo Objetivo D I C D I C D I C
[INT-URD] Internet {3,8}
{2,8} {2,2}
{1,4} {0,75}
{0,56}
[VIG-URD] Servicio Vigilancia {5,4} {1,6}
{3,9} {0,81}
{1,4} {0,23}
[SW] Aplicaciones {4,2}
{2,7}
{0,85}
[OFI-URD] Ofimáticos
{5,1} {4,5}
{3,4} {2,9}
{0,90} {0,79}
[ANT-URD] Antivirus
{7,3}
{5,7}
{2,8}
[SO-URD] Sistema Operativo {5,1} {3,3}
{3,2} {1,6}
{0,90} {0,55}
[NAV-URD] Navegador {2,1}
{4,5} {0,92}
{3,0} {0,34}
{0,81}
[OTRO- URD] Otros {1,6} {1,5}
{0,74} {0,77}
{0,20} {0,20}
[SIGAC-URD] Sistema Administrativo
[SW-URD] Switch LAN {4,8}
{3,3}
{0,96}
[RO-URD] Router {5,4} {0,87}
{3,8} {0,60}
{1,4} {0,08}
[SRVBD-URD] Servidor de Base de Datos {4,8}
{7,5} {3,3}
{6,0} {0,96}
{3,1}
[PC-URD] Computadoras Personales {5,4} {4,3}
{3,9} {2,9}
{0,99} {0,87}
[IMP-URD] Medios de Impresión {1,9}
{0,80}
{0,25}
[WLAN-URD] RED DE DATOS WIFI {2,5}
{1,6}
{0,49}
[LAN-URD] RED DE AREA LOCAL {5,4}
{4,6}
{1,4}
[BUILDING-URD] Edificio {6,6} {4,3}
{5,7} {2,9}
{2,6} {0,87}
[AMB-URD] Ambulancia {6,2}
{4,6}
{2,1}
[PERSONAL-URD] ADMINISTRATIVO
{4,7}
{3,2}
{0,85}
[PERSONA-URD] LIMPIEZA {4,2}
{2,5} {2,7}
{0,98} {0,76}
{0,40}
[DOC-URD] Doctores {5,9} {4,5}
{4,4} {3,0}
{1,5} {0,82}
[CAB-URD] Cableado General
{6,1}
{4,7}
{2,1}
[AC-URD] Climatización {5,4}
{3,9} {4,6}
{2,5} {1,4}
{0,70}
[UPS-URD] Sistema de alimentación ininterrumpida
{4,3}
{2,9}
{0,87}
91
Anexo 9 Criterios de Validación
92
Anexo 10 Detalle de la escala de Valoración
Detalle de la escala de valoración.
Dentro del desarrollo del proyecto, los activos son identificados y valorados
tomando en consideración tres dimensiones principales: Disponibilidad,
Confidencialidad e Integridad; cada una de estas dimensiones se procedieron a
valorar de forma cuantitativa a través de una escala de valores numéricos que
denotan el nivel de importancia dada a un activo o a una etapa de la metodología.
Dentro de este proyecto se tomó en consideración los siguientes ejes:
Para el atributo de Disponibilidad, la escala numérica de valor fue dividida de la
siguiente forma:
10 Extremo Probablemente sea causa de un grave detenimiento en las operaciones de la clínica. Probablemente cause un daño serio a la eficacia o seguridad de la misión operativa o logística. Puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severa.
9 Muy Alto
6-8 Alto
3 - 5 Medio
Probablemente sea causa de una merma de operatividad en la clínica. Probablemente merme la eficacia o seguridad de la misión operativa o logística. Puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderado.
0 - 2 Bajo
Pudiera causar una disminución de tiempo de respuesta ante algún incidente en la seguridad. Pudiera causar la interrupción de actividades propias de la Clínica.
93
Puede afectar la operación normal de la entidad o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.
Para el atributo de Integridad:
Para atributo de Confidencialidad: