T Uce 0011 81

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERA CIENCIAS FSICAS Y MATEMTICA

CARRERA DE INGENIERA INFORMTICA
ANLISIS DE RIESGOS DE LA SEGURIDAD DE LA RED DE REA

LOCAL (LAN) DE LA MATRIZ DE LA CONTRALORA GENERAL DEL
ESTADO
TRABAJO DE GRADUACIN PREVIO A LA OBTENCIN DEL TTULO DE

INGENIERO INFORMTICO
AUTOR:
Edison Oswaldo Rosero lvarez.
TUTOR:
Ing. Jairo Ren Navarro Bustos, Msc
QUITO ECUADOR
2014
DEDICATORIA
El presente trabajo dedico primeramente a Jehov por permitirme estar con
vida y poder cumplir con mis objetivos que me he propuesto, tambin a mi
madre Marina quien con su apoyo moral me ha permitido, desarrollarme
como persona, y me ha dado ese estimulo de seguir adelante, agradezco a
mi esposa a mi hijo Alejandrito que han sido mi motivacin para seguir
adelante.
Gracias.
ii
AGRADECIMIENTO
Primero agradezco a Jehov Dios por la vida que me ha dado, luego a todas
esas personas que me han apoyado, en especial al Ing. Jairo Navarro quien
con su excelente ayuda me ha permitido terminar con xito este proyecto de
tesis.
En fin agradezco a toda mi familia por su apoyo.
Gracias
Edison Rosero lvarez
iii
AUTORIZACIN DE LA AUTORA INTELECTUAL
iv
CERTIFICACIN
AUTORIZACIN DEL TUTOR
vi
OFICIO
vii
RESULTADOS DEL TRABAJO DE GRADO
viii
CONTENIDO
DEDICATORIA ............................................................................................................................ii
AGRADECIMIENTO ...................................................................................................................iii
AUTORIZACIN DE LA AUTORA INTELECTUAL ...................................................................... iv
CERTIFICACIN..........................................................................................................................v
AUTORIZACIN DEL TUTOR ..................................................................................................... vi
OFICIO ..................................................................................................................................... vii
RESULTADOS DEL TRABAJO DE GRADO ................................................................................. viii
CONTENIDO.............................................................................................................................. ix
LISTA DE TABLAS ..................................................................................................................... xii
LISTA DE GRFICOS ................................................................................................................ xiii
RESUMEN ............................................................................................................................... xiv
ABSTRACT................................................................................................................................ xv
CERTIFICADO DE TRADUCCIN .............................................................................................. xvi
CERTIFICADO DE PROFESOR DE INGLS ............................................................................... xvii
INTRODUCCIN........................................................................................................................ 1
CAPTULO 1 .............................................................................................................................. 3
1. Presentacin del Problema ................................................................................................ 3
1.1 Planteamiento del Problema ......................................................................................... 3
1.2 Formulacin del Problema ............................................................................................. 3
1.3 Interrogantes del Problema ........................................................................................... 4
1.4 Objetivos de la Investigacin ......................................................................................... 4
1.4.1 Objetivo General ..................................................................................................... 4
1.4.2 Objetivos Especficos............................................................................................... 5
1.5 Alcance y Limitaciones ................................................................................................... 5
1.6 Justificacin e Importancia ............................................................................................ 6
CAPTULO 2 .............................................................................................................................. 8
2. Revisin Bibliogrfica ........................................................................................................... 8
2.1 Antecedentes ..................................................................................................................... 8
2.2 Fundamentacin Terica ................................................................................................... 8
2.2.1 Informacin (datos) .................................................................................................... 8
2.2.2 Seguridad de la Informacin ...................................................................................... 9
2.2.3 Importancia ................................................................................................................. 9
2.2.4 Polticas de seguridad ............................................................................................... 10
ix
2.2.5 Activo ........................................................................................................................ 10

2.2.6 Amenazas .................................................................................................................. 10
2.2.7 Impacto ..................................................................................................................... 11
2.2.8 Riesgo ........................................................................................................................ 11
2.2.10 Salvaguardas ........................................................................................................... 11
2.2.11 Dimensiones de Seguridad...................................................................................... 11
2.2.12 Evaluacin de los Riesgos........................................................................................ 12
2.2.13Identificacin de Riesgos ........................................................................................ 12
2.2.14Anlisis de Riesgos ................................................................................................... 12
2.3 Metodologa MAGERIT..................................................................................................... 13
2.3.1 Fases de Desarrollo de la Metodologa ..................................................................... 14
2.3.1.1Fase 1 Activos...................................................................................................... 14
2.3.1.2Fase 2 Amenazas ................................................................................................ 15
2.3.1.3 Fase3 Salvaguardas ............................................................................................ 16
2.3.1.4 Fase 4 Impacto Residual..................................................................................... 16
2.3.1.5Fase 5 Riesgo residual ......................................................................................... 17
2.4.Hiptesis del Proyecto Planteado .................................................................................... 19
CAPTULO 3 ............................................................................................................................ 20
3.1 Situacin actual de red LAN de la Contralora general del Estado ................................ 20
3.2 Inventario de Activos de la red LAN de la CGE ................................................................ 22
3.3 Arquitectura de la red LAN de Contralora General del Estado ...................................... 25
3.3.1 Red de borde ............................................................................................................. 25
3.3.2 Red Perimetral .......................................................................................................... 25
3.3.3 Redes Internas .......................................................................................................... 25
3.4 Modelo Jerrquico de la Red LAN .................................................................................... 26
3.5 Descripcin y Justificacin de la Metodologa MAGERIT ................................................. 29
3.5.1 Descripcin de la Metodologa ................................................................................. 29
3.5.2Justificacin de la Metodologa MAGERIT ................................................................. 30
3.5.3 Herramienta EAR /PILAR .......................................................................................... 33
3.6 Elaboracin del Anlisis de Riesgos de la red LAN de la CGE .......................................... 34
3.6.1 Entrevistas con responsables de la red LAN. ............................................................ 34
3.6.2 Descripcin General de la Informacin Recolectada ............................................... 35
3.6.3 Tabulacin de la Informacin.................................................................................... 35
3.6.4 Anlisis de Riesgos .................................................................................................... 37
x
3.6.4.1Identificacin y Clasificacin de Activos de la red LAN ....................................... 39

3.6.4.2 Identificacin de Amenazas ............................................................................... 64
3.6.4.3 Determinacin del Impacto ............................................................................... 75
3.6.4.4Determinacin del Riesgo ................................................................................... 89
3.6.4.5 Identificacin de Salvaguardas .......................................................................... 97
3.6.4.6Identificacin de Vulnerabilidades ................................................................... 102
3.6.4.7 Conclusiones y Recomendaciones de los Activos ............................................ 103
CAPTULO 4 .......................................................................................................................... 106
4.1 Herramienta PILAR ..................................................................................................... 106
4.2 Datos del proyecto ..................................................................................................... 108
4.3 Resultados del Anlisis de Riesgos ................................................................................. 108
4.3.1 Identificacin de Activos ......................................................................................... 108
4.3.2 Clasificacin de los Activos ..................................................................................... 109
4.3.3Dependencias de los Activos ................................................................................... 110
4.3.4 Valoracin de Activos.............................................................................................. 112
4.4 Paso 2 Amenazas de la red LAN de la CGE ..................................................................... 113
4.4.1 Identificacin de Amenazas. ................................................................................... 113
4.4.2 Valoracin de las Amenazas ................................................................................... 114
4.5 Salvaguardas .................................................................................................................. 114
4.5.1 Identificacin de Salvaguardas ............................................................................... 114
4.5.2 Valoracin de las Salvaguardas ............................................................................... 116
4.6 Impacto Acumulado ....................................................................................................... 117
4.6 Impacto Residual............................................................................................................ 117
4.7 Riesgo Acumulado.......................................................................................................... 118
4.8 Riesgo Residual .............................................................................................................. 118
CAPTULO 5 .......................................................................................................................... 119
CONCLUSIONES Y RECOMENDACIONES ............................................................... 119
5.1. Conclusiones ............................................................................................................. 119
5.2 Recomendaciones ...................................................................................................... 121
ANEXOS ................................................................................................................................ 123
GLOSARIO............................................................................................................................. 141
BIBLIOGRAFA....................................................................................................................... 143
xi
LISTA DE TABLAS
Tabla 1 Nmero de Computadoras de Usuarios de la CGE ........................................ 20
Tabla 2. Inventario de Activos de la Red LAN ................................................................ 22
Tabla 3. Descripcin de Interfaces del Firewall .............................................................. 24
Tabla 4. Descripcin de Conexiones del Switch ............................................................ 24
Tabla 5. Comparativa de Metodologas de Anlisis y Gestin de Riesgos ............. 31
Tabla 6. Estimacin de Dependencias .......................................................................... 37
Tabla 7. Actividades de Anlisis de Riesgos. ................................................................. 38
Tabla 8. Activos de Red ..................................................................................................... 41
Tabla 9. Criterios de Valoracin de Activos .................................................................... 63
Tabla 10.Escala de Degradacin...................................................................................... 65
Tabla 11. Escala de Frecuencia ....................................................................................... 65
Tabla 12. Activos de Red Vs Amenazas a las que estn expuestas .......................... 75
Tabla 13. Criterios de Valoracin ..................................................................................... 76
Tabla 14. Impacto Repercutido por Activo ..................................................................... 88
Tabla 15 Impacto Acumulado por Activo....................................................................... 85
Tabla 16 Riesgo Repercutido por Activo ......................................................................... 97
Tabla 17 Riesgo Acumulado de cada Activo ................................................................. 93
Tabla 18. Salvaguardas de los Activos de Red ............................................................ 102
Tabla 19. Identificacin de Vulnerabilidades ............................................................... 103
Tabla 20 Criterios de Valoracin de Salvaguardas ..................................................... 116
xii
LISTA DE GRFICOS
Figura 1 Proceso de MAGERIT ........................................................................................ 13
Figura 2: Diagrama para el Clculo de Riesgos Residual ............................................ 18
Figura 3.Diagrama Lgico de la Red LAN....................................................................... 21
Figura 4. Arquitectura de red empresarial ....................................................................... 26
Figura 5. Diagrama de la Red LAN .................................................................................. 28
Figura 7. Pasos del Anlisis de Riesgos ......................................................................... 39
Figura 8. Dependencias de los Activos ........................................................................... 62
Figura 9. Niveles de Criticidad .......................................................................................... 89
Figura 10. Presentacin de la Plataforma ..................................................................... 107
Figura 11. Datos Principales del Proyecto .................................................................... 108
Figura 12. Activos de red Identificados.......................................................................... 109
Figura 13. Clasificacin de Activos................................................................................. 110
Figura 14. Dependencias de los Activos Padres- Hijos .............................................. 111
Figura 15. Representacin Grfica................................................................................. 111
Figura 16. Valoracin de Activos .................................................................................... 112
Figura 17. Criterios de Valoracin ................................................................................. 112
Figura 18. Identificacin de Amenazas segn PILAR ................................................. 113
Figura 19. Valoracin de las Amenazas ........................................................................ 114
Figura 20. Salvaguardas .................................................................................................. 115
Figura 21. Valoracin de las Salvaguardas .................................................................. 116
Figura 22. Impacto Acumulado ....................................................................................... 117
Figura 23 Impacto Residual ............................................................................................. 117
Figura 24. Riesgo Acumulado ......................................................................................... 118
Figura 25. Riesgo Residual ............................................................................................. 118
xiii
RESUMEN
ANLISIS DE RIESGOS PARA LA SEGURIDAD DE LA RED DE REA
LOCAL (LAN) DE LA MATRIZ DE LA CONTRALORA GENERAL DEL
ESTADO
El contenido del presente trabajo ayudara a los administradores encargados
de la seguridad de la red LAN de CGE a mantener sus activos de red
seguros, que mediante la aplicacin de la metodologa MAGERIT de Anlisis
y Gestin de Riesgos de Sistemas de Informacin, permitir conocer los
riesgos y amenazas a las que se encuentra expuesta la red LAN de la
organizacin, y sobre todo se podr saber el impacto que causara a cada
uno de los activos, en el caso de que las amenazas se llegaran a
materializar.
En el primer captulo se establece el problema a resolver, objetivo general,
los objetivos especficos, importancia y justificacin de investigacin del
proyecto de tesis. En el segundo captulo se desarrollar tericamente el
objetivo de este proyecto. En el tercer captulo se conocer la situacin
actual de la red LAN de la CGE, la metodologa y aplicacin de esta al
problema planteado, y se describir cada elemento que compone la red de
datos. En el cuarto captulo se desarrollar el anlisis de riesgos a travs
del software PILAR, herramienta que utiliza los mismos conceptos de la
metodologa MAGERIT. Finalmente en el quinto captulo se dan a conocer
las conclusiones y recomendaciones del proyecto de tesis en general.
DESCRIPTORES:ANLISIS DE RIESGOS DE LA INFORMACIN/ SEGURIDAD
DE LA INFORMACIN/ METODOLOGA MAGERIT V3.0/AMENAZAS /ACTIVOS
DE RED/ SALVAGUARDAS DE ACTIVOS DE RED/ RED LAN.
xiv
ABSTRACT
SECURITY RISK ANALYSIS FOR THE LOCAL AREA NETWORK (LAN)
OF THE MATRIZ CONTRALORA GENERAL DEL ESTADO
The content of this paper will help managers responsible for security of the
LAN CGE to keep their assets secure network, that by applying the
methodology MAGERIT Risk Analysis and Management Information
Systems, will reveal the risks and threats is exposed the LAN of the
organization, and above all will know the impact it would cause to each of the
assets, in the event that the threats were to materialize.
The first chapter establishes the problem to solve, general objective, specific
objectives, importance and justification of research thesis project. The
second chapter is theoretically develop the objective of this project. In the
third chapter the current status of the LAN of the CGE, the application of this
methodology to the problem is known, and each element in the data network
are described. In the fourth chapter the risk analysis will be developed
through PILAR software tool that uses the same concepts MAGERIT
methodology. Finally, in the fifth chapter we present the conclusions and
recommendations of the thesis project in general.
DESCRIPTORS:
RISK
ANALYSIS
INFORMATION/
INFORMATION
SECURITY/
METHODOLOGY MAGERIT V 3.0/ THREATS/ ACTIVE NETWORK/

SAFEGUARDS ACTIVE NETWORK / NETWORK LAN /.
xv
CERTIFICADO DE TRADUCCIN
xvi
CERTIFICADO DE PROFESOR DE INGLS
xvii
INTRODUCCIN
Hoy en da las tecnologas de la informacin (TI) son muy fundamentales en
las organizaciones ya que su ms valioso activo es la informacin que estas
manejan y es por ello que debemos brindarles laseguridad correspondiente.
Para empezar con el tema de anlisis de riesgos de la seguridad de la red
LAN1 se va a detallar los siguientes conceptos, ya que estos son trminos
muy utilizados en el proyecto de investigacin que se va a desarrollar.
Seguridad de Informacin: Es un conjunto de mtodos y herramientas

destinados a proteger la informacin y por ende los sistemas de
informacin y comunicacin ante cualquier amenaza, este es un proceso
en el cual participan adems personas.
Riesgo2:Es la probabilidad de que cualquier eventualidad se aproveche

de las vulnerabilidades de un sistema, de forma que imposibilite el
cumplimiento de un objetivo o ponga en peligro a los bienes de la
organizacin, ocasionndole prdidas o daos.
Vulnerabilidad: Cualquier debilidad en los sistemas que pueda permitir a

las amenazas causarles daos y producir prdidas.
Amenaza: Es cualquier evento que pueda provocar dao a la informacin,

produciendo a la empresa prdidas materiales, financieras o de otro tipo.
Incidente de seguridad: Cualquier evento que tenga, o pueda tener,

como resultado la interrupcin de los servicios suministrados por un
Sistema de Informacin y/o prdidas fsicas, de activos o financieras. En
otras palabras la materializacin de una amenaza.
Las amenazas que afectan directamente a la seguridad tales como

confidencialidad, integridad y disponibilidad de la informacin pueden ser
internas o externas, originadas accidentalmente o con un fin malicioso,
dejando a la organizacin muchas veces con problemas como la paralizacin
de sus actividades que deja como resultado una perdida cuantiosa de tiempo
1
2
Red de rea Local

Definicin proveda por Departamento Administrativo de la Funcin Pblica de Colombia.
de produccin y dinero, factores importantes para el desarrollo de una

organizacin.
En vista que en la actualidad son muchos los riesgos que afectan la
seguridad de las organizaciones y por lo general el capital con el que se
cuenta para protegerlas no es el suficiente debemos tener identificadas y
controladas esas vulnerabilidades y esto se logra con un adecuado sistema
de seguridad de la informacin elaborado en base a un previo anlisis de
riesgos.
Persiguiendo este objetivo que es la seguridad de la informacin se presenta
este tema de investigacin como lo es el anlisis de riesgos en la seguridad
de las redes LAN de la matriz de la Contralora General del Estado, ya que el
aumento de la utilizacin de los sistemas de informacin y redes ha causado
que estemos sometidos a riesgos y amenazas informticas.
Para el desarrollo de este proyecto, se va a utilizar la metodologa
MAGERIT3 versin 3 de Anlisis y Gestin
de Riesgos que est
directamente relacionada con la generalizacin del uso de las tecnologas de

la informacin, metodologa que ha sido elaborada por el Consejo Superior
de Administracin Electrnica de Espaa, encargado de
preparacin, la
elaboracin, el desarrollo y la aplicacin de la poltica y estrategia del

Gobierno en materia de tecnologas de la informacin
Adems nos permitir saber cunto valor le damos a nuestro activo que es la
informacin y sobre todo nos da a conocer cmo protegerlo. Por lo que a los
administradores tanto de seguridad como de redes de la red LAN de la
Contralora General del Estado
les permitir mantener las medidas
apropiadas que deberan adoptarse para controlar tales riesgos, y de esta

manera evitar que las amenazas se materialicen y causen un gran impacto
en el caso de que estos se ejecuten.
Y finalmente para llevar a cabo con el anlisis de riesgos se lo
complementara con la herramienta PILAR, diseadopara soportar elanlisis
de riesgos de sistemas de informacin siguiendo la metodologa MAGERIT.
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de sistemas de Informacin Versin 3
CAPTULO 1
1. Presentacin del Problema
1.1 Planteamiento del Problema
Es de conocimiento que la Contralora General del Estado al ser una
institucin pblica que controla la utilizacin de los recursos estatales y la
consecucin de los objetivos de las instituciones del Estado maneja una gran
cantidad de informacin confidencial por lo que la utilizacin de la tecnologa
de la informacin y las comunicaciones le ofrecen grandes ventajas a la
CGE4 y a cualquier organizacin hoy en da.
Como consecuencia de esto los cambios tecnolgicos y su utilizacin hace
que la CGE est sometida a riesgos y amenazas para su informacin,
debido justamente al crecimiento de hackers, programas maliciosos e
incluso usuarios internos que se los considera de mayor peligro, que
afectarn directamente a la informacin (datos) que se transmiten a travs
de las redes informticas de la institucin. A pesar de su plan de seguridad
que maneja el responsable de la seguridad de la CGE siempre se necesitara
una evaluacin tcnica de la seguridad de la informacin.
Entonces cabe recalcar que se debe implantarmedidasde seguridad que con

lleven a un manejo mucho ms ordenado yseguro de la informacin.
1.2 Formulacin del Problema

Cmo realizar un control de los riesgos que afectan los sistemas de
informacin y comunicacin para que aumenten las medidas de seguridad
que sustenten la confianza de los usuarios en la utilizacin de los servicios
disponibles en la red LAN de la Contralora General del Estado?
Contralora General del estado ente encargada de controlar los bienes pblicos del estado.
1.3 Interrogantes del Problema
En vista de la necesidad de proteger los sistemas de informacin, puesto

que cada vez se vuelven ms vulnerables a los ataques ya sean estos
intencionados o accidentales, las organizaciones tanto pblicas como
privadas se ven en la necesidad de implementar polticas de seguridad de
modo que la informacin se encuentre protegida, pues de no disponer de
mtodos de seguridad, las consecuencias para las redes LAN por donde
transita
toda la informacin se convertira en grandes prdidas para la
organizacin.
Por lo que es muy importante realizar una
gua de anlisis y gestin de
riesgos que pueda ayudarles a mitigar cualquier tipo de amenazas

.
Dentro de la investigacin se desea contestar las siguientes interrogantes:
Qu activos de la red LAN
de la Contralora General del
Estado matriz necesitan ser protegidos?
Cmodichos activos se los va a proteger?
De quamenazasvamos a protegerlos?
Qu tcnicas y mtodos se utilizarn en el desarrollo del

anlisis de riesgos para la obtencin de resultados confiables y
seguros?
Qu herramientas de software efectivas se adaptaran mejor a

las necesidades presentes para esta investigacin?
Cmo el desarrollo de un sistema de gestin de seguridad de

la informacin
riesgos,
despus de haber realizado un anlisis de
ayudara los gerentes o administradores
de la
seguridad de los sistemas de comunicacin de la Contralora

General del Estado?
1.4 Objetivos de la Investigacin

1.4.1 Objetivo General
Ejecutar un Anlisis de Riesgos para la Seguridad de la red LAN de la CGE
aplicando la metodologa MAGERIT de anlisis de riesgos con la finalidad
4
de identificar amenazas, ver la probabilidad de que dichas amenazas se

materialicen y el impacto que causara sobre los activos de red de la
organizacin. Y de esta manera estimar la magnitud de los riesgos aque est
expuesta la red LAN de la CGE.
1.4.2 Objetivos Especficos

a) Ayudar a descubrir y planificar las medidas oportunas para mantener
los riesgos bajo control.
b) Concienciar a los responsables de los sistemas de informacin y
comunicacin de la existencia de riesgos y de la necesidad de evitar al
mximo que estos se ejecuten.
c) Asegurar que la informacin transmitida por la red LAN sea la misma
que reciba el destinatario al cual se ha enviado y que no llegue a
manos de personas malintencionadas.
d) Apoyar a la organizacin para que pueda cumplir con lo definido en el
sistema de gestin de seguridad de la informacin que se va a
desarrollar en este proyecto.
1.5 Alcance y Limitaciones

Con el anlisis de riesgos de la seguridad de la red LAN de la Contralora
General del Estado se identificaran
las amenazas, vulnerabilidades y
riesgos de lainformacin, sobre la plataforma tecnolgica de esta

organizacin, con el fin de generar un sistema de seguridad
de la
informacin que se asegure un ambiente informticoseguro, bajo los criterios

de disponibilidad, confidencialidad e integridad de lainformacin.
Con este proyecto se pretende desarrollar un sistema de gestin de

seguridad con el fin de que la CGE tome las decisiones respectivas para
implantar mejores prcticas para mejorar la seguridad de la red de rea
local, y tambin conocer el grado de madurez en que se encuentra la
seguridad de la red LAN en la CGE.
La solucin planteada se aplica al mbito de la seguridad tecnolgica es

decir a la infraestructura computacional por lo que no est dentro del alcance
la generacin de manuales de polticas institucionales de seguridad.
No se realizara ningn cambio o mejora a nivel de configuraciones o
topologas en los enlaces de internet provistos por los proveedores.
No se realizara la compra de ningn equipamiento adicional a nivel de
hardware como firewall, rack, switches, routers, o modificaciones fsicas al
Data Center, tampoco se realizara ningn cambio o mejora en los sistemas
operativos o bases de datos existentes.
El presente trabajo de investigacin se aplica al mbito de la seguridad
tecnolgica
El presente trabajo de investigacin
no pretende realizar ningn tipo de
cambios de configuraciones de los equipos ni tampoco se realizara compra

alguna, no contempla cotizaciones de equipos especializados de seguridad
de la red LAN.
La metodologa y software como herramientas para el anlisis de riesgos
que se va a utilizar para el desarrollo del anlisis de riesgos de la red LAN
de la Contralora General del Estado son:
Metodologa MAGERIT Versin 3.0
Software Pilar Versin 5.2
Nota: Las versiones de la metodologa y el software que van a ser utilizadas para el
anlisis de riesgos de la red LAN de la Contralora General del Estado se
determinarn de acuerdo a las versiones ms estables segn las exigencias del
proyecto.
1.6 Justificacin e Importancia

El desarrollo de este proyecto se debe a que conforme sigue creciendo la
red de rea local de la CGE los riesgos aumentan cada vez ms y como se
ha podido observar que no hay suficientes controles de seguridad, o si los
hay no se los aplica como se debera, por lo que
personas externas o
internas puedan pretender desestabilizar o cometer actos en contra de las

polticas de seguridad tanto lgicas como fsicas de la CGE, por ende es
necesario aplicar metodologas de seguridad a nivel de redes LAN, para que
podamos evitar al mximo los riesgos producidos por el uso indebido de la

red y as obtener una red ms segura y estable.
La importancia de realizar un anlisis de riesgos de la seguridad de la red

LAN de la CGE ayudara
con la planificacin de seguridad de la red, y
adems ser de gran ayuda para los responsables de la seguridad ya que

ellos podrn tomar decisiones acertadas, poner en forma segura la
informacin (datos que circulan por las redes) y por ende justificar la
inversin y orientar los recursos de manera costo-beneficio para la
organizacin, ya que estos
dispondrn de un sistema de gestin de
seguridad de la informacin totalmente actualizado.
El desarrollo de este proyecto beneficiara y fortalecer la seguridad de la red

LAN de la CGE, y por ende se beneficiaran los usuarios de todo tipo que
soliciten los diferentes servicios disponibles en la red LAN de la CGE.
La metodologa que se va aplicar para este anlisis de riesgos de la

seguridad de la red LAN se denomina MAGERIT versin 3, se ha escogido
esta metodologa ya que fue elaborada por el Consejo Superior de
Administracin Electrnica de Espaa, metodologa que ha sido creada para
la investigacin de los riesgos que soportan los Sistemas de Informacin y
comunicacin y que nos va a servir para recomendar las medidas
apropiadas que deberan adaptarse para controlar tales riesgos.
CAPTULO 2
2. Revisin Bibliogrfica
2.1 Antecedentes
La Contralora General del Estado es la encargada de controlar los recursos
pblicos para precautelar su uso efectivo, en beneficio de la toda la
sociedad, por lo que la informacin que se maneja en los diferentes sistemas
necesitan ser protegidos por cualquier amenaza sobre todo al momento de
ser transmitidos a travs de los medios de comunicacin como son las redes
informticas en si es de vital importancia preservar las caractersticas de la
seguridad de la informacin que se identifican por la confidencialidad,
integridad y disponibilidad de la informacin. Las organizaciones deberan
mantener estndares de seguridad apropiados, para prevenir peligros de
perdida de informacin preservando la continuidad del negocio.
Cabe sealar que la informacin manejada en la CGE debe ser de carcter
confidencial, pero al mismo tiempo debera estar disponible en el momento
que sea requerida por los usuarios, para as como administradores de las
TI5brindar un servicio de calidad. Y a su vez establecer un Sistema de
Gestin de
Seguridad que mediante los resultados que se obtenga se
obtendr recomendaciones que servirn para la institucin, ya que la CGE

no est libre de riesgos y amenazas debido al gran crecimiento de los
llamados hackers, y programas maliciosos que afectan la transmisin de la
informacin.
2.2 Fundamentacin Terica

2.2.1 Informacin (datos)
La informacin es un activo que es muy
esencial para la institucin u
organizacin y como consecuencia necesita ser protegida adecuadamente.

Teniendo en cuenta que un activo es cualquier cosa que tenga valor para la
5
Tecnologas de la Informacin
empresa, existe informacin en diferentes formas, ya sea impresa, escrita en

un papel, almacenada electrnicamente, transmitida por correo, utilizando
medios electrnicos, mostrada en pelculas o hablada en una conversacin.
Cualquiera que sea la forma que tome la informacin o el medio por el cual
sea
almacenada
compartida,
siempre
deber
estar
adecuadamenteprotegida.
2.2.2 Seguridad de la Informacin

Segn la Norma ISO 17799 define La seguridad de la informacin como la
preservacin de la confidencialidad, la integridad y disponibilidad de la
misma; adems, tambin pueden estar involucradas otras propiedades como
la autenticidad, responsabilidad, no-repudio y confidencialidad.(ISO 17799).
La seguridad de la informacin es la proteccin de la informacin de un
rango amplio de amenazas para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales. Esto se logra implementando un adecuado
conjunto de controles; incluyendo polticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware. Se
necesitan establecer, implementar, monitorear, revisar y mejorar estos
controles cuando sea necesario para asegurar que se cumplan los objetivos
de seguridad y comerciales especficos. Esto se debiera realizar en
conjuncin con otros procesos de gestin del negocio.(ISO 17799, 2005)
La seguridad de la informacin se puede lograr con la implementacin de un

adecuado
conjunto
de
controles;
incluyendo
polticas,
procesos,
procedimientos, estructuras organizacionales y funciones de software y

hardware. Es necesario establecer, implementar, monitorear, revisar y
mejorar estos controles las veces necesarias, para asegurar que se cumplan
los objetivos de seguridad.
2.2.3 Importancia
La seguridad informtica ha adquirido una gran importancia en los ltimos
tiempos, sobre todo para las organizaciones tanto pblicas como privadas.
Esta situacin se debe a que da a da este problema merece tener una

atencin especial.
Esto radica en el reto de tener la capacidad de lograr nuevos objetivos para
que la organizacin, de manera que alcance un desempeo ptimo basado
en el buen estado de su infraestructura informtica, que en estos tiempos es
vital para las Instituciones.
La interconexin de redes pblicas y privadas y el intercambio de fuentes de
informacin incrementan la dificultad de lograr un control del acceso. La
tendencia a la computacin distribuida tambin ha debilitado la efectividad
de un control central y especializado.
Muchos sistemas de informacin no han sido diseados para ser seguros.
La seguridad que se puede lograr a travs de medios tcnicos es limitada, y
debera ser apoyada por la gestin y los procedimientos adecuados,
identificando los controles a utilizar y que tipo de planificacin se utilizar sin
descuidar los detalles.
2.2.4 Polticas de seguridad

Las polticas de seguridad informtica es el conjunto de lineamientos y
procedimientos definidos por los administradores de la seguridad de los
sistemas de informacin y comunicacin, para proteger sus sistemas y la
informacin. En trminos ms generales indica que est y que no est
permitido en el rea de seguridad durante la operacin general de los
sistemas.
2.2.5 Activo
Cualquier cosa que tenga valor para la organizacin.
2.2.6 Amenazas
Una amenaza es todo elemento o accin capaz de atentar contra la
seguridad de la informacin.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir
que una amenaza slo puede existir si existe una vulnerabilidad que pueda
ser aprovechada, e independientemente de que se comprometa o no la
seguridad de un sistema de informacin.
10
Ms informacin sobre los tipos de amenazas podemos encontrar en el libro

II Catalogo de Elementos de la metodologa MAGERIT ver en ANEXO II.
2.2.7 Impacto
Se denomina impacto a la medida del dao sobre el activo derivado de la
materializacin de una amenaza.
2.2.8 Riesgo
Los Riesgos son la estimacin del grado de exposicin que una amenaza se
materialice sobre uno o ms activos, causando daos o perjuicios a la
organizacin.
2.2.10 Salvaguardas
Son las acciones de proteccin que toma la organizacin referente a las
amenazas para los activos.
2.2.11 Dimensiones de Seguridad
Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requieran a la informacin y sus activos asociados.
Integridad
La propiedad de salvaguardar la exactitud e integridad de los activos
con su respectiva informacin.
Confidencialidad
La propiedad que esa informacin est disponible y no sea divulgada
a personas, entidades o procesos no autorizados.
Autenticidad
Comprobacin de que la fuente de datos recibidos es la alegada.
Trazabilidad
Aseguramiento de que todo momento se podr determinar quin hizo
que y en qu momento.
11
2.2.12 Evaluacin de los Riesgos

Mediante una evaluacin de riesgos se identificaran las vulnerabilidades de
la seguridad de la red LAN que tiene la institucin, y por ende se
identificaran las causas de los potenciales riesgos a fin de minimizar las
causas en los diferentes puntos de evaluacin.
Los pasos generales para realizar una valoracin de riesgos son:
Identificacin de los riesgos
Anlisis de los riesgos
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
informacin almacenada, procesada y transmitida, la criticidad de las
aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la
entidad, la entidad misma y el momento.
2.2.13 Identificacin de Riesgos

Se analizan los factores considerados como amenazas en el ambiente
informtico, los cuales se los puede identificar mediante cuestionarios de
anlisis de riesgos, siendo una herramienta clave, y estn diseados para
guiar al administrador a descubrir amenazas, por medio de preguntas.
2.2.14 Anlisis de Riesgos

Es el proceso que realiza una prediccin de lo que pasar a futuro basados
en hechos histricos para que de esta manera determinar el impacto,
tomando alternativas de solucin.
El objetivo principal es establecer una valoracin y priorizacin de los riesgos
con base en la informacin ofrecida por los mapas elaborados en la etapa de
identificacin, con el fin de clasificar los riesgos y proveer informacin para
establecer el nivel de riesgo y las acciones que se van a implementar.
12
2.3 Metodologa MAGERIT

MAGERIT es el acrnimo de Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin de las Administraciones Pblicas .Es una
metodologa que fue elaborada por el Consejo Superior de Administracin de
Espaa, (CSAE) utilizado para analizar los riesgos derivados del uso de las
tecnologas de la Informacin y Comunicaciones para as implementar
medidas de controladecuadas que permitan tener riesgos controlados.
MAGERIT se basa fundamentalmente en analizar el impacto que puede
tener para las Instituciones la violacin de seguridad, siempre buscando
identificar amenazas que afecten a la vulnerabilidad de la informacin.
Esta metodologa presenta una gua de cmo se lleva el anlisis de riesgos
paso a paso. A continuacin se muestra el
proceso de la metodologa
MAGERIT.
Figura 1Proceso de MAGERIT
Diagrama elaborada por el autor, Fuente: MAGERIT Libro I Mtodo.
13
2.3.1 Fases de Desarrollo de la Metodologa

2.3.1.1 Fase 1 Activos
En esta etapa se identifican los activos ms relevantes de la organizacin
objeto de estudio.
Entre los activos ms importantes que la metodologa MAGERIT muestra
las siguientes categoras:
[HW] Hardware
[SW] Software
[D] Datos
[L] Instalaciones.
[P]m Personal, entre otros.
Para mayor informacin sobre los tipos de activos de la metodologa se

encuentra en el ANEXO IV.
Dependencias
Se procede a establecer las dependencias entre los distintos activos de un
modo jerarquizado, evaluando el grado de vinculacin entre activos y en
funcin de los parmetros disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad (DICAT)7.
Valoracin de Activos
El valor de un activo es la estimacin del coste que causara la
materializacin de una amenaza sobre dicho activo.
Un activo puede tener valor en varias dimensiones, y puede tener un valor
diferente en cada dimensin, como se lo observara ms adelante.
Para facilitar la valoracin, consideraremos el dao total cuando la amenaza
afecta contundentemente al activo y lo destroza completamente en una
cierta dimensin. Despus, para cada amenaza, se estimara en qu medida
el dao es completo o parcial. La destruccin parcial del valor se llama
degradacin, y permite estimar del impacto efectivo de la amenaza.
Dimensiones de la Seguridad de la Informacin
14
El valor del activo, junto con la degradacin, permite para estimar el impacto
de una amenaza sobre un activo:
Impacto = valor x degradacin
Durante el anlisis de riesgos, hay que tener en cuenta las dependencias
entre activos, lo que significa que en el clculo anterior debe usarse el valor
acumulado el cual es el valor total en un activo A es la suma de su propio
valor ms el valor de los activos que dependen del A, matizado por el grado
de dependencia.
2.3.1.2Fase 2 Amenazas
En esta fase se procede a
identificar las amenazas a los que se ven
afectados, los activos que nicamente se aplicarn sobre los activos que
estn debajo del nivel de la capa de datos o inferior.
Adems en el catlogo de elementos de la metodologa MAGERIT se hacen
conocer algunos tipos de amenazas. Ver ANEXOS V.
Valoracin de las Amenazas

Una vez identificadas las amenazas, se debe establecer la valoracin de las
amenazas, mediante los siguientes dos parmetros:
Frecuencia: cada cunto se materializa una amenaza.
Degradacin: impacto que tiene la materializacin de la amenaza

en el activo.
Impacto y Riesgo
El impacto son las consecuencias cuando ocurren las amenazas.
Para el clculo del impacto acumulado se utiliza la siguiente formula
Impacto acumulado= valor acumulado * degradacin
El riesgo es un indicador de lo que probablemente suceda por causa de las

amenazas
Para el clculo del riesgo acumulado se utiliza la siguiente formula
Riesgo acumulado= impacto acumulado * degradacin

15
El impacto y el riesgo se mitigan por medio de salvaguardas, vindose

reducidos a valores residuales.
2.3.1.3Fase3 Salvaguardas
Las salvaguardas son las contras medidas que se definen como aquellos
procedimientos o mecanismos tecnolgicos que reducen el riesgo.
Para la seleccin de salvaguardas MAGERIT nos da a conocer una gran
variedad de salvaguardas, ante esto debemos saber cules van hacer las
ms efectivas en la proteccin contra las amenazas. Para lo cual
deberamos formularnos las siguientes preguntas tales como:
Qu tipo de activos se va a proteger?
De qu amenazas necesitamos protegernos?
Existen salvaguardas alternativas?
Cules son las dimensiones de seguridad que requieren proteccin?
En conclusin limitan el factor de degradacin de valor.

Las salvaguardas se caracterizan, adems de por su existencia, por su
eficacia frente al riesgo que pretenden conjurar
Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas
que son idneas y que estn perfectamente implantadas, se estimar un
grado de eficacia real en cada caso concreto. Para medir los aspectos
organizativos, se puede emplear una escala de madurez que recoja en
forma de factor corrector la confianza que merece el proceso de gestin de
la salvaguarda:
2.3.1.4 Fase 4 Impacto Residual

Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestin, el sistema queda en una situacin de
posible impacto que se denomina residual. Se dice que hemos modificado el
impacto, desde un valor potencial a un valor residual.
El clculo del impacto residual es sencillo. Como no han cambiado los
activos, ni sus dependencias, sino solamente la magnitud de la degradacin,
se repiten los clculos de impacto con este nuevo nivel de degradacin.
16
La magnitud de la degradacin tomando en cuenta la eficacia de las

salvaguardas, es la proporcin que resta entre la eficacia perfecta y la
eficacia real.
El impacto residual puede calcularse acumulado sobre los activos inferiores,
o repercutido sobre los activos superiores
2.3.1.5Fase 5 Riesgo residual

En esta etapa se realiza la estimacin del estado del riesgo, el riesgo
residual supone el riesgo real al que la entidad est expuesta en el momento
de la realizacin del anlisis de riesgo. Es el riesgo sobre el que se deben
establecer criterios de aceptacin de riesgos y a partir del cual se ha de
definir un plan de tratamiento de riesgos para mitigar los riesgos crticos para
la entidad. El clculo del riesgo residual se realiza de acuerdo con el libro de
tcnicas de MAGERIT:
Riesgo Residual es el riesgo calculado a partir del impacto y frecuencia
residuales:
Riesgo_residual = F (impacto_residual, frecuencia_residual)
El riesgo residual acumulado se calcula sobre el impacto residual
acumulado.
El riesgo residual repercutido se calcula sobre el impacto residual
repercutido.
De
un modo grfico el proceso de obtencin del riesgo residual se
representa en el siguiente diagrama:
17
Figura 2: Diagrama para el Clculo de Riesgos Residual
Obteniendo los riesgos residuales se puede identificar las principales

amenazas a las que se encuentran expuestos los activos y que pueden tener
un mayor impacto en los principales servicios o en la informacin en caso de
materializarse.
Finalmente con la
a gestin de riesgos supone la fase final en la que se
debern presentar los resultados del anlisis de riesgos y establecer el nivel
aceptable para la organizacin.
En cualquier caso es aconsejable que este plan recoja como mnimo: una
descripcin de la medida
medida a implantar, la identificacin de la persona
responsable de acometerla, una asignacin adecuada de recursos y una
planificacin de la fecha para la implantacin efectiva de la medida.
Establecido el plan es importante llevar un seguimiento del mismo para
p
comprobar que los hitos marcados se estn cumpliendo de acuerdo con la
planificacin establecida y para la verificacin en posteriores iteraciones del
anlisis de riesgos de que se alcancen los niveles de riesgos adecuados.
8
Grfico
ico elaborada por el autor, Fuente: MAGERIT Libro I Mtodo.
18
2.4.Hiptesis del Proyecto Planteado

Con la aplicacin de la Metodologa MAGERIT se realizara un anlisis de
riesgos de la seguridad de la Red LAN de la Contralora General del Estado,
dicho anlisis permitir, identificar amenazas que afecten a la vulnerabilidad
de la informacin y saber su grado de madurez
de seguridad de la
informacin en la que se encuentra la institucin, y al final poder dar las

recomendaciones respectivas. De esta manera los administradores de la red
podrn identificar fcilmente las amenazas y poder tomar decisiones ms
acertadas al momento de que algunas amenazas se materialicen y poder
fcilmente mejorar las polticas de seguridad establecidas.
19
CAPTULO 3
3.1 Situacin actual de red LAN de la Contralora general del
Estado
La infraestructura de red actual con la que cuenta la Contralora General del
Estado de la matriz est compuesta por la siguiente distribucin de usuarios.
Unidad
Nmero de
Pisos
CGE
MATRIZ
Nmero de
reas
Nmero de
Usuarios
28
900
Nmero de Pc
Desktop
Laptop
400
450
Tabla 1Nmero de Computadoras de Usuarios de la CGE
La red de la Contralora General del Estado est compuesta de una red LAN
donde se encuentran la mayora de los equipos tales como servidores, Pc de
escritorio laptops que usan los usuarios impresoras, telfonos ip, etc., en la red
DMZ se encuentran los servidores web los cuales permiten
publicaciones web
hacia el exterior y la
realizar las
WAN que permite realizar la
comunicacin de la matriz, con las provincias a las cuales les permite acceder
a los diferentes aplicativos de la matriz, tales como Autoaudit, Siscont,
Regicont, etc., y as de esta manera la matriz esta comunicada con todas las
delegaciones del pas.
Entre los servicios crticos que soporta la red tenemos:
Navegacin Web
Correo Electrnico
Enlaces de Datos
Citrix.
A continuacin se muestra un Diagrama Lgico de red en forma general donde

podemos observar los dispositivos implementados en cada red descrita
anteriormente, cabe recalcar que nuestro objeto de estudio es la red LAN, pero
se presenta este diagrama para tener un panorama ms claro de nuestro
proyecto a desarrollarse.
20
Diseo Lgico
FortiGate 3040B
CONSOLE
10G SFP+
MGMT 1
11
13
15
17
MGMT 2
10
12
14
16
18
MGMT 1
11
13
15
17
MGMT 2
10
12
14
16
18
F SM1
F SM3
F SM2
F SM4
F SM1
F SM3
F SM2
F SM4
STATUS
ALARM
HA
POWER
USB
NP4-1
SHUT DOWN
NP4-2
FortiGate 3040B
CONSOLE
10G SFP+
STATUS
ALARM
HA
POWER
USB
NP4-1
SHUT DOWN
NP4-2
Figura 3.Diagrama Lgico de la Red LAN
21
3.2 Inventario de Activos de la red LAN de la CGE

Cant
Activo
Descripcin
Categora
Ubicacin
Responsable
Switch Core WSC4510R+E
Switch de ncleo o
central
Equipo
Datacenter
Administrador de
Redes
Switch WS-C3560X
Switch de la capa
de distribucin
Equipo
Cada Piso del

Edificio
Administrador de
Redes
50
Switch WS-C2960
Switch de la capa
acceso
Equipo
Cada Piso del

Edificio
Administrador de
Redes
CIS ASS 1240B
Equipo
Datacenter
Administrador de
Seguridad
22
Access Point 1250
Firewall de
Seguridad
Perimetral en HA
Dispositivo
Inalmbrico WIFI
Equipo
Cada Piso del

Edificio
Administrador de
Redes
Analizador 1200C
Equipo
Datacenter
Administrador de
Seguridad
Manager 100C
Equipo Analizador
de Logs de
Monitoreo
Equipo para
Administracin de
Firewall
Equipo
Datacenter
Administrador de
Seguridad
Backup de
Configuracin de
Firewalls
Datos
Datacenter
Administrador de
Seguridad
Backup de Logs de
Monitoreo
Datos
Datacenter
Administrador de
Seguridad
1
Datos
Cuarto de
Comunicaciones
Cuarto de
Comunicaciones
Instalaci
n Fsica
Cada Piso del

Edificio
Administrador de
Redes
PRTG Network
Monitoring
Software de
monitoreo de red
Software
Datacenter
Administrador de
Redes
Data Center
Centro de Datos
Instalaci
n Fsica
Datacenter
Administrador de
Plataformas
Central
Telefnica(CUCM)
Centro de Datos
Equipo
Datacenter
Administrador de
Redes
500
Telfono Ip
Centro de Datos
Equipo
Oficinas
20
Switch D-Link
Switch de redes
pequeas
Equipo
Oficinas
Administrador de
Redes
Administrador de
Redes
CiscoWorks
Software de
gestin de red
Administradores de
Redes
Administradores de
Seguridad
Software
Datacenter
Personal
Oficinas
Administrador de
Redes
Administradores
Personal
Oficinas
Administradores
5
Personal
Tabla 2. Inventario de Activos de la Red LAN
22
En la tabla anterior, no se ha incluido los routers que conectan la red la CGE

con el proveedor de servicio de internet (ISP) y con las redes avanzadas; ya
que no se contempla el estudio de Red WAN.
A continuacin se realizara una descripcin breve de cada equipo
mencionados en la tabla 3. Inventario de Activos de la Red LAN.
Firewalls
Como seguridad perimetral se encuentra el firewall en Alta Disponibilidad
(HA), en los cuales est configurado todos los servicios que salen y entran, y
que a travs de polticas se permite el acceso a de la red interna y la DMZ
con el internet, y de igual forma permite que el trfico que entra y sale de los
servidores sea analizando por el firewall antes de llegar a su destino.
A dems del firewall se tiene disponible un analizador de trfico en el cual
se puede alojar todos los Logs de eventos, UTM, trfico que son enviados
desde el firewall, esto permite al administrador de seguridad obtener
reportes personalizados y programados para que se generen para cualquier
fecha que lo establezca el administrador, por lo que en la CGE se generan
cada primero de cada mes reportes de navegacin de toda la red, dichos
reportes se almacenan para mantener un historial. Por otro lado la interfaz
grfica de esta herramienta permite visualizar los Logs de navegacin trfico
en tiempo real.
Por otro lado el equipo puede realizar escaneo de vulnerabilidades de
cualquier equipo de red, indicando que tipo de vulnerabilidad y clasificndola
en medio bajo o critica, y mostrando la sugerencia para cada vulnerabilidad
encontrada.
A continuacin en la siguiente tabla se muestra las diferentes interfaces
utilizadas tanto en el firewall como en el switch, esto con el fin de entender
mejor la infraestructura de la red LAN establecida en la Contralora General
del Estado.
23
INTERFACES UTILIZADAS FIREWALL

Descripcin
ISP1 Enlace de Internet 1
ISP2 Enlace de Internet 2
DMZ_Externa
LAN Red de rea Local
WAN
RIM
DMZ ViConf
Puerto
Firewall
25
27
28
26
29
31
34
Direccin Ip
Mscara de Subred
Gateway
186.46.139.221
190.152.249.24
192.168.21.1
172.16.8.140
192.168.11.20
10.80.49.2
255.255.255.224
255.255.255.248
255.255.255.0
255.255.224.0
255.255.255.0
255.255.255.0
DNS
Primario
186.46.139.21 172.16.9.18
190.152.249.22 172.16.9.28
172.17.244.1
255.255.255.0
DNS
Secundario
8.8.8.8
8.8.8.8
.
.
..
Tabla 3. Descripcin de Interfaces del Firewall
PuertoFirewall
25
26
27
28
29
30
31
34
35
36
39
40
1Manager
1Analizador
Conexin a Equipos de Contralora
Descripcin
7 y 8 Switch1
18 y 21 Switch1
15 y 16 Switch1
22 y 23 Switch1
3 y 4 Switch1
R1-B-01 Patch Panel y R1-B-02 Patch Panel
10 y 12 Switch1
11 y 10 Switch2
3 y 4 Switch2
9 y 7 Switch2
39 Firewall
40 Firewall
19 Switch1
20 Switch1
ISP1
LAN
ISP2
DMZ Externa
WAN
LAN
RIM
DMZ Videoconf
External VCFW
Internal VCFW
HA
HA
Manager
Analizador
Tabla 4. Descripcin de Conexiones del Switch
24
Servicios
Ping
Ping,http,https,ssh,telnet
http,ping,FMG-Access
http,ping,ssh,telnet
http,ping,FMG-Access
http,https,ping,FMGAccess
http,https,ping,FMGAccess
3.3 Arquitectura de la red LAN de Contralora General del

Estado
El modelo de referencia utilizado es TCP/IP, la topologa utilizada es
topologa en estrella donde cada Switch de distribucin est conectado por
fibra al nodo central y los Switch de acceso por medio de cable
UTP
categora 5E a los de distribucin demostrado en la figura 3.0.

En la red LAN de la CGE, podemos identificar tres zonas:
3.3.1 Red de borde

Esta red es la que se encuentra directamente a internet a travs de un
enrutador (router) normalmente este router lo provee el ISP (Proveedor de
Servicios de Internet) que sirve de capa de proteccin inicial. Este enrutador
transmite datos a travs de la red perimetral por medio del firewall de
seguridad perimetral.
3.3.2 Red Perimetral

Esta red ms conocida como DMZ (Red de Zona Desmilitarizada) o red de
extremo, en la cual encontramos a los servidores Web u otros servicios, por
lo que los usuarios extremos se les permite acceder dichos servicios y a su
vez, los servidores Web se vinculan a la red interna o red LAN a travs del
firewall de seguridad perimetral.
3.3.3 Redes Internas

Las redes internas permiten comunicarse con los servidores ubicados que
estn en la red de rea local (LAN) tales como servidores de bases de datos
y otras aplicaciones de uso interno.
A continuacin en la siguiente figura se muestra las tres zonas ms
importantes descritas anteriormente que son red de borde, red perimetral y
redes internas que son nuestro objeto de estudio
25
Figura 4. Arquitectura de red empresarial
3.4 Modelo Jerrquico de la Red LAN

El modelo jerrquico utilizado es el de 3 capas de CISCO, a continuacin se
describe cada una de ellas.
Capa Core A esta capa se le conoce tambin como backbone o el

ncleo de la red, donde su funcin es llevar grandes cantidades de
trfico de manera confiable y veloz.
Capa Distribucin En esta capa es el medio de comunicacin entre

la capa de acceso y el core, provee ruteo, filtradoy determinar que
paquetes deben llegar al Core o sea se puede implementar listas de
acceso, aplicar polticas para la gestin de red.
Capa AccesoEn esta capa es el punto de entrada para los usuarios

finales a sus diferentes estaciones de trabajo y tambin los servidores
de la red LAN.
Los modelos de Switch utilizados en cada capa de la red LAN de la CGE

son:
Capa Core (Switch Core WS-C4510R+E), opera en capa 3.
Capa Distribucin (Switch WS-C3560X), opera en capa 2 y capa 3.
Capa Acceso (Switch WS-C2960), opera en capa 2.

26
VLANs
Para la seguridad de la red LAN esta segmentada por VLANs, lo cual se ha
realizado por Direccin por ejemplo Direccin de Comunicacin, Direccin
de Tecnologa, etc.
Adems se ha definido ACLa nivel del Switch de Core, se ha establecido una
poltica de acceso a la red Wireless, tanto para usuarios internos como
externos. En el caso de los internos se autentican contra el Active Directory y
este se comunica con el firewall, en el cual se ha configurado los perfiles de
navegacin.
A continuacin se muestra un diagrama jerrquico de la Red LAN donde se
puede observar los routers de los proveedores de internet proveyendo el
servicio de internet por dos enlaces uno de 6 MB y el otro de 10MB
trabajando como redundantes en caso de que uno de estos fallen, luego
tenemos los firewalls configurados en alta disponibilidad (HA), los mismos
que permitirn establecer a los administradores de seguridad reglas o
polticas de acceso tanto de afuera hacia adentro y lo contrario para
mantener la integridad de la informacin a buen recaudo.
Y finalmente desde el Datacenter tenemos el switch de Core, el cual es el
centro de las conexiones de los dems dispositivos de red tales como los
switches de distribucin, que se encuentran en los cuartos de comunicacin
y finalmente tenemos los switches de acceso donde
se encuentran
conectados los usuarios que utilizan los servicios de la red LAN.
27
Diagrama Fsico de la Red LAN
Fo rti Gate3 040 B
CON SO LE
10G S FP+
MG MT 1
MG MT 2
MG MT 1
11
13
15
17
01
12
14
61
18
11
13
15
17
MG MT 2
01
12
14
61
18
F SM1
FSM 3
F SM2
FSM 4
F SM1
FSM 3
F SM2
FSM 4
STATUS
ALARM
HA
POWER
SHUT DOW N
U SB
NP4-1
NP4- 2
Fo rti Gate3 040 B
CON SO LE
10G S FP+
STATUS
ALARM
HA
POWER
SHUT DOW N
U SB
NP4-1
NP4- 2
Figura 5. Diagrama de la Red LAN
28
3.5 Descripcin y Justificacin de la Metodologa MAGERIT

MAGERIT persigue objetivos directos como indirectos que a continuacin se
enumera.
a) Concientizar a los responsables de las organizaciones de informacin
de la existencia de riesgos y de la necesidad de gestionarlos.
b) Ofrecer un mtodo sistemtico para analizar los riesgos.
c) Ayudar a descubrir y planificar el tratamiento oportuno para mantener
los riesgos bajo control.
d) Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso
e) Buscar la uniformidad de los informes que recogen los hallazgos y las
conclusiones
de
las
actividades
de
anlisis
gestin
de
riesgos.(MAGERIT, 2012)
3.5.1 Descripcin de la Metodologa

La metodologa MAGERIT, est dividida en dos libros y una gua de
tcnicas:
Libro I Mtodo
El primero de ellos se refiere al Mtodo, donde se describe la estructura que
debe tener el modelo de gestin de riesgos. Este libro est de acuerdo a lo
que propone ISO para la gestin de riesgos.
El primer libro de esta metodologa describe los pasos para realizar un
anlisis del estado de riesgo y para gestionar su mitigacin. Se describe la
metodologa en forma conceptual. Adems se describe paso a paso para la
realizacin del anlisis y gestin de riesgos, da a conocer las normas
estndares propias de la metodologa para que el proyecto a realizarse este
bajo control en todo momento. Informacin ms completa sobre este libro la
encontrara en el Anexo I.
29
Libro II Catalogo de Elementos

El segundo libro es un Catlogo de Elementos, el cual es una especie de
inventario que puede utilizar la empresa para enfocar el anlisis de riesgo.
Es as como contiene una divisin de los activos de informacin que deben
considerarse, las caractersticas que deben tenerse en cuenta para valorar
los activos identificados y adems un listado con las amenazas y controles
que deben tenerse en cuenta. Informacin ms completa sobre este libro la
encontrara en el Anexo II.
Libro III Gua de Tcnicas
El tercer libro es una Gua de Tcnicas, lo cual lo convierte en un factor
diferenciador con respecto a otras metodologas. En este tercera parte se
describen diferentes tcnicas frecuentemente utilizadas en el anlisis de
riesgos. Contiene ejemplos de anlisis con tablas, algoritmos, rboles de
ataque, anlisis de costo beneficio, tcnicas grficas y buenas prcticas para
llevar adelante sesiones de trabajo para el anlisis de los riesgos.
Informacin ms completa sobre este libro la encontrara en el Anexo III.
Y como complemento de esta metodologa tenemos la herramienta EAR/
PILAR la cual nos facilitara el trabajo al momento de clasificar los activos,
amenazas las valoraciones de los diferentes activos acercando casi en un
99% a la realidad, en este mismo captulo ms adelante se lo describir ms
a detalle sus respectivas funciones.
3.5.2 Justificacin de la Metodologa MAGERIT

Para la realizacin de un Anlisis de Riesgos existen varias guas
informales,aproximaciones metdicas, estndares y herramientas de soporte
quebuscan gestionar y mitigar los riegos. Las principales metodologas
deanlisis y gestin de riesgos de uso habitual en el mercado de la
seguridadde la informacin son: MAGERIT, OCTAVE, CRAMM, IRAM, para
determinarcul es la metodologa que genere confianza en la mitigacin de
riesgos seha realizado la siguiente tabla comparativa.
30
MAGERIT
ALCANCE
CONSIDERADO
OCTAVE
CRAMM
IRAM
Anlisis de Riesgos
Gestin de Riesgos
Cuantitativo
TIPO DE ANLISIS
Cualitativo
Mixto
Intrnseco
TIPO DE RIESGOS
Efectivo
Residual
Procesos
Activos
ELEMENTOS DEL
MODELO
Recursos
Dependencias
Vulnerabilidades
Amenazas
Salvaguardas
Confidencialidad
Integridad
OBJETIVOS DE
SEGURIDAD
Disponibilidad
Autenticidad
Trazabilidad
Tipos de Recursos
INVENTARIOS
Vulnerabilidades
Amenazas
Salvaguardas
Herramienta
Plan de Proyecto
AYUDAS A LA
IMPLANTACIN
Tcnicas
Roles
Comparativas
Soporte
Otros
Cuestionarios Cuestionarios
Del ISF
9
Tabla 5. Comparativa de Metodologas de Anlisis y Gestin de Riesgos
Leyenda:
Completo
Amplio
Satisfactorio
Pobre
No tiene
Tabla elaborada por el autor, Fuente: Tesis de Anlisis de Riesgos de Seguridad de la Informacin,
Juan Manuel Matalobos Veiga, de la Universidad Politcnica de Madrid, 2009,
http://oa.upm.es/1646
31
De la tabla comparativa anteriormente desarrollada se puede concluir que

MAGERIT versin 3, esuna metodologa completa porque tiene procesos,
actividades,
tareas
una
herramientapropia
desarrollada
bajo
su
metodologa, como lo es PILAR.

Una parte fundamental dentro de la gestin de la seguridad de la
informacin, es conocer y controlar los riesgos a los cuales est expuesta la
informacin de la institucin. Cuando las empresas buscan como
implementar modelos de gestin de seguridad suelen adoptar metodologas
que las que les brinden un marco de trabajo definido que facilite la
administracin de los riesgos y adems permita mejorarla.
En este sentido fue desarrollado MAGERIT una metodologa de anlisis y
gestin de riesgos elaborada por el Consejo Superior de Administracin
Electrnica de Espaa, que ofrece un mtodo sistemtico para analizar los
riesgos derivados del uso de tecnologas de la informacin y comunicaciones
para de esta forma implementar las medidas de control ms adecuadas que
permitan tener los riesgos mitigados. Adems de esto, cuenta con todo un
documento que rene tcnicas y ejemplos de cmo realizar el anlisis de
riesgos.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener
para la empresa la violacin de la seguridad, buscando identificar las
amenazas que pueden llegar a afectar la compaa y las vulnerabilidades
que pueden ser utilizadas por estas amenazas, logrando as tener una
identificacin clara de las medidas preventivas y correctivas ms apropiadas.
Lo interesante de esta metodologa, es que presenta una gua completa y
paso a paso de cmo llevar a cabo el anlisis de riesgos.
Esta metodologa es muy til para aquellas empresas que inicien con la
gestin de la seguridad de la informacin, pues permite enfocar los
esfuerzos en los riesgos que pueden resultar ms crticos para una empresa,
es decir aquellos relacionados con los sistemas de informacin. Lo
interesante es que al estar alineado con los estndares de ISO es que su
implementacin se convierte en el punto de partida para una certificacin o
para mejorar los sistemas de gestin.
32
Cuando se habla de gestionar la seguridad de la informacin, en lo que

generalmente se piensa es en la serie de normas ISO 27000. Pero
puntualmente para la gestin de riesgos hay otras alternativas que pueden
ayudar a la empresa.
Cuando las empresas buscan como implementar modelos de gestin de
seguridad suelen adoptar metodologas que las que les brinden un marco de
trabajo definido que facilite la administracin de los riesgos y adems
permita mejorarla.
3.5.3 Herramienta EAR /PILAR

Este tipo de herramientas de entorno de anlisis de riesgos (EAR) soportan
el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la
metodologa MAGERIT para anlisis y gestin de riesgos.
Los activos estn expuestos a amenazas que, cuando se materializan,
degradan el activo, produciendo un impacto. Si estimamos la frecuencia con
que se materializan las amenazas, podemos deducir el riesgo al que est
expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del
sistema.
El gestor del sistema de informacin dispone de salvaguardas, que o bien
reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto.
Dependiendo del grado de implantacin de estas salvaguardas, el sistema
pasa a una nueva estimacin de riesgo que se denomina riesgo residual.
PILAR dispone de una biblioteca estndar de propsito general, y es capaz

de realizar calificaciones de seguridad respecto de normas ampliamente
conocidas como son:
ISO/IEC 27002:2005 - Cdigo de buenas prcticas para la Gestin

de la Seguridad de la Informacin
ENS - Esquema Nacional de Seguridad
La utilizacin de esta herramienta en este proyecto me ayudara analizar los

riesgos de acuerdo a la confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad.
33
Tambin dispone de salvaguardas, normas y procedimientos de seguridad

para el anlisis del riesgo residual en el proceso de tratamiento.
Para realizar un anlisis de riesgos adecuado, es necesario tener
conocimiento sobre el entorno Pilar en cuanto a identificar los activos,
dependencias, valoracin de activos, identificacin de amenazas, y
valoracin de salvaguardas.
Una vez ya descrito los componentes de la red LAN de la CGE y la
metodologa que se utilizara en nuestro estudio procedemos a realizar paso
a paso el anlisis de riesgos, tal como lo indica la metodologa MAGERIT.
3.6 Elaboracin del Anlisis de Riesgos de la red LAN de la CGE

Para el desarrollo del anlisis de riesgos se procedi a realizar las
siguientesactividades preliminares:
Figura 6. Diagrama de Procesos de Anlisis de Riesgos
3.6.1 Entrevistas con responsables de la red LAN.

Antes de empezar con la realizacin del Anlisis de Riesgos, se comenz
con entrevistas a los responsables encargados de la gestin y seguridad de
34
la red LAN, lo cual me ayudo a saber los principales activos de la red LAN,
los ms valiosos para la organizacin dicha informacin que fue recolectada
en las fichas que la metodologa recomienda, que ms adelante las
presento.
3.6.2 Descripcin General de la Informacin Recolectada

La descripcin de toda la informacin recolectada ya se la ha mencionada
anteriormente en este mismo captulo 3, a travs de tablas diagramas, etc.
3.6.3 Tabulacin de la Informacin

Para la tabulacin de la informacin la metodologa MAGERIT, sugiere la
realizacin de fichas por cada activo que se identifique, esto como resultado
de las diferentes entrevistas encuestas realizadas a los responsables de los
activos de la red LAN, de la CGE, el formato es el siguiente:
[HW] HARDWARE
[HW] Equipamiento Informtico (Hardware)

Cdigo: HWFirewall
Nombre: Cortafuegos
Descripcin: El Firewall es un dispositivo importante dentro de la red LAN

que permite tanto la entrada y salida de servicios, a travs de polticas de
seguridad establecidas por el administrador de seguridad de acuerdo a los
requerimientos de la organizacin.
Responsable: Administrador de Seguridad
Ubicacin: Data Center
Numero: 1
Tipo:
( )[host] grandes equipos

( )[mid] equipos medios
( )[pc] informtica personal
( )[mobile] informtica mvil
( )[pda] agendas electrnicas
( )[vhost] equipo virtual
( )[backup] equipamiento de respaldo
( )[peripheral] perifricos
( )[print] medios de impresin
35
( )[scan] escneres
( )[crypto] dispositivos criptogrficos
( )[bp] dispositivo de frontera
()[network] soporte de la red
( )[modem] mdems
( )[hub] concentradores
( )[switch] conmutadores
( )[router] encaminadores
( )[bridge] pasarelas
( X)[firewall] cortafuegos
( )[wap] punto de acceso inalmbrico
( )[pabx] centralita telefnica
( )[ipphone] telfono IP
Dependencias de activos inferiores
Activo: Administrador de Seguridad Grado:100%
por qu? Es el tcnico especializado en establecer el buen funcionamiento

lgico del equipo.
Activo: Data Center
Grado: 75%
Activo: Administrador de Redes

Grado: 50%
por qu? Si esta persona especializada en redes establece un mal
direccionamiento no habra comunicacin.
A continuacin se describir cada campo de la ficha:
1. Titulo general del activo a describir.
2. Cdigo con el cual se lo identificara al activo.
3. Nombre del activo.
4. Se realiza una breve descripcin del activo sus funciones ms
relevantes.
5. Persona a cargo del activo.
6. Donde est ubicado el activo
7. Escogemos la categora a la cual pertenece el activo.
36
8. Finalmente se identifica las dependencias de dicho activo, indicando

el por qu dicho activo depende del activo que indiquemos.
9. Se refiere a la estimacin del grado de dependencia de 0 hasta un
100%.
Para la recoleccin del grado de dependencia est basado en la siguiente
tabla.
Niveles
Dependencia
25%
Poco
50%
Medio
75%
Alto
100%
Muy Alto
Tabla 6. Estimacin de Dependencias
Como podemos observar esta ficha de informacin tenemos que realizar por
cada activo que identifiquemos en la organizacin, las fichas de todos los
activos se describirn en el anlisis de riesgos del paso 1 en este mismo
captulo.
3.6.4 Anlisis de Riesgos

Permite determinar qu tiene la Organizacin y estimar lo que podra pasar.
Elementos:
Activos, que no son sino los elementos del sistema de informacin (o
estrechamente relacionados con este) que aportan valor a la Organizacin.
2. Amenazas, que no son sino cosas que les pueden pasar a los activos
causando un perjuicio a la Organizacin.
3. Salvaguardas(o contra medidas), que no son sino elementos de defensa
desplegados para que aquellas amenazas no causen [tanto] dao.
Con estos elementos se puede estimar:
El impacto: lo que podra pasar
El riesgo: lo que probablemente pase.
El anlisis de riesgos permite analizar estos elementos de forma metdica

para llegar a conclusiones con fundamento.
37
Para el proceso de anlisis de riesgos se realizara los siguientes pasos

como se indica en la siguiente tabla.
TAREAS DELANLISIS DE RIESGOS

Paso 1. Caracterizacin de los activos
1.1 Identificacin de los activos
1.2 Dependencias entre activos
1.3 Valoracin de los activos
Paso 2. Caracterizacin de las Amenazas
2.1 Identificacin de las amenazas
2.2 Valoracin de las amenazas
Paso 3. Caracterizacin de las salvaguardas
3.1 Identificacin de las salvaguardas pertinentes
3.2 Valoracin de las salvaguardas.
Paso 4. Estimacin del estado de riesgo
4.1 Estimacin del impacto
4.2 Estimacin del riesgo
10
Tabla 7. Actividades de Anlisis de Riesgos .
La metodologa MAGERIT, recomienda realizar paso a paso, en el anlisis

de riesgos, como se observa en la figura 6, que manifiesta que se debe
tratar primero los 1, 2,4 y 5, obviando el paso 3, de forma que las
valoraciones del impacto y/o riesgos son realizados sin salvaguardas
desplegadas, con el objetivo de obtener estimaciones realistas del impacto
y/o riesgo potencial. Una vez obtenido este escenario, se incorporan las
salvaguardas del paso 3.
10
Tabla elaborada por el autor, Fuente: MAGERIT Libro I Mtodo.
38
Figura 7. Pasos del Anlisis de Riesgos11
Paso 1
3.6.4.1Identificaciny Clasificacin de Activos de la red LAN

La identificacin de activos es importante ya que permite materializar con
precisin el alcance del proyecto, permite valorar los activos con exactitud e
identificando y valorando las amenazas a las que estn expuestos dichos
activos. Se realiz la respectiva recoleccin de informacin de los activos en
las fichas que la metodologa lo recomienda.
Como
resultado
de
las
anteriores
entrevistas
realizadas
los
administradores de la infraestructura del Data Center de la CGE, se ha

identificado el siguiente conjunto de activos de red LAN:
11
Grfico elaborada por el autor, Fuente: MAGERIT Libro II Catlogo de Elementos.
39
Activo
Descripcin
Categora
Ubicacin
Responsable
Switch Core WSC4510R+E
Switch de
ncleo o central
Equipo
Datacenter
Administrador de
Redes
Switch WSC3560X
Switch de la
capa de
distribucin
Equipo
Cada Piso
del Edificio
Administrador de
Redes
Switch WS-C2960
Switch de la
capa acceso
Equipo
Cada Piso
del Edificio
Administrador de
Redes
Firewall 2040C
Firewall de
Seguridad
Perimetral en
HA
Equipo
Datacenter
Administrador de
Seguridad
Access Point 1250
Dispositivo
Inalmbrico
WIFI
Equipo
Cada Piso
del Edificio
Administrador de
Redes
Analizador 100C
Equipo
Analizador de
logs de
Monitoreo
Equipo
Datacenter
Administrador de
Seguridad
Equipo de
Administracin de
Firewall 320C
Equipo para
Administracin
de Firewall
Equipo
Datacenter
Administrador de
Seguridad
Backup de
Configuracin
de Firewalls
Datos
Datacenter
Administrador de
Seguridad
Backup de Logs
de Monitoreo
Datos
Datacenter
Administrador de
Seguridad
Cuarto de
Comunicaciones
Cuarto de
Comunicaciones
Instalacin
Fsica
Cada Piso
del Edificio
Administrador de
Redes
PRTG Network
Monitoring
Software de
monitoreo de
red
Software
Datacenter
Administrador de
Redes
Data Center
Centro de Datos
Instalacin
Fsica
Datacenter
Administrador de
Plataformas
Datos
40
Central Telefnica
Central
Telefnica Ip
Equipo
Datacenter
Administrador de
Redes
Telfono Ip
Centro de Datos
Equipo
Oficinas
Administrador de
Redes
Switch D-Link
Switch de redes
LAN pequeas
Equipo
Oficinas
Administrador de
Redes
CiscoWorks
Software de
gestin de red
Software
Datacenter
Administrador de
Redes
Administradores
de Redes
Personal
Oficinas
Administradores
Administradores
de Seguridad
Personal
Oficinas
Administradores
Personal
Tabla 8. Activos de Red
Para su respectiva clasificacin de los activos MAGERIT contiene ya una

biblioteca que los ha clasificado segn las amenazas y las salvaguardas
que estos posean.
A continuacin se describir cada activo identificado en su respectiva
categora segn la biblioteca de clasificacin de la metodologa MAGERIT.
[D] DATOS/ INFORMACIN

Los datos son el corazn que permite a una organizacin prestar sus
servicios. La informacin es un activo abstracto que ser almacenado en
equipos o soportes de informacin (normalmente agrupado como ficheros o
bases de datos) o ser transferido de un lugar a otro por los medios de
transmisin de datos.
Dentro de la CGE se han identificado los siguientes:
Registros de Monitoreo
Backup de Configuraciones de Firewalls.
41
[D] Datos/Informacin
Nombre: Registros de
Cdigo: Logs Registros
Monitoreo
Descripcin: Se refiere a los Logs o registros que se generan de los
equipos de red, por ejemplo logueo de usuarios ip de cada mquina sitios
ms visitados, alertas de ataques, consumo de ancho de banda en megas,
los cuales se pueden generar en reportes estadsticos programados segn
el administrador.
Responsable: Administrador de seguridad
Tipo( ) [files] ficheros
( ) [backup] copias de respaldo
( ) [conf] datos de configuracin
( ) [int] datos de gestin interna
( ) [password] credenciales (ej. contraseas)
( ) [auth] datos de validacin de credenciales
( ) [acl] datos de control de acceso
( X ) [log] registro de actividad
( ) [source] cdigo fuente
( ) [exe] cdigo ejecutable
( ) [test] datos de prueba

Activo: Administrador de Seguridad
Grado: 75%
Por qu? Especialista responsable de los registros de actividad, ya que
segn estos registros este podr mejorar la seguridad de la red LAN.
Activo: Analizador de Registros o Logs
Grado: 100%
Por qu? Dispositivo que permitir el almacenamiento de los logs y la
generacin de reportes segn como los haya programado el administrador.
[D] Datos/Informacin
Nombre: Datos de
Cdigo: Configuraciones
Configuraciones
Descripcin: Son los respaldos de las configuraciones de los equipos de
red tales como firewall, switch, central telefnica, entre otros que el
administrador responsable lo realiza cada mes, por cualquier eventualidad,
que pueda causar el funcionamiento de los equipos.
Responsable: Administrador de seguridad
42
Tipo( ) [files] ficheros

( X) [backup] copias de respaldo
( ) [conf] datos de configuracin
( ) [int] datos de gestin interna
( ) [password] credenciales (ej. contraseas)
( ) [auth] datos de validacin de credenciales
( ) [acl] datos de control de acceso
( ) [log] registro de actividad
( ) [source] cdigo fuente
( ) [exe] cdigo ejecutable
( ) [test] datos de prueba

Grado: 75%
Por qu? Especialista responsable de que cada mes se realice el respectivo
backup de configuracin de los equipos.
Activo: Dispositivo de Admin Firewall

Grado: 100%
Por qu?Dispositivo que permite gestionar las configuraciones de todos los
equipos.
[SW] APLICACIONES (Software)

Con mltiples denominaciones (programas, aplicativos, desarrollos, etc.)
este epgrafe se refiere a tareas que han sido automatizadas para su
desempeo por un equipo informtico. Las aplicaciones gestionan, analizan
y transforman los datos permitiendo la explotacin de la informacin para la
prestacin de los servicios.
Las aplicaciones que
existen en la red LAN de la CGE, tenemos los
siguientes:
43
PRTG Netwok Monitor.
CiscoWorks.
[SW] SOFTWARE
Cdigo: SW PRTG
[SW] Aplicaciones (Software)

Nombre: PRTG
Monitoring
Descripcin: Corre en una mquina de Windows dentro de su red,

colectando varias estadsticas de las maquinas, software, y equipos los
cuales usted designa, tambin puede auto detectarlos, ayudndole as a
mapear la red. Tambin retiene los datos para que usted pueda visualizar
datos histricos, ayudndonos a reaccionar a los cambios.
Responsable: Administrador de Redes
Tipo:
( ) [prp] desarrollo propio (in house)
( ) [sub] desarrollo a medida (subcontratado)
( X) [std] estndar (off the shelf)
( ) [browser] navegador web
( ) [www] servidor de presentacin
( ) [app] servidor de aplicaciones
( ) email_client] cliente de correo electrnico
( ) [email_server] servidor de correo electrnico
( ) [file] servidor de ficheros
( ) [dbms] sistema de gestin de bases de datos
( ) [tm] monitor transaccional
( ) [office] ofimtica
( ) [av] anti virus
( ) [os] sistema operativo
( ) [hypervisor] gestor de mquinas virtuales
( ) [ts] servidor de terminales
( ) [backup] sistema de backup

Por qu?Es el responsable del monitoreo de las
redes.
Grado:100%
[SW] SOFTWARE
[SW] Aplicaciones (Software)
Cdigo: SW CisWork
Nombre: CiscoWorks
44
Descripcin: Serie de aplicaciones de software de administracin de

internetwork basadas en SNMP. CiscoWorks incluye aplicaciones para
controlar el estado del servidor de acceso y del router, administrar los
archivos de configuracin, y diagnosticar las fallas de la red. Las
aplicaciones de CiscoWorks se encuentran integradas con varias
plataformas de administracin de red basadas en SNMP, incluyendo SunNet
Manager, HpOpenView e IBM NetView.
Tipo:
( ) [prp] desarrollo propio (in house)
( ) [sub] desarrollo a medida (subcontratado)
( X) [std] estndar (off the shelf)
( ) [browser] navegador web
( ) [www] servidor de presentacin
( ) [app] servidor de aplicaciones
( ) email_client] cliente de correo electrnico
( ) [email_server] servidor de correo electrnico
( ) [file] servidor de ficheros
( ) [dbms] sistema de gestin de bases de
datos
( ) [tm] monitor transaccional
( ) [office] ofimtica
( ) [av] anti virus
( ) [os] sistema operativo
( ) [hypervisor] gestor de mquinas virtuales
( ) [ts] servidor de terminales
( ) [backup] sistema de backup

Grado: 100%
Por qu?Es el responsable de las configuraciones de los equipos
[HW]EQUIPOS INFORMTICOS (Hardware)

Dcese de los medios materiales, fsicos, destinados a soportar directa o
indirectamente los servicios que presta la organizacin, siendo pues
depositarios temporales o permanentes de los datos, soporte de ejecucin
de las aplicaciones informticas o responsables del procesado o la
transmisin de datos.
Dentro de este tipo de activos
de red que posee la CGE, tenemos los
siguientes:
45
Switch de Core.
Switch de Distribucin.
Switch de Acceso.
Switch de Borde.
Firewall.
Access Point.
Central Telefnica.
Analizador de Logs.
Equipo de Administracin de Firewall.
Switch capa 2.
Telfono Ip.
[HW] HARDWARE
Cdigo: HW Switch de Core
Nombre: Switch de Core o Ncleo
Descripcin: El Switch de Core o tambin conocido como backbone es un

dispositivo que se lo podra catalogar como la columna vertebral de la red,
su funcin principal es llevar grandes cantidades de datos de una forma
confiable y segura.
Numero: 2
Tipo:
( )[mi] equipos medios
46
( )[scan] escneres
( )[modem] mdems
(X )[Switch] conmutadores
( )[firewall] cortafuegos

Grado:100%
Por qu?Si esta persona especializada en redes establece un mal
Activo: Data Center
Grado: 75%
Por qu? Ya que si se llegara a destruir el Datacenter el Switch de core
sufrira las consecuencias.
[HW] HARDWARE
Cdigo: HW Switch de Dist
Nombre: Switch de Distribucin
Descripcin: El Switch de Distribucin es el medio de comunicacin entre

la capa de acceso y el core, provee ruteo, filtrado y permitir determinar que
paquetes deben llegar al Core o sea se puede implementar listas de acceso,
aplicar polticas para la gestin de red.
Ubicacin: Cuarto de Comunicacin
Numero: 3
Tipo:
47

( )[scan] escneres
( )[modem] mdems
(X )[switch] conmutadores

Grado:100%
Activo: Cuarto de Comunicacin
Grado: 75%
por qu? Ya que si se llegara a destruir el cuarto de comunicaciones el
switch de distribucin sufrira las consecuencias.
[HW] HARDWARE
Cdigo: HW Switch de Access
Nombre: Switch de Acceso
Descripcin: El Switch de Acceso es el punto de comunicacin de los

usuarios finales con la red LAN para consumir los servicios de la red.
48

Ubicacin: Cuarto de Comunicacin
Numero: 4
Tipo:
( )[scan] escneres
( )[modem] mdems

Grado:100%
Grado: 75%
Por qu? Ya que si se llegara a destruir el cuarto de comunicaciones el

Switch de distribucin sufrira las consecuencias.
49
[HW] HARDWARE
Cdigo: HW SwitchB
Nombre: Switch de Borde
Descripcin: Este Switch es donde se conecta los equipos finales, su

propsito es garantizar el acceso a equipos de red (firewall, red DMZ, entr
otros), tiene la misma funcionalidad de un Switch de acceso.

Numero: 5
Tipo:
( )[scan] escneres
( )[modem] mdems
50

Grado:100%
Grado: 75%
Por qu? Ya que si se llegara a destruir el cuarto de comunicaciones el

Switch de distribucin sufrira las consecuencias.
[HW] HARDWARE
Cdigo: HWFirewall
Nombre: Firewall
Descripcin: El Firewall es un dispositivo importante dentro de la red LAN

que permite tanto la entrada y salida de servicios, a travs de polticas de
seguridad establecidas por el administrador de seguridad de acuerdo a los
requerimientos de la organizacin.
Numero: 1
Tipo:
( )[mi] equipos medios
( )[modem] mdems
( X)[firewall] cortafuegos
51

Grado: 75%
Por qu?Es el tcnico especializado en establecer el buen funcionamiento
lgico del equipo.
Activo: Data Center
Grado: 75%
Por qu? Ya que si se llegara a destruir el Datacenter el firewall sufrira las

consecuencias.
Grado: 100%
[HW] HARDWARE
Cdigo: HW AP
Nombre: Access Point
Descripcin: Dispositivo que brinda una conexin inalmbrica, que

mediante sistema de radio frecuencia recibe informacin de diferentes
estaciones mviles.
Ubicacin: Cuarto de Comunicaciones
Numero: 9
Tipo:
( )[scan] escneres
52
( )[modem] mdems
(X )[wap] punto de acceso inalmbrico

Grado: 100%
Por qu?Es el especialista encargado de una buena gestin del AP.

Activo: Cuarto de Comunicaciones
Grado: 75%
Por qu? Ya que si se llegara a destruir el cuarto de comunicacin el AP

[HW] HARDWARE
Cdigo: HW CT
Nombre: Central Telefnica
Descripcin: Es el punto donde se renen las conexiones de todos los

telfonos ip de una determinada rea, que se denomina rea local o rea
central.
Numero: 7
Tipo:
53
( )[scan] escneres
( )[modem] mdems
(X )[pabx] centralita telefnica

Grado: 100%
Por qu?Es el especialista encargado de una buena gestin de la central
telefnica.
Activo: Data Center
Grado: 75%
Por qu? Ya que si se llegara a destruir el Datacenter el Switch de core

[HW] HARDWARE
Cdigo: HW Analizador
Nombre: Analizador de Logs
Descripcin: Dispositivo que permite almacenar y monitoreo en tiempo real

de los Logs que se generan en los dispositivos de red.

Numero: 10
Tipo:
54

( )[scan] escneres
(X)[network] soporte de la red
( )[modem] mdems

Grado: 100%
Por qu?Es el especialista encargado de la buena administracin del
equipo.
Activo: Data Center
Grado: 75%
Por qu? Ya que si se llegara a destruir el Data Center el equipo sufrira

las consecuencias.
[HW] HARDWARE
Nombre: Dispositivo de
Cdigo: HW AdminFirewall
Administracin de Firewall
Descripcin: Dispositivo que permite ahorrar trabajo al administrador de
seguridad al momento de realizar configuraciones estndar para todos los
distintos equipos de seguridad.
55

Numero: 11
Tipo:
( )[scan] escneres
(X)[network] soporte de la red
( )[modem] mdems

Grado: 100%
Por qu?Es el especialista encargado de la buena administracin del
equipo.
Activo: Data Center
Grado: 75%
Por qu? Ya que si se llegara a destruir el Data Center el equipo sufrira

las consecuencias.
56
[HW] HARDWARE
Cdigo: HW Switch D-Link
Nombre: Switch de Capa 2
Descripcin: El Switch de capa 2 tiene la funcin de un switch pero solo

trabaja en la capa de acceso a la red se lo utiliza en redes pequeas.

Ubicacin: Oficinas
Numero: 6
Tipo:
( )[modem] mdems

Grado: 100%
Por qu?Si esta persona especializada realiza conexiones incorrectas este
tendr un mal funcionamiento.
[HW] HARDWARE
57

Cdigo: HW TF
Nombre: Telfono Ip
Descripcin: Este dispositivo ofrece servicios relacionados con la voz y las

comunicaciones integrndola en una red de datos, principalmente es
utilizado por los usuarios finales.
Ubicacin: Oficinas
Numero: 6
Tipo:
( )[modem] mdems
( X)[ipphone] telfono IP

Grado: 100%
Por qu?Si esta persona especializada realiza conexiones incorrectas este
tendr un mal funcionamiento.
[L]INSTALACIONES
58
En este epgrafe entran los lugares donde se hospedan los sistemas de

informacin y comunicaciones, (para nuestro caso nos centraremos en los
sistemas de comunicaciones).
La CGE cuenta con las siguientes instalaciones:
Datacenter (Centro de Datos)
Cuarto de Comunicaciones
[L] INSTALACIONES
[L] Instalaciones
Cdigo: Data Center
Nombre: Data Center
Descripcin: Centro de Datos donde estn ubicados la mayora de los

dispositivos de comunicacin tales como servidores, storage, switch, entre
otros.
Responsable: Personal especializado en mantenimiento de Centros de
Datos
Ubicacin: Matriz de la Contralora General del Estado.
Numero: 1
Tipo:
( ) [site] recinto
( ) [building] edificio
( X) [local] cuarto
( ) [mobile] plataformas mviles
( ) [car] vehculo terrestre: coche, camin, etc.
( ) [plane] vehculo areo: avin, etc.
( ) [ship] vehculo martimo: buque, lancha.
( ) [shelter] contenedores
( ) [channel] canalizacin
( ) [backup] instalaciones de respaldo

Activo: Personal Especializado en Data
Grado: 100%
Center
Por qu?Personal especializado en mantenimiento de Centros de Datos.
Activo: Personal de Seguridad Fsica
Grado: 100%
Por qu?Velan por la seguridad fsica del Centro de Datos.
59
[L] INSTALACIONES
[L] Instalaciones
Nombre: Cuarto de
Comunicaciones
Cdigo: Cuarto de Comunicaciones
Descripcin: Cuarto de Comunicaciones, donde se ubican los Switch de

distribucin, acceso, por cada piso que existe en la Contralora General del
Estado.
Responsable: Personal especializado en mantenimiento de Centros de
Datos
Ubicacin: Matriz de la Contralora General del Estado.
Numero: 1
Tipo:
( ) [site] recinto
( ) [building] edificio
( X) [local] cuarto
( ) [mobile] plataformas mviles
( ) [plane] vehculo areo: avin, etc.
( ) [ship] vehculo martimo: buque, lancha, etc.
( ) [shelter] contenedores
( ) [channel] canalizacin
( ) [backup] instalaciones de respaldo

Activo: Personal de Administracin
Grado:100%
Por qu?Personal especializado en mantenimiento de Cuartos de
Comunicacin
Activo: Personal de Seguridad Fsica
Grado:75%
Por qu?Velan por la seguridad fsica del Centro de Datos.
[P] PERSONAL
En este tipo de activos aparecen las personas relacionadas con los sistemas
de comunicaciones. Adems este tipo de activos (Personal) no se identifican
dependencias.
En el rea de infraestructura de la CGE se han podido identificar los
siguientes:
60
Administradores de Redes
Administradores de Seguridad.
[P] PERSONAL
Cdigo: AdminRedes
[P] Personal
Nombre: Administrador de Redes
Descripcin: Tcnico especialista en la administracin de redes.

Numero:
Tipo:
( )[ue] usuarios externos
( ) [ui] usuarios internos
( ) [op] operadores
( ) [adm] administradores de sistemas
( X) [com] administradores de comunicaciones
( ) [sec] administradores de seguridad
( ) [des] desarrolladores / programadores
( ) [sub] subcontratas
( ) [prov] proveedores
[P] PERSONAL
Cdigo: AdminSec
[P] Personal
Nombre: Administrador de Seguridades
Descripcin: Tcnico especializado en mantener la seguridad de la TI.

Nmero:19
Tipo:
( )[ue] usuarios externos
( ) [ui] usuarios internos
( ) [op] operadores
( ) [adm] administradores de sistemas
( ) [com] administradores de comunicaciones
( ) [dba] administradores de BBDD
( X) [sec] administradores de seguridad
( ) [des] desarrolladores / programadores
( ) [sub] subcontratas
( ) [prov] proveedores
61
Dependencias de los Activos

Teniendo en cuenta las dependencias para operar (disponibilidad) y de
almacenamiento de datos (integridad y confidencialidad), se ha determinado
el siguiente grfico, donde se muestra las dependencias de los respectivos
activos identificados anteriormente.
Figura 8. Dependencias de los Activos
Dentro de las dependencias entre los activos que se destacan es el firewall

ya que la mayora de los equipos de red identificados dependen ya sea
directa o indirectamente de este activo. Luego tenemos el DataCenter este
tipo de activo (instalacin), es muy importante debido a que en este se alojan
la mayora de los activos, por lo que este activo es el de ms valor para la
62
organizacin, ya que en el caso de que este sufra la materializacin de una

amenaza muy complicada como puede ser desastres naturales las
consecuencias son muy desastrosas.
Y finalmente se puede ver que toda la infraestructura de red netamente
depende de los activos (personal)administradores de seguridad y de redes o
comunicaciones.
Valoracin de los Activos
La valoracin de los activos se basa en los pasos anteriores, para la
valoracin se identifica en que dimensin es valioso un activo y se valora el
coste de la destruccin del activo, para esta tarea se utiliza los criterios de
valoracin que a continuacin se muestra en la siguiente tabla.
Valor
10
9
6-8
3-5
1-2
0
extremo
muy alto
alto
medio
bajo
despreciable
Criterio
dao extremadamente
grave
dao muy grande
dao grave
dao importante
dao menor
irrelevante a efectos
prcticos
Tabla 9. Criterios de Valoracin de Activos
12
Del resultado que se obtuvo de la valoracin de los activos se puede concluir

que los activos con mayor valor muy alto para la organizacin
dimensin de seguridad
disponibilidad en forma descendente son
siguientes:
12
en la
Data Center
Administradores de Seguridad y Redes
Firewall
Switch de Core
Switch de Distribucin
Tabla sugerida por MAGERIT del Libro II Catalogo de Elementos
63
los
Switch de Acceso
Analizador de Logs, etc.
Otro resultado relevante que se ha obtenido es que los activos de backup de

configuraciones y backups de logs son muy valiosos en la dimensin de la
Integridad y Confiabilidad, debido a que tanto la corrupcin de estos dos
activos podra provocar un detenimiento en la continuidad
del negocio
debido al mal funcionamiento o daos lgicos del equipo. Estos dos tipos de
activos son muy importantes a la hora de la restauracin de los sistemas de
informacin. Ms adelante en este mismo captulo se mostrara los valores
de cada activo en todas las dimensiones de seguridad (DICAT)13, y de igual
manera en el captulo 4 a travs de la herramienta PILAR se mostrara los
activos con sus valores en cada una de las dimensiones de seguridad
criterio.
Paso 2
3.6.4.2 Identificacin de Amenazas
Luego de la identificacin de los activos se deben de identificar las
amenazas que pueden afectar a cada activo, por lo que una amenaza puede
desencadenar muchas ms. Para la realizacin de esta tarea nos guiaremos
en el Libro II Catlogo de Elementos, en el cual nos muestra un listado
completo de las amenazas posibles que les afecta a nuestros activos.
Adems podemos ver Anexo V.
Valoracin de las Amenazas.

En la valoracin de amenazas, se estima la frecuencia y degradacin de las
que se vio necesario realizarla de forma manual para una mayor
comprensin. Entonces una vez identificada la amenaza hay que estimar
cuan vulnerable es el activo, en dos sentidos: la degradacin y la frecuencia.
La degradacinmide el dao causado por un incidente en el supuesto de
que ocurriera. Se caracteriza con una fraccin del valor del activo.
13
Dimensiones de Seguridad (Disponibilidad, Integridad ,Confidencialidad, Autenticidad y

Trazabilidad)
64
Para aquellos activos que reciben una calificacin de impacto y/o riesgo muy
alto (MA) deben ser objeto de atencin inmediata y los que reciban una
calificacin de riesgo alto (A), deben ser objeto de planificacin inmediata de
salvaguardas. A continuacin se muestra la escala que se tomara en
consideracin.
NIVELES
DEGRADACIN
25%
Poco(P)
50%
Medio(M)
75%
Alto (A)
100%
Muy Alto (MA)
Tabla 10.Escala de Degradacin
La frecuencia es cada cuanto se materializa la amenaza, se modela como

una tasa anual de ocurrencia, siendo valores tpicos.
PERIODICIDAD FRECUENCIA
360
A diario
12
4
Mensualmente
Cuatro veces al
ao
Dos veces al ao
Una vez al ao
1/12
Cada varios ao
Tabla 11. Escala de Frecuencia
En la siguiente tabla se puede observar las diferentes amenazas a las que

estn expuestos cada uno de los activos de la red LAN la frecuencia de
ocurrencia y la degradacin que sufren los activos, basados en las tablas
indicadas anteriormente, tanto para la degradacin como para la frecuencia.
65
CAPAS
ACTIVOS
AMENAZAS
-Avera de Origen fsico y
lgico
-Errores del administrador
FRECUEN DEGRADAC
CIA
IN
-Alteracin accidental de
la informacin
-Destruccin de
informacin
-Fugas de informacin
-Vulnerabilidades de los
programas
-Errores de
mantenimiento
actualizacin de
programas
PRTG
Monitoring
EQUIPAMIENTO
CiscoWorks
-Suplantacin de
identidad del usuario
-Abuso de privilegios de
acceso
1/12
-Uso no previsto
-Difusin de Software
daino
-Re-encaminamiento de
mensajes
-Alteracin de secuencia
-Acceso no autorizado
-Destruccin de
informacin
-Divulgacin de
Informacin
-Manipulacin de
programas
-Avera de Origen fsico y
lgico
la informacin
-Destruccin de
informacin
-Vulnerabilidades de los
programas
-Errores de
mantenimiento
actualizacin de
programas
-Suplantacin de
66
1/12
25%
25%
acceso
-Uso no previsto
-Difusin de Software
daino
-Re-encaminamiento de
mensajes
Switch de Core
Switch de
Distribucin
-Modificacin deliberada
de la informacin
-Destruccin de
informacin
-Divulgacin de
Informacin
-Manipulacin de
programas
-Fuego
-Daos por agua
-Desastres naturales
-Desastres industriales
-Contaminacin mecnica
-Contaminacin
electromagntica
-Avera de origen fsico y
lgico
-Corte de suministro
elctrico
12
-Condiciones inadecuadas
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Fuego
-Daos por agua
12
-Contaminacin
67
75%
50%
EQUIPAMIENTO
Switch de
Acceso
electromagntica
lgico
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Divulgacin de
Informacin
-Manipulacin de
programas
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
elctrico
12
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
Manipulacin de los
equipos
68
50%
Access Point
EQUIPAMIENTO
Central
Telefnica
-Fuego
-Daos por agua
12
-Contaminacin
electromagntica
lgico
elctrico
de temperatura o
humedad
Errores del administrador
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Divulgacin de
Informacin
-Manipulacin de
programas
-Fuego
-Daos por agua
-Contaminacin mecnica 2
-Contaminacin
electromagntica
lgico
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
69
75%
50%
Switch Capa 2
EQUIPAMIENTO
Firewall
-Perdida de equipos
Alteracin de secuencia
-Uso no previsto
-Manipulacin de los
equipos
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
2
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Divulgacin de
Informacin
-Manipulacin de
programas
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
elctrico
de temperatura o
70
360
25%
100%
humedad
Analizador de
Logs
EQUIPAMIENTO
Equipo
Administrador
de Firewalls

-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Fuego
-Daos por agua
-Contaminacin
electromagntica
2
lgico
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Divulgacin de
Informacin
-Manipulacin de los
equipos
-Fuego
-Daos por agua
71
75%
Telfono Ip
-Contaminacin
electromagntica
1
lgico
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
elctrico
de temperatura o
humedad
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
Manipulacin de los
equipos
-Divulgacin de
Informacin
-Manipulacin de los
equipos
72
50%
DATOS
la informacin
-Destruccin de
informacin
-Fuga de informacin
-Suplantacin de
12
Backup de
-Abuso
de
privilegios
de
Configuraciones
acceso
de la informacin
-Destruccin de
informacin
-Divulgacin de
Informacin
-Errores de
monitorizacin (Logs)
75%
la informacin
-Destruccin de
Informacin
-Fuga de Informacin
Backup de Logs
de Monitoreo
INSTALACIONES
DATACENTER
-Suplantacin de
acceso
de la informacin
-Destruccin de
Informacin
-Divulgacin de
Informacin
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
elctrico
73
12
75%
75%
PERSONAL
de temperatura o
humedad
-Errores de
mantenimiento fsico
-Perdida de equipos
-Uso no previsto
Manipulacin de los
equipos
-Fuego
-Daos por agua
-Contaminacin
electromagntica
lgico
elctrico
de temperatura o
humedad
2
Cuarto de
Comunicaciones -Errores del administrador
-Errores de
mantenimiento
actualizacin de
programas
-Perdida de equipos
-Uso no previsto
-Manipulacin de los
equipos
-Emanaciones
Electromagnticas
-Manipulacin de
programas
-Indisponibilidad del
personal
-Deficiencias en la
Administradores organizacin
12
de Redes
-Extorsin
-Ingeniera social
74
75%
75%
-Indisponibilidad del
personal
-Deficiencias en la
Administradores organizacin
de Seguridad
-Extorsin
-Ingeniera social
12
75%
Tabla 12. Activos de Red Vs Amenazas a las que estn expuestas
En la tabla anterior se puede observar que los activos que mayor porcentaje
de
degradacin y mayor frecuencia de que las amenazas se materialicen
es el firewall, ya que este es un equipo perimetral de seguridad, y lo primero

que los atacantes atacan es este equipo. Por otro lado tenemos los activos
de la categora (datos), activos de (personal) de administracin en un
porcentaje del 75% de degradacin y con una frecuencia de 12 lo cual
significa que las amenazas se podran materializar cada mes o sea 12 veces
al ao que podra ser crtico a nivel de servicios de red.
Y contrario a lo anterior los activos que menos sufren degradacin son los
activos de aplicaciones tales como el PRTG monitoring, y CiscoWorks ya
que son aplicaciones realizas por terceros, por lo cual el mantenimiento
depende del contrato de soporte.
Grficamente podremos observar el siguiente captulo de resultados con
PILAR, en identificacin de amenazas, donde se seala el nivel de
frecuencia y el valor de degradacin del activo en las diferentes
dimensiones, de acurdo a su forma de valorar sus amenazas ya que para
este paso se lo ha hecho manualmente.
Paso 4
3.6.4.3 Determinacin del Impacto

En este paso permite conocer el alcance del dao producido en el dominio (y
por lo tanto sobre todos los activos que se encuentran en dicho dominio),
como resultado de la materializacin de las amenazas sobre los activos.
La identificacin de impactos o valoracin de dominios se desarrollara con
repercusiones a las dimensiones de valoracin (DICAT).
75
Las dimensiones se utilizan para valorar las consecuencias de la

materializacin de una amenaza. La valoracin que se recibe en una cierta
dimensin es la medida del perjuicio para la organizacin si los activos se
ven daados en dicha dimensin.
Los criterios de valoracin que utiliza la metodologa y la herramienta PILAR
son seis como se muestra en la siguiente tabla con su respectiva escala de
valoracin.
Valor
Criterio
10
extremo
dao extremadamente grave
muy alto
dao muy grave
6-8
alto
dao grave
3-5
medio
dao importante
1-2
bajo
dao menor
despreciable
irrelevante a efectos prcticos
Tabla 13. Criterios de Valoracin
Disponibilidad
Como ya se lo haba mencionado anteriormente en el captulo 2 la
disponibilidad es el aseguramiento de que los usuarios autorizados tienen
acceso cuando lo requiera a la informacin y a sus activos asociados.
Esta dimensin de seguridad indica en si la repercusin que tendra en la
organizacin el hecho de que se dejara de prestar el servicio.
Alto
Impida la investigacin de delitos graves o facilite su comisin.
Probablemente cause una interrupcin seria de las actividades

propias de la organizacin con un impacto significativo en otras
organizaciones.
76
Administracin y gestin: probablemente impedira la operacin

efectiva de la organizacin.
Probablemente causara una publicidad negativa generalizada por

afectar gravemente a las relaciones con el pblico en general.
Intereses comerciales o econmicos: de alto inters para la

competencia, causa de graves prdidas econmicas.
Obligaciones legales: probablemente cause un incumplimiento grave

de una ley o regulacin.
Informacin personal: probablemente afecte gravemente a un grupo

de individuos.
Seguridad: probablemente sea causa de un grave incidente de

seguridad o dificulte la investigacin de incidentes graves.
Integridad
Es la garanta de la exactitud y completitud de la informacin y los mtodos

de su procesamiento.
Indica la repercusin que tendra en la institucin el hecho de que la
informacin que se maneja para prestar el servicio fuera incorrecta o
incompleta.
Alto
Impida la investigacin de delitos graves o facilite su comisin.
Administracin y gestin: probablemente impedir la operacin

Intereses comerciales o econmicos: causa de graves prdidas

econmicas.

77
Informacin personal: probablemente afecte gravemente a un grupo

de individuos.
Confidencialidad
Es el aseguramiento de que la informacin es accesible solo para aquellos
autorizados a tener acceso.
Indica la repercusin que tendra en la institucin el hecho de que la
informacin que se maneja para prestar el servicio fuera accedida por
personas no autorizadas.
Medio
Probablemente sea causa una cierta publicidad negativa: por afectar

negativamente a las relaciones con otras organizaciones, por afectar
negativamente a las relaciones con el pblico.
Intereses comerciales o econmicos: de cierto inters para la

competencia, de cierto valor comercial.
informacin personal: probablemente quebrante leyes o regulaciones.
Autenticidad
Es el aseguramiento de la identidad u origen.

Indica la repercusin que tendra en la institucin el hecho de que no se
pudiera confirmar la identidad de quien accedi al servicio o a la informacin.
Alto
Administracin y gestin: probablemente impedir la operacin

78
Probablemente causara una publicidad negativa generalizada por

afectar gravemente a las relaciones con otras organizaciones, con el
pblico en general.

econmicas.

Informacin personal: probablemente quebrante seriamente la ley o

algn reglamento de proteccin de informacin personal.
Seguridad: probablemente sea causa de un grave incidente de

seguridad o dificulte la investigacin de incidentes graves.
Trazabilidad
Es el aseguramiento de que en todo momento se podr determinar quin
hizo que y en qu momento.
Indica la repercusin que tendra en la institucin el hecho de que no se
pudiera conocer a quien se le presta un servicio o a que informacin y
cuando accedi un usuario.
Medio
Probablemente cause la interrupcin de actividades propias de la

organizacin con impacto en otras organizaciones.

financieras o mermas de ingresos, facilita ventajas desproporcionadas
a individuos u organizaciones, constituye un incumplimiento leve de
obligaciones contractuales para mantener la seguridad de la
informacin proporcionada por terceros.
Informacin personal: probablemente afecte a un grupo de individuos.
Dificulte la investigacin o facilite la comisin de delitos.

79
Impacto Acumulado
Puesto que los activos dependen unos de otros, la materializacin de
amenazas en los activos inferiores causa un dao directo sobre estos y un
dao indirecto sobre los activos superiores.
El impacto acumulado es el impacto evaluado en los activos inferiores.
El impacto acumulado se calcula tomando en cuenta;
El valor acumulado y
la degradacin causada por la amenaza.
Impacto_acumulado valor acumulado x degradacin.
En este paso se describir las actividades y tareas correspondientes al

impacto, se determinara el impacto potencial y residual al que est sometido
los activos de la organizacin.
Para la estimacin del impacto, se analiza los valores del impacto potencial y
los acumulados en cada fase del proyecto, con el objetivo de tener un
informe de impacto potencial y/o residual por activo, para este anlisis
utilizamos las tcnicas graficas por rea, descritas en el captulo 4.
Impacto Acumulado
Activo
Amenaza
Dimen
Impacto
[HW.HW AP] Access Point
[A.26] Ataque destructivo
[D]
[7]
[HW.HW SwitchB] Switch de

Borde
[N.1] Fuego
[D]
[7]
[HW.HWCT] Central Telefnica
[A.7] Uso no previsto
[D]
[7]
[Logs Registros] Registros de

Monitoreo
[A.19] Revelacin de informacin
[C]
[7]
[E.25] Prdida de equipos
[D]
[7]
80
[HW.HWSwitch de Dist] Switch

de Distribucin
[A.14] Interceptacin de
informacin (escucha)
[C]
[7]
[I.6] Corte del suministro elctrico
[D]
[7]
[HW.HWFirewall] Firewall
[N.1] Fuego
[D]
[7]
[N.1] Fuego
[D]
[7]
[HW.HWSwitch de Core] Switch

de Core
[D]
[7]
[HW.HW EquipFirewall] Equipo

de Administracin de Firewall
[A.24] Denegacin de servicio
[D]
[7]
[HW.HWTIP] Telfono Ip
[N.*] Desastres naturales
[D]
[7]
[A.23] Manipulacin del hardware
[D]
[7]
[SW PRTG] PRTG Monitoring Net
[D]
[7]
[HW.HWSwitch de Acceso]
Switch de Acceso
[D]
[7]

de Distribucin
[I.*] Desastres industriales
[D]
[7]
[A.5] Suplantacin de la identidad

del usuario
[A]
[7]
[HW.HW Switch] Switch capa 2
[D]
[7]

de Core
[N.1] Fuego
[D]
[7]
[LDataCenter] Centro de Datos
[D]
[7]

de Distribucin
[I.7] Condiciones inadecuadas de

temperatura o humedad
[D]
[7]
[HW.HWAnalizador] Analizador
de Logs
[I.1] Fuego
[D]
[7]
[I.1] Fuego
[D]
[7]

Borde
[D]
[7]
[D]
[7]
81

[D]
[7]
Switch de Acceso
[D]
[7]

Monitoreo
[A.15] Modificacin de la
informacin
[I]
[7]
[D]
[7]
de Logs
[D]
[7]
[A.25] Robo de equipos
[D]
[7]

de Distribucin
[D]
[7]
de Logs
[D]
[7]
[D]
[7]

de Core
[D]
[7]

[D]
[7]
[A.22] Manipulacin de programas
[I]
[7]
[N.2] Daos por agua
[D]
[7]
[D]
[7]
[D]
[7]
Switch de Acceso

[D]
[7]
Switch de Acceso
[D]
[7]
de Logs
[N.1] Fuego
[D]
[7]
[Configuraciones] Datos de
Configuracin
[C]
[7]
82

de Distribucin
[D]
[7]

Borde
[D]
[7]
[A.18] Destruccin de la
informacin
[D]
[7]
[D]
[7]


[D]
[7]
[D]
[7]
Switch de Acceso
[D]
[7]
[D]
[7]
[D]
[7]

de Core
[D]
[7]

Monitoreo

del usuario
[A]
[7]
[A.9] [Re-]encaminamiento de
mensajes
[C]
[7]
[N.1] Fuego
[D]
[7]

de Distribucin
[I.1] Fuego
[D]
[7]
[D]
[7]
[I.1] Fuego
[D]
[7]
[D]
[7]

Borde
[D]
[7]

[D]
[7]
[D]
[7]
83
de Logs
[I.1] Fuego
[D]
[7]

de Core
[C]
[7]
[D]
[7]
[D]
[7]
[A.8] Difusin de software daino
[C]
[7]

[D]
[7]

de Core
[D]
[7]

[D]
[7]

[D]
[7]

de Distribucin
[D]
[7]

[D]
[7]
[SWCiscWork] CiscoWorks
[D]
[7]

de Core

[D]
[7]
[I.1] Fuego
[D]
[7]
[D]
[7]
Switch de Acceso
[I.1] Fuego
[D]
[7]
[D]
[7]

Borde

[D]
[7]
[D]
[7]
84
de Core
de Logs
[D]
[7]
[I.1] Fuego
[D]
[7]

de Distribucin
[N.1] Fuego
[D]
[7]

[D]
[7]

Monitoreo
[A.13] Repudio (negacin de

actuaciones)
[I]
[7]
[I]
[7]
[D]
[7]
[D]
[7]
[D]
[7]
[D]
[7]
[D]
[7]
[I.1] Fuego
[D]
[7]
[D]
[7]
[A.27] Ocupacin enemiga
[D]
[7]
[D]
[7]
Switch de Acceso
[D]
[7]
[N.1] Fuego
[D]
[7]
[D]
[7]

[N.1] Fuego
[D]
[7]
[A.22] Manipulacin de programas
[I]
[7]
Tabla 14 Impacto Acumulado por Activo
85
Impacto Repercutido
En si lo que nos indica es como el impacto repercute los activos inferiores en
los activos superiores debido a las dependencias entre los activos indicadas
anteriormente.
Recoge los detalles del anlisis de impacto y riesgo, presentando valores
repercutidos sobre los activossuperiores.
Las columnas de la siguiente tabla representan lo siguiente:
1 PADREel activo superior: sufre dao porque depende del activo inferior
2 HIJOel activo que es vctima directa de la amenaza
3 AMENAZAla amenaza en s.
4 DIMENSINla dimensin de seguridad afectada por la amenaza en el
activo Padre e Hijo.
5 IMPACTO el impacto de la amenaza en el valor del activo.
A continuacin se indica el impacto repercutido en las cinco dimensiones con
sus respectivos criterios de valoracin.
Impacto Repercutido
Dim
Hijo
Dim
Amenaza
[D] [SWCiscWork]
[D] [A.8] Difusin de
CiscoWorks
software daino
Impacto
[7]
[SWCiscWork]
CiscoWorks
[SWCiscWork]
CiscoWorks
[D]
[7]
[SWCiscWork]
CiscoWorks
[SW PRTG] PRTG
Monitoring Net
[I]
[A.7] Uso no
previsto
[A.22]
Manipulacin de
programas
[A.8] Difusin de
software daino
[A.7] Uso no
previsto
[SW PRTG] PRTG

Monitoring Net
[D]
[A.8] Difusin de
software daino
[7]
Padre
[SWCiscWork]
CiscoWorks
[I]
[D]
[SWCiscWork]
CiscoWorks
[SWCiscWork]
CiscoWorks
[D]
[SWCiscWork]
CiscoWorks
[SW PRTG] PRTG
Monitoring Net
[I]
[SW PRTG] PRTG

Monitoring Net
[D]
86
[I]
[D]
[7]
[7]
[7]
[HW.HWFirewall]
Firewall
[C]
[HW.HWSwitch de
Dist] Switch de
Distribucin
[C]
[A.14]
Interceptacin de
informacin
(escucha)
[7]
[HW.HWFirewall]
Firewall
[C]
[Configuraciones]
Datos de
Configuracin
[C]
[A.19] Revelacin
de informacin
[7]
[HW.HWFirewall]
Firewall
[C]
[HW.HWSwitch de
Core] Switch de
Core
[C]
[7]
[HW.HWFirewall]
Firewall
[T]
[SW PRTG] PRTG

Monitoring Net
[A]
[A.14]
Interceptacin de
informacin
(escucha)
[A.5] Suplantacin
de la identidad del
usuario
[HW.HWFirewall]
Firewall
[T]
[I]
[A.15] Modificacin [7]

de la informacin
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
Registros de
Monitoreo
[SW PRTG] PRTG
Monitoring Net
[I]
[7]
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
Registros de
Monitoreo
[A]
[A.22]
Manipulacin de
programas
[A.5] Suplantacin
de la identidad del
usuario
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
Registros de
Monitoreo
[I]
[A.13] Repudio
(negacin de
actuaciones)
[7]
[HW.HWFirewall]
Firewall
[T]
[SW PRTG] PRTG

Monitoring Net
[I]
[A.8] Difusin de
software daino
[7]
[HW.HWSwitch de
Core] Switch de Core
[D]
[HW.HW AP]
Access Point
[D]
[A.26] Ataque
destructivo
[7]
[HW.HWSwitch de
[D]
[HW.HW SwitchB]
Switch de Borde
[D]
[N.1] Fuego
[7]
[HW.HWSwitch de
[D]
[HW.HWCT]
Central Telefnica
[D]
[A.7] Uso no
previsto
[7]
[HW.HWSwitch de
[D]
[HW.HWCT]
Central Telefnica
[D]
[E.25] Prdida de
equipos
[7]
[HW.HWSwitch de
[D]
[HW.HW AP]
Access Point
[D]
[7]
[HW.HWSwitch de
[D]
[HW.HW AP]
Access Point
[D]
[I.6] Corte del

suministro
elctrico
[N.1] Fuego
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Core] Switch de
Core
[D]
[A.26] Ataque
destructivo
[7]
87
[7]
[7]
[7]
[HW.HWSwitch de
[D]
[HW.HWTIP]
Telfono Ip
[D]
[N.*] Desastres
naturales
[7]
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Acceso] Switch de
Acceso
[D]
[A.23]
Manipulacin del
hardware
[7]
[HW.HWSwitch de
[D]
[D]
[I.*] Desastres
industriales
[7]
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Dist] Switch de
Distribucin
[HW.HW Switch]
Switch capa 2
[D]
[7]
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Core] Switch de
Core
[D]
[A.23]
Manipulacin del
hardware
[N.1] Fuego
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Dist] Switch de
Distribucin
[D]
[7]
[HW.HWSwitch de
[D]
[HW.HWTIP]
Telfono Ip
[D]
[I.7] Condiciones
inadecuadas de
temperatura o
humedad
[I.1] Fuego
[HW.HWSwitch de
[D]
[HW.HW SwitchB]
Switch de Borde
[D]
[7]
[HW.HWSwitch de
[D]
[HW.HWCT]
Central Telefnica
[D]
[A.23]
Manipulacin del
hardware
[A.24] Denegacin
de servicio
[HW.HWSwitch de
[D]
[D]
[A.24] Denegacin
de servicio
[7]
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Acceso] Switch de
Acceso
[HW.HW AP]
Access Point
[D]
[7]
[HW.HWSwitch de
[HW.HWSwitch de
[D]
[D]
[HW.HWSwitch de
[D]
[HW.HWTIP]
Telfono Ip
[HW.HWSwitch de
Dist] Switch de
Distribucin
[HW.HW Switch]
Switch capa 2
[A.23]
Manipulacin del
hardware
[A.25] Robo de
equipos
[N.*] Desastres
naturales
[D]
[A.24] Denegacin
de servicio
[7]
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Core] Switch de
Core
[D]
[A.23]
Manipulacin del
hardware
[7]
[D]
[D]
Tabla 15. Impacto Repercutido por Activo
88
[7]
[7]
[7]
[7]
[7]
Paso 5
3.6.4.4Determinacin del Riesgo

Si se han realizado las tareas anteriores correctamente, el riesgo residual
debe ser casi despreciable. El clculo del riesgo residual es sencillo. Como
no han cambiado los activos, ni sus dependencias, sino solamente la
magnitud de la degradacin y la frecuencia de las amenazas, se repiten los
clculos de riesgo usando el impacto residual y la nueva tasa de ocurrencia.
Entonces conociendo
onociendo el impacto de las amenazas sobre los activos, es
directo derivar el riesgo sin ms que tener en cuenta la frecuencia de
ocurrencia, el riesgo crece con el impacto y con la frecuencia.
Identificacin del Riesgo

En esta actividad, luego del anlisis de los activosen lo que se refiere a las
amenazas, salvaguardas existentes, vulnerabilidades e identificacin de
impactos, se identificara los activos que poseen niveles de riesgo
considerables.
La escala para calificar los riesgos de acuerdo a la herramienta aplicada
aplic
PILAR son:
Figura 9. Niveles de Criticidad
Cada activo se encontrara con un nivel de riesgo y su valoracin como

resultado de la calificacin de las salvaguardas
salvaguardas implementadas en PILAR.
89
La calificacin de los riesgos por activo que la herramienta PILAR nos

genera esta clasificacin de acuerdo a la valoracin de dominios (DICAT)
En la siguiente tabla se muestra el riesgo acumulado en los activos
superiores valorado en cada dimensin de seguridad.
Activo
Monitoreo
Configuracin
Riesgo Acumulado
Amenaza
[A.11] Acceso no autorizado
Dim Riesgo
[C]
{6,3}
[C]
{6,3}

Monitoreo
[A.3] Manipulacin de los

registros de actividad (log)
[I]
{6,2}
[HW.HWSwitch de Core] Switch de

Core
[HW.HWSwitch de Dist] Switch de
Distribucin
[D]
{6,0}
[D]
{6,0}

Monitoreo
[C]
{5,9}

Monitoreo
informacin
[I]
{5,9}
Configuracin
[C]
{5,9}

Monitoreo

del usuario
[A]
{5,9}

Monitoreo
[A.13] Repudio (negacin de

actuaciones)
[I]
{5,9}
Configuracin
informacin
[I]
{5,9}
[A.22] Manipulacin de
programas
[I]
{5,8}
programas
[I]
{5,8}
programas
[C]
{5,8}
[HW.HW EquipFirewall] Equipo de

[E.24] Cada del sistema por

agotamiento de recursos
[D]
{5,5}

Core

[D]
{5,5}

[D]
{5,5}

[D]
{5,5}
90
[HW.HW SwitchB] Switch de Borde

[D]
{5,5}

[D]
{5,5}

Monitoreo
[A.6] Abuso de privilegios de

acceso
[C]
{5,5}
[HW.HWAnalizador] Analizador de
Logs

[D]
{5,5}

[D]
{5,5}
Configuracin
[A.6] Abuso de privilegios de

acceso
[C]
{5,5}

Distribucin

[D]
{5,5}

[D]
{5,5}
[HW.HWSwitch de Acceso] Switch

de Acceso

[D]
{5,5}

[D]
{5,4}

de Acceso

[D]
[D]
{5,4}
{5,4}

Configuracin

del usuario
[D]
[C]
{5,4}
{5,4}

Configuracin

informacin
[D]
[D]
{5,4}
{5,4}
Logs
Monitoreo

[D]
[D]
[D]
{5,4}
{5,4}
{5,4}

del usuario
[D]
[C]
{5,4}
{5,4}

Distribucin

[D]
[D]
[C]
{5,1}
{5,1}
{5,1}
[I.6] Corte del suministro elctrico [D]
{5,1}


del usuario
{5,1}
{5,1}
91
[D]
[A]

Distribucin

[D]
[D]
{5,1}
{5,1}
Logs
{5,1}

[D]
{5,1}

Configuracin
[N.2] Daos por agua

[D]
[I]
{5,1}
{5,1}

de Acceso

[D]
{5,1}

Distribucin
{5,1}
informacin
[D]
{5,1}


[D]
{5,1}
{5,1}

[I.1] Fuego
[D]
[D]
{5,1}
{5,1}

Core
[C]
{5,1}
[C]
{5,1}

Monitoreo
[I]
{5,1}

[D]
{5,1}

{5,1}

[D]
{5,1}
[D]
{5,1}

Core

[D]
{5,1}

[D]
{5,1}
[I]
{5,1}
[D]
{5,1}
92
{5,1}
de Acceso

[D]
{5,1}
{5,1}

[N.1] Fuego
[D]
{5,1}
{5,1}
[I]
{5,1}
[D]
{5,1}
Logs

[D]
{5,1}

[I.2] Daos por agua

[E.18] Destruccin de la
informacin
[D]
[D]
{5,1}
{5,1}
{5,1}

[D]
{5,1}

[D]
{5,1}

[D]
{5,1}
{5,1}
Core

[D]
{5,1}
{5,1}

Core

{5,0}
{5,0}
[D]
[D]
Tabla 16 Riesgo Acumulado de cada Activo
En el siguiente cuadro se puede observar los activos con su nivel de riesgo y

su valoracin.
Anlogamente como se da en el impacto es en el riego acumulado y
residual.
93
Riesgo Repercutido
Padre
[HW.HWFirewall]
Firewall
Dim Hijo
[C]
[Configuraciones] Datos
de Configuracin
Dim Amenaza
[C]
[A.11] Acceso no
autorizado
Riesgo
{6,3}
[Configuraciones]
Datos de
Configuracin
[C]
de Configuracin
[C]
[A.11] Acceso no
autorizado
{6,3}
[Logs Registros]
Registros de
Monitoreo
[C]
[Logs Registros]
[C]
[A.11] Acceso no
autorizado
{6,3}
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
[I]
[A.3]
Manipulacin de
los registros de
actividad (log)
{6,2}
[HW.HWAnalizador]
Analizador de Logs
[T]
[Logs Registros]
[I]
[A.3]
Manipulacin de
los registros de
actividad (log)
{6,2}
[Logs Registros]
Registros de
Monitoreo
[I]
[Logs Registros]
[I]
[A.3]
Manipulacin de
los registros de
actividad (log)
{6,2}
[HW.HWSwitch de
[D]
[HW.HWSwitch de
[D]
[A.24]
Denegacin de
servicio
{6,0}
[HW.HWSwitch de
[D]
[HW.HWSwitch de Dist]
[D]
[A.24]
Denegacin de
servicio
{6,0}
[LDataCenter] Centro
de Datos
[D]
[HW.HWSwitch de
[D]
[A.24]
Denegacin de
servicio
{6,0}
de Datos
[D]
[D]
[A.24]
Denegacin de
servicio
{6,0}
[HW.HWFirewall]
Firewall
[C]
de Configuracin
[C]
[A.19] Revelacin
de informacin
{5,9}
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
[I]
[A.15]
Modificacin de
la informacin
{5,9}
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
[A]
[A.5]
Suplantacin de
la identidad del
usuario
{5,9}
94
[HW.HWFirewall]
Firewall
[T]
[Logs Registros]
[I]
[A.13] Repudio
(negacin de
actuaciones)
{5,9}
[HW.HWAnalizador]
Analizador de Logs
[T]
[Logs Registros]
[I]
[A.15]
Modificacin de
la informacin
{5,9}
[HW.HWAnalizador]
Analizador de Logs
[T]
[Logs Registros]
[A]
[A.5]
Suplantacin de
la identidad del
usuario
{5,9}
[HW.HWAnalizador]
Analizador de Logs
[T]
[Logs Registros]
[I]
[A.13] Repudio
(negacin de
actuaciones)
{5,9}
[Configuraciones]
Datos de
Configuracin
[I]
de Configuracin
[I]
[A.15]
Modificacin de
la informacin
{5,9}
[Configuraciones]
Datos de
Configuracin
[Logs Registros]
Registros de
Monitoreo
[C]
de Configuracin
[C]
[A.19] Revelacin
de informacin
{5,9}
[I]
[Logs Registros]
[I]
[A.15]
Modificacin de
la informacin
{5,9}
[Logs Registros]
Registros de
Monitoreo
[I]
[Logs Registros]
[I]
[A.13] Repudio
(negacin de
actuaciones)
{5,9}
[Logs Registros]
Registros de
Monitoreo
[C]
[Logs Registros]
[C]
[A.19] Revelacin
de informacin
{5,9}
[SWCiscWork]
CiscoWorks
[I]
[SWCiscWork]
CiscoWorks
[I]
{5,8}
[HW.HWFirewall]
Firewall
[T]
[SW PRTG] PRTG

Monitoring Net
[I]
[HW.HWAnalizador]
Analizador de Logs
[T]
[SW PRTG] PRTG

Monitoring Net
[I]
[A.22]
Manipulacin de
programas
[A.22]
Manipulacin de
programas
[A.22]
Manipulacin de
programas
[Configuraciones]
Datos de
Configuracin
[Logs Registros]
Registros de
Monitoreo
[Logs Registros]
Registros de
Monitoreo
[I]
[SWCiscWork]
CiscoWorks
[I]
{5,8}
[I]
[SW PRTG] PRTG

Monitoring Net
[I]
[C]
[SW PRTG] PRTG

Monitoring Net
[C]
[A.22]
Manipulacin de
programas
[A.22]
Manipulacin de
programas
[A.22]
Manipulacin de
programas
95
{5,8}
{5,8}
{5,8}
{5,8}
[HW.HWFirewall]
Firewall
[C]
de Configuracin
[C]
[A.6] Abuso de
privilegios de
acceso
{5,5}
[HW.HWSwitch de
[D]
[HW.HWSwitch de
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
[HW.HWSwitch de
[D]
[HW.HW Switch] Switch

capa 2
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
[HW.HWSwitch de
[D]
[HW.HW SwitchB]
Switch de Borde
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
[HW.HWSwitch de
[D]
[HW.HW AP] Access

Point
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
[HW.HWSwitch de
[D]
[HW.HWTIP] Telfono
Ip
[D]
{5,5}
[HW.HWSwitch de
[D]
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
[E.24] Cada del
sistema por
agotamiento de
recursos
[HW.HWSwitch de
[D]
[HW.HWCT] Central
Telefnica
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
[HW.HWSwitch de
[D]
[HW.HWSwitch de
Acceso] Switch de
Acceso
[D]
{5,5}
[HW.HW AP] Access

Point
[D]
[HW.HW AP] Access

Point
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
[E.24] Cada del
sistema por
agotamiento de
recursos
de Datos
[D]
[HW.HW EquipFirewall]
Equipo de
Administracin de
Firewall
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
96
{5,5}
{5,5}
de Datos
[D]
[HW.HWSwitch de
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
de Datos
[D]
[HW.HWFirewall]
Firewall
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
{5,5}
de Datos
[D]
[HW.HW Switch] Switch

capa 2
[D]
{5,5}
de Datos
[D]
[HW.HW SwitchB]
Switch de Borde
[D]
de Datos
[D]
[HW.HW AP] Access

Point
[D]
de Datos
[D]
[HW.HWAnalizador]
Analizador de Logs
[D]
[E.24] Cada del

sistema por
agotamiento de
recursos
[E.24] Cada del
sistema por
agotamiento de
recursos
[E.24] Cada del
sistema por
agotamiento de
recursos
[E.24] Cada del
sistema por
agotamiento de
recursos
{5,5}
{5,5}
{5,5}
Tabla 17 Riesgo Repercutido por Activo
Paso 3
3.6.4.5 Identificacin de Salvaguardas

Una vez identificado las amenazas, se identificara los mecanismos de
salvaguarda implantados en aquellos activos, describiendo las dimensiones
de seguridad que estos ofrecen (Disponibilidad, Integridad, Confidencialidad,
Autenticidad y Trazabilidad). En la prctica no es frecuente encontrar
sistemas desprotegidos.
Probablemente la nica forma es tirar de catlogo. Usar un (sistema) experto
que ayude a verqu solucin es adecuada para cada combinacin de
tipo de activo
amenaza a la que est expuesto
dimensin de valor que es motivo de preocupacin
97
nivel de riesgo
A menudo encontrar muchas soluciones para un problema, con diferentes

calidades. En estoscasos debe elegir una solucin proporcionada a los
niveles de impacto y riesgo calculados.
Las salvaguardas entran en el clculo del riesgo de dos formas:
Reduciendo la frecuencia de las amenazas.
Llamadas salvaguardas preventivas. Una salvaguarda preventiva ideal
mitigacompletamente la amenaza.
Limitando el dao causado.
Hay salvaguardas que directamente limitan la posible degradacin, mientras
queotras permiten detectar inmediatamente el ataque para frenar que la
degradacinavance. Incluso algunas salvaguardas se limitan a permitir la
pronta recuperacindel sistema cuando la amenaza lo destruye. En
cualquiera
de
las
versiones,
laamenaza
se
materializa;
pero
las
consecuencias se limitan.Las salvaguardas se caracterizan, principalmente,

por su eficacia frente alriesgo que pretenden conjurar.
En la siguiente tabla se observa las diferentes salvaguardas que tienen los
activos de red identificados anteriormente, con sus respectivas dimensiones
de seguridad que estos ofrecen, todo esto en base a
la metodologa
MAGERIT Libro II Catalogo de Elementos y a las encuestas realizadas:

CAPAS
EQUIPAMIENTO
ACTIVOS
Switch de Core
SALVAGUARDAS
-Claves
-Proteccin del equipo
dentro de la
organizacin
-Se aplica perfiles de
seguridad
-Autenticacin del
canal
-Proteccin de la
integridad de los datos
intercambiados
Firewall
-Claves
98
DIMENSIN
Disponibilidad
Confidencialidad
Autenticidad

dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Switch de
Distribucin
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Switch de Acceso
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Switch de Capa 2
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Analizador de Logs
-Claves
dentro de la
organizacin
99

seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Administradores
de Firewall
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Access Point
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Central Telefnica
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Telfono Ip
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
100
canal
-Proteccin de la
intercambiados
EQUIPAMIENTO
PRTG
CISCOWORKS
-Claves
dentro de la
organizacin
seguridad
Disponibilidad
Integridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
Trazabilidad
Autenticidad
-Claves
dentro de la
organizacin
seguridad
-Autenticacin del
canal
-Proteccin de la
intercambiados
INSTALACIONES
DATACENTER
-Control de los accesos

fsicos
Disponibilidad
-Aseguramiento de la
disponibilidad
-Alarmas
-Ventilacin, extintores
-Ups
CUARTO DE
-Control de los accesos
COMUNICACIONES fsicos
disponibilidad
PERSONAL
Administrador de
Redes
Administrador de
Seguridades
-Alarmas
-Ventilacin, extintores
Ups
-Formacin y
concienciacin
Integridad
disponibilidad
Disponibilidad
-Formacin y
concienciacin
Autenticidad
101
disponibilidad
DATOS
Backup de
Configuraciones
Backup de Logs de
Monitoreo
-Proteccin de la
informacin
Integridad
-Copias de seguridad
de los datos
Disponibilidad
-Proteccin de la
informacin
Integridad
-Copias de seguridad
de los datos
Confidencialidad
Tabla 18. Salvaguardas de los Activos de Red
3.6.4.6Identificacin de Vulnerabilidades
Una vez identificado las amenazas y las salvaguardas existentes de los
activos, el siguiente paso es la identificacin de vulnerabilidades.
La herramienta PILAR ha sustituido, los valores de probabilidad y
degradacin por una serie de criterios que permiten reflejar el entorno en el
que se encuentran los activos.
Las vulnerabilidades identificadas por medio de las encuestas, que podran
generar que una amenaza se materialice son las siguientes:
Tabla basada en los criterios de la metodologa MAGERIT.
Pblico en general
Pblico en General
Identificacin del atacante
Criminales/Terroristas
Personal Interno
Proveedor de servicios
Econmica (Beneficios en dinero)

Con nimo de provocar prdidas
Motivacin del Atacante
Con nimo destructivo

Con nimo de causar dao
102
Beneficio del atacante
Muy interesado
Motivacin del personal interno
Permisos de los usuarios(derechos)
Baja calificacin profesional escasa

informacin
Se permite el acceso a internet

Se permite la conexin de dispositivos
mviles.
Conectividad del sistema de informacin
Conectado a un amplio colectivo de redes
Tabla 19. Identificacin de Vulnerabilidades
3.6.4.7 Conclusiones y Recomendaciones de los Activos

Sobre los Activos:
Se recomienda implementar salvaguardas preventivas hasta que se

implemente el plan de seguridad, con el objetivo de proteger al activo
en todo tiempo.
Se recomienda la implementacin de las siguientes salvaguardas en

cada activo, para reducir las probabilidades de que las amenazas se
materialicen:
Switch de Core
Para tener el acceso a la consola del switch de Core el nmero de

dgitos de la contrasea deber ser lo suficientemente amplia pero no
compleja para el acceso del personal solamente autorizado.
Aumentar la seguridad con una proteccin de acceso controlado,

donde se limite los intentos fallidos de acceso, como puede ser con
un mximo de tres (3) intentos; de esta manera se evitara que los
atacantes disfruten
de los privilegios del llamado phishing
suplantacin de identidad.
Se deber crear varios niveles de acceso para mantener un control de

acceso de personal autorizado.
103
Firewall
Se recomienda una actualizacin de los planes de continuidad ya que

son muy importantes porque garantizan que el sistema nunca caiga,
generando satisfaccin a los servicios que da acceso o bloqueo.
Se debe estar siempre actualizando el firmware de los equipos para

que
se
pueda
solucionar ciertas
vulnerabilidades
de dichos
dispositivos.
Se debera mantener una revisin peridica de las polticas de

seguridad.
Se debe establecer un control de cambios de configuraciones y

firmware.
Central Telefnica
Se debe mejorar el control centralizado con revisiones peridicas de

la configuracin lo que ayudara a que la informacin llegue a su
destino y evite errores de re-encaminamiento.
Cuando se hablen temas de vital importancia o confidenciales por la

telefona IP, tratar de tener cautela de las personas que puedan
escuchar la informacin, con el fin de evitar que se den fugas de las
mismas. Lo que se recomienda la encriptacin de las llamadas
crticas.
Instalaciones
Unidad de sistemas, redes y telecomunicaciones.
Se recomienda implementar el Estndar TIA-942 (Telecomunications

Industry
Association),
el
cual
brindara
los
requerimientos
lineamientos necesarios para el diseo e instalacin de centros de

cmputo, el cual cuenta con los requerimientos de: instalacin de
suelo antiesttico, sistema central de refrigeracin, unidades de aire
acondicionado, sistema automtico de deteccin de alarmas de
104
incendios, sistema de control de accesos y todas las normas de

seguridad que necesita el rea de sistema de informacin.
Se deber tener un sistema de distribucin de suministros elctricos

(UPS), con un tiempo promedio de 1 hora de duracin para que los
administradores de los sistemas puedan mantener la continuidad del
servicio.
Y lo ms importante se recomienda tener un sitio alterno de

recuperacin ya que por ahora no se cuenta con este sitio de
recuperacin.
Personal
Se recomienda implementar una poltica y procedimientos de gestin

de personal (en materia de seguridad).
Mejorar la asignacin de responsabilidades de seguridad a todos los

puestos de trabajo.
Implementar procedimientos para el cambio de puesto de trabajo, ya

que se maneja de forma intuitiva y dentro de los mismos no se
establece la actualizacin de los acuerdos de confidencialidad en los
nuevos puestos debido a la importancia de la informacin.
Implementar comprobaciones para el personal con puestos de gran

responsabilidad.
Implementar una normativa de obligado cumplimiento en el

desempeo del puesto-propiedad intelectual, esto incentivara a que
los trabajos sean realizados con mayor esmero.
Fomentar el trabajo en equipo, ya que mediante una buena relacin

laboras entre los responsables de las comunicaciones los problemas
se podran solventar de mejor forma.
Implementar una normativa de obligado cumplimiento en el desempeo

del puesto-propiedad intelectual, esto incentivara a que los trabajos sean
realizados con mayor esmero.
105
CAPTULO 4
4.1 Herramienta PILAR
PILAR conjuga los activos TIC de un sistema con las amenazas posibles,
calcula los riesgos y nos permite incorporar salvaguardas para reducir el
riesgo a valores residuales aceptables. Esto nos permite fundamentar la
confianza en el sistema.
La herramienta soporta todas las fases del mtodo MAGERIT:
Caracterizacin de los
dependencias y valoracin.
Caracterizacin de las amenazas
Evaluacin de las salvaguardas
activos:
identificacin,
clasificacin,
La herramienta incorpora los catlogos del "Catlogo de Elementos"

permitiendo una homogeneidad en los resultados del anlisis:
tipos de activos
dimensiones de valoracin
criterios de valoracin
catlogo de amenazas
Para incorporar este catlogo, PILAR diferencia entre el motor de clculo de

riesgos y la bibliotecade elementos, que puede ser reemplazada para seguir
el paso de la evolucin en el tiempo de loscatlogos de elementos.
La herramienta evala el impacto y el riesgo, acumulado y repercutido,
potencial y residual, presentndolo de forma que permita el anlisis de por
qu se da cierto impacto o cierto riesgo.
Las salvaguardas se califican por fases, permitiendo la incorporacin a un
mismo modelo de diferentes situaciones temporales. Tpicamente se puede
incorporar el resultado de los diferentes proyectos de seguridad a lo largo de
la ejecucin del plan de seguridad, monitorizando la mejora delsistema.
106
Los resultados se presentan en varios formatos: informes RTF, grficas y

tablas para incorporar ahojas de clculo. De esta forma es posible elaborar
diferentes tipos de informes y presentacionesde los resultados.
A continuacin se muestra la plataforma Pilar:
La presentacin que Pilar muestra al usuario las siguientes partes
principales:
D: Proyecto
A: Anlisis de Riesgos
R: Informes
E: Perfiles de Seguridad.
Figura 10. Presentacin de la Plataforma
107
4.2 Datos del proyecto

En esta pantalla se presenta los datos principales
del proyecto a
desarrollarse, tales como descripcin, responsable, organizacin, versin

fecha, tal como se muestra en la siguiente figura:
Figura 11. Datos Principales del Proyecto
4.3 Resultados del Anlisis de Riesgos

Paso 1 Activos de la red LAN de la CGE.
4.3.1 Identificacin de Activos
En la opcin Anlisis de Riesgo, PILAR permite ingresar los activos
clasificndolos por su funcin y por capa creadas anteriormente.
108
Figura 12. Activos de red Identificados
4.3.2 Clasificacin de los Activos

Para la clasificacin de los activos Pilar nos muestra dos paneles, en
e la parte
derecha tenemos la lista de los activos que se crearon en el primer paso
cuando se realiz la identificacin de los activos, y en la parte izquierda
tenemos los tipos de activos o clases que nos provee la herramienta por lo
que nosotros podemos clasificarlos manualmente segn las fichas de
informacin que hayamos recopilado. Por ejemplo podemos ver que en
Hardware tenemos el equipo firewall, por lo que este equipo pertenece a la
clase [firewall] cortafuegos, y as procedemos con los dems activos.
activos
109
Figura 13. Clasificacin de Activos
4.3.3Dependencias de los Activos

En la herramienta Pilar nos muestra dos paneles en la parte derecha
tenemos los activos a los que se los denomina
Padres y en la parte
izquierda tenemos los activos Hijos, por lo que manualmente seleccionamos

el activo padre y luego seleccionamos los activos hijos de dicho activo y
aplicamos.
110
Figura 14. Dependencias de los Activos Padres- Hijos
Por otro lado las dependencias

ependencias que lo hicimos anteriormente manualmente
la herramienta nos puede mostrar en forma grfica estas dependencia
podemos observar grficamente, tal como se muestra en la siguiente figura.
Figura 15. Representacin Grfica
111
4.3.4 Valoracin de Activos

A continuacin se muestra los diferentes valores que se les asignado a los
activos identificados en cada una de las dimensiones
de seguridad
(disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad).

A cada una de estas dimensiones se le da un valor de acuerdo a la Tabla 9
Criterios de Valoracin de Activos indicada en el captulo anterior.
Hay que tomar en cuenta que la valoracin que recibe un activo en una
cierta dimensin es la medida del perjuicio para la organizacin si el activo
se ve daado en dicha dimensin.
Figura 16. Valoracin de Activos
Los criterios que Pilar nos despliega en cada una de las dimensiones para
cada activo son las mismas, tal como se muestra en el siguiente grfico:
Figura 17. Criterios de Valoracin
112
4.4 Paso 2 Amenazas de la red LAN de la CGE

4.4.1 Identificacin de Amenazas.
La herramienta PILAR aplicada, asigna de forma automtica las amenazas,
su frecuencia de materializacin y el impacto que supondra.
PILAR nos proporciona en su biblioteca una coleccin de amenazas que se
asocian a cada uno de los activos, tomando en cuenta sus clases y
dependencias.
Para nuestro caso de estudio se tomaran en cuenta solo las que se
acerquen ms a nuestro caso real de estudio. A continuacin se muestra
algunas de las amenazas que presenta en su biblioteca.
Figura 18. Identificacin de Amenazas segn PILAR
113
4.4.2 Valoracin de las Amenazas

PILAR propone valorar las amenazas definiendo las frecuencias o
probabilidad de posible materializacin de las mismas y la degradacin por
niveles o porcentajes de las cinco dimensiones de seguridad (DICAT).
La frecuencia y degradacin estn expresadas por porcentaje:
Figura 19. Valoracin de las Amenazas
4.5 Salvaguardas
4.5.1 Identificacin de Salvaguardas
Muestra la salvaguarda o grupo de salvaguardas. Si no puede ver el nombre
completo de una salvaguarda (porque es muy largo), pulse con el botn
derecho sobre ella y seleccione camino completo.
114
Las salvaguardas y los grupos de salvaguardas estn identificadas por un

icono en forma de paraguas y un subndice. Los colores y valores subndice
de los paraguas informan de la importancia relativa de la salvaguarda, que
puede ser:
Interesante
Importante
Muy Importante
Critica.
Las salvaguardas estn agrupadas para, adems de facilitar su comprensin

y valoracin, indicar que salvaguardas de un tipo debera disponer la
organizacin.
As, los grupos de salvaguardas que antepongan un indicador booleano,
indican que para las salvaguardas que engloban:
Figura 20. Salvaguardas
115
4.5.2 Valoracin de las Salvaguardas

Una vez pulsada la opcin de valoracin, le aparece la pantalla de gestin
de salvaguardas donde podr valorar las salvaguardas existentes y su grado
de implantacin en un dominio.
Mediante las salvaguardas podr reducir el impacto y el riesgo, en funcin
de las que disponga y de su nivel de implantacin.
Figura 21. Valoracin de las Salvaguardas
Se aplica una valoracin de implantacin numrica de acuerdo a los

siguientes parmetros:
Nivel
L0
L1
L2
L3
L4
L5
Efectividad
0%
10%
50%
90%
95%
100%
Tabla 20 Criterios de Valoracin de Salvaguardas
116
4.6 Impacto Acumulado

El impacto acumulado es el impacto evaluado en los activos inferiores.
Figura 22. Impacto Acumulado
4.6 Impacto Residual

El impacto restante despus del tratamiento del riesgo.
Figura 23 Impacto Residual
117
4.7 Riesgo Acumulado

Anteriormente definimos dependencias entre activos, los activos inferiores
acumulan el valor de los activos superiores.
Figura 24. Riesgo Acumulado
4.8 Riesgo Residual

Una vez que se
ha calculado el riesgo
y se aplicado las diferentes
salvaguardas, se sigue manteniendo un riesgo ya que se dice que por ms

que se ponga las salvaguardas ms eficaces siempre habr
residual o sea un pequeo riesgo sobrante,
sobrante, pero ya controlado.
controlado
Figura 25. Riesgo Residual
118
un riesgo
CAPTULO 5
CONCLUSIONES Y RECOMENDACIONES
5.1. Conclusiones
El presente trabajo sirve como una aplicacin de la metodologa

MAGERIT versin 3 basada en su herramienta PILAR, para la
ejecucin del Anlisis y Gestin de Riesgos, extendida hacia cualquier
institucin pblica o privada que posea activos.
La
prevencin,
deteccin
mitigacin
de
los
riesgos,
es
imprescindible, razn por la que se deber aplicar una metodologa

con su respectiva herramienta, con la finalidad de mitigar los riesgos
usando perfiles de seguridad y salvaguardas adecuadas que
recomienda la herramienta PILAR Basic.
Una vez terminado el Anlisis de Riesgos de los activos de la red LAN

de la Contralora General del Estado, y realizada la calificacin de los
riesgos a los activos: Switch de Distribucin, Switch de Acceso,
Switch de capa 2, Firewall, todos con sus respectivas amenazas, se
concluye que estos son los activos con un mayor nivel de riesgo en la
organizacin, debido a la falta de implementacin de salvaguardas de
seguridad como recomiendan los estndares y cdigo de buenas
prcticas para la Gestin de la Seguridad de la Informacin.
La CGE cuenta con un plan de seguridad de la informacin pero el

personal responsable no lo ha actualizado, por lo que existira una
probabilidad media en que las amenazas se materialicen.
La Institucin, est consciente del riesgo que poseen sus sistema de

comunicacin, por lo que, la Direccin de Tecnologa
a partir del
presente trabajo, realizo la implementacin de ciertas salvaguardas

que les permitir proteger de mejor manera la informacin.
119
El apoyo, tanto de la Direccin como de los jefes de las diferentes

reas de tecnologa como son infraestructura, proyectos y servicios
han sido indispensables para la elaboracin de la tesis, ya que con
coordinaciones se facilit la informacin que me permiti evaluar y
gestionar los activos tecnolgicos.
Concluimos que actualmente en nuestro medio no se pone real

nfasis en temas referentes al Anlisis de Riesgos, lo que podra
ocasionar que no se tenga un conocimiento adecuado de dichos
temas y no cuente con el personal especializado para realizar dicho
anlisis.
Una forma de conseguir el mayor beneficio en seguridad de la

informacin es contar con una adecuada evaluacin de riesgos, que
oriente las inversiones, que minimicen el impacto en casos de
incidentes, sin importar que metodologa se seleccione.
La seguridad de la informacin no es una responsabilidad nicamente

del rea de tecnologa debe fluir desde la alta gerencia hacia todos
los procesos de negocios.
Un comit de seguridad de la informacin compuesto por cada jefe de

rea genera ms compromiso para hacer cumplir las polticas de
seguridad de la informacin
Si la seguridad de la informacin depende nicamente de IT entonces

la probabilidad es del 100% de que no se implemente.
Los recursos financieros de una organizacin deben invertirse de la

mejor manera mirando siempre el retorno de inversin.
La organizacin debe entender la seguridad como un proceso que

nunca termina.
La inseguridad es una propiedad inherente a los recursos informticos

y la gestin es la nica forma de medirla y aminorarla.
120
5.2 Recomendaciones
Se recomienda utilizar la Metodologa MAGERIT versin 3, y como

complemento la herramienta PILAR, la cual es una herramienta propia
automatizada y basada en la metodologa, que permite trabajar con
varios activos, amenazas y salvaguardas.
Se recomienda que la administracin tome en cuenta estndares

como: ISO/IEC 27002:2005 Cdigo de buenas prcticas para la
Gestin de la Seguridad de la Informacin, COBIT versin 5 e ITIL
(mejores prcticas de prestacin de servicios TI y auditoria) y CISCO
(estndares internacionales de redes y telecomunicaciones).
Alas Organizaciones que realicen el Anlisis de Riesgos de los

sistemas de comunicacin (activos de red), les sugiero que lo hagan
por lo menos dos veces al ao, razn por la cual podrn conocer sus
fortalezas o debilidades e implementar salvaguardas para reducir las
debilidades encontradas.
A los estudiantes que tengan inters en realizar un Anlisis de

Riesgos, les sugiero que constantemente mantengan reuniones con
los delegados en el manejo de la informacin y con el personal
involucrado en el proyecto que labora en la organizacin, para que los
resultados se ajusten a la realidad.
121
ANEXOS
122
ANEXOS
ANEXOS I:
123
ANEXO II:
124
ANEXO IIl:
125
ANEXO IV: Tipos de Activos Utilizados de la Metodologa MAGERIT

En este anexo se detallan los tipos de activos incluidos en el inventario base
de la metodologa MAGERIT.
[D] Datos/ Informacin
[files] ficheros
[backup] copias de respaldo
[conf] datos de configuracin
[int] datos de gestin interna
[password] credenciales (ej. contraseas)
[auth] datos de validacin de credenciales
[acl] datos de control de acceso
[log] registro de actividad
[source] cdigo fuente
[exe] cdigo ejecutable
[test] datos de prueba
[S] Servicios
[anon] annimo (sin requerir identificacin del usuario)
[pub] al pblico en general (sin relacin contractual)
[ext] a usuarios externos (bajo una relacin contractual)
[int] interno (a usuarios de la propia organizacin)
[www] world wide web
[telnet] acceso remoto a cuenta local
[email] correo electrnico
[file] almacenamiento de ficheros
[ftp] transferencia de ficheros
[edi] intercambio electrnico de datos
[dir] servicio de directorio
[idm] gestin de identidades

126
[ipm] gestin de privilegios
[pki] PKI - infraestructura de clave pblica
[SW] Aplicaciones (software)
[prp] desarrollo propio (in house)
[sub] desarrollo a medida (subcontratado)
[std] estndar (off the shelf)
[browser] navegador web
[www] servidor de presentacin
[app] servidor de aplicaciones
[email_client] cliente de correo electrnico
[email_server] servidor de correo electrnico
[file] servidor de ficheros
[dbms] sistema de gestin de bases de datos
[tm] monitor transaccional
[office] ofimtica
[av] anti virus
[os] sistema operativo
[hypervisor] gestor de mquinas virtuales
[ts] servidor de terminales
[backup] sistema de backup
[HW]Equipos informticos (hardware)
[host] grandes equipos
[mid] equipos medios
[pc] informtica personal
[mobile] informtica mvil
[pda] agendas electrnicas
[vhost] equipo virtual
[backup] equipamiento de respaldo

127
[peripheral] perifricos
[print] medios de impresin
[scan] escneres
[crypto] dispositivos criptogrficos
[bp] dispositivo de frontera
[network] soporte de la red
[modem] mdems
[hub] concentradores
[switch] conmutadores
[router] encaminadores
[bridge] pasarelas
[firewall] cortafuegos
[wap] punto de acceso inalmbrico
[pabx] centralita telefnica
[ipphone] telfono IP
[COM]Redes de comunicaciones
[PSTN] red telefnica
[ISDN] rdsi (red digital)
[X25] X25 (red de datos)
[ADSL] ADSL
[pp] punto a punto
[radio] comunicaciones radio
[wifi] red inalmbrica
[mobile] telefona mvil
[sat] por satlite
[LAN] red local
[MAN] red metropolitana
[Internet] Internet
128
[Media] Soportes de informacin
[electronic] electrnicos
[disk] discos
[vdisk] discos virtuales
[san] almacenamiento en red
[disquette] disquetes
[cd] cederrn (CD-ROM)
[usb] memorias USB
[dvd] DVD
[tape] cinta magntica
[mc] tarjetas de memoria
[ic] tarjetas inteligentes
[non_electronic] no electrnicos
[printed] material impreso
[tape] cinta de papel
[film] microfilm
[cards] tarjetas perforadas
[AUX] Equipamiento auxiliar
[power] fuentes de alimentacin
[ups] sistemas de alimentacin ininterrumpida
[gen] generadores elctricos
[ac] equipos de climatizacin
[cabling] cableado
[wire] cable elctrico
[fiber] fibra ptica
[robot] robots
[tape] ... de cintas
[disk] ... de discos

129
[supply] suministros esenciales
[destroy] equipos de destruccin de soportes de informacin
[furniture] mobiliario: armarios, etc.
[L] Instalaciones
[site] recinto
[building] edificio
[local] cuarto
[mobile] plataformas mviles
[car] vehculo terrestre: coche, camin, etc.
[plane] vehculo areo: avin, etc.
[ship] vehculo martimo: buque, lancha, etc.
[shelter] contenedores
[channel] canalizacin
[backup] instalaciones de respaldo
[P] Personal
[ue] usuarios externos
[ui] usuarios internos
[op] operadores
[adm] administradores de sistemas
[com] administradores de comunicaciones
[dba] administradores de BBDD
[sec] administradores de seguridad
[des] desarrolladores / programadores
[sub] subcontratas
[prov] proveedores
130
ANEXO V: Inventario de Amenazas de la Metodologa MAGERIT

En este anexo se detallan las amenazas que nos presenta la metodologa
MAGERIT, en su inventario base.
[N] Desastres naturales
[N.1] Fuego
[N.2] Daos por agua
[N.*.1] Tormentas
[N.*.2] Tormentas elctricas
[N.*.3] Huracanes
[N.*.4] Terremotos
[N.*.5] Tornados
[N.*.6] Ciclones
[N.*.7] Deslizamientos del terreno
[N.*.8] Meteoritos
[N.*.9] Tsunamis
[N.*.10] Tormentas de invierno y frio extremo
[N.*.11] Calor extremo
[N.*.12] Volcanes
[I] De origen industrial
[I.1] Fuego
[I.2] Daos por agua
[I.3] Contaminacin medioambiental
[I.3.1] Vibraciones
[I.3.2] Ruido
[I.3.3] Polvo
[I.3.4] Humo
131
[I.3.5] Vapor
[I.4] Contaminacin electromagntica
[I.4.11] Ruido electromagntico accidental
[I.4.12] Ruido electromagntico deliberado
[I.4.15] Pulsos electromagnticos accidentales
[I.4.16] Pulsos electromagnticos deliberados
[I.4.21] Ruido trmino accidental
[I.4.22] Ruido trmino deliberado
[I.4.31] Jamming
[I.5] Avera de origen fsico o lgico
[I.5.1] Software
[I.5.2] Hardware
[I.5.3] Equipos de comunicaciones
[I.5.4] Equipamiento auxiliar
[I.6.11] Interrupcin accidental
[I.6.12] Interrupcin deliberada por un agente externo
[I.6.13] Interrupcin deliberada por un agente interno
[I.7] Condiciones inadecuadas de temperatura o humedad

[I.8] Fallo de servicios de comunicaciones
[I.8.11] Interrupcin accidental
[I.8.12] Interrupcin deliberada por un agente externo
[I.8.13] Interrupcin deliberada por un agente interno
[I.9] Interrupcin de otros servicios o suministros esenciales
[I.9.1] Papel
[I.9.2] Refrigerante
[I.9.3] Disel
132
[I.10] Degradacin de los soportes de almacenamiento de la

informacin
[E] Errores y fallos no intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador del sistema / de la seguridad
[E.4] Errores de configuracin
[E.7] Deficiencias en la organizacin

[E.8] Difusin de software daino
[E.8.0] Gusanos
[E.8.1] Virus
[E.8.2] Caballos de Troya
[E.8.3] Spyware
[E.18] Destruccin de la informacin[E.20] Vulnerabilidades de los

programas (software)
[E.20.dos] denegacin de servicio
[E.20.read] acceso de LECTURA
[E.20.write] acceso de ESCRITURA
[E.20.escalation] escalada de privilegios
[E.21] Errores de mantenimiento / actualizacin de programas

(software)
[E.23] Errores de mantenimiento / actualizacin de equipos

(hardware)
[E.24] Cada del sistema por agotamiento de recursos
[E.28] Indisponibilidad del personal
[E.28.1] Enfermedad
[E.28.2] Huelga
[E.28.3] No hay personal

133
[E.28.4] Personal insuficiente
[A] Ataques deliberados

[A.4] Manipulacin de los ficheros de configuracin
[A.4.1] Sin beneficio para nadie
[A.4.2] A beneficio del atacante
[A.4.3] Para daar a la vctima
[A.7.1] Por personal interno
[A.7.2] Por subcontratistas
[A.7.3] Por personas externas
[A.8.1] Virus
[A.8.2] Caballos de Troya
[A.8.3] Spyware
[A.8.0] Gusanos
[A.18] Destruccin de la informacin
[ A.18.1] Sin beneficio para nadie
[A.18.2] A beneficio del atacante
[A.18.3] Para daar a la vctima
[A.24.1] Saturacin de los canales de

comunicaciones
[A.24.2] Saturacin de los recursos software
[A.24.3] Saturacin de los recursos hardware
[A.25.1] Por personal interno
[A.25.2] Por subcontratistas

134
[A.25.3] Por personas externas
[A.26.1] Vandalismo
[A.26.2] Bombas
[A.26.3] Terrorismo
[A.27] Ocupacin enemiga

[A.28] Indisponibilidad del personal
[A.28.1] Enfermedad
[A.28.2] Huelga
[A.28.3] Absentismo.
ANEXO VI: Inventario de Salvaguardas de la Metodologa MAGERIT

En este anexo se detallan las salvaguardas que nos presenta la metodologa
MAGERIT, en su inventario base.
6.2. Proteccin de los datos / informacin
D Proteccin de la Informacin
D.A Copias de seguridad de los datos (backup)
D.I Aseguramiento de la integridad
D.C Cifrado de la informacin
D.DS Uso de firmas electrnicas
D.TS Uso de servicios de fechado electrnico (time stamping)
6.3. Proteccin de las claves criptogrficas
K Gestin de claves criptogrficas
K.IC Gestin de claves de cifra de informacin
K.DS Gestin de claves de firma de informacin
K.disk Gestin de claves para contenedores criptogrficos
K.comms Gestin de claves de comunicaciones
135
K.509 Gestin de certificados.

6.4. Proteccin de los servicios
S Proteccin de los Servicios
S.A Aseguramiento de la disponibilidad
S.start Aceptacin y puesta en operacin
S.SC Se aplican perfiles de seguridad
S.op Explotacin
S.CM Gestin de cambios (mejoras y sustituciones)
S.end Terminacin
S.www Proteccin de servicios y aplicaciones web
S.email Proteccin del correo electrnico
S.dir Proteccin del directorio
S.dns Proteccin del servidor de nombres de dominio (DNS)
S.TW Teletrabajo
S.voip Voz sobre IP.
6.5. Proteccin de las aplicaciones (software)
SW Proteccin de las Aplicaciones Informticas
SW.A Copias de seguridad (backup)
SW.start Puesta en produccin
SW.SC Se aplican perfiles de seguridad
SW.op Explotacin / Produccin
SW.CM Cambios (actualizaciones y mantenimiento).
6.6. Proteccin de los equipos (hardware)
HW Proteccin de los Equipos Informticos
HW.start Puesta en produccin
HW.SC Se aplican perfiles de seguridad
HW.A Aseguramiento de la disponibilidad
HW.op Operacin
HW.CM Cambios (actualizaciones y mantenimiento)
136
HW.end Terminacin
HW.PCD Informtica mvil
HW.print Reproduccin de documentos
HW.pabx Proteccin de la centralita telefnica (PABX).
6.7. Proteccin de las comunicaciones

COM Proteccin de las Comunicaciones
COM.start Entrada en servicio
COM.SC Se aplican perfiles de seguridad
COM.A Aseguramiento de la disponibilidad
COM.aut Autenticacin del canal
COM.I Proteccin de la integridad de los datos intercambiados
COM.C Proteccin criptogrfica de la confidencialidad de los datos
intercambiados
COM.op Operacin
COM.CM Cambios (actualizaciones y mantenimiento)
COM.end Terminacin
COM.internet Internet: uso de ? acceso a
COM.wifi Seguridad Wireless (WiFi)
COM.mobile Telefona mvil
COM.DS Segregacin de las redes en dominios.
6.8. Proteccin en los puntos de interconexin con otros sistemas
IP Puntos de interconexin: conexiones entre zonas de confianza
IP.SPP Sistema de proteccin perimetral
IP.BS Proteccin de los equipos de frontera.
6.9. Proteccin de los soportes de informacin
MP Proteccin de los Soportes de Informacin

137
MP.A Aseguramiento de la disponibilidad

MP.IC Proteccin criptogrfica del contenido
MP.clean Limpieza de contenidos
MP.end Destruccin de soportes
6.10. Proteccin de los elementos auxiliares
AUX Elementos Auxiliares
AUX.A Aseguramiento de la disponibilidad
AUX.start Instalacin
AUX.power Suministro elctrico
AUX.AC Climatizacin
AUX.wires Proteccin del cableado
6.11. Seguridad fsica Proteccin de las instalaciones

L Proteccin de las Instalaciones
L.design Diseo
L.depth Defensa en profundidad
L.AC Control de los accesos fsicos
L.A Aseguramiento de la disponibilidad
L.end Terminacin
6.12. Salvaguardas relativas al personal

Son aquellas que se refieren a las personas que tienen relacin con el
sistema de informacin.
PS Gestin del Personal
PS.AT Formacin y concienciacin
PS.A Aseguramiento de la disponibilidad
6.13. Salvaguardas de tipo organizativo

Son aquellas que se refieren al buen gobierno de la seguridad.
G Organizacin
G.RM Gestin de riesgos

138
G.plan Planificacin de la seguridad
G.exam Inspecciones de seguridad
6.14. Continuidad de operaciones
Prevencin y reaccin frente a desastres.
BC Continuidad del negocio
BC.BIA Anlisis de impacto (BIA)
6.15. Externalizacin
Es cada vez ms flexible la frontera entre los servicios de seguridad
prestados internamente y los servicios contratados a terceras partes. En
estos casos es fundamental cerrar los aspectos de relacin contractual:
SLA: nivel de servicio, si la disponibilidad es un valor
NDA: compromiso de secreto, si la confidencialidad es un valor
Identificacin y calificacin del personal encargado
Procedimientos de escalado y resolucin de incidencias
Procedimiento de terminacin (duracin en el tiempo de las

responsabilidades asumidas)
Asuncin de responsabilidades y penalizaciones por incumplimiento
E Relaciones Externas
E.1 Acuerdos para intercambio de informacin y software
E.2 Acceso externo
E.3 Servicios proporcionados por otras organizaciones
E.4 Personal subcontratado.
6.16. Adquisicin y desarrollo
NEW Adquisicin / desarrollo
NEW.S Servicios: Adquisicin o desarrollo
NEW.SW Aplicaciones: Adquisicin o desarrollo

139
NEW.HW Equipos: Adquisicin o desarrollo
NEW.COM Comunicaciones: Adquisicin o contratacin
NEW.MP Soportes de Informacin: Adquisicin
NEW.C Productos certificados o acreditados
140
GLOSARIO
Anlisis de Riesgos
Proceso sistemtico para estimar la magnitud de los riesgos a que est
expuesta una organizacin.
Anlisis de Impacto
Estudio de las consecuencias que tendra una parada de x tiempo sobre la
organizacin.
Activo
Componente o funcionalidad de un sistema de informacin susceptible de
ser atacado deliberada o accidentalmente con consecuencias para la
organizacin. Incluye: informacin, datos, servicios, aplicaciones (software),
equipos (hardware), comunicaciones, recursos administrativos, recursos
fsicos y recursos humanos. (UNE 71504:2008).
Amenaza
Causa potencial de un incidente que puede causar daos a un sistema de
informacin o a una organizacin. (UNE 71504:2008).
Dimensin de Seguridad
Un aspecto, diferenciado de otros posibles aspectos, respecto del que se
puede medir el valor de un activo en el sentido del perjuicio que causara su
prdida de valor.
Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la informacin y sus activos asociados. (UNE 71504:2008).
Frecuencia
Tasa de ocurrencia de una amenaza.
141
Numero de sucesos o de efectos en una unidad de tiempo definida. (UNEISO Gua 73:2010).
Probabilidad
Posibilidad de que un hecho se produzca. (UNE-ISO Gua 73:2010).
Impacto
Consecuencias que sobre un activo tiene la materializacin de una
amenaza.
Riesgo
Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la organizacin.
Riesgo Residual
Riesgo remanente en el sistema despus del tratamiento del riesgo. (UNEISO Gua 73:2010).
Salvaguarda
Procedimiento o mecanismo tecnolgico que reduce el riesgo.
Vulnerabilidad
Defecto o debilidad en el diseo, implementacin u operacin de un sistema
que habilita o facilita la materializacin de una amenaza.
Integridad
Propiedad o caracterstica consistente en que el activo no ha sido alterado
de manera no autorizada. (UNE 71504:2008).
Concienciacin
Son las actividades de formacin de las personas anexas al sistema que
tener una influencia sobre l. La Formacin reduce los errores de los
usuarios, lo cual tiene un efecto preventivo.
142
BIBLIOGRAFA
1. MAGERIT, (2012). Metodologa de Anlisis y Gestin de Riesgos de

los Sistemas de Informacin, Libro I Mtodo, Madrid. Versin 3.0
los Sistemas de Informacin, Libro II Catalogo de Elementos, Madrid.
Versin 3.0
los Sistemas de Informacin, Libro III Gua de Tcnicas, Madrid.
Versin 3.0
4. http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.p
df
5. http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-lainformacion
6. http://www.pilar-tools.com/es/tools/pilar/
7. http://www.pilar-tools.com/es/index.html?tools/pilar/index.html
8. http://seguridadinformaticaufps.wikispaces.com/PILAR
9. https://www.ccncert.cni.es/publico/herramientas/pilar43/tools/index.html
10. http://administracionelectronica.gob.es/ctt/verPestanaDescargas.htm?i
dIniciativa=161#.UpzN-SdcyMs
11. http://www.seap.minhap.gob.es/dms/es/publicaciones/centro_de_publi
caciones_de_la_sgt/Monografias0/parrafo/Magerit_2012/Magerit_v3_li
bro3.pdf
12. http://administracionelectronica.gob.es/pae_Home/pae_Documentacio
n/pae_Metodolog/pae_Magerit.html#.UpzOGidcyMs
143
13. http://www.securityartwork.es/2012/04/24/analisis-de-riesgos-conmagerit-en-el-ens-i/
14. http://www.seap.minhap.es/dms/es/publicaciones/centro_de_publicaci
ones_de_la_sgt/Monografias0/parrafo/Magerit_2012/Magerit_v3_libro
1_metodo.pdf
15. http://www.seap.minhap.gob.es/dms/es/publicaciones/centro_de_publi
caciones_de_la_sgt/Monografias0/parrafo/Magerit_2012/mageritsumario-libro-2/magerit%20sumario%20libro%202.pdf
16. http://www.seap.minhap.es/search?q=libro+III+magerit&proxystyleshe
et=mpt&client=mpt&sort=date%3AD%3AL%3Ad1&oe=UTF8&ie=UTF-8&entqr=3&site=MPT_ES&lng=es
17. http://bibdigital.epn.edu.ec/bitstream/15000/3790/1/CD-3510.pdf
18. http://bibliotecadigital.umsa.bo:8080/rddu/bitstream/123456789/1256/1
/314_T-1854.pdf
19. www.dspace.espol.edu.ec
20. http://materias.fi.uba.ar/7500/bisognotesisdegradoingenieriainformatica.pdf
21. http://www.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_in
formatica.pdf
22. http://www.belt.es/noticiasmdb/HOME2_noticias.asp?id=13451
23. https://intranet.contraloria.gob.ec/default.aspx
24. http://www.seap.minhap.es/dms/es/publicaciones/centro_de_publicaci
ones_de_la_sgt/Monografias0/parrafo/Magerit_2012/Magerit_v3_libro
1_metodo.pdf
25. http://administracionelectronica.gob.es/pae_Home/pae_Documentacio
n/pae_Metodolog/pae_Magerit.html#.UqDeuidcyMs.
144

T Uce 0011 81

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

T Uce 0011 81

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE INGENIERA CIENCIAS FSICAS Y MATEMTICA

ANLISIS DE RIESGOS DE LA SEGURIDAD DE LA RED DE REA

TRABAJO DE GRADUACIN PREVIO A LA OBTENCIN DEL TTULO DE

AUTORIZACIN DE LA AUTORA INTELECTUAL

AUTORIZACIN DEL TUTOR

RESULTADOS DEL TRABAJO DE GRADO

2.2.5 Activo ........................................................................................................................ 10

3.6.4.1Identificacin y Clasificacin de Activos de la red LAN ....................................... 39

METHODOLOGY MAGERIT V 3.0/ THREATS/ ACTIVE NETWORK/

CERTIFICADO DE PROFESOR DE INGLS

Seguridad de Informacin: Es un conjunto de mtodos y herramientas

Riesgo2:Es la probabilidad de que cualquier eventualidad se aproveche

Vulnerabilidad: Cualquier debilidad en los sistemas que pueda permitir a

Amenaza: Es cualquier evento que pueda provocar dao a la informacin,

Incidente de seguridad: Cualquier evento que tenga, o pueda tener,

Las amenazas que afectan directamente a la seguridad tales como

Red de rea Local

de produccin y dinero, factores importantes para el desarrollo de una

de Riesgos que est

directamente relacionada con la generalizacin del uso de las tecnologas de

elaboracin, el desarrollo y la aplicacin de la poltica y estrategia del

les permitir mantener las medidas

apropiadas que deberan adoptarse para controlar tales riesgos, y de esta

MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de sistemas de Informacin Versin 3

Entonces cabe recalcar que se debe implantarmedidasde seguridad que con

1.2 Formulacin del Problema

1.3 Interrogantes del Problema

En vista de la necesidad de proteger los sistemas de informacin, puesto

toda la informacin se convertira en grandes prdidas para la

gua de anlisis y gestin de

riesgos que pueda ayudarles a mitigar cualquier tipo de amenazas

Qu activos de la red LAN

de la Contralora General del

Estado matriz necesitan ser protegidos?

Cmodichos activos se los va a proteger?

Qu tcnicas y mtodos se utilizarn en el desarrollo del

Qu herramientas de software efectivas se adaptaran mejor a

Cmo el desarrollo de un sistema de gestin de seguridad de

despus de haber realizado un anlisis de

ayudara los gerentes o administradores

seguridad de los sistemas de comunicacin de la Contralora

1.4 Objetivos de la Investigacin

de identificar amenazas, ver la probabilidad de que dichas amenazas se

1.4.2 Objetivos Especficos

1.5 Alcance y Limitaciones

las amenazas, vulnerabilidades y

riesgos de lainformacin, sobre la plataforma tecnolgica de esta

informacin que se asegure un ambiente informticoseguro, bajo los criterios

Con este proyecto se pretende desarrollar un sistema de gestin de

La solucin planteada se aplica al mbito de la seguridad tecnolgica es

no pretende realizar ningn tipo de

cambios de configuraciones de los equipos ni tampoco se realizara compra

Metodologa MAGERIT Versin 3.0

Software Pilar Versin 5.2

1.6 Justificacin e Importancia

internas puedan pretender desestabilizar o cometer actos en contra de las

podamos evitar al mximo los riesgos producidos por el uso indebido de la

La importancia de realizar un anlisis de riesgos de la seguridad de la red

con la planificacin de seguridad de la red, y

adems ser de gran ayuda para los responsables de la seguridad ya que

dispondrn de un sistema de gestin de

seguridad de la informacin totalmente actualizado.