“metodologÍa para apoyo al anÁlisis de consecuencias …

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS

MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.

“METODOLOGÍA PARA APOYO AL ANÁLISIS DE CONSECUENCIAS DE RIESGOS EN LOS

SISTEMAS DE SEGURIDAD DE INFORMACIÓN EN PYMES”

TESIS

QUE PARA OBTENER EL GRADO DE: MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.

PRESENTA: ING. ALEJANDRO HERRERA MARTÍNEZ.

DIRECTOR DE TESIS:

M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.

MÉXICO D.F. DICIEMBRE 2008

Metodología para Apoyo al Análisis de Consecuencias de Riesgos en los Sistemas de Seguridad de Información en PYMES.

“Metodología para Apoyo al Análisis de Consecuencias de Riesgos en los Sistemas de Seguridad de Información en PYMES.”

Resumen. El presente trabajo de Tesis muestra el Análisis, Evaluación y Diagnóstico de Riesgos, el cual, es un proceso, que se aplica dentro de un Sistema de Seguridad, en particular, se hablará de los Sistemas de Información. Este Análisis, es base fundamental para lograr una Arquitectura de Seguridad de Información Integral o un Sistema de Gestión del Riesgo en Sistemas de Información que permita el flujo del negocio en forma natural y segura. Se puede entender como Seguridad de Información a: “la protección de la información de un amplio rango de amenazas para poder asegurar la continuidad del negocio, minimizar riesgos y maximizar oportunidades comerciales y de inversión” [Palma, 2007]; entonces, un Análisis de Riesgo indica el grado de impacto de daño o Riesgo, también, permite sugerir las medidas preventivas para éste y de igual forma permitirá saber o conocer el nivel de Riesgo en el cual se está operando y que se puede aceptar para la Empresa determinada. A partir de lo anterior, el enfoque de Análisis de Riesgos de Sistemas de Información debe de ir más allá de cubrir activos de Información específicos, éste debe de estar ligado a los todos los procesos, objetivos y metas del negocio en estudio, de donde, la Seguridad de Sistemas de Información debe ser, un “plus” o valor agregado al negocio y no algo que interfiera en el flujo de éste. Es por ésto, que, el Análisis, Evaluación y Diagnóstico de Riesgo debe de estar relacionado fuertemente con los procesos y normas empresariales; independientemente, de la Tecnología que se use, así como también, considerar el factor humano dentro de la organización. Tomando en cuenta lo anterior, en el proyecto de Tesis, se propone una “Metodología para Apoyo al Análisis de Consecuencias de Riesgos en los Sistemas de Seguridad de Información en PYMES”, que pueda ser aplicable a las empresas Mexicanas y que considere los pilares de la seguridad que son: disponibilidad, integridad y confidencialidad considerando el entorno de Personas, Tecnología y Procesos. Además, se implantará en una Empresa pequeña de Comercio Electrónico para evaluar su aplicabilidad inicial. Lo anterior, se considera podrá servir de apoyo para reducir el impacto, perdidas o daños en los Sistemas de Información de las Empresas Mexicanas, lo cual coadyuvará en un mejor desempeño de las mismas.

Resumen y Abstract.


“Methodology for Analysis of Support for the consequences of Risks in the Information Systems Security in SMEs.”

Abstract. This work shows the Analysis, Assessment and Diagnosis, which is a process, which applies within a security system, in particular, about Information Systems. This analysis is a fundamental basis to achieve security architecture or an Integral Information System Risk Management that allows the flow of business in a natural and safe. Security Information can be understood as: "the protection of information from a wide range of threats in order to ensure business continuity, minimize risks and maximize opportunities for trade and investment" [Palma, 2007]; then, an analysis Risk indicates the degree of impact or risk of harm, too, to suggest preventive measures for this and likewise will know or know the level of risk in which it is operating and that is acceptable to the Company determined. From the above, the focus of Risk Analysis Information Systems must go beyond cover specific information, it must be linked to all processes, objectives and goals of the business in the studio, where, Security of Information Systems should be, a "plus" or value-added business and not something that interferes with the flow of it. It is for this, that, Analysis, Assessment and Diagnosis must be strongly linked with the processes and business rules; regardless of the technology being used, as well as considering the human factor within the organization. Taking into account the above, the draft proposes a thesis is "Methodology for Analysis of Support for the consequences of risks in the Security of Information Systems in SMEs", which may be applicable to Mexican companies and to consider the pillars of the security are: availability, integrity and confidentiality considering the environment of People, Processes and Technology. In addition will be implemented over a small E-Commerce Company to evaluate its applicability original. This, it is considered may get as a support to reduce the impact, loss or damage in the Information Systems of Mexicans Enterprises, which contribute to a better performance from them.

Resumen y Abstract.


AGRADECIMIENTOS

A MI ESPOSA E HIJOS.

FAMILIARES.

AL PROF. LEOPOLDO A. GALINDO SORIA.

A MIS PROFESORES.

AMIGOS.

AL INSTITUTO POLITECNICO NACIONAL.

Agradecimientos.


Índice.

Resumen y Abstract.

Índice. i

Índice de figuras y tablas. iii

Glosario de Términos. vi

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis ix

0.1 Introducción. x

0.3 Marco Metodológico para el desarrollo del proyecto de Tesis. xi

0.3 Presentación del Documento de Tesis. xiii

Capítulo 1: Marco Conceptual y Contextual

1.1 Marco conceptual 2

1.1.1 Pirámide conceptual. 2

1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis.

3

1.2 Marco Contextual 5

1.2.1 Marco contextual acorde a la pirámide conceptual. 5

Capítulo 2: Identificar y analizar la situación actual.

2.1 Análisis de la situación actual al inicio del proyecto de Tesis. 8

2.2 Justificación del proyecto de Tesis. 10

2.3 Definición de Objetivos del Proyecto de Tesis. 11

Capítulo 3: Desarrollo de la Metodología Propuesta.

3.1 Introducción a la Metodología Propuesta. 14

3.2 Presentación esquemática de la Metodología Propuesta. 14

3.3 Descripción detallada de las fases de la Metodología Propuesta. 20

3.3.1 Fase I. Concienciación 21

3.3.2 Fase II. Conocimiento del Medio Ambiente 27

3.3.3 Fase III. Análisis de Riesgo. 30

3.3.4 Fase IV. Evaluación y Diagnóstico del Riesgo. 40

3.3.5 Fase V. Propuesta de Solución. 45

3.3.6 Fase VI Implantación. 52

3.3.7 Fase VII. Evaluación general. 57

Índice. i


Capítulo 4: Aplicación de la Metodología Propuesta en una Empresa de Comercio Electrónico.

4.0 Introducción. 60

4.1 Aplicación de la: Fase I. Concienciación. 62

4.2 Aplicación de la: Fase II. Conocimiento del Medio Ambiente 69

4.3 Aplicación de la: Fase III. Análisis de Riesgo. 82

Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones.

5.1 Valoración de Objetivos. 108

5.1.1 Valoración del Objetivo General. 108

5.1.2 Valoración de Objetivos específicos. 109

5.1.3 Factores Críticos de Éxito para generar un Ambiente de Seguridad en Sistemas de Información.

110

5.2 Trabajos Futuros 110

5.3 Conclusiones 111

5.3.1 Conclusiones sobre Seguridad de Información. 111

5.3.2 Conclusiones sobre el Trabajo de Tesis. 112

Bibliografía. 114

Referencias a Internet. 115

Anexos

Anexo A: Activos Comunes Generales en Sistemas de Información. A.1

Anexo B: Vulnerabilidades generales comunes. B.1

Anexo C: Amenazas generales comunes. C.1

Índice. ii


Índice de figuras y tablas.

# Figura o Tabla

Descripción: Pág.

Capítulo 1.- Marco Conceptual y Contextual Figura 1.1 Pirámide Conceptual del proyecto de Tesis 2

Figura 1.2 Presentación Esquemática de Seguridad de Información con

Enfoque Sistémico

5

Capítulo 2.- Identificar y analizar la situación actual. Figura 2.1 Estándares y su Orientación 8

Tabla 2.1 Comparativo de ventajas y desventajas de Metodologías y

Estándares actuales

9

Capítulo 3.- Desarrollo de la Metodología Propuesta. Figura 3.1 Presentación Esquemática de la Metodología propuesta. 15

Figura 3.2 Presentación de Evolución de Madurez de la aplicación de la

Metodología Propuesta.

16

Figura 3.3 Presentación detallada de la Metodología Propuesta 20

Figura 3.4 Esquema Activo – Vulnerabilidades - Amenaza 30

Figura 3.5 Esquema Activo – Vulnerabilidades – Amenaza con Enfoque

Holístico

31

Tabla 3.1 Tipo de Información a Proteger 32

Tabla 3.2 Relación de Información entre el Tipo de Información y Área

Funcional

32

Tabla 3.3 Relación entre Área Funcional y Actividad 33

Tabla 3.4 Relación entre Personas o tipo de Personal e Información 33

Tabla 3.5 Documentación de Activo 34

Tabla 3.6 Referencia de Frecuencia 35

Tabla 3.7 Referencia de Frecuencia y Degradación 36

Tabla 3.8 Determinación de Impacto 37

Tabla 3.9 Cruz de Importancia contra Urgencia o Impacto al Negocio 38

Tabla 3.10 Rango de Referencia del Impacto 41

Tabla 3.11 Rango de Referencia del Nivel de Riesgo 41

Índice de figuras y tablas. iii


# Figura o

Tabla Descripción: Pág.

Capítulo 4.- Aplicación de la Metodología Propuesta en una Empresa de Comercio Electrónico Figura 4.1 Implantación de un Sistema de Seguridad 63

Figura 4.2 Representación General del Sistema de la Empresa

Comercio Electrónico

73

Figura 4.3 Organigrama en Empresa Comercio Electrónico 74

Tabla 4.0 Relación Entre áreas de la Empresa de Comercio Electrónico 75

Figura 4.4 Contexto Espacio – País - México 76

Figura 4.5 Contexto Espacio – Estado – México, Distrito Federal 76

Figura 4.6 Contexto Espacio – México, Distrito Federal Zona Centro 76

Figura 4.7 El Ciclo del Comercio Electrónico 78

Figura 4.8 Visión Rica del Comercio Electrónico 79

Tabla 4.1 Tipo de Información a Proteger 83

Tabla 4.2 Relación de Información entre el Tipo de Información y Área

Funcional en la Empresa de Comercio Electrónico

84

Tabla 4.3 Relación entre Área Funcional y Actividad 85

Tabla 4.4 Relación entre Personas o tipo de Personal de la Empresa de

Comercio Electrónico e Información

86

Tabla 4.5.1 Documentación de Activo – Servidor de Tiendas Virtuales 87

Tabla 4.5.2 Documentación de Activo – Servidor de Base de Datos. 87

Tabla 4.5.3 Documentación de Activo – Servidor de Servicios Web 88

Tabla 4.5.4 Documentación de Activo – Servidor de Nombres de Dominio 88

Tabla 4.5.5 Documentación de Activo – Servidor de Correo Electrónico 88

Tabla 4.5.6 Documentación de Activo – “Firewall” 89

Tabla 4.8 Determinación de Impacto 96

Tabla 4.9 Cruz de Importancia contra Impacto al Negocio 104

Índice de figuras y tablas. iv


# Figura o Tabla

Descripción: Pág.

Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones Tabla 5.1 Valoración de Objetivos Específicos 109

Índice de figuras y tablas. v


Glosario de

términos.

Glosario de términos. vi


Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente serie de términos usados: Activo [MAGERIT, 2006]: Recursos del Sistema de Información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenaza [http://www.microsoft.com/latam/technet/seguridad/]: Cualquier circunstancia o evento con un potencial de impacto adverso a Sistemas o Activos de Información. Análisis de Sistemas de Información [http://www.wikipedia.com]: El análisis es una de las etapas del ciclo de vida de un sistema de Información, en esta se recopilan, identifican, clasifican, y documentan los requerimientos del sistema, se estudian los diversos escenarios o tipos de interacción de los usuarios con el sistema. Consecuencia [http://www.microsoft.com/latam/technet/seguridad/]: Resultado o impacto de un evento crucial. Que puede ser desde una fatalidad, pérdida o la interrupción de operación. Comercio Electrónico: Es el intercambio de bienes y servicios por medios electrónicos. [http://www.wikipedia.com] Empresa [http://www.microsoft.com/latam/technet/seguridad/]: Entidad integrada por el capital y el trabajo, como factores de la producción, y dedicada a actividades industriales, mercantiles o de prestación de servicios con fines lucrativos. Evaluación del Riesgo [Aceituno, 2006]: Se define como la Metodología a seguir para el estudio del riesgo, que va desde la Identificación del peligro, Análisis del Riesgo y sus consecuencias, con esto definir las medidas preventivas o correctivas. “Firewall” [http://www.wikipedia.com]: Es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. “Hacker” [http://www.wikipedia.com]: Es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos.

Glosario de términos. vii


Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. PYMES [http://www.wikipedia.com]: “Pequeñas Y Medianas Empresas”, pueden emplear hasta 499 trabajadores y aún ser consideradas PYME. Riesgo [Aceituno, 2006]: Posibilidad de que se produzca un impacto determinado de un Activo en un dominio o en toda la organización, también puede ser considerada por la probabilidad de ocurrencia un evento crucial con respecto a sus consecuencias. Seguridad de Información [Palma, 2007]: Es la protección de la información de un amplio rango de Amenazas para poder asegurar la continuidad del negocio, minimizar Riesgos y maximizar oportunidades comerciales y de inversión (No confundir con seguridad Informática). Basado en los principios de:

• Integridad: Se requiere que la información no sea modificada inapropiadamente.

• Confidencialidad: La información es protegida del acceso no autorizado o la divulgación accidental.

• Disponibilidad: Los usuarios autorizados pueden acceder a la información cuando lo requieran para realizar su trabajo.

Seguridad Informática [Aceituno, 2006]: Forma parte de la Seguridad de la Información, busca proteger la Información desde el punto de vista de Tecnologías de Información y Comunicaciones (TIC). Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que comprende las tres clases de elementos. Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas. “Software” [http://www.wikipedia.com]: Se refiere al equipamiento lógico o soporte lógico de una computadora, comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema. Tienda Virtual [http://www.wikipedia.com]: Analogía de una tienda física convencional o de un supermercado, llevado a una página web sobre Internet. Vulnerabilidad [http://www.microsoft.com/latam/technet/seguridad/]: Debilidad de un Sistema y/o Activo de Información que puede ser explotada causando un daño potencial.

Glosario de términos. viii


Introducción, Marco

Metodológico y Presentación del Trabajo de Tesis.

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. ix


0.1 Introducción. El Activo más importante que se posee es la Información y, por lo tanto, deben existir técnicas y métodos que la aseguren, más allá de la Seguridad física que se establezca sobre los equipos en los cuales se almacena. Algunas técnicas de prevención las brinda la Seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Se sabe de la importancia de contar con Sistemas de Seguridad, tanto en la parte física como en la parte de información del negocio o caso de estudio, se puede generar redes de datos y sistemas, altamente sofisticadas aun cuando éstas se vuelvan difíciles de operar, debido a su alto grado de complejidad, que más que dar la impresión de Seguridad llegan a ser molestos para los mismos usuarios. Pues bien, esa es la parte en la que se va a enfocar este trabajo de Tesis, haciendo un Análisis y Evaluación y Diagnóstico de Riesgos con Enfoque Sistémico para formar o cambiar la estructura de la Seguridad de la Información, considerando no sólo la Tecnología si no también los procesos y normas del negocio, así como el Factor Humano que hoy día es considerado como uno de los elementos clave de Seguridad, debido al crecimiento de fugas, fraudes, robos de Información. Entonces, para identificar los Activos que deben ser protegidos, determinar la ocurrencia del Riesgo, clasificar el tipo de Riesgo y poder estimar en forma más precisa el Impacto del daño que este puede ocasionar. Por tales motivos y otros que hay que prevenir, es que se hace el presente trabajo cuya finalidad es la creación de una “Metodología para Apoyo al Análisis de Consecuencias de Riesgos en los Sistemas de Seguridad de Información en PYMES” para que sea base fundamental y lograr un modelo de Seguridad Integral de Información. Sin modelos como este, se pueden tener diferentes tipos de perdidas, sólo por mencionar algunas de los que, se tienen en los Sistemas de Información, se comentan los siguientes: planes estratégicos de ventas o mercadotecnia, estados financieros, listas de clientes, hasta pérdidas económicas de diversas formas, como pueden ser fraudes cibernéticos de banca en línea, tarjetas de crédito, robo de datos, daño de sistemas. Para tal efecto, a continuación se muestra el Marco Metodológico que servirá de guía para el desarrollo del trabajo de tesis:

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. x


0.2 Marco Metodológico para el desarrollo del proyecto de Tesis.

Metodología (¿Qué hacer?)

Técnica (¿Cómo hacer?)

Herramienta (¿Con qué hacer?)

Metas (¿Qué Obtener

particular?) Recopilar y analizar una metodología a seguir para el desarrollo del proyecto de tesis.

Investigación y comparación de diversas metodologías.

Consulta de bibliografía. La selección de la metodología a seguir.

Iniciar la aplicación de la metodología para el desarrollo de la Tesis.

Inicio del proyecto de Tesis.

Definir cuál es o será el tema del proyecto de Tesis.

Búsqueda de información acerca de interés y que contribuyan a resolver un problema.

Computadora e Internet,Bibliografía.

El tema de Tesis.

Identificar y conocer el medio ambiente correspondiente.

Identificar los elementos sistémicos.

Observación. Computadora e Internet.Investigación Bibliográfica.

El alcance y el enfoque que tendrá la Tesis.

Crear una pirámide conceptual, para definir el Marco Conceptual.

Ubicar de lo general a lo particular los elementos que intervienen.

Computadora e Internet.Investigación Bibliográfica.

Representar gráficamente el proyecto de Tesis y el producto principal a obtener.

Hacer una descripción de los conceptos definidos en la pirámide conceptual.

Hacer una lista de los conceptos incluidos en la pirámide conceptual.

Computadora e Internet.Investigación Bibliográfica.

Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis.

Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente.

Creando un cuadro comparativo con ventajas y desventajas.

Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo.

Información para justificar la Tesis.

Definir la justificación del proyecto de Tesis.

Analizando el cuadro comparativo anterior.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes

Justificar la Tesis

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. xi


Metodología (¿Qué hacer?)

Técnica (¿Cómo hacer?)

Herramienta (¿Con qué hacer?)

Metas (¿Qué Obtener

particular?) Definir el objetivo particular y los generales del Proyecto de Tesis.

Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes

Definir los objetivos

Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología sobre Análisis de Riesgos.

Basándose en metodologías identificadas y analizadas, diseñando y proponiendo la metodología del trabajo de Tesis.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación.

Metodología a usar en la Tesis.

Aplicar la Metodología propuesta.

Siguiendo las actividades de la Metodología propuesta.

Con las herramientas necesarias en cada Actividad de la Metodología.

Análisis, Evaluación y Diagnóstico de Riesgos.

Redacción del documento de Tesis

Conforme avance en trabajo la Tesis.

Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.

Escribir el documento de Tesis

Valoración del cumplimiento de los objetivos.

Revisando el cumplimiento de los objetivos.


Conclusiones acerca del cumplimiento de los objetivos.

Definición de trabajos futuros.

Proponiendo mejoras continuas y seguimiento al trabajo.


Definir trabajos a futuro.

Conclusiones del proyecto de Tesis.

Redactar los beneficios y la utilidad que representa el trabajo de Tesis.


Conclusiones referentes al trabajo de Tesis.

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. xii


0.3 Presentación del Documento de Tesis. El documento de Tesis consta de 5 capítulos, sobre los cuales se muestra una breve descripción a continuación: Capítulo 1.- Marco Conceptual y Contextual. Ayudará a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que intervienen en la Seguridad de la Información Capítulo 2.- Identificar y analizar la situación actual. Este Análisis se hará para identificar los modelos y metodologías existentes relacionadas con el control de la Seguridad de la Información, en particular se verá la forma de Análisis de Riesgos, para así obtener sus ventajas y sus desventajas. Capítulo 3.- Desarrollo de la Metodología Propuesta. La Metodología Propuesta, tiene como base el tener un Enfoque Sistémico que consiste en Concienciación, Conocimiento del Medio Ambiente, Análisis de Riesgo, Evaluación y Diagnóstico del Riesgo, Propuesta de Solución, Implantación y Evaluación General, lo cual a partir de los resultados sale a otro proceso nivel de avance o madurez, y se entra en un proceso de mejora continua. Capítulo 4.- Aplicación de la Metodología Propuesta en una Empresa de Comercio Electrónico. Para la aplicación de la Metodología Propuesta, ésta se desarrollará en una Empresa Real, desarrollando hasta la Fase III y ver y valorar su viabilidad de uso en la aplicación o práctica.

Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones. Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. xiii


Capítulo 1.- Marco Conceptual

y Contextual

Capítulo 1: Marco Conceptual y Contextual. 1


Capítulo 1: Marco Conceptual y Contextual.

El Marco Conceptual y Contextual, servirán como Marco de Referencia que se usará en el trabajo de Tesis. Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que intervienen en la Seguridad de la Información. A continuación, se detalla el Marco Conceptual y Contextual. 1.1 Marco conceptual 1.1.1 Pirámide conceptual. [Galindo, 2005] La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y elementos involucrados que se emplearán en esta investigación, así como, también a identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y de izquierda a derecha. A continuación, se presenta la Pirámide Conceptual, la cual, es usada durante el proyecto de Tesis para definir los conceptos principales:

Figura 1.1 Pirámide Conceptual del proyecto de Tesis [Galindo, 2005]



1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis (Figura 1.1.1). Esta descripción no es un glosario de términos o conceptos en forma exhaustiva, más bien es una ayuda al lector para reforzar ideas empleadas en el proyecto de Tesis. Presentación en orden según estructura de la Pirámide Conceptual. Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos. Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. Seguridad de Información [Palma, 2007]: Es la protección de la información de un amplio rango de amenazas para poder asegurar la continuidad del negocio, minimizar riesgos y maximizar oportunidades comerciales y de inversión. No confundir con seguridad Informática. Basado en los principios de:



• Disponibilidad: Los usuarios autorizados pueden acceder a la información

cuando lo requieran para realizar su trabajo. Seguridad Informática [Aceituno, 2006]: Forma parte de la Seguridad de la Información, busca proteger la Información desde el punto de vista de Tecnologías de Información y Comunicaciones (TIC). Análisis de Sistemas de Información [http://www.wikipedia.com]: El análisis es una de las etapas del ciclo de vida de un sistema de Información, en esta se recopilan, identifican, clasifican, y documentan los requerimientos del sistema, se estudian los diversos escenarios o tipos de interacción de los usuarios con el sistema, en el análisis estructurado, el resultado de este proceso es el modelo del sistema.



Consecuencia [http://www.microsoft.com/latam/technet/seguridad/]: Resultado o impacto de un evento crucial. Que puede ser desde una fatalidad, pérdida o la interrupción de operación. Riesgo [Aceituno, 2006]: Posibilidad de que se produzca un Impacto determinado de un Activo en un dominio o en toda la organización, también puede ser considerada por la probabilidad de ocurrencia de un evento crucial con respecto a sus consecuencias. Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que comprende las tres clases de elementos. Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas. Sistema de información [http://www.wikipedia.com]: es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio que contiene datos. Empresa [http://www.microsoft.com/latam/technet/seguridad/]: Entidad integrada por el capital y el trabajo, como factores de la producción, y dedicada a actividades industriales, mercantiles o de prestación de servicios con fines lucrativos. PYMES [http://www.wikipedia.com]: “Pequeñas Y Medianas Empresas”, pueden emplear hasta 499 trabajadores y aún ser consideradas PYME.



1.2 Marco contextual general. 1.2.1 Marco contextual acorde a la pirámide conceptual. En la Figura 1.2, muestra la forma de interacción de los diversos factores que intervienen en la Seguridad de la Información como son Tecnología – Procesos – Personas, en una empresa con un enfoque sistémico. Del lado izquierdo, presenta la situación actual en la cual se aplica la metodología y se espera una mejora en la situación futura, de esta manera muestra que no sólo la seguridad es a nivel de perímetro, si no también al nivel de los activos a proteger, esto sin olvidar que de acuerdo a la forma o manera que es percibida la seguridad y de cómo esta se puede llevar a la realidad. Dentro de la Seguridad de la Información en la empresa, se refleja la importancia de hacer un análisis, evaluación y diagnóstico de manera adecuada, para poder establecer los mecanismos, herramientas y criterios, con ésto lograr un esquema de seguridad con Enfoque Sistémico.

Figura 1.2 Presentación Esquemática de Seguridad de Información con Enfoque

Sistémico [Fuente Propia]



Bajo el enfoque de la Figura 1.2, se observa que no solo se busca proteger Activos específicos, si no que también involucra, todo el medio ambiente que rodea y que interactúa con Información, es decir, el contexto dentro de la Organización y/o Empresa. Resumen del Capítulo: En este capítulo se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis; en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis, para a su vez, establecer en forma puntual los alcances de éste, así como la justificación del mismo. Además, de describir los conceptos principalmente usados en el desarrollo del trabajo de Tesis, marcando la diferencia entre Seguridad de Información y Seguridad Informática, la primera busca proteger la Información de una amplia gama de Amenazas no importando si dicha información se encuentra en papel o medios electrónicos y la segunda sólo la que, se encuentra en dispositivos electrónicos.



Capítulo 2.- Identificar y Analizar la

situación actual.

Capítulo 2: Identificar y analizar la situación actual. 7


En el Capítulo anterior se presentaron los conceptos básicos y el marco con el cuál se trabajó duranté el desarrollo de la Tesis, a continuación se presenta un análisis de la situación actual al inicio del proyecto. 2.1 Análisis de la situación actual al inicio del proyecto de Tesis. Con la Figura 2.1, se utilizará para identificar los estándares, modelos y métodos existentes relacionados con el control y/o Seguridad de la Información, obteniendo la orientación de estos, para así identificar bajo qué área de oportunidad o contexto se estará trabajando durante el proyecto de Tesis:

Figura 2.1 Estándares y su Orientación [Aguirre, Delgado, 2008]

En general, este análisis se hará para identificar las metodologías existentes relacionadas con el control de la Seguridad de la Información, en particular se vera la forma de Análisis de Riesgos, para así obtener sus ventajas y sus desventajas. Para esto; se basará en la norma internacional ISO/IEC 17799:2005 y 27001; junto con los métodos de Análisis de Riesgo actuales.

Entonces, ahora, se presentará el estándar y/o metodologías semejantes a la que se desea desarrollar en el proyecto de Tesis; con un comparativo de sus ventajas y desventajas, para así, emitir una evaluación y la correspondiente justificación:



Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares

actuales. Estándar y/o Metodología

Ventajas Desventajas

ISO/IEC 17799:2005 ISO/IEC 27001

Es una norma Estándar, la cual describe las buenas practicas de la Seguridad de la Información.

Se considera como controles o normas, pero no es en si un modelo o metodología.

Catálogo de controles de Seguridad de Información.

Este catálogo de controles sirve como referencia pero no indica que es aplicable a las PYMES.

Cuenta con una guía de implantación

Esta guía es compleja y genérica, no esta alineado a la dimensión del negocio.

Manifiesta las necesidades de la Evaluación del Riesgo.

No indica en forma clara y explicita la obtención de las necesidades y aplicarlas al negocio.

La seguridad es aplicada sobre objetivos específicos.

No ve la seguridad de la información en forma holística.

Es un punto de partida. Marca pautas pero no indica que es aplicable a las PYMES

OCTAVE Profundiza en Tecnología de Información.

Solo considera la parte de Tecnológica.

Es complicada de entender y requiere conocimientos técnicos profundos.

No dice en forma clara y precisa la definición de los Activos de Información.

MAGERIT Maneja el método, técnicas y un catálogo

Son 3 Libros sobre el tema, por lo que se vuelve tediosa e impráctica. (Larga y compleja)

Manejo de claves propias que necesitan ser memorizadas para el catálogo de Riesgos.

Tablas Imprácticas y confusas de llenar.



Algunas de las desventajas apreciadas en la Tabla 2.1, pone en evidencia, que no se cuenta actualmente con guías y Metodologías que estén alineadas al contexto Mexicano debido a que:

• No indican en forma clara y explícita la obtención de las necesidades y aplicarlas al negocio.

• Son complicadas de entender y requieren conocimientos técnicos profundos.

• Describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo.

• No dice en forma clara y precisa la definición de los Activos de Información. • No ve la seguridad de la información en forma holística o sistémica. • Su origen es extranjero y marca consideraciones legales muy específicas,

cuando en el contexto nacional en materia de Seguridad de Información ésta parte es muy ambigua y tipificada.

o MAGERIT – Origen España y es usada principalmente en la comunidad Europea.

o OCTAVE – Origen Estadounidense y es usada principalmente en Tecnologías de Información.

En base, al comparativo anterior, a continuación se obtiene la justificación del proyecto de Tesis. 2.2 Justificación del proyecto de Tesis. El concepto de Riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implantar cualquier Medida de Seguridad (software, hardware, política, etc.) en los Sistemas de Información, es necesario conocer la prioridad de aplicación de acuerdo a su impacto o posible daño de acuerdo a la operación del negocio y valor económico; así, con esta referencia establecer qué tipo de medida es posible aplicar, para lo cual, el primer paso es hacer un Análisis de Riesgos en los Sistemas de Información. Un Riesgo es un evento, el cual es incierto y tiene un impacto negativo. El Análisis, Evaluación y Diagnóstico del Riesgo es el proceso cuantitativo o cualitativo que permite evaluar los posibles daños. En base a la comparación anterior, se observa qué las Metodologías de Análisis de Riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una Metodología práctica para realizar un Análisis de Riesgos en los Sistemas de Información, estableciendo el cómo puede ejecutarse el dicho análisis.



Además, las guías existentes son genéricas y complicadas, no se adaptan a las PYMES, resultan difíciles de interpretar y no están alineadas a la dimensión del negocio. Aunque las Metodologías y Estándares usadas en otros países pueden ser un marco de referencia, si se le da un Enfoque Sistémico acorde a nuestro contexto nacional y comercial, se puede lograr la definición de un esquema de Análisis de Riesgos y Gestión generando así, la continuidad de las operaciones en la empresa o área donde se haga dicho análisis. Así que, como tal, no existen Metodologías en México de Seguridad de Información para PYMES y de no conocer su Impacto tanto económico como en la operación del negocio, razón por la cual, se requiere de desarrollar una nueva “Metodología para Apoyo al Análisis de Consecuencias de Riesgos en los Sistemas de Seguridad de Información en PYMES” y guías para así, afrontar de forma más adecuada y progresiva, la conciencia de la Seguridad en el contexto nacional, por lo que se proponen en el siguiente punto los objetivos de la Tesis. 2.3 Definición de Objetivos del Proyecto de Tesis. Objetivo General: Proponer una Metodología con un enfoque sistémico para el apoyo al Análisis, Evaluación y Diagnóstico para la prevención de consecuencias de Riesgos en los Sistemas de Información en PYMES. Objetivos específicos:

• Conocer el medio ambiente de la Seguridad de los Sistemas de Información en PYMES para identificar la prevención de consecuencias de Riesgos.

• Analizar las Metodologías de análisis y evaluación de Riesgos de los

Sistemas de Información en PYMES para efectuar una evaluación y diagnóstico de la situación actual de las mismas.

• Diseñar una Metodología para el apoyo al Análisis, Evaluación y

Diagnóstico para la prevención de consecuencias de Riesgos en los Sistemas de Información en PYMES.

• Implantar la metodología propuesta en una empresa real para evaluar su

viabilidad inicial.



Resumen del Capítulo: En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual se realizó un comparativo entre las Metodologías para análisis y evaluación de Riesgos de los Sistemas de Información en PYMES, para así, efectuar su correspondiente evaluación y diagnóstico y entonces, identificar su alcance y evaluar que no cumplen con los requerimientos básicos de las empresas Mexicanas, con base en ésto, se justifica proponer como proyecto de Tesis una nueva metodología que cumpla con las necesidades de las PYMES nacionales, y considerando lo anterior, se determinaron los objetivos o alcances del trabajo de Tesis. Ahora, en el siguiente capítulo, se verá en forma detallada en que consiste la Metodología Propuesta para hacer un Análisis y Gestión con Enfoque Sistémico para la prevención del Impacto de Riesgos en los Sistemas de Seguridad de la Información.



Capítulo 3.-

Desarrollo de la Metodología Propuesta.

Capítulo 3: Desarrollo de la Metodología Propuesta. 13


Capítulo 3: Desarrollo de la Metodología Propuesta.

3.1 Introducción a la Metodología Propuesta. La Seguridad de Información tiene como propósito proteger la Información registrada, independientemente del lugar que se localice: impresos en papel, en los discos duros de las computadoras o incluso en las memorias de las personas que conocen dicha información. Así, para empezar, es necesario identificar los elementos que la Seguridad de Información busca proteger como son:

• La información. • Los equipos, dispositivos que la soportan o tecnología en general. • Las personas que la utilizan.

Además, es de gran importancia que la dirección pueda realizar un Análisis de los factores que generan los Riesgos, ya sean de carácter interno o externos, a partir de tener una Información oportuna que le permita reaccionar adecuadamente si los Riesgos no son asumibles por la dirección, por depender de factores externos sobre los que no es posible ejercer influencia. Con lo anterior, se establece una relación muy estrecha entre el Riesgo que en caso de no poderlo mitigar, éste, será directamente proporcional al Impacto o daño que pudiera generar, y ésto debido a que los Sistemas de Información que tienen Vulnerabilidades (interno o dentro del Sistema) que pueden ser aprovechados por Amenazas (agentes externos o fuera del Sistema). El impacto o daño, puede ser desde el valor del Activo en el sentido económico o de costo, hasta la afectación a la operación de Negocios en la Empresa, por ejemplo, una interrupción o paro de operaciones derivado por Vulnerabilidades en los Sistemas de Información. Una vez establecida la relación entre; Riesgo, Impacto, Vulnerabilidad y Amenaza es que, en este capítulo, se presenta la Metodología Propuesta. 3.2 Presentación esquemática de la Metodología Propuesta. La Metodología Propuesta (Figura 3.1), tiene como base, tener un Enfoque Sistémico realizando primero una: Concienciación de la importancia que tiene la Seguridad de la Información, lo anterior servirá como puerta de entrada o acceso para poder hacer un: Conocimiento del Medio Ambiente a detalle, a partir de allí poder hacer un: Análisis de Riesgos, identificando como interactúa la información con los equipos o dispositivos que la soportan y las personas que la utilizan.



A la Concienciación, el Conocimiento del Medio Ambiente y Análisis de Riesgos servirá para hacer una Sensibilización, ya que en éstas tres fases se establece una relación directa entre el compromiso de las personas para llevar a cabo las Medidas de Seguridad que se Implanten y el conocimiento de procesos y Sistemas de Información en la Empresa. Lo anterior, permite hacer una: Evaluación y Diagnóstico del Riesgo, en la que se ha integrado un análisis previo para que; con una visión global o sistémica, proponer una solución sistemática integrándola a la Propuesta de Solución, lo cual permitirá tener más argumentos de éxito durante la fase de Implantación.

Figura 3.1: Presentación Esquemática de la Metodología Propuesta [Fuente Propia]

A partir de los resultados de la Implantación vendrá la Evaluación general, lo cual a partir de los resultados sale a otro proceso nivel de avance o madurez, y se entra en un proceso de mejora continua.



Figura 3.2: Presentación de Evolución de Madurez de la aplicación de la Metodología Propuesta. [Fuente propia]

A continuación, se presentan las fases en forma general de la Metodología Propuesta:



Fase I. Concienciación. Durante el proyecto de Análisis de Riesgos en los Sistemas de Información, la fase Concienciación es de vital importancia ya que; como tal, es la que determinará el éxito o fracaso de dicho Análisis, por qué no sólo basta la participación, sino también, un compromiso claro y bien establecido de la Alta Dirección. Para tal fin se sugiere llevar a cabo las siguientes actividades: Actividad 1.1 Crear conciencia de la importancia de la Seguridad en los Sistemas de Información. Actividad 1.2 Establecer la importancia del Análisis de Riesgos como eje de Seguridad. Actividad 1.3 Resaltar el Valor del Negocio y “Plus” de Seguridad. Actividad 1.4 Identificar el Contexto Nacional de la Seguridad de Información. Actividad 1.5 Comprometer a la dirección en el Análisis de Riesgo. Actividad 1.6 Establecer contactos y equipo de trabajo.

Fase II. Conocimiento del Medio Ambiente Para el proyecto de Análisis de Riesgos en los Sistemas de Información, es necesario conocer previamente en términos generales, la naturaleza del problema en cuestión, por tal motivo es necesario investigar los antecedentes de la situación a tratar, lo cual nos permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema, así como sus elementos y sus relaciones fundamentales que serán objeto de estudio. Así que, un punto a satisfacer es el conocimiento de la empresa. Para tal fin, es necesario, conocer: sus orígenes, razón de ser, su marco normativo, hacia donde se dirige, qué espera hacer y cómo lo hace. Es decir, se requiere conocer su: visión, misión, políticas, plan y estrategia correspondiente, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo. Para tal fin, se requiere llevar a cabo las siguientes actividades: Actividad 2.1 Identificar la misión, visión, objetivos, planes, políticas y estrategias. Actividad 2.2 Identificar actividades y procesos críticos. Actividad 2.3 Obtener una representación general de la Empresa. Actividad 2.4 Recopilar información crítica o de valor al Negocio. Actividad 2.5 Definir alcance actual y futuro.



Fase III. Análisis de Riesgo.

Una vez identificados todos los procesos, podremos establecer que Activos están involucrados y como se relacionan con la Información, con esto se podrá determinar el Impacto en los Sistemas de Información, también; se establece un espectro de Amenazas y sus Medidas de Prevención para reducir el Riesgo inherente. Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 3.1 Identificación de Activos. Actividad 3.2 Identificación de Amenazas y Vulnerabilidades. Actividad 3.3 Determinación del Impacto. Actividad 3.4 Identificación de las Medidas de Prevención. Actividad 3.5 Revisión de Pasos anteriores.

Fase IV. Evaluación y Diagnóstico del Riesgo. Una vez que se tienen identificados todos los elementos involucrados como son: Activos, Amenazas e Impactos, se selecciona que Medidas de Prevención que puedan ser aplicables de acuerdo diversos criterios como es costo/beneficio, imagen, importancia, urgencia y capacidad de implantación. Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 4.1 Interpretación de los valores de impacto. Actividad 4.2 Identificación del nivel actual del Riesgo. Actividad 4.3 Selección de Medidas de Prevención. Actividad 4.4 Análisis Costo/Beneficio. Actividad 4.5 Postura de Directivos con Respecto a las medidas de Seguridad. Actividad 4.6 Revisión y Valoración de la ejecución de actividades de esta Fase.

Fase V. Propuesta de Solución. Elaboración de la Propuesta de Solución para la Evaluación y Diagnóstico del Riesgo y su mejora continúa en el futuro. Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 5.1 Identificar puntos de oportunidad. Actividad 5.2 Establecer Alcances, Límites y Lineamientos. Actividad 5.3 Elaborar y Establecer Políticas de Seguridad. Actividad 5.4 Valoración de Resultados esperados.



Fase VI. Implantación. Implantación de la Propuesta de Solución para la Gestión del Riesgo y su evolución en el futuro (Ver Figura 3.1: Presentación Esquemática de la Metodología Propuesta). Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 6.1 Considerar Diversos Aspectos Generales para la Implantación. Actividad 6.2 Considerar Acciones Comunes en la Implantación de Seguridad de la Información. Actividad 6.3 Planificación de la Implantación. Actividad 6.4 Monitoreo y Gestión del Ambiente de Seguridad.

Fase VII. Evaluación general Una vez puesta en marcha la Implantación, misma que es obtenida a partir de la Propuesta de Solución, se podrá medir bajo que niveles de Riesgo serán considerados como aceptables y el Impacto que se tendrá dentro de la Organización. A partir de la Evaluación general sale a otro proceso nivel de avance o madurez, y se entra en un proceso de mejora continua. Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 7.1 Valoración de resultados obtenidos de la Implantación. Actividad 7.2 Aceptación de Niveles de Riesgo permitidos. Actividad 7.3 Aprendizaje y experiencia obtenida. Ahora, se presenta la Metodología Propuesta a detalle:



3.3 Descripción detallada de las fases de la Metodología Propuesta.

Figura 3.3: Presentación detallada de la Metodología Propuesta [Fuente propia]



3.3.1 Fase I. Concienciación.

3.3.1.0 Introducción. La Seguridad de los Sistemas de Información está en peligro constante debido a que las formas de ataque combinan diversos medios como el e-mail, la ingeniería social y el engaño para lograr sus objetivos. Es por eso que cada vez hay que tener mayores cuidados al momento de brindar Seguridad a los Sistemas. Por otra parte, deben tomar en cuenta que además de implementar las soluciones tecnológicas más modernas, los encargados de la Seguridad de Información, deben dar a conocer las políticas de seguridad en sus organizaciones y empresas. 3.3.1.1 Actividad 1.1 Crear conciencia de la importancia de la Seguridad en

los Sistemas de Información. La educación y concientización del usuario para no ser víctima de ataques basados en Ingeniería Social (actividad de “hacking” – {técnica o arte de encontrar los límites de los productos y servicios digitales de informática o comunicaciones, y compartirlo con otros} - basada en el uso de información personal o de comportamiento del usuario), resulta claramente un problema que hay que atender. En función de lo anterior, vale destacar a las personas como el pilar que hoy hace de los modelos y metodologías de Seguridad el desafío más importante, ya que capacitar y crear conciencia suele ser un objetivo muchas veces difícil de alcanzar. Un ejemplo de esto es que de nada sirve tener la mejor tecnología de Seguridad y los mejores procesos para utilizarla, si un usuario deja su clave escrita debajo del teclado o al costado del monitor (porque alega no recordar su clave). Entonces, encontramos que la concientización y capacitación de los usuarios en materia de Seguridad resulta hoy tan importante como contar con las tecnologías y procesos adecuados. Por consecuencia, para lograr tener un plan de Seguridad con Enfoque Sistémico, es primordial el tener la participación de todas las personas involucradas en la Empresa, área o departamento donde se llevará a cabo el Análisis de Riesgos, que va desde la alta dirección, gerencia, hasta el personal de menor rango. Y el tener siempre presente que los Sistemas de Seguridad sólo funcionan si:

• Las personas los conoce. • Las personas saben cómo usarlos. • Las personas las aplican.



Para tal fin, una vez implementadas las Medidas de Seguridad en la Empresa, se debe de llevar un programa de seguimiento y comunicación, con lo cual cada vez que se de: un alta, baja o cambio de una Medida de Seguridad se tenga el conocimiento y la conciencia de llevarla a cabo, así mismo deberán de quedar establecidas las política correspondientes dentro de la Organización para su mejor control y seguimiento. 3.3.1.2 Actividad 1.2 Establecer la importancia del Análisis de Riesgos

como eje de Seguridad. La planeación individual de los proyectos de Seguridad de Información, alcance y los diagnósticos de vulnerabilidades, estarán siempre orientados al Análisis de los Riesgos, que obstaculizan la consecución de los objetivos de la unidad organizacional, los procesos o los proyectos involucrados en el plan anual de negocios, así como el efectivo tratamiento de tales riesgos. El Análisis basado en Riesgo da la oportunidad al analista de trabajar a un nivel más allá de los detalles y estar continuamente evaluando los aspectos que dificultan el éxito de la organización. La información derivada de tal exploración es de gran valor para la alta dirección Lo anterior, permite hacer un uso eficaz y eficiente de los recursos destinados a la Seguridad y Prevención, ya que su práctica se orienta hacia los componentes del negocio con Riesgos más relevantes, difiriéndose la atención de aquellos que tienen una menor importancia o eliminando los que carecen de ella. 3.3.1.3 Actividad 1.3 Resaltar el Valor del Negocio y “Plus” de Seguridad. Para administrar con un grado de efectividad deseado el ambiente de Riesgo en que se desenvuelven las organizaciones, es necesario un conocimiento y entendimiento profundo de sus objetivos, metas y procesos de negocio. Además, se requiere de nuevas competencias del personal en cuanto a conocimiento, imaginación, percepción y capacidad de abstracción para identificar, evaluar y reconocer la creciente importancia de la combinación de los diferentes tipos de Riesgos actuales y potenciales. De esta manera, el Riesgo será siempre el factor determinante para integrar un plan de Seguridad, además de aquellos casos que tienen una importancia relevante en la ejecución del plan de negocios de la Organización.



Para ser efectivo, el proceso de Análisis de Riesgos debe ser aceptado como parte del proceso de negocio de la Empresa. El responsable o profesional de Seguridad de Información busca asegurar que el proceso de Análisis apoye los objetivos del negocio o la misión de la Organización, se debe de recordar que parte del éxito del Análisis de Riesgos, es su aceptación por parte de todo el personal, principalmente de la dirección. Tratar de imponer la Seguridad puede resultar contraproducente. Un proceso, de Análisis efectivo buscará las necesidades reales de la organización e involucrara a los dueños y usuarios de la Información. En el proceso de Análisis de Riesgos de la Metodología propuesta consta básicamente de seis elementos que son: Los Procesos, los Activos de Información, las Amenazas identificadas, las Vulnerabilidades identificadas, el nivel de Riesgo aceptado y las medidas de mitigación o controles seleccionados. Con el anterior enfoque, el proceso de análisis se basa en los principios de:



• Disponibilidad: Los usuarios autorizados pueden acceder a la información

cuando lo requieran para realizar su trabajo. 3.3.1.4 Actividad 1.4 Identificar el Contexto Nacional de la Seguridad de

Información. (Perspectiva de Inseguridad) [Ramírez, 2008] Para año 2008, en el ámbito social de nuestro país, las perspectivas en materia de inseguridad continuaran muy complicadas, particularmente en lo relativo a la incidencia de delitos violentos como consecuencia del combate frontal que el gobierno federal inicio a principios del 2007, contra el crimen organizado, especialmente, golpeando al narcotráfico que seguirá estando en los primeros lugares de la atención nacional.



Al margen de las llamadas cifras oficiales que difícilmente reflejan la realidad observada por los mexicanos, distintos organismos y asociaciones especializadas en el tema de inseguridad (CISEN, INACIPE, ICESI, INSYDE, ASIS, CNSP, FEPASEP, México Unido), así como analistas y comentaristas de distintos medios, académicos y estudiosos de la materia, coinciden en que no disminuirán los niveles de inseguridad tanto para las personas como para las empresas e instituciones en el 2008. En el tema de Seguridad y la Protección de Información en las Instituciones nacionales principalmente bancarias, se esta tomando crecientemente mayor conciencia del Riesgo en el tema, y se están adoptando también medidas y estándares de practicas globales que aplican y operan en otros países con mayor eficacia para la mitigación del Riesgo operativo, tecnológico y legal. La recomendación al final de cuentas para mantener, mejorar y fortalecer la protección al interior de las Instituciones para el 2008, así como para responder eficazmente ante un Riesgo materializado es:

1. Focalizar renovados esfuerzos en programas de concienciación sobre prevención y seguridad hacia los empleados y clientes.

2. A la par del punto anterior la aplicación y seguimiento puntual de las normas y proyectos que existan en la institución.

3. Un Análisis e interpretación acerca de tendencias en materia de Seguridad de Información.

4. Conocimiento y apoyo de la alta gerencia dentro de las Instituciones para mantener como prioridad el tema de Seguridad en la agenda de negocios.

3.3.1.5 Actividad 1.5 Comprometer a la dirección en el Análisis de Riesgo. La dirección de la Organización en cuestión, sometida al Análisis de Riesgos debe de determinar el nivel de Impacto y Riesgo aceptable. Más propiamente dicho, debe de aceptar la responsabilidad de las insuficiencias. Esta decisión no es una técnica. Puede ser una decisión política o gerencial o incluso ser determinada por compromisos contractuales (documentos tipo carta compromiso) con proveedores o usuarios. Estos niveles de aceptación se pueden establecer por Activo, por agregación o eliminación de Activos. Cualquier impacto o nivel de Riesgo es aceptable siempre y cuando la dirección la conoce y acepta de manera formal. Si el Impacto y/o Riesgo está por encima de lo aceptable, se puede:

1. Eliminar el activo; suena muy fuerte, pero a veces existen activos que simplemente no vale la pena mantener.

2. Introducir nuevas medidas y mejoras a la seguridad para fortalecer las existentes.



3.3.1.6 Actividad 1.6 Establecer contactos y equipo de trabajo. [MAGERIT,

2006] Durante el desarrollo del proyecto de Análisis de Riesgos en los Sistemas de Información desde el inicio hasta el final, uno de los factores de éxito es tener bien definido los contactos y sus niveles dentro de la Organización o Empresa de los cuales podemos identificar los siguientes: Comité de Dirección: El perfil requerido para este grupo de participantes; es de la alta dirección de la Organización, los cuales tienen un amplio conocimiento sobre los objetivos estratégicos y del Negocio que se persiguen y la autoridad para aprobar o cancelar cada uno de los procesos durante el proyecto. Las responsabilidades de este comité consisten en:

• Asignar los recursos necesarios para la ejecución del proyecto. • Aprobar los resultados de cada uno de los procesos.

Comité de seguimiento: Ésta constituido por los responsables de las unidades afectadas por el proyecto. Las responsabilidades de este comité consisten en:

• Resolver los incidentes que se den durante el proyecto. • Asegurar la disponibilidad de los recursos humanos. • Aprobar informes de cada proceso. • Elaboración de los informes finales para la dirección.

Equipo de proyecto: Formado de manera multidisciplinaria, por expertos de distintas áreas, como son: Sistemas de Información, personal técnico, tecnologías, jurídicos entre otros, estos dependerán de las áreas afectadas en el proyecto. Si el proyecto se hace por medio de contratación externa, el personal de Seguridad se integrara en este equipo de proyecto. Las responsabilidades de este equipo son:

• Llevar a cabo las tareas del proyecto. • Recopilar, procesar y consolidar los datos. • Elaborar reportes.



Director de proyecto: Debe ser directivo de alto nivel, con responsabilidades de Seguridad dentro de la Organización o, en su defecto de planificación, de coordinación de servicios o áreas semejantes. La responsabilidad del director de proyecto es:

• Ser una cabeza visible en el proyecto. • Dirigir, planificar y coordinar según sea el caso. • Ser un enlace operacional.



3.3.2 Fase II. Conocimiento del Medio Ambiente

3.3.2.0 Introducción. Para el proyecto de Análisis de Riesgos en los Sistemas de Información, es necesario conocer previamente en términos generales, la naturaleza del problema en cuestión, por tal motivo, es necesario investigar los antecedentes de la situación a tratar, lo cual nos permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema, así como sus elementos y sus relaciones fundamentales que serán objeto de estudio. Así que, un punto a satisfacer es el conocimiento de la empresa. Para tal fin es necesario conocer sus orígenes, razón de ser, su marco normativo, hacia donde se dirige, que espera hacer y como lo hace. Es decir, se requiere conocer su: visión, misión, políticas, plan y estrategia correspondiente, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo. Es decir, se obtiene el medio ambiente en general, en donde se realizan procesos que apoyan a los Sistemas de Información. 3.3.2.1 Actividad 2.1 Identificar la misión, visión, objetivos, planes,

políticas y estrategias. Para tal efecto se sugieren efectuar la siguiente actividad:

• Obtener o definir la: visión, misión, planes, estrategias, políticas, funciones y actividades en general de la Empresa o Institución, donde se desarrollará el Análisis o Evaluación de Riesgos.

En caso, de que no se tengan, estas se tendrán que definir de acuerdo al caso de estudio. 3.3.2.2 Actividad 2.2 Identificar funciones, actividades y/o procesos

críticos. [Galindo, 2006] Debido a que las funciones en toda Organización, comúnmente no dependen de los cambios de las personas en los cargos; son un buen parámetro para hacer análisis de sistemas con profundidad y en base a esas funciones se puede crear una estructura de procedimientos de la Empresa o área en cuestión. Además, es conveniente conocer las funciones y actividades, para tener una idea más apropiada de las medidas de seguridad que se propondrán en el futuro.



Para tal efecto, se sugieren efectuar las siguientes actividades:

• Obtener o definir: procesos críticos y/o actividades para el cumplimiento de las funciones de las áreas de la Empresa.

Ahora en particular, se tiene que:

• Identificar la(s) función(es) o proceso(s) o actividad(es), de la Empresa bajo estudio, también identificar su ubicación de la información en y durante el proceso. (Es decir, ¿Qué se está haciendo en la actualidad?, ¿Dónde se puede fortalecer el proceso? Y ¿Dónde se almacena o guarda Información de Importancia?)

En base, a esta Identificación:

• Elaborar un: diagrama de funcionamiento del sistema actual, que es, el objeto de estudio; elaborar un diagrama de flujo de datos (Información) o un diagrama de actividades detalladas, del mismo. (Es decir ¿Cómo interactúan los procesos actuales o transformaciones?)

Empleando el diagrama anterior, se sugiere:

• Identificar los procesos actuales con respecto a la situación o problema particular que, se está conociendo. (Es decir, ¿Cómo lo hacen ahora?)

3.3.2.3 Actividad 2.3 Obtener una representación general de la Empresa. Para tal efecto se sugieren efectuar la siguiente actividad:

• Obtener el marco organizacional u organigrama de la Empresa o Institución, así como, su relación entre áreas.

3.3.2.4 Actividad 2.4 Recopilar información critica o de valor al Negocio. Para tal efecto se sugieren efectuar la siguiente actividad: Identificar y recopilar todo tipo de documentación o información, formatos de archivos/bases de datos, documentos, formas, entrevistas, estadísticas de todo tipo, efectuar observaciones de campo, etc. Todo ello, con respecto al sistema(s) actual(es). (Es decir, ¿Qué datos o información existe?, en el(los) sistema(s))



3.3.2.5 Actividad 2.5 Definir alcance actual y futuro. El alcance de Análisis de Riesgos; es decir, el conjunto de Sistemas y Activos de Información objeto de estudios define en gran medida la duración del proyecto. Es común encontrarse con Organizaciones o Empresas sin un inventario de Sistemas de Información o en las que existen están repartidas en distintas áreas de la Organización. Esta circunstancia requiere de una labor exhaustiva de recopilación de los Sistemas de Información para determinar los activos, con la finalidad de obtener un inventario estructurado como base fundamental para determinar el alcance del Análisis de Riesgos. La tarea de obtener el inventario hace suponer que tomara la mitad de tiempo de ejecución del proyecto. En organizaciones complejas debería de mantenerse un inventario de Sistemas y Activos como parte de la estructura de la Empresa. En un proyecto de Análisis de Riesgos el tener de manera actualizada los inventarios de Sistemas y Activos reduce el tiempo de ejecución en gran medida. Ya que las fases de Conocimiento de Medio Ambiente y la actividad de Identificación de Activos se simplifican en gran medida. Para la definición del alcance del proyecto, deberán de considerarse los Sistemas o Activos más críticos conjuntamente con la importancia para la empresa y la capacidad de implantación de medidas de Seguridad seleccionadas.



3.3.3 Fase III. Análisis de Riesgo.

3.3.3.0 Introducción. El Activo, es el elemento que la Seguridad de Información que se busca proteger. Los Activos, poseen valor para la Empresa y como consecuencia de ello, necesitan recibir una protección adecuada para que el negocio no sea afectado. Los Activos pueden ser: (Ver Anexo A - [Dillard, Pfost, Ryan, 2006])

• Los Sistemas de Información. • Los equipos o dispositivos y Software que la soporta (infraestructura en

general). • Las personas que la utilizan. • Procesos, actividades y/o tareas críticas. • Los recursos financieros. • La imagen y prestigio de la organización. • Entre otros.

Figura 3.4 Esquema Activo – Vulnerabilidades - Amenaza

[http://www.microsoft.com/latam/technet/seguridad/] En la Figura 3.4 ilustra las Vulnerabilidades (puntos débiles) son los elementos que, al ser explotados por Amenazas, afectan la confidencialidad, disponibilidad e integridad de Información de un Activo en una Empresa y como consecuencia la afectación de Servicios y/o divulgación de Información confidencial. Uno de los primeros pasos para Implantación de esquemas de Seguridad es rastrear y eliminar las Vulnerabilidades del Sistema o Activo de Información.



Al ser identificadas las vulnerabilidades será posible dimensionar los Riesgos a los cuales el Activo o Sistema están expuestos al medio ambiente y definir las medidas de seguridad más apropiadas para su corrección. Los anexos: Activos (Anexo A), Vulnerabilidades (Anexo B) y Amenazas (Anexo C); están organizados con un Enfoque Holístico, de adentro hacia afuera y viceversa, como los muestra la Figura 3.5:

Figura 3.5 Esquema Activo – Vulnerabilidades – Amenaza con Enfoque Holístico [Fuente propia]

3.3.3.1 Actividad 3.1 Identificación de Activos. Una vez que se tienen identificados las funciones y procesos o actividades, se podrá identificar que Activos están relacionados con la Información de valor a proteger. Durante el Análisis de Riesgos, el tener de manera actualizada los inventarios de Sistemas y Activos, reducirá el tiempo de ejecución en gran medida así como la actualización de datos.



Así como un primer punto, se requiere conocer la Información de valor para la Empresa que se desee proteger, esta puede ser:

• Datos Financieros de todo tipo. • Estrategias de Mercadotecnia. • Cartera de clientes. • Datos confidenciales de clientes. • Datos de Personal de la Empresa, principalmente de la Alta Dirección. • Datos estratégicos o de diseño de productos. • Datos confidenciales de proveedores. • Entre otros.

Para tal fin, se sugiere hacer una lista de Información y una breve descripción, para así identificar donde se almacena dicha Información, es decir identificar los Activos directo o indirectos así; como si se encuentra en medio Informático o papel (Ver Anexo A:1 Activos Generales Comunes). Ésta se muestra la siguiente tabla:

Tabla 3.1: Tipo de Información a Proteger.

Tipo Información Descripción Medio de Almacenamiento Activo directo

Tipo de Información 1 a N (A proteger)

Breve Descripción del tipo de Información.

Electrónico / Papel Nombre del Activo (Si aplica)

Una vez que se tiene la lista de Información, se sugiere hacer una Tabla de Cruz de Información, con el Área Funcional:

Tabla 3.2: Relación de Información entre el Tipo de Información y Área Funcional.

Tipo Información / Área Funcional Área

Fun

cion

al 1

Área

Fun

cion

al 2

Área

Fun

cion

al 3

……

……

…

Área

Fun

cion

al n

Tipo Información 1 Tipo Información 2 Tipo Información … ……….. Tipo Información n

Para la elaboración, en el cruce de dicha Información marcar con un X donde corresponda.



Como siguiente punto, se sugiere hacer una o varias tablas de Cruz de Información, entre la Actividad para cumplir la función y el Área Funcional:

Tabla 3.3: Relación entre Área Funcional y Actividad.

Área Funcional / Actividad o Proceso A

ctiv

idad

1

Act

ivid

ad 2

Act

ivid

ad …

…

……

……

….

. Act

ivid

ad n

Área Funcional 1 Área Funcional 2 Área Funcional……… ………………………………. Área Funcional n

Como cuarto punto, se sugiere identificar a las Personas o tipo de Personal que crea o usa dicha Información:

Tabla 3.4: Relación entre Personas o tipo de Personal e Información.

Personas o Tipo de Personal/ Información a Proteger In

form

ació

n 1

Info

rmac

ión

2

Info

rmac

ión

…

……

……

……

..

Info

rmac

ión

n

Persona 1 Persona 2 Persona… ………………………………. Persona n



Por último, se recomienda documentar los Activos, una vez que se tenga una selección de los mismos que se van a proteger, deberá de hacerse a detalle cómo se muestra en la siguiente tabla sugerida, donde también mapea o asocia dicho activo con una capa o nivel de defensa:

Tabla 3.5: Documentación de Activo.

Nombre del Activo Descripción breve del Activo:

Clasificación del Activo (Alto, Medio, o Bajo Impacto al Negocio)

1. Para cada Activo completar lo siguiente: Capa o Nivel de Defensa

¿Qué es lo que preocupa?: (Amenazas)

¿Cómo puede ocurrir? (Vulnerabilidades)

Nivel de Exposición (A,M,B)

Descripción de Medidas de Seguridad Actual.

Descripción de Nueva Medidas de Seguridad.

Físico Aplicación Servidor Red Datos En el primer nivel de la Metodología Propuesta, no se tendrán bien definidas todas las Amenazas y Vulnerabilidades, éstas serán tratadas en esta fase en las siguientes actividades, pero debe tenerse muy clara la importancia del Activo a proteger, es decir llenar las siguientes columnas:

• Nombre del Activo. • Descripción breve del Activo. • Clasificación del Activo (Alto, Medio, o Bajo Impacto al Negocio).

Además, al entrar en los siguientes niveles de la Metodología Propuesta esta Tabla 3.5: Documentación de Activo, será de gran ayuda para tener documentados los Activos, mismos que serán manejados dentro de un Inventario de Activos, una vez que se entra en el proceso de Mejora continua de la Metodología.



3.3.3.2 Actividad 3.2 Identificación de Amenazas y Vulnerabilidades. El siguiente paso, es la identificación de Amenazas que pueden afectar los Activos, éstos, previamente identificados en los puntos anteriores, principalmente va a ser de interés todo aquello que pueda afectar o causar un daño ya no sólo a cada Activo, si no también, a la operación del negocio como tal. Existen desastres naturales (terremotos, inundaciones, etc.) y desastres industriales (contaminación, fallos eléctricos, etc.) ante los cuales los Sistemas de Información son víctimas, pero no por eso se debe de actuar en forma pasiva y permanecer indefenso. Aunque hay Amenazas que de acuerdo a la operación del negocio se debe tener especial cuidado. No todas las Amenazas ni todas la Vulnerabilidades son aplicables a todo los Activos, si no la relación entre Activo y Amenaza que pueda ser capitalizada (Ver Anexo C:1 Amenazas Generales Comunes). Para lo anterior se sugiere usar Tabla 3.5; Documentación de Activo, llenando las siguientes columnas:

• ¿Qué es lo que preocupa? (Amenazas) • ¿Cómo puede ocurrir? (Vulnerabilidades)

Valoración de Amenazas [MAGERIT, 2006] Cuando un Activo es víctima de una Amenaza, no se ve afectado en todas sus dimensiones ni en el mismo valor. Una vez determinado que una amenaza puede afectar un activo, se debe determinar que tan vulnerable es el Activo en dos sentidos:

• Degradación o daño causado: ¿Qué tan perjudicado resultaría el Activo? • Frecuencia: ¿Cada cuánto se capitaliza una Amenaza?

La degradación, mide el daño causado, en caso, de que un incidente ocurra; y la frecuencia, se modela como tasa anual de ocurrencia, siendo valores típicos, los siguientes:

Tabla 3.6 Referencia de Frecuencia

Valor Frecuencia Frecuencia de ocurrencia 100 Muy frecuente A diario 10 Frecuente Mensualmente 1 Normal Una vez al año

1/10 Poco frecuente Una vez cada varios años



Esta frecuencia se pone en perspectiva con la degradación, ya que, existen Amenazas que pueden ser de improbable capitalización o materialización, y otras que pueden ser de poco daño pero siendo muy frecuentes, bajo este enfoque puede llegar a tener un gran daño lo cual significa un gran riesgo. La Tabla 3.7, muestra, la referencia entre Frecuencia y Degradación:

Tabla 3.7 Referencia de Frecuencia y Degradación.

Alto

Impacto

Moderado Impacto

Alto Impacto

Alto Impacto

Alto M

edio

Impacto Bajo

Impacto Moderado

Impacto Alto

Impacto Alto

Degradación (Daño

causado)

Baj

o Impacto Bajo

Impacto Bajo

Impacto Moderado

Impacto Alto

Nivel de Impacto

Poco Frecuente Normal Frecuente

Muy Frecuente

Valor de Frecuencia 3.3.3.3 Actividad 3.3 Determinación del Impacto. El Riesgo: es el costo esperado de una Amenaza en un plazo de tiempo dado, para decidir la mejor forma de gastar el presupuesto dedicado a la Seguridad se requiere de una valoración cuantitativa de los Riesgos, y encontrar la forma de que reduzcan tanto como sea posible. Ahora, bien realizar un cálculo que permita conocer qué medidas reducirán más el Riesgo en proporción a su costo es extremadamente difícil de determinar, debido a la falta de información en que se pueda sustentar. Los Análisis de Riesgos que, realizan las grandes firmas tienen muchas veces fundamentos matemáticos sólidos que son muy validos para realizar dichos cálculos, pero tienen un problema grave. Si metes algún dato erróneo el resultado será erróneo; es decir si “se mete basura sale basura”, misma que, indudablemente porque requieren de una cantidad elevada de datos para realizar el cálculo. Por lo qué, se tendrán datos poco confiables. Las estimaciones sirven para cálculos cualitativos, no cuantitativos. La mejor estimación de la “posibilidad de ocurrencia” se lleve a cabo, viene a considerar que será en el presente, pasado y futuro. Por ejemplo, si han existido diez robos de equipos portátiles (“Laptop”) en el año, podemos estimar que habrá alrededor de diez robos al año, para una cantidad de equipos portátiles similar.



Dado que en México, las Organizaciones y Empresas utilizan el año fiscal para todo tipo de propósitos, es por esa razón que se utilizará como base para medir la posibilidad de una Amenaza que se lleve a cabo. Ante un innumerable grupo de Amenazas se debe considerar con mayor importancia aquellas que pueden causar un gran daño a la Empresa. Conociendo lo anterior podemos decidir qué medidas se podrán establecer para reducirlas, medidas que tendrán un costo Económico y operativo. Se recomendaría obtener un comparativo con y sin medidas para tener Información sobre medidas de Seguridad y también para determinar su efectividad de estas. Ahora, para determinar el impacto al Activo (Tabla 3.8 Determinación de Impacto), se pueden considerar múltiples factores, por ejemplo para determinar el Valor de un “Servidor de Base de Datos”, no solo basta calcular o estimar el Valor que representa la información para el negocio, si no también que tanto influye en la operación de la Empresa. Además de todos los costos inherentes como son: costo del servidor (hardware), Software (Licencias de uso), instalación y mantenimiento del mismo. Para tal fin se sugiere usar una tabla la siguiente:

Tabla 3.8 Determinación de Impacto (Importancia).

Activo / Factor Factor 1 Factor 2 Factor... factor N Impacto al Negocio Impacto

Activo 1 Activo 2 Activo 3 Activo … Activo N

Impacto Total: Donde:

• Activo: Es el Nombre del Activo.

• Factor: Es el costo de Factor, este puede ser: Valor de Hardware, Software, Mantenimiento y otros.

• Impacto al Negocio: Este valor es tomado de la Tabla 3.5: Documentación

de Activo. (Clasificación del Activo - Alto, Medio, o Bajo Impacto al Negocio)Se sugiere se tomen los siguientes valores Alto=10, Medio=5 y Bajo=2.

• Impacto: es el resultado Total de la suma de factores multiplicado por el

valor de Impacto al Negocio.



3.3.3.4 Actividad 3.4 Identificación de las Medidas de Prevención. Para definición de las Medidas de Prevención se pueden utilizar las tablas Activo – Amenaza, con el fin de identificar todas las vulnerabilidades posibles, una vez obtenida esta información se podrán encontrar las Medidas Preventivas más adecuadas al contexto de la Empresa u Organización. Es decir de la Tabla 3.5; Documentación del Activo se llenará el Nivel de Exposición y las Medidas de Seguridad, las columnas correspondientes son:

• Nivel de Exposición (Alto, Medio, Bajo) • Descripción de Medidas de Seguridad.

Aunque para la selección de las medidas de Prevención se deberá de considerar la Importancia de la Información, el Valor del Activo y la capacidad de implantación para estas medidas propuestas. Para este propósito, se sugiere considerar una: Cruz de Importancia contra Urgencia y otra que, considere la Capacidad de Implantación (en su caso), con el fin de Identificar las medidas más próximas y tener una valoración adecuada al contexto de la Empresa.

Tabla 3.9 Cruz de Importancia contra Urgencia o Impacto al Negocio.

AIN

Impacto Moderado

Impacto Alto

Impacto Alto

MIN

Impacto Bajo

Impacto Moderado

Impacto Alto

Impacto al

Negocio

BIN

Impacto Bajo

Impacto Bajo

Impacto Moderado

Bajo Medio Alto Nivel de Impacto Importancia o Valor del Activo

Donde: AIN – Alto Impacto al Negocio. Rojo: Nivel de Impacto Alto MIN - Medio Impacto al Negocio. Amarillo: Nivel de Impacto Medio BIN - Bajo Impacto al Negocio. Verde: Nivel de Impacto Alto Se pueden agregar más columnas, eso dependerá de los criterios que el implementador use o que se consideren más convenientes.



En determinado momento si alguna medida se considera la más adecuada, pero no se cuenta con una capacidad de implantación cercana o próxima, lo que se sugiere es tomar alguna medida transitoria y después cuando se tenga la capacidad de implantación deberá de llevarse a cabo. Todo lo anterior, con el fin de lograr un medio ambiente más seguro dentro de un marco de mejora continúa. 3.3.3.5 Actividad 3.5 Revisión de Pasos anteriores. Este punto tiene como finalidad revisar en su conjunto la totalidad de los pasos anteriores y junto con patrocinadores del proyecto, llegar a un consenso de las medidas seleccionadas y de aquellas que se descartan. Además, se sugiere hacer un reporte de los puntos acordados y de ser posible que este firmado el documento con el fin de obtener un compromiso de manera formal.



3.3.4 Fase IV. Evaluación y Diagnóstico del Riesgo.

3.3.4.0 Introducción. Para la definición de Riesgo aceptable, así como el enfoque para administrar el Riesgo, varía de una organización a otra. No hay una respuesta acertada o errónea; existen numerosos modelos de administración de Riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisión, recursos, tiempo, complejidad y subjetividad. La inversión en un proceso de Gestión de Riesgos, con un marco sólido y funciones y responsabilidades bien definidas, prepara a la Organización para articular prioridades, planear la mitigación de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la Empresa. Además, un programa de Gestión de Riesgos eficaz, ayudará a la Empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos legislativos que hoy día en México están muy tipificados. Una vez que se tienen identificados todos los elementos involucrados como son: Activos, Amenazas e Impactos, se selecciona las Medidas de Prevención que son aplicables de acuerdo diversos criterios como es costo/beneficio, imagen, importancia, urgencia y capacidad de implantación. 3.3.4.1 Actividad 4.1 Interpretación de los valores de Impacto al Activo del

daño que puede ocasionar. Para la interpretación de los valores de impacto es indispensable tener la Actividad 3.3 Determinación del Impacto terminada, ya que de acuerdo a los valores obtenidos se podrá hacer una priorización de Importancia (valor del activo) contra la Urgencia que tengan estos de protegerse. Estos, deberán de hacerse con respecto a lo que la organización desea proteger, por ejemplo: no mezclar aspectos como la Imagen de la Empresa con aspectos Financieros, aunque estos tengan una importancia muy alta para la Organización su “Valor” es diferente; es decir, cuidar de no mezclar términos cualitativos con términos cuantitativos.



3.3.4.2 Actividad 4.2 Identificación del nivel actual del Riesgo. La finalidad de esta actividad, es: tener una idea muy clara del nivel actual del Riesgo; ésta, se podrá obtener a través de las siguientes técnicas que generan tablas de referencias:

Tabla 3.10 Rango de Referencia del Impacto. [Dillard, Pfost, Ryan, 2006]

AIN

Impacto

Moderado Impacto

Alto Impacto

Alto M

IN

Impacto Bajo

Impacto Moderado

Impacto Alto

Clase o Tipo de Activo

BIN

Impacto Bajo

Impacto Bajo

Impacto Moderado

Bajo Medio Alto Nivel de Impacto Grado de Exposición

Donde se represente la Importancia (valor de impacto) contra el Grado de Exposición y otra también conocida, si se cuenta con datos estadísticos, Valor de Probabilidad, está dará una referencia del nivel de Impacto y otra de la Importancia contra la posibilidad de impacto (en caso de que se tenga la posibilidad tomarla en cuenta), ésta nos dará el nivel de Riesgo.

Tabla 3.11 Rango de Referencia del Nivel de Riesgo. [Dillard, Pfost, Ryan, 2006]

Alto

Riesgo Moderado Riesgo Alto

Riesgo Alto

Med

io

Riesgo BajoRiesgo

Moderado Riesgo

Alto

Impacto (de la tabla 3.7)

Baj

o

Riesgo Bajo Riesgo BajoRiesgo

Moderado Bajo Medio Alto

Nivel de Riesgo Valor de Probabilidad Entonces, ahora se presenta la descripción de valores de las tablas 3.10 y 3.11:

Valor Cualitativo Descripción

Alto Uno o más Impactos esperados en un año. Medio Probable, Impacto esperado dentro de dos o tres años. Bajo No probable, Impacto no esperado en tres años. AIN Alto Impacto a la operación del Negocio. MIN Medio Impacto a la operación del Negocio. BIN Bajo Impacto a la operación del Negocio.



En la Figura 3.2: Presentación de la Evolución de la Madurez de la aplicación de la Metodología, cuando se entre en un nivel de madurez más alto, estas tablas (3.10 y 3.11); servirán como marco de referencia para la identificación de un antes y un después, dentro de cada nivel o ciclo o evolutivo de mejora continua. 3.3.4.3 Actividad 4.3 Selección de Medidas de Prevención. La selección de las Medida de prevención se deriva de la Actividad 3.4 Identificación de las Medidas de Prevención. Esta selección deberá de hacerse en consenso para determinar cuáles son aplicables al contexto de la Empresa. Pero sin olvidar que se deberá de tener preferencia por aquellas que son más Importantes para la empresa junto con aquellas que tengan un nivel más alto de exposición. Por lo anterior, es que debe de tener los más claro posible, que es lo que la Empresa quiere proteger, con la finalidad de tener una selección de Activos, con la mayor certeza posible de que son los más Importantes y tomar las medidas adecuadas. Entonces, se sugiere tener unas tablas con: Activos, Niveles de Riesgo, Niveles de Impacto, Medidas actuales (en caso de tenerse) y de las nuevas Medidas de prevención propuestas. Es decir de la Tabla 3.5: Documentación del Activo se llenara la nueva Medida de Seguridad, la columna es: Descripción de Nueva Medidas de Seguridad. 3.3.4.4 Actividad 4.4 Análisis Costo/Beneficio. [Aceituno, 2006] El Análisis Costo/Beneficio en Seguridad permite determinar sí, una medida reduce lo suficiente el Riesgo como para compensar su Costo. Para que una inversión sea lo suficientemente rentable la diferencia entre el Riesgo antes y después de la medida, esta debe ser superior al costo de la medida. Para cualquier Conjunto de Amenazas (CA) que causan un mismo incidente, el costo en un periodo de Inversión es:

Conjunto de Amenazas = Costo por Incidente x Número de Incidentes

Entonces, de tomar alguna medida para mitigar esta amenaza, debemos de invertir un máximo de CA, menos un peso. El nivel de Riesgo que se consigue depende del CA, que la empresa esté dispuesta a aceptar; siendo el Máximo Riesgo, la certeza de perder el valor del Activo.



El costo de la medida debe incluir el costo directo como implantación, operación, adquisición y los indirectos como selección, auditoria, monitoreo, etc. Para poder realizar la estimación del número de incidentes esperados, es fundamental mantener un registro de los incidentes, o bien tener acceso a fuentes de Información equivalente para Empresas parecidas a la nuestra. Es por éste que, la recolección de los datos es un costo indirecto intrínseco al cálculo de la rentabilidad de la invención de Seguridad. Si no se puede basar una estimación en datos históricos, se estará haciendo uso de una adivinación al estimar el número de incidentes esperados en un año. Si la información que se tiene es especulativa se podrá justificar cualquier inversión, con lo cual se podrá evitar cualquier formulación matemática y simplemente tomar la decisión directamente. Después, de la medida el costo de la Amenaza será:

Nuevo Costo Amenaza = Costo por Incidente X (Número de Incidentes –

Disminución de incidentes) + Costo de la Medida La diferencia entre el costo de los incidentes con y sin medida es:

Diferencia = Costo por Incidente X disminución de incidentes – Costo de la

Medida En el costo de la Medida se incluyen los costos de selección, implantación, operación, adquisición, etc. Por tanto la rentabilidad de la medida es:

Rentabilidad = (Costo por Incidente X Disminución de Incidentes – Costo de

la Medida) / Costo de la Medida La formula de rentabilidad dice: “Es rentable si reduce el Riesgo Existente con proporción a su costo”. Esta fórmula es aplicable cuyo número de incidentes esperados al año es superior a uno. Cuando el número de incidentes esperados sea inferior a uno la mejor opción es buscar medidas que reduzcan el Impacto. Estas medidas pueden llegar a doblar el costo del Sistema de Información, es por esta razón que se utilizan normalmente para proteger los Activos más importantes para la Empresa.



3.3.4.5 Actividad 4.5 Postura de Directivos con Respecto a las medidas de

Seguridad. Esta actividad marca una pauta muy importante para la realización del proyecto, es un punto clave ya que dependiendo de la aceptación, conocimiento, participación y compromiso de los Directivos, dependerá la buena implementación y seguimiento de las Medidas de Seguridad a implantar. Si una Medida de Seguridad queda definida y aceptada por la Alta Dirección, esta también deberá cumplir con esa norma, ya que no hay mejor forma de enseñar que predicar con el ejemplo, con esto, todo personal a su cargo se alineara en una forma menos renuente a las nuevas Medidas de Seguridad. Es decir, que si se definen nuevas Medidas de Seguridad, todos sin excepción desde la Alta Gerencia hasta cargos operativos, deberán de alinearse a estas, y deberán de quedar definidas como parte de las normas o políticas dentro de la Organización o Empresa. 3.3.4.6 Actividad 4.6 Revisión y Valoración de la ejecución de actividades

de esta Fase. La realización de los puntos anteriores, da un: panorama de Riesgo, con lo anterior, se tendrá delimitado el Riesgo que la Empresa esté dispuesta a aceptar. Además, se tendrán Medidas de Seguridad que deberán ser precisas, bien definidas y adecuadas de acuerdo a la Empresa en cuestión. El Riesgo que está fuera de lo aceptado, se le conoce como Riesgo Residual, éste último, puede ser calculado a partir de la magnitud de la degradación y la frecuencia de Amenazas (Actividad 3.2 Identificación de Amenazas - Valoración de Amenazas), ya que los Activos no han cambiado ni sus dependencias de estos. También el Riesgo Residual, se da cuando se tienen: actividades o tareas sin terminar, por normas mal definidas, procedimientos incompletos, medidas de Seguridad inadecuadas o deficientes, entre otros, por lo que el Sistema de Seguridad permanecerá sometido a un Riesgo Residual. Es por lo anterior que, se debe de realizar una revisión de la ejecución de Actividades, ya que si se dejan actividades pendientes o sin concluir, se tendrá un: Riesgo Residual inherente o implícito. Se sugiere hacer una lista de actividades y poner el porcentaje de ejecución de la misma, siendo el 100% el “status” de concluida.



3.3.5 Fase V. Propuesta de Solución.

3.3.5.0 Introducción. Elaboración de la Propuesta de Solución para la gestión del riesgo y su evolución en el futuro. Al examinar las Amenazas (Fase III. Análisis de Riesgo), existen dos formas claves de evaluar la probabilidad (en caso de que se tengan datos estadísticos) e impacto (Valor del Activo y/o afectación de operaciones). El primer método es establecer la probabilidad sin la consideración de los controles existentes. El otro método, es: examinar los controles existentes (Fase IV. Evaluación y Diagnóstico del Riesgo). Ésta permitirá al equipo de proyecto (Actividad 1.5 Establecer contactos y equipo de trabajo – Equipo de trabajo), examinar el nivel de Riesgo basado en que tan eficaces son. La probabilidad a la que es susceptible una organización respecto a una Amenaza específica, se describe típicamente como alta, media o baja. Además, recordar que no por ser una PYME, esta no será afectada, es decir, no pensar que por ser una PYME no se tiene Información de importancia. Entonces, el siguiente paso, es preguntarse ¿Qué se va a hacer con el Riesgo? En esta Fase V. Propuesta de Solución, se le tiene que dar un tratamiento al Riesgo. Para lo cual se usarán básicamente 4 alternativas;

• una es: tolerar el Riesgo (no se implementan medidas de Seguridad),

• otra es: transferir el Riesgo (se transfiere el Riesgo a un tercero) la siguiente;

• es: mitigar el Riesgo (se implementan medidas de Seguridad) y la ultima;

• es: eliminar el Riesgo (se quita es Activo y/o proceso que genere ese

Riesgo) Para lo anterior, se tienen que realizar las siguientes actividades:



3.3.5.1 Actividad 5.1 Identificar puntos de oportunidad. Para esta actividad, es primordial que la Actividad 4.2 Identificación del nivel actual del Riesgo este concluida, ya que en esta actividad, se ve el nivel de Impacto que tendrá una Amenaza sobre el Activo de información en la Empresa. Se debe de priorizar aquellos Activos que, son más importantes (de mayor Impacto) a los de menor importancia (Ver Tabla 4.9 Cruz de Importancia contra Impacto al Negocio). Esta priorización, dará en primera instancia sobre que activos se debe de trabajar, cabe mencionar que también se deberán identificar aquellos que son primordiales para la operación del negocio, con lo anterior no quedará duda de su importancia. Además de lo anterior, deberá quedar muy claro que alternativa se va usar con cada Activo, si se va tolerar el riesgo poner la razón del porque, si se va a mitigar verificar que las medidas de Seguridad sean las adecuadas y que éstas estén dentro del Análisis Costo/Beneficio; en el caso, de transferir el identificar claramente la razón de ésta. Además, de que, la inversión a largo plazo sea menor que mitigar, considerar un punto muy importante y que no se tiene que olvidar es que; el proveedor seleccionado deberá cumplir que opera o trabaja con normas y estándares internacionales de acuerdo a su aplicabilidad; también, de ser posible, solicitar certificación que lo acredite sobre el uso de las normas que le correspondan de acuerdo al ramo.



3.3.5.2 Actividad 5.2 Establecer Alcances, Limites y Lineamientos. En esta Actividad, es necesario definir perfectamente lo siguiente: Punto de partida: Establecer el alcance y la forma del enfoque de cambio. Se tienen qué contestar preguntas cómo las siguientes:

¿Dónde empezar? Por ejemplo: ¿Prioridades?, ¿Impacto?, ¿Facilidad de conversión e Implantación? (Los dos primeros puntos se cubren en la Actividad 5.1 Identificar puntos de oportunidad). ¿Cuánto cambiar?

Compromiso compartido con la Dirección y el personal involucrado, y plantear la constancia de los Riesgos. Acordar: Metas, prioridades y plan de acción inmediato. Tales como: ¿Tolerancia?, ¿Salto en la productividad?, etc. ¿Qué cambiar?

Por ejemplo: Misión, Visión, Estrategias, Funciones, Organización, Procesos, Sistemas de: Ventas, Informáticos, etc. ¿Qué capacidad se tiene?

¿Compromisos?, ¿Competencias?, ¿Tiempo?, ¿Recursos?, etc. ¿Cuáles son las alternativas?

Mitigar, transferir o tolerar. Entender el negocio y su contexto (Medio Ambiente)

Volver a evaluar y posiblemente modificar: la visión, la misión, los valores, los objetivos o metas, las estrategias, etc. Identificación de los procesos de seguimiento, gestión y supervisión

de la Empresa.



3.3.5.3 Actividad 5.3 Elaborar y Establecer Políticas de Seguridad.

Adaptación de [http://www.microsoft.com/latam/technet/seguridad/] Una Política de Seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que, guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. La Política de Seguridad deberá establecer los valores y normas que deban ser seguidos por todos aquellos que participan o usan Información o Activos que contengan esta. La política de Seguridad debe ser elaborada de acuerdo al Medio Ambiente de la Empresa o Área que se está trabajando, por ejemplo de Sistemas de Información Basados en Computadoras, y los criterios establecidos deban estar alineadas a las mejores prácticas internas recomendadas por la Organización. Las áreas de normalización comúnmente son:

• Humana. • Tecnológica.

En la elaboración de una política de seguridad no podemos olvidar el Factor Humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de Seguridad de la Información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o “password” constantemente y que ésta deba tener una complejidad adecuada para la información manejada La parte Tecnológica, obviamente, tampoco puede dejarse de lado, y dentro de la Política de Seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con Información crítica de la Empresa no deben prestar servicio de estaciones de trabajo a los empleados. ¿Qué poner en la Política de Seguridad? Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas.



La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de:

• El conocimiento del ambiente organizacional, humano o Tecnológico. (Fase II. Conocimiento del Medio Ambiente)

• La recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa.

Algunos ejemplos de temas posibles son:

• Seguridad Física: acceso físico, infraestructura del edificio, Centro de Datos.

• Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.

• Seguridad de usuarios: composición de claves, seguridad en estaciones

de trabajo, formación y creación de conciencia.

• Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.

• Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas

técnicas, monitoreo y auditoria.

• Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.

Usos de la Política de Seguridad Una vez que se tiene una Política de Seguridad, ésta debe cumplir por lo menos dos propósitos:

• Ayudar en la selección de productos y en el desarrollo de procesos.

• Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado.



3.3.5.4 Actividad 5.4 Valoración de Resultados esperados. Ahora, en esta Actividad, es necesario definir perfectamente lo siguiente: Se tienen que contestar preguntas cómo las siguientes:

¿Cuánto se está dispuesto a perder? Si bien, una inversión en materia de Seguridad generalmente se ve como un gasto, ya que éste, por sí sólo no genera un ingreso directo a la Empresa, este enfoque no debe ser así, ya que con simple hecho de reducir las pérdidas derivadas por una fuga de Información, la inversión por si sola quedara justificada. ¿En que puede afectar si no se aplican las medidas de Seguridad?

Esta pregunta tiene como finalidad responder a: ¿puede provocar un paro de operaciones?, ¿habría una afectación de Imagen?, ¿puede haber perdidas financieras en la Empresa?, entre otras. ¿Qué beneficios directos se tienen en la Empresa?

¿Mejora la imagen de la empresa?, ¿se refleja en las operaciones del negocio?, ¿sirve como argumento de venta o plus adicional?, en general ver si la percepción de la misma es de Seguridad. ¿Qué medir?

Funciones, Activos de información, Personas, Medidas de Seguridad y los incidentes. Los anteriores puntos en base a: cobertura, Riesgo y eficiencia. [Aguirre, Delgado, 2008]

Cobertura [Aguirre, Delgado, 2008]:

Métricas • # de Funciones Aseguradas/# de Funciones dentro de Alcance • # de Activos Asegurados/# de Activos dentro de Alcance • # de Personas Capacitadas/# de Personas dentro de Alcance • # de Controles Implantados/# de Controles dentro de Alcance • # de Incidentes Totales/(suma de funciones, activos, personas)

Riesgos [Aguirre, Delgado, 2008]:

Métricas • Variación total en la sumatoria de riesgos • Variación de riesgo por función • Variación de riesgo por activo



Riesgo por Activo/Función

• –((# Controles Implantados - # Incidentes) / ( #Controles Recomendados)) * Valor del Activo

• –Por tipo de control • –Por tipo de incidente

Eficiencia Total [Aguirre, Delgado, 2008]:

• Riesgo Total / Inversión Total en Implantación de Controles • # de Controles Implantados / Unidad de Tiempo • Inversiones no Planeadas / Unidad de Tiempo

3.3.5.5 Actividad 5.4 Análisis de Riesgos con y sin medidas preventivas. Ésta actividad tiene la finalidad de establecer un comparativo entre un antes y un después, para determinar que tan efectivas están siendo (o puedan ser) las Medidas de Seguridad que han sido seleccionadas e implantadas. Lo anterior, servirá como referencia para determinar si se continúa con una Medida de Seguridad, o si ésta tenga que ser cambiada o modificada y ¿por qué no?, que tenga que ser eliminada.



3.3.6 Fase VI Implantación.

3.3.6.0 Introducción.

Adaptación de [http://www.microsoft.com/latam/technet/seguridad/] La Implantación de la Propuesta de Solución para la gestión del Riesgo y evolución en el futuro. Lo anterior, como consecuencia directa del Análisis, Evaluación, Diagnóstico de Riesgos y su Propuesta de Solución (Gestión de Riesgo - ver figura 3.2: Presentación de Evolución de Madurez de la aplicación de la Metodología Propuesta). Con el conocimiento que se tiene de la Empresa, permite aproximar más a la toma de acciones dentro de la Organización, dichas acciones deberán llevar un orden adecuado que permita una utilidad real para la Empresa. Después de identificar las Amenazas y Vulnerabilidades (puntos débiles) del Medio Ambiente, adquiridos en el Análisis, Evaluación y Diagnóstico del Riesgo o después de la definición formal de las intenciones y actitudes de la Organización que deberán estar definidas en la Política de Seguridad, se deberán: tomar algunas medidas para la implementación de las acciones de Seguridad, recomendadas establecidas. No olvidar que las Amenazas son agentes externos capaces de explotar fallos de Seguridad (Vulnerabilidades), los cuales representan puntos débiles y, como consecuencia, causan pérdidas o daños a los activos de una Empresa y afectan la Operación de la misma. No basta conocer las Vulnerabilidades del Medio Ambiente o tener una Política de Seguridad escrita. Se deberán instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la información. Además, se deberán elegir e implementar cada medida de protección, para contribuir con la reducción de las Vulnerabilidades. Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propósitos definidos. Estos propósitos tienen que ser muy claros.



3.3.6.1 Actividad 6.1 Considerar Diversos Aspectos Generales para la

Implantación.

Las Medidas de Seguridad son acciones que se pueden tomar con la finalidad de reducir las Vulnerabilidades existentes en los Activos de Información de la Empresa. Son varias las Medidas de Protección que se deberán de considerar para la reducción de Vulnerabilidades de los Sistemas de Información, entre los que se encuentran [http://www.microsoft.com/latam/technet/seguridad/]:

• Control de acceso físico. • Detección y control de invasiones. • Sistemas de vigilancia. • Políticas generales o específicas de Seguridad. • Equipos. • Campañas de divulgación. • Planes de continuidad de operaciones. • Monitoreo y Gestión de la Seguridad. • Infraestructura Tecnológica de Sistemas de Información Basado en

Computadoras y Comunicaciones. o Implementación de Firewall. o Control de Accesos de Red. o Infraestructura de llaves públicas. o VPN – Red Privada Virtual. o Otros.

• Capacitación, entrenamiento, creación de conciencia. • Entre otras.

No olvidar que el Objetivo de la implementación de las Medidas de Seguridad no solo cubre la parte Informática. Por ello, es que se tiene que comprender el Medio Ambiente en el cual trata la Información, no sólo el medio electrónicos. Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si los usuarios las comparten o escriben en recados y las pegan al lado de su monitor. Entonces, el siguiente listado de ejemplos permite dar una idea de lo que se requiere para la protección de los Activos en la Empresa. Son acciones que no se aplican para todos los casos ni ambientes, por lo que se deben Analizar y elegir el grupo factible de actividades a implantar dentro de nuestro Medio Ambiente.



1) Control de acceso a los recursos de la red. Implementación de controles en las estaciones de trabajo que permiten la gestión de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.

2) Protección contra virus. Implementación de un software que prevenga y detecte software maliciosos, como virus, troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la pérdida de información.

3) Seguridad para equipos portátiles. Implantación de aplicaciones y dispositivos para la prevención contra accesos indebidos y el robo de información.

4) Seguridad para servidores. Configuración de Seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles

Después de revisar los ejemplos anteriores, vea las siguientes preguntas de reflexión:

• ¿Cuenta usted en la actualidad con alguna de estas medidas implementadas en su Empresa?

• ¿Tiene procesos de monitoreo y mejora de las mismas? 3.3.6.2 Actividad 6.2 Considerar Acciones Comunes en la Implantación de

Seguridad de la Información. Adaptación de [http://www.microsoft.com/latam/technet/seguridad/]

A continuación, se mencionan algunas acciones a considerarse en la Implantación de la Seguridad de la Información: Plan de Seguridad. A partir de la Política de Seguridad, se definen qué acciones deben implantarse (herramientas de software o hardware, campañas de toma de conciencia, entrenamiento etc.), para alcanzar un mayor nivel de Seguridad. Estas acciones deben estar incluidas en el Plan de Seguridad para dar prioridad a las acciones principales en términos de su Impacto en los Riesgos en que, se quiere actuar, con el tiempo y costo de Implantación, para establecer así las acciones de corto, mediano y largo plazo.



Plan de acción. Una vez definido y aprobado el Plan de Seguridad, se parte hacia la definición del plan de acción para las medidas de Seguridad que se deberán implantar. Recomendaciones de los fabricantes. Es muy importante que las recomendaciones de los fabricantes o proveedores de los productos sean conocidos antes de la implantación. Soporte de Profesionales. Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la ejecución de determinadas actividades. 3.3.6.3 Actividad 6.3 Planificación de la Implantación.

Adaptación de [http://www.microsoft.com/latam/technet/seguridad/] Algunas de las cosas a implantar (aplicaciones, equipos, campañas de divulgación y toma de conciencia entre otras) pueden durar varios días y afectar a varios ambientes, procesos y personas de la organización. En esos casos, siempre es útil una planificación por separado. Plataforma de Pruebas. En algunos casos, una plataforma de pruebas es necesaria para evaluar la solución y reducir los posibles riesgos sobre el ambiente de producción Pasos de Implantación. Al realizar la Implantación propiamente dicha, es muy importante seguir una serie de pasos, que:

• Defina cómo dar los pasos necesarios para ejecutar un plan de acción.

• Mantenga un mismo estándar de trabajo en la implantación sin importar, quién, lo esté ejecutando.

Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la Implantación y, en caso de dificultades, saber qué acciones tomar y quién debe ser notificado. Registro de Seguridad. Después de la Implantación de una nueva Medida de Seguridad, es importante mantener el registro de lo que fue implantado.



Se deben registrar informaciones como:

• Lo qué fue implementado (herramienta, entrenamiento etc.);

• ¿Cuáles son los activos involucrados?;

• ¿Qué dificultades fueron encontradas?; y

• ¿Cómo fueron superadas?; hasta qué punto se alcanzó el objetivo esperado, etc.

Este registro tiene dos objetivos principales: Mantener el control de todas las Medidas implantadas y aprovechar la experiencia acumulada. 3.3.6.4 Actividad 6.4 Monitoreo y Gestión del Ambiente de Seguridad. La Gestión de un Ambiente Seguro involucra a todo un ciclo de actividades. La fase de ese ciclo, es el Análisis de Riesgos, donde se identifican los Activos de Información del Medio Ambiente y lo que se debe Implantar. Es necesario monitorear los activos, desde la Fase VII. Evaluación General de manera constante, con los indicadores que muestren qué tan eficaces son las Medidas de Seguridad adoptadas y lo que se necesita cambiar. A partir de la lectura de esos indicadores, se hace otro Análisis de Riesgos y se comienza el ciclo otra vez (Figura 3.1: Presentación esquemática de la Metodología Propuesta). El éxito de una implantación de Seguridad sólo se alcanza al buscar la Gestión efectiva de todo el ciclo.



3.3.7 Fase VII. Evaluación general.

3.3.7.0 Introducción. Una vez puesta en marcha la Implantación, ésta, obtenida a partir de la Propuesta de Solución, se podrá medir bajo que niveles de Riesgo serán considerados como aceptables y el Impacto que se tendrá dentro de la Organización. A partir de la Evaluación general sale a otro nivel de avance o madurez, y se entra en un proceso de mejora continua. 3.3.7.1 Actividad 7.1 Valoración de resultados obtenidos de la

Implantación. [MAGERIT, 2006] A la vista de los resultados obtenidos durante la Implantación de las Medidas de Seguridad seleccionas, se deberán tomar una serie de decisiones por parte de la Dirección o Gerencia según corresponda, no por personal técnico, condicionadas a diversos factores como son:

• Gravedad de Impactos o Riesgos. • Obligaciones a la que la Empresa está sujeta. • Obligaciones por áreas o departamentos que están en la organización. • Las obligaciones que está sujeta por contrato la Empresa. • Entre otros.

Dentro del margen de maniobra que permita este marco, pueden aparecer consideraciones adicionales sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible tales como:

• Imagen pública. • Relaciones con los proveedores, tales como capacidad de llegar a acuerdos

ventajosos a corto, medio o largo plazo, capacidad de obtener trato prioritario, entre otros.

• Relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratégicos, alianzas, etc.

• Nuevas oportunidades de negocio, tales como formas de recuperar la inversión en seguridad.

• Entre otras. Con lo anterior, poder determinar un Nivel de Riesgo aceptable o permitido.



3.3.7.2 Actividad 7.2 Aceptación de Niveles de Riesgo permitidos. Todas las consideraciones anteriores desembocan en una calificación de cada Riesgo que sea significativo, determinándose si:

1. Es crítico, en el sentido de que, requiere atención urgente. 2. Es grave, en el sentido de que, requiere atención. 3. Es apreciable, en el sentido de que, pueda ser objeto de estudio para su

tratamiento. 4. Es asumible, en el sentido de que, no se van a tomar acciones para

atajarlo. La opción 4, aceptación del Riesgo, siempre es arriesgada y hay que tomarla con prudencia y justificación. Las razones que pueden llevar a esta aceptación son:

• Cuando el impacto residual es despreciable • Cuando el riesgo residual es despreciable • Cuando el coste de las salvaguardas oportunas es desproporcionado en

comparación al impacto y riesgo residuales. Todas las decisiones son propuestas por el equipo de trabajo y con la opinión del director del proyecto, y deberán ser aceptadas o rechazadas por la Dirección. 3.3.7.3 Actividad 7.3 Aprendizaje y experiencia obtenida. Muchas empresas son amenazadas constantemente en sus Sistemas de Información, lo que pudiera representar miles o millones de Pesos o dólares en pérdidas. Las vulnerabilidades en los Sistemas de Información pueden representar problemas graves, por ello, es muy importante comprender los conceptos necesarios para combatirlos y defendernos de posibles ataques a la Información de la Empresa. Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el manejo de la Información de forma segura, ya que de nada sirve cualquier Sistema de Seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan su usuario y contraseña a personas ajenas a la Empresa y con lo anterior, dejar abierta la puerta a posibles ataques o filtraciones de Información crítica al exterior de la Compañía.



La Información que se intercambian entre individuos y empresas no siempre deberá ser conocida por todo el mundo. Mucha de la información generada por las personas se destina a un grupo específico de individuos, y muchas veces a una única persona. Lo anterior significa que estos datos deberán ser conocidos sólo por un grupo controlado de personas, definido por el responsable de la información. Resumen del Capítulo: En el Capitulo 3, se desarrolló la Metodología Propuesta, la cual tiene como base el tener un enfoque Sistémico realizando primero, una Concienciación de la importancia que tiene la Seguridad de la Información, lo anterior servirá como puerta de entrada para poder hacer un Conocimiento del Medio Ambiente a detalle, a partir de allí poder hacer un Análisis de Riesgos, identificando como interactúa la información con los equipos o dispositivos que la soportan y las personas que la utilizan, estas últimas tres fases apoyaran a la Sensibilización de las personas en materia de Seguridad de Información. Lo anterior, permite hacer una: Evaluación y Diagnóstico del Riesgo, en la que se ha integrado un análisis previo para que; con una visión global o sistémica, proponer una solución sistemática integrándola a la Propuesta de Solución, lo cual permitirá tener más argumentos de éxito durante la fase de Implantación. A partir de los resultados de la Implantación vendrá la Evaluación general, lo cual a partir de los resultados sale a otro proceso nivel de avance o madurez, y se entra en un proceso de mejora continua. Ahora, en el siguiente Capítulo, se tendrá un caso de estudio, con la finalidad de poner en práctica la Metodología Propuesta.



Capítulo 4.- Aplicación de la

Metodología Propuesta en una

Empresa de Comercio

Electrónico

Capítulo 4: Aplicación de la Metodología Propuesta en una Empresa de Comercio Electrónico. 60


Capítulo 4: Aplicación de la Metodología Propuesta en una Empresa de

Comercio Electrónico.

4.0 Introducción. Para la aplicación de la Metodología Propuesta, ésta se desarrollará en una Empresa dedicada al Comercio Electrónico que, en lo Futuro será denominada como “Empresa C.E.”, en sus primeras tres fases. Para tal fin, se requiere conocer los siguientes conceptos clave, que son de uso frecuente: Tienda Virtual: Analogía de una tienda física convencional o de un supermercado, llevado a una página web sobre Internet. [http://www.wikipedia.com] Comercio Electrónico: Es el intercambio de bienes y servicios por medios electrónicos. [http://www.wikipedia.com] La “Empresa C.E.”, donde se aplicará la Metodología Propuesta, es una Empresa de vanguardia en México en la consultoría e integración de soluciones para Comercio Electrónico en Internet y tiene amplia experiencia en soluciones en sistemas comerciales y otros sectores. La “Empresa C.E.”, en estudio, cuenta con la Tecnología y Organización para apoyar a toda empresa en la integración de una Tienda Virtual en Internet para la comercialización de productos y/o servicios, considerando lo anterior; se buscará obtener un Medio Ambiente de Seguridad, sin que éste, interfiera con los objetivos y visión de la Organización. Para lo cual, en este Capítulo, se seguirá Actividad por Actividad de acuerdo a cada Fase correspondiente, como se Propuso la Metodología en el Capitulo 3. Para tener una identificación en forma rápida, se usarán los siguientes iconos para distinguir, entre lo que busca en la actividad o fase y el resultado o información obtenida.

¿Qué hacer básico (Recordatorio de Actividad o Fase)? : Este icono, servirá para describir un breve recordatorio de lo que consiste dicha Actividad o Fase.

Resultado o Información obtenida: Este otro icono, servirá para identificar de forma rápida los datos y/o resultados obtenidos de dicha Actividad, en algunos casos también será usado para identificación de la forma en que fue aplicada la Actividad o Fase.



Conociendo lo anterior, se procederá a la Aplicación de las Fases.

4.1 Aplicación de la: Fase I. Concienciación.

¿Qué hacer básico (recordatorio)?

Durante el proyecto de Análisis de Riesgos en los Sistemas de Información, esta fase es de vital importancia ya que; como tal es la que determinará el éxito o fracaso de dicho Análisis, por qué no sólo basta la participación, sino también un compromiso claro y bien establecido de la Alta Dirección. Para tal fin, se sugiere llevar a cabo las siguientes actividades: Actividad 1.1 Crear conciencia de la importancia de la Seguridad en los Sistemas de Información.

¿Qué hacer básico (recordatorio)? Para lograr tener un plan de Seguridad con Enfoque Sistémico, es primordial el tener la participación de todas las personas involucradas en la Empresa, área o departamento donde se llevará a cabo el Análisis de Riesgos, que va desde la alta dirección, gerencia, hasta el personal de menor rango. Y el tener siempre presente que los Sistemas de Seguridad sólo funcionan si:

• Las personas los conocen. • Las personas saben cómo usarlos. • Las personas las aplican.

Forma de Aplicación de la Actividad. En este primer Nivel, de acuerdo a la Figura 3.1: Presentación Esquemática de la Metodología Propuesta de la Fase I, la idea es: “crear conciencia y punto de inicio de sensibilización de la importancia de la Seguridad en los Sistemas de Información”, para lo cual se cita un ejemplo tomado de la siguiente dirección. http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp [Visitado el 15/04/2008] Además de, presentar una analogía de una montaña para el establecimiento de la Implantación de un sistema de Seguridad de Información (Ver Figura 4.1).



Entonces, muchas empresas son amenazadas constantemente en los Activos, lo que pudiera representar miles o millones de dólares en pérdidas. Las vulnerabilidades en los Sistemas de Información pueden representar problemas graves, por ello, es muy importante comprender los conceptos necesarios para combatirlos y defendernos de posibles ataques a la Información. Por ejemplo, recientemente se publicó una noticia, sobre un virus diseñado para lanzar ataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de un virus de tipo gusano que se propaga con los nombres de “LoveSan”, “Blaster” o “MSBlaster”, el cual aprovecha una falla en la Seguridad de Windows® 2000 y Windows® XP, concretamente en el software que permite compartir archivos con otras máquinas. La finalidad de la plaga, es recolectar equipos de cómputo para realizar un ataque de Negación de Servicio (DoS por sus siglas en inglés) contra un sitio de Microsoft. El virus “Blaster” tiene poco que ver con las plagas informáticas tradicionales: no se propaga por los medios habituales, sino que circula por Internet en busca de máquinas sobre las que puede realizar su ataque. Este es, un claro ejemplo de cómo una vulnerabilidad de Windows es aprovechada por “Blaster”. La mencionada vulnerabilidad de Windows, denominada “RPC DCOM”, consiste en un desbordamiento de buffer en la interfaz “RPC”, y ha sido calificada como "crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server 2003. En líneas generales, se trata de un problema de Seguridad que permitiría hacerse del control de los equipos en forma remota. Por ello, y con el fin de evitar posibles ataques, se aconseja tanto a los administradores y responsables de informática como a los usuarios particulares, la instalación inmediata de los “parches” proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos pueden ser descargados desde: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp [Visitado el 15/04/2008] Donde, además, puede encontrarse información detallada sobre este problema.

Figura 4.1: Implantación de un Sistema de Seguridad

Fuente: http://www.terra.es/tecnologia/articulo/html/tec9481.htm [Visitado el 15/04/2008]



Se puede representar la: Figura 1. Implantación de un sistema de Seguridad de Información en la Empresa, como la escalada de una gran montaña, en la que poco a poco se irá subiendo de nivel en términos de conceptos, herramientas y conocimiento del entorno tecnológico de la empresa. Actividad 1.2 Establecer la importancia del Análisis de Riesgos como eje de Seguridad.

¿Qué hacer básico (recordatorio)? La planeación individual de los proyectos de Seguridad de Información, alcance y los diagnósticos de vulnerabilidades, estarán siempre orientados al Análisis de los riesgos, que obstaculizan la consecución de los objetivos de la unidad Organizacional, los procesos o los proyectos involucrados en el plan anual de negocios, así como el efectivo tratamiento de tales riesgos.

Forma de Aplicación de la Actividad. Aunque no existen reglas de cómo y por dónde iniciar una Arquitectura de Seguridad, típicamente se sugiere que ésta se encuentre sustentada por un Análisis de Riesgos de Seguridad inicial: Dicho Análisis de Riesgos de Seguridad tiene los siguientes beneficios:

• Entender el negocio (Conocimiento del Medio Ambiente). • Obtener una radiografía actualizada de los Riesgos y controles existentes

en los Activos de Información y sistemas relevantes. • Conocer la cultura organizacional en términos de Seguridad de la

Información. • Identificar los procesos de Seguridad existentes. • Identificar Riesgos inherentes. • Riesgos en los Activos de Información y sistemas por el solo hecho de

existir y habilitar algún proceso de negocio dentro de la Compañía. • Identificar Riesgos residuales. • Riesgos después de la existencia de controles, tomando en cuenta incluso

la efectividad o inefectividad de dichos controles. • Identificar causas raíz y no solo síntomas.



Un Análisis de Riesgos de Seguridad permitirá: Identificar

• Procesos de negocio relevantes. • Activos de Información y sistemas relevantes. • Personal clave. • Riesgos inherentes en los Activos de Información y Sistemas relevantes

(típicamente establecidos por la importancia de cada uno de los activos de Información y Sistemas para la Compañía y su importancia en cuanto a confidencialidad, integridad y disponibilidad)

• Controles existentes Evaluar

• Los Riesgos inherentes en los Activos de Información y Sistemas relevantes con base en criterios de probabilidad e impacto definidos, los cuales incluyen elementos tanto cualitativos como cuantitativos: niveles de Riesgo inherente (ej.: alto, medio, bajo)

• Diseño y efectividad de controles existentes. • Riesgos residuales en los activos de información y sistemas relevantes. • Los niveles de riesgos inherentes y residuales en los activos de información

y sistemas relevantes. Plan de acción (tratamiento de riesgo) Establecer Medidas de Seguridad para cada uno de los riesgos identificados y evaluados, esto será el punto de partida para definir el conjunto de mejoras, monitoreo, pruebas, evaluaciones o nuevas implantaciones de políticas, procesos, procedimientos, tecnología, gente y Medidas de Seguridad que formarán “Un Medio Ambiente de Seguridad” Actividad 1.3 Resaltar el Valor del Negocio y “Plus” de Seguridad.

¿Qué hacer básico (recordatorio)? En el proceso de Análisis de Riesgos de la Metodología propuesta consta básicamente de seis elementos que son: los Procesos, los Activos de Información, las Amenazas identificadas, las Vulnerabilidades identificadas, el nivel de Riesgo aceptado y las medidas de mitigación o controles seleccionados. Con el anterior enfoque, el proceso de análisis se basa en los principios de:

• Integridad. • Confidencialidad. • Disponibilidad.



Forma de Aplicación de la Actividad. Lo que se busca con la Implantación de un Medio Ambiente de Seguridad de la Información, es tener las bases para diseñar e implementar un sistema de Gestión de Seguridad de la Información basado con enfoque Sistémico que permita administrar los Riesgos de Seguridad de la Información. Además de lo anterior, también servirá para alinear los esfuerzos hacia el cumplimiento de los objetivos de la Empresa, los cuales se identificarán en la Fase II Conocimiento del Medio Ambiente, o incluso alinearlo con un enfoque hacia el cliente. Actividad 1.4 Identificar el Contexto Nacional de la Seguridad de Información.

¿Qué hacer básico (recordatorio)? En el tema de Seguridad y Protección de Información en las Instituciones nacionales principalmente bancarias, se está tomando crecientemente mayor conciencia del Riesgo en el tema, y se están adoptando también medidas y estándares de prácticas globales que aplican y operan en otros países con mayor eficacia para la mitigación del Riesgo operativo, tecnológico y legal.

Recomendación de acuerdo al Contexto Nacional. La recomendación para mantener, mejorar y fortalecer la protección al interior de Empresa para el 2008; así como, para responder eficazmente ante un Riesgo materializado es:

1. Focalizar renovados esfuerzos en programas de Concienciación sobre prevención y seguridad hacia los empleados y clientes.

2. A la par del punto anterior la aplicación y seguimiento puntual de las normas y proyectos que existan en la institución.

3. Un Análisis e interpretación acerca de tendencias en materia de Seguridad

de Información.

4. Conocimiento y apoyo de la alta gerencia dentro de las Instituciones para mantener como prioridad el tema de Seguridad en la agenda de negocios.



Actividad 1.5 Comprometer a la dirección en el Análisis de Riesgo.

¿Qué hacer básico (recordatorio)? Cualquier impacto o nivel de Riesgo es aceptable siempre y cuando la dirección la conoce y acepta de manera formal. Si el Impacto y/o Riesgo está por encima de lo aceptable, se puede:

1. Eliminar el Activo; suena muy fuerte, pero a veces existen Activos que simplemente no vale la pena mantener.

2. Introducir nuevas medidas y mejoras a la Seguridad para fortalecer las existentes.

Forma de Comprometer a la Dirección. En este primer Nivel el resultado, es tener por escrito el compromiso y el apoyo de la Alta Dirección, éste no implica que las Medidas de Seguridad recomendadas sean totalmente aceptadas; estas deberán ser discutidas y evaluadas durante: el Análisis, Evaluación, Diagnóstico de los Riesgos en la Organización y/o Empresa. Actividad 1.6 Establecer contactos y equipo de trabajo.

Durante el desarrollo del proyecto de Análisis de Riesgos en los Sistemas de Información desde el inicio hasta el final, uno de los factores de éxito es tener bien definido los contactos y sus niveles dentro de la Organización o Empresa de los cuales podemos identificar los siguientes:

• Comité de Dirección. • Comité de seguimiento. • Equipo de proyecto. • Director de proyecto.



Resultado Obtenido. La “Empresa C.E.”, cuenta con un total de 25 empleados, para lo cual el establecimiento de los equipos en forma general, se conformó de la siguiente manera:

• Comité de Dirección. o Director General. o Director del Proyecto.

• Comité de seguimiento.

o Administrador General. o Gerente de Consultoría.

• Equipo de proyecto.

o Gerente de Soporte. o Gerente de Desarrollo. o Gerente de Producción. o Gerente de Capacitación.

• Director de proyecto.

o Director y responsable global. Sin olvidar, en el caso que corresponda, se podrá consultar o requerir la participación de otras personas en todos los niveles.



4.2 Aplicación de la: Fase II. Conocimiento del Medio Ambiente.


Para el proyecto de Análisis de Riesgos en los Sistemas de Información, es necesario conocer previamente en términos generales, la naturaleza del problema en cuestión, por tal motivo es necesario investigar los antecedentes de la situación a tratar, lo cual nos permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema, así como sus elementos y sus relaciones fundamentales que serán objeto de estudio. Así que, un punto a satisfacer es el conocimiento de la Empresa. Para tal fin es necesario conocer sus orígenes, razón de ser, su marco normativo, hacia donde se dirige, qué espera hacer y cómo lo hace. Es decir, se requiere conocer su: visión, misión, políticas, plan y estrategia correspondiente, los objetivos a cumplir para esos fines, las funciones que definen lo qué se hace y sus correspondientes actividades y/o procesos que permiten hacerlo. Para tal fin, se requiere llevar a cabo las siguientes actividades:



Actividad 2.1 Identificar la misión, visión, objetivos, planes, políticas y estrategias.

¿Qué hacer básico (recordatorio)? Obtener o definir la: visión, misión, planes, estrategias, políticas, funciones y actividades en general de la Empresa o Institución, donde se desarrollará el Análisis o Evaluación de Riesgos.

Información Obtenida.

Misión: Es apoyar a las empresas, bancos, instituciones financieras y gubernamentales con servicios especializados para sus áreas de Banca y Comercio Electrónico, ofreciéndole una respuesta efectiva a las necesidades de cada empresa y su mercado.

Experiencia de Empresa Comercio Electrónico. Consultoría

• “Empresa C.E.”, tiene amplia experiencia en la investigación de mercados, diseño, comercialización e implantación de servicios financieros, Banca y Comercio Electrónicos y Pagos, tanto desde el lado del proveedor como del usuario.

• También ha apoyado la reingeniería de productos y procesos en el sector financiero

Desarrollo de Proyectos informáticos

• “Empresa C.E.”, cuenta con una amplia experiencia en la planeación e integración de proyectos informáticos en los sectores financiero y comercial y en los últimos años se ha especializado en sistemas transaccionales en Internet.


• “Empresa C.E.”, se distingue por ser el pionero y líder en la planeación, desarrollo y hospedaje de sitios de Comercio Electrónico

– Hasta la fecha ha desarrollado más de 200 sitios de Comercio Electrónico

– Empresa de Comercio Electrónico, mantiene un laboratorio de desarrollo que monitorea los avances tecnológicos; analiza las tendencias del mercado; evalúa tecnologías emergentes y desarrolla nuevas aplicaciones



Capacitación

• “Empresa C.E.”, anualmente, ha organizado los Congresos y Expos sobre Comercio Electrónico, Banca Electrónica, Seguridad Informática y Finanzas para tesoreros, que son ya una tradición en nuestro país

– A dichos eventos han asistido más de 14,000 participantes y se han presentado más de 350 conferencias impartidas por renombrados conferencistas nacionales e internacionales.

• Ha impartido diversos cursos y talleres sobre Comercio Electrónico, Servicios Financieros, Pagos y Cobranzas, Seguridad y Banca Electrónica

Actividad 2.2 Identificar actividades y procesos críticos.

¿Qué hacer básico (recordatorio)? Obtener o definir: procesos críticos y/o actividades para el cumplimiento de las funciones de las áreas de la Empresa.

Información Obtenida. Soporte técnico y estratégico

• “Empresa C.E.”, tiene un servicio de atención telefónica para consulta de dudas y problemas sobre la operación de la Tienda Virtual.

• “Empresa C.E.”, también puede apoyar a sus clientes en la selección de proveedores y resolución de problemas de índole estratégico tales como los de marketing, entrega, cobranza, empaque, seguros, fianzas etc.

E-Marketing

• “Empresa C.E.”, se mantiene permanentemente actualizada para poder asesorar a sus clientes en diseño de sus estrategias de marketing por Internet (registro en buscadores, presencia en portales, publicidad y banners, e-mail, monitoreo de tráfico y resultados, interacción con el cliente, diseño, ergonomía, etc.).

• “Empresa C.E.”, puede brindar cursos y talleres prácticos para capacitar a sus clientes en las técnicas y herramientas de e-marketing y en la elaboración sus planes de negocios.



Optimización en Buscadores

• Los sistemas de la tienda virtual de “Empresa C.E.”, integran la tecnología para aumentar las ventas de las tiendas virtuales mediante un óptimo registro y posicionamiento en los buscadores (“Google”, “Yahoo”, “MSN”, etc.).

• La tienda virtual de manera automática genera la información para registrar

a “LA-EMPRESA” y además todos y cada uno de los departamentos, categorías y productos que comercializa. Las técnicas que aplica ayudan a obtener un mejor posicionamiento dentro de los primeros lugares de los buscadores.

• Para lo anterior, “Empresa C.E.”, investiga y aplica manera permanente las

técnicas que aplican los sitios más avanzados, como Amazon, para hacer mejoras en este aspecto.

“Empresa C.E.”, ofrece los siguientes servicios para mantener el sitio operando y actualizado en condiciones óptimas:

• Infraestructura física (Hospedaje físico). • Infraestructura de sistemas (Hospedaje aplicativo). • Supervisión. • Respaldos. • Control de acceso y seguridad. • Reacción a contingencias. • Ajustes al contenido y disposición de los elementos existentes en el sitio. • Desarrollos adicionales bajo solicitud de proyecto.

“Empresa C.E.”, mantiene una infraestructura para que la Tienda Virtual opere en condiciones de alta Seguridad y Disponibilidad. En virtud de lo anterior, la disponibilidad estimada del servicio es superior al 99.5%.

• Mantiene la infraestructura de equipos, sistemas y telecomunicaciones para que la Tienda Virtual opere en condiciones óptimas.

• Subcontrata el hospedaje de sus servidores con empresas especializadas. – Cuentan con Infraestructura adecuada para garantizar la continuidad

del servicio a pesar de contingencias como caídas de luz, de acceso a Internet, etc.

– Tienen acceso controlado y Medidas de Seguridad contra cualquier Intrusión.



“Empresa C.E.”, mantiene la infraestructura de equipos, sistemas y telecomunicaciones para que la Tienda Virtual opere en condiciones óptimas.

• Sistemas de “FireWall” para control de acceso y protección contra intrusión (“hacking”).

• Servidores de cómputo para la Base de Datos, la Aplicación, Correo y el acceso a Internet.

• Servidores certificados de acceso seguro. • Conexión a Internet y equipo de comunicaciones. • Programas de cómputo requeridos para el funcionamiento y operación de

las tiendas virtuales.

Figura 4.2 Representación General del Sistema de la Empresa Comercio Electrónico.



Actividad 2.3 Obtener una representación general de la Empresa.

¿Qué hacer básico (recordatorio)? Obtener el marco organizacional u organigrama de la Empresa o Institución, así como, su relación entre áreas.


Figura 4.3 Organigrama en Empresa Comercio Electrónico.




Relación entre Áreas.

Estableciendo la relación entre las Áreas o Departamentos de la Empresa de Comercio Electrónico en una tabla para una mejor lectura y comprensión.

Tabla 4.0 Relación Entre áreas de la Empresa de Comercio Electrónico.

Área/Relación � � Consultoría Comercio Electrónico Capacitación Administración Ventas Dirección

Consultoría �� Asesoría-Retroalimentación �� Retroalimentación

�Herramientas de trabajo - �Asesoría

�Clientes - �Asesoría �� Retroalimentación


�� Asesoría-Retroalimentación

�Soporte - �Capacitación

�Herramientas de Trabajo - �Soporte

�Clientes - �Soporte �� Retroalimentación

Capacitación �� Retroalimentación �Soporte -

�Capacitación

�Herramientas de trabajo –

�Capacitación

�Clientes - �Capacitación

�� Retroalimentación

Administración �Herramientas de trabajo - �Asesoría

�Herramientas de trabajo - �Soporte

�Herramientas de trabajo –

�Capacitación

�Clientes – �Herramientas de

trabajo �� Retroalimentación

Ventas �Clientes - �Asesoría �Clientes - �Soporte�Clientes -

�Capacitación

�Clientes – �Herramientas de

trabajo �� Retroalimentación

Dirección �� Retroalimentación �� Retroalimentación �� Retroalimentación �� Retroalimentación �� Retroalimentación

En la Tabla 4.0 Relación entre áreas de la “Empresa C.E.”, se indica a continuación:

• � La cual representa que el flujo entre Área/Relación esta en forma horizontal a Vertical.

• � Representa que el Área/Relación esta de Vertical a Horizontal. • � � Muestra que la relación es en ambas direcciones.

Cabe hacer mención que, se utiliza la nomenclatura Tabla 4.0, para respetar la correspondencia directa que existe entre la Metodología Propuesta del Capítulo 3 con la de la Aplicación del Capítulo 4; es decir, que la tabla 3.1, corresponde directamente a la tabla 4.1., y en este caso particular la Tabla 3.0, no existe. Fue colocada de esta manera para obtener en forma clara y rápida las Relaciones entre las áreas de la “Empresa C.E.”



Contexto Espacio. La ubicación de la Empresa de caso en Estudio es en México.

Figura 4.4 Contexto Espacio – País

México.

Figura 4.5 Contexto Espacio – Estado –

México, Distrito Federal

En la Zona Centro de México, Distrito Federal.

Figura 4.6 Contexto Espacio – México, Distrito Federal Zona Centro.

La ubicación de la Oficinas de la Empresa de Comercio Electrónico, en las afueras de la Zona Centro de la Ciudad de México, permite tener un desplazamiento aceptable a cualquier punto de la ciudad y Área Metropolitana.



Actividad 2.4 Recopilar información critica o de valor al Negocio.

¿Qué hacer básico (recordatorio)? Identificar y recopilar todo tipo de documentación o información, formatos de archivos/bases de datos, documentos, formas, entrevistas, estadísticas de todo tipo, efectuar observaciones de campo, etc. Todo ello, con respecto al sistema(s) actual(es). (Es decir, ¿Qué datos o información existe?, en el(los) sistema(s)).

Información Obtenida. Empresa de Comercio Electrónico, ofrece servicios en consultoría, desarrollo, hospedaje y capacitación en diversos aspectos del Comercio Electrónico.

• Consultoría en la planeación de sus proyectos de Comercio Electrónico.

• Diseño y desarrollo de soluciones de Comercio Electrónico, conforme a las necesidades y características particulares de cada empresa.

• Hospedaje y operación de las soluciones de sitios de Comercio Electrónico

– Hospedaje – Pruebas – Monitoreo – Respaldos

• Asesoría para seleccionar otros apoyos para el Comercio Electrónico

– Cobranza y pagos – Envíos – Empaque – Mercadeo – Diseño – Registro

• Capacitación en diversos aspectos de Comercio Electrónico

– E-Business e E-Commerce – Tiendas virtuales – E- Marketing – Seguridad y pagos

• Servicios de apoyo en E-Marketing.



Para poder establecer una Estrategia de operación de una Tienda Virtual, la “Empresa C.E.” usa la siguiente: “Figura 4.7 El Ciclo del Comercio Electrónico”, con todos sus clientes, con la finalidad de que éstos, tengan una Tienda Virtual, con los argumentos suficientes, claros y precisos para poder establecer una forma de comercialización de los productos de los clientes de la Empresa de Comercio Electrónico.

Figura 4.7 El Ciclo del Comercio Electrónico.

La Figura 4.7 El Ciclo del Comercio Electrónico, da una idea general desde la definición de objetivos, propuesta de Valor, desarrollo, ejecución y la evaluación, para que en base a los resultados obtenidos se entre en un ciclo de mejora continua. A partir de lo anterior, también se puede obtener una “Visión Rica”, ésta, con un Enfoque Sistémico, y poder obtener elementos, mismos que son claves durante el establecimiento de una Tienda Virtual para el Comercio Electrónico como lo muestra la Figura 4.8 Visión Rica del Comercio Electrónico.



Figura 4.8 Visión Rica del Comercio Electrónico La Figura 4.8, Visión Rica del Comercio Electrónico, representa un proceso que la “Empresa C.E.” sigue con todo cliente, que quiere o desea tener una Tienda Virtual y poder hacer Comercio Electrónico en la Web. La cual, es compleja debido al alto grado de organización que requiere para tener una operación óptima. El flujo se explica a continuación: La Empresa que, quiere tener una Tienda Virtual ilustra la situación general de la misma. Es decir, qué productos maneja y quiere comercializar a través de este medio, estrategias de negocio, etc. Para que en conjunto con las sugerencias de Consultoría se defina y establezca una Situación Actual. Lo anterior, definirá los Objetivos que la Empresa buscará conseguir con el establecimiento de la Tienda Virtual.



Los Objetivos, por definición derivan o sugieren Ampliar el Mercado, generar más ventas y un “Plus a los clientes” por el Comercio Electrónico; es decir, un “Valor agregado”. Además que, dichos objetivos, se definen de acuerdo a la Situación Actual, éstos últimos buscarán generar una Situación deseada que estará sujeta al Marco Legal y Normas establecidas en el país. Lo anterior, infiere como será el Comercio Electrónico; es decir, la forma de intercambiar bienes o servicios y después este, determinará la Forma de Operar el Comercio Web (Tienda Virtual), misma que estará delimitada por la Infraestructura Tecnológica y el Recurso Humano, estos dos últimos generarán Actividades de Comercio en la Empresa (que tiene una tienda virtual), para así obtener Resultados; además, de una Experiencia y Aprendizaje obtenido. Así, con la Evaluación de Resultados se obtendrán Conclusiones y Sugerencias, y así, confirmar si se están cumpliendo con los Objetivos que persigue la Empresa; además, de sugerir mejoras y cambios para la forma de hacer Comercio Electrónico con una mejora continua.

¿Qué datos o información existe?, en el(los) sistema(s)

Información Obtenida. Información detectada a proteger en el Proceso de Comercio de Electrónico:

• Información de clientes, como son: Datos personales y de pago, contactos, y otros.

o Datos de Tarjetas de Crédito principalmente. • Informes de Ventas y detalles de pedidos. • Convenios entre Negocio – Negocio y promociones. • Estrategias de Negocio como son: mercadotecnia, logística, entre otras.

En la siguiente actividad, se definirá cual será el alcance del proyecto:



Actividad 2.5 Definir alcance actual y futuro.

¿Qué hacer básico (recordatorio)? El alcance de Análisis de Riesgos; es decir, el conjunto de Sistemas y Activos de Información que son objeto de estudio, define en gran medida la duración del proyecto; por esta razón, deberá quedar establecido que es lo que se tendrá y quiere proteger.

Información Obtenida. Con las actividades de la Fase 2 terminadas y la descripción de los procesos críticos, se podrá inferir la siguiente información con mayor relevancia. Información detectada a proteger en el Proceso de Comercio de Electrónico:


o Datos de Tarjetas de Crédito. • Informes de Ventas y detalles de pedidos. • Convenios entre Negocio – Negocio y promociones. • Estrategias de Negocio como son: mercadotecnia, logística, entre otras.

Infraestructura Tecnológica con Información de Valor:

• Servidores de Bases de Datos. • Servidores de Aplicación y Motor de Tienda Virtual. • Servidores de Respaldos de Información así como del Motor de Tienda

Virtual. • Servidor de Correo y de Nombres de Dominio.

Recurso Humano:

• Administrador o Responsable de Tienda Virtual con acceso a Información de Clientes.

• Personal operativo con acceso a Información confidencial. • Personal de apoyo por parte de la Empresa de Comercio Electrónico con

acceso a la Información de Clientes de la Tienda Virtual.



4.3 Aplicación de la: Fase III. Análisis de Riesgo.


Una vez identificados todos los procesos, podremos establecer que Activos están involucrados y como se relacionan con la Información, con lo anterior, se podrá determinar el Impacto en los Sistemas de Información, también; se establece un espectro de Amenazas y sus Medidas de Prevención para reducir el Riesgo inherente. Para tal fin, se requiere llevar a cabo las siguientes actividades: Actividad 3.1 Identificación de Activos.

Una vez que se tienen identificados las funciones y procesos o actividades, se podrá identificar que Activos están relacionados con la Información de valor a proteger. Como primer punto se requiere conocer la Información de valor para la Empresa que se desee proteger, esta puede ser:

• Datos Financieros de todo tipo. • Estrategias de Mercadotecnia. • Cartera de clientes. • Datos confidenciales de clientes. • Datos de Personal de la Empresa, principalmente de la Alta Dirección. • Datos estratégicos o de diseño de productos. • Datos confidenciales de proveedores. • Entre otros.



Información Obtenida. Información detectada a proteger en el Proceso de Comercio de Electrónico (Fase II):


o Datos de Tarjetas de Crédito. • Informes de Ventas y detalles de pedidos. • Convenios entre Negocio – Negocio y promociones. • Estrategias de Negocio como son: mercadotecnia, logística, entre otras.

La descripción de la Información detectada se detalla en la siguiente tabla:

Tabla 4.1: Tipo de Información a Proteger.

Tipo Información Descripción Medio de Almacenamiento Activo Directo

Información de clientes de Tienda Virtual.

Información de Clientes, Datos de Tarjeta de Crédito, datos confidenciales en General.

Electrónico Servidor de Base de Datos

Informes de Ventas y Pedidos de Tienda Virtual.

Estadísticas de Pedidos y ventas, así como detalle de pedidos.

Electrónico Servidor de Base de Datos

Convenios entre Negocio – Negocio

Convenios de Contratos y precios especiales por negocio.

Electrónico / Papel Servidor de Base de Datos / Documento (Papel)

Catalogo de Productos Información Técnica de Productos, de tipo confidencial.

Electrónico / Papel Servidor de Base de Datos / Catálogos (Papel)

Estrategias de Negocio

Como son: mercadotecnia, logística, entre otras


Datos Confidenciales de Proveedores.

Contactos de Proveedor, Precios especiales, etc.


Ahora para establecer cómo se relaciona la Información con el Área funcional para establecer la Relación.



Tabla 4.2: Relación de Información entre el Tipo de Información y Área Funcional en la Empresa de Comercio Electrónico.

Tipo Información / Función Con

sulto

ría

Cap

acita

ción

Com

erci

o El

ectr

ónic

o

Información de clientes de Tienda Virtual. √ √ Informes de Ventas y Pedidos. √ √ Convenios entre Negocio – Negocio √ √ Catalogo de Productos √ √ √ Estrategias de Negocio √ √ Datos Confidenciales de Proveedores. √ √

Para dejar más claro como es la relación se describe lo siguiente: Consultoría: Usa la Información en términos de proponer estrategias de negocio para la Tienda Virtual. Capacitación: Usa la Información para indicar al Administrador de la Tienda Virtual y Operativos como interpretar los Datos de Clientes y pedidos. Comercio Electrónico: Usa la información para fines de Soporte, Producción (Mantenimiento) y Desarrollo de nuevas funcionalidades. Ventas de la “Empresa C.E.”: No usa información de Clientes.



Para dejar más claro cuáles son la Actividades desatacadas de cada Área Funcional de la “Empresa C.E.”, entonces, se crea la siguiente tabla:

Tabla 4.3: Relación entre Área Funcional y Actividad.

Actividad / Área Funcional Con

sulto

ría

Com

erci

o El

ectr

ónic

o

Cap

acita

ción

Adm

inis

trac

ión

Vent

as

Atención a Clientes √ √ √ Cobranza y Pagos, contabilidad. √ √ Control de Acceso y Seguridad √ √ Desarrollo y Programación √ √ Evaluación y Pruebas de Proyectos √ √

Organización de Cursos y Talleres √ √ √ √ Servicios de Consultoría. √

Servicios de Apoyo y Marketing √ √ √ Soporte a Clientes √

Supervisión y monitoreo de Servidores √ Respaldos de Base de Datos √ Respaldo de Aplicaciones √

Donde: √ representa que está involucrada y forma parte de dicha actividad.



Tabla 4.4: Relación entre Personas o tipo de Personal de la Empresa de Comercio

Electrónico e Información.

Tipo Información / Personas o Tipo de Personal Pers

onal

de

Con

sulto

ría

Pers

onal

de

Cap

acita

ción

Pers

onal

de

Sopo

rte

Com

erci

o El

ectr

ónic

o

Pers

onal

de

Prod

ucci

ón C

omer

cio

Elec

trón

ico

Pers

onal

de

Des

arro

llo

Com

erci

o El

ectr

ónic

o

Información de clientes de Tienda Virtual. √ √

Informes de Ventas y Pedidos. √ √

Catalogo de Productos √ √ √ √

Convenios entre Negocio – Negocio √ √ √

Estrategias de Negocio √ √ √ √

Datos Confidenciales de Proveedores. √ √ √

Donde la √, indica que las Personas tienen acceso a la Información.



¿Qué hacer básico (recordatorio)? Durante de Análisis de Riesgos, el tener de manera actualizada los Inventarios de Sistemas y Activos, reducirá el tiempo de ejecución en gran medida, así como la actualización de datos.

Información Obtenida. En esta primera fase lo que realmente interesa es: Conocer que Activos son los que se tienen que proteger, y la importancia de estos; en las siguientes actividades, se llenará la documentación complementaria sugerida de la tabla 3.5, Documentación de Activo del Capítulo 3. Para esta actividad y no perder la nomenclatura, se agregará un número consecutivo a la tabla para la Documentación del Activo.

Tabla 4.5.1: Documentación de Activo – Servidor de Tiendas Virtuales.

Nombre del Activo Descripción breve del Activo: Clasificación del Activo

1. Servidor de Tiendas Virtuales

Servidor de Aplicación (Motor) de Tiendas Virtuales, contiene lo necesario para que funcione la tienda virtual.

AIN

Donde: AIN – Alto Impacto al Negocio. MIN - Medio Impacto al Negocio. BIN - Bajo Impacto al Negocio. Tabla 4.5.2: Documentación de Activo – Servidor de Base de Datos.

Nombre del Activo Descripción breve del Activo: Clasificación

del Activo 2. Servidor de

Base de Datos.

Servidor de Base de Datos de Tiendas Virtuales, contiene Información de Productos, Clientes, de Negocio como son: Datos de Envió, Formas de Pago, Promociones, y otros.

AIN

Donde: AIN – Alto Impacto al Negocio. MIN - Medio Impacto al Negocio. BIN - Bajo Impacto al Negocio.



Tabla 4.5.3: Documentación de Activo – Servidor de Servicios Web.


3. Servidor de Servicios Web (“Web Services”).

Servidor de Servicios Web, contiene básicamente aplicaciones que permite intercambio de Información con los Sistemas de Información del cliente, como son: Inventarios, Pedidos y Registros de Clientes.

BIN


Tabla 4.5.4: Documentación de Activo – Servidor de Nombres de Dominio.


4. Servidor de Nombre de Dominio (“DNS”).

Servidor de Nombres de Dominio (“DNS”), hace la resolución de los nombres de Domino, tanto para los clientes que tienen Tienda Virtual como para la “Empresa C.E.”

MIN


Tabla 4.5.5: Documentación de Activo – Servidor de Correo Electrónico (“Email”).


5. Servidor de Correo Electrónico (“Email”).

Servidor de Correo Electrónico (“Email”), contiene las cuentas (Buzones) de Correo Electrónico para las empresas que tienen Tienda Virtual y la “Empresa C.E.”

MIN




Tabla 4.5.6: Documentación de Activo – “Firewall”.

Nombre del Activo Descripción breve del Activo: Clasificación

del Activo 6. “Firewall” Dispositivo Basado en “Hardware” y “Software”, que sirve

como protección del perímetro de la Red. Además contiene las reglas de Red de los Servidores como son: Servidor de Tienda Virtual, de Base de Datos, de Correo, de DNS, de Servicios Web y de Correo Electrónico.

AIN

Donde: AIN – Alto Impacto al Negocio. MIN - Medio Impacto al Negocio. BIN - Bajo Impacto al Negocio. Actividad 3.2 Identificación de Amenazas.

¿Qué hacer básico (recordatorio)? El siguiente paso, es la identificación de Amenazas que pueden afectar los Activos, éstos, previamente identificados en los puntos anteriores, principalmente va a ser de interés todo aquello que pueda afectar o causar un daño ya no sólo a cada Activo; si no también, a la operación del negocio como tal. Recordar que, el Activo es el elemento que la Seguridad de Información que se busca proteger. Los Activos poseen valor para la empresa y como consecuencia de ello, necesitan recibir una protección adecuada para que el negocio no sea afectado. Los Activos pueden ser: (Ver Anexo A - [Dillard, Pfost, Ryan, 2006])

• Los Sistemas de Información. • Los equipos o dispositivos y Software que la soporta (infraestructura en

general). • Las personas que la utilizan. • Procesos, actividades y/o tareas críticas. • Los recursos financieros. • La imagen y prestigio de la organización. • Entre otros.

Las Vulnerabilidades (Anexo B), son los elementos que, al ser explotados por Amenazas (Anexo C), afectan la confidencialidad, disponibilidad e integridad de información de un individuo o Empresa. Uno de los primeros pasos para Implementación de esquemas de seguridad es rastrear y eliminar las Vulnerabilidades del Sistema o Activo de Información.



Información Obtenida. Para cada de uno de los Activos se hará la identificación de Amenazas, usando la 3.5 Documentación del Activo referenciadas a las Tablas 4.5.N, ya que no se pueden presentar en una sola página. Donde N, es el número consecutivo del Activo a Proteger.

Tabla 4.5.1: Documentación de Activo – Servidor de Tiendas Virtuales. Nombre del Activo Descripción breve del Activo: Clasificación

del Activo 1. Servidor de Tiendas Virtuales


AIN

Para Activo – Servidor de Tiendas Virtuales completar lo siguiente: Capa o Nivel de Defensa



Físico Robo o perdida de Servidores Acceso de Personas Mal Intencionadas. Cables, tarjetas de red u otros

dispositivos Por error humano o falla del dispositivo

Aplicación Interrupción del Servicio “Web” Falla de sistema operativo o Servicio “Web” Modifica o Elimina código de Tiendas

Virtuales Permisos mal establecidos o Personal mal intencionado

“SQL Injection” Vía “URL” Ejecución de Código Remoto. Vía “URL y Web” Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y

Microonda Por error humano o falla del dispositivo

Alto flujo de accesos en las tiendas Por error humano, o ataque de “Hacker” Datos Acceso a Datos a Confidenciales de

Clientes, pedidos y ventas por medio de Tienda Virtual

Vía “URL” Usando alguna Técnica de Intrusión.




Tabla 4.5.2: Documentación de Activo – Servidor de Base de Datos.

Nombre del Activo Descripción breve del Activo: Clasificación del

Activo 2. Servidor de Base de Datos.


AIN

Para Activo – Servidor de Base de Datos completar lo siguiente: Capa o Nivel de Defensa





Aplicación Pérdida del control de consolas del Servidor de Base de Datos

Por error humano o falla del dispositivo

Fallas del Servidor de Base de Datos Falla de sistema operativo o Servicio de Base de Datos

Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y


Alto flujo de accesos en las tiendas Por error humano, o ataque de “Hacker” Datos Acceso a bases de datos Permisos mal establecidos o Personal mal

intencionado Modifica o Elimina bases de datos Permisos mal establecidos o Personal mal

intencionado Donde: AIN – Alto Impacto al Negocio. A – Alto MIN - Medio Impacto al Negocio. M - Medio BIN - Bajo Impacto al Negocio. B – Bajo







BIN

Para Activo – Servidor de Servicios “Web” completar lo siguiente: Capa o Nivel de Defensa





Aplicación Interrupción del Servicio “Web” Falla de sistema operativo o Servicio “Web” Modifica o Elimina código de Tiendas

Virtuales Permisos mal establecidos o Personal mal intencionado

“SQL Injection” Vía “URL” Ejecución de Código Remoto. Vía “URL y Web” Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y


Alto flujo de accesos en las tiendas Por error humano, o ataque de “Hacker” Datos Acceso a Datos a Confidenciales de

Clientes, pedidos y ventas por medio del Servicio “Web”







Activo 4. Servidor de Nombre de Dominio (“DNS”).


MIN

Para Activo – Servidor de Nombres de Dominios completar lo siguiente: Capa o Nivel de Defensa





Aplicación Pérdida del control de consolas del Servidor de Dominios

Permisos mal establecidos o Personal mal intencionado

Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y


Sin acceso en las tiendas por medio del Nombre de Dominio

Por error humano, o ataque de “Hacker”

Donde: AIN – Alto Impacto al Negocio. A – Alto MIN - Medio Impacto al Negocio. M - Medio BIN - Bajo Impacto al Negocio. B – Bajo





Activo 5. Servidor de Correo Electrónico (“Email”).


MIN

Para cada Activo completar lo siguiente: Capa o Nivel de Defensa





Aplicación Pérdida del control de consolas del Servidor de Correo


Suplantación de Correo Por error humano, o ataque de “Hacker” Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y


Sin acceso en Correo Electrónico Por error humano, o ataque de “Hacker” Donde: AIN – Alto Impacto al Negocio. A – Alto MIN - Medio Impacto al Negocio. M - Medio BIN - Bajo Impacto al Negocio. B – Bajo





Activo 6.“Firewall” Dispositivo Basado en “Hardware” y “Software”, que sirve como

protección del perímetro de la Red. Además contiene las reglas de Red de los Servidores como son: Servidor de Tienda Virtual, de Base de Datos, de Correo, de DNS, de Servicios Web y de Correo Electrónico.

AIN




Físico Robo o perdida de Servidores Acceso de Personas Mal Intencionadas. Cables, tarjetas de red u otros dispositivos Por error humano o falla del dispositivo Aplicación Pérdida del control de consolas del

“Firewall” Permisos mal establecidos o Personal mal intencionado

Sin Acceso a Servidores Internos de Red Por error humano, o ataque de “Hacker” Servidor Pérdida de Control del Servidor Por error humano o falla del dispositivo Red Fallas de Conexión. Fibra óptica y


Sin acceso en Correo Electrónico Por error humano, o ataque de “Hacker” Donde: AIN – Alto Impacto al Negocio. A – Alto MIN - Medio Impacto al Negocio. M - Medio BIN - Bajo Impacto al Negocio. B – Bajo



Actividad 3.3 Determinación del Impacto.

¿Qué hacer básico (recordatorio)? Para determinar el impacto al Activo (importancia), se pueden consideran múltiples factores. Por ejemplo, para determinar el Valor de un “Servidor de Base de Datos”, no sólo basta calcular o estimar el Valor que representa la información para el negocio, si no también que tanto influye en la operación de la Empresa. Además, de todos los costos inherentes como son: costo del servidor (hardware), Software (Licencias de uso), instalación y mantenimiento del mismo


Tabla 4.8 Determinación de Impacto (importancia) Costo del Valor del Activo.

Valores en $ x 1000 (Suma)

Impacto al Negocio

(X) Impacto

(en $)

Activo / Factor

Dis

posi

tivo

(Har

dwar

e)

Sist

ema

Ope

rativ

o

Apl

icac

ione

s Es

peci

ales

- So

ftwar

e

Ant

iviru

s

Inst

alac

ión

Man

teni

mie

nto

Anu

al AIN=10,

MIN=5 y BIN=2

Por cada Activo

1. Servidor - Tiendas Virtuales

30 15 250 1.5 20 140 10 1716.5

2. Servidor - Base de Datos

30 15 20 1.5 10 100 10 1076.6

3. Servidor - Servicios Web

25 10 40 1.5 5 30 5 231.5

4. Servidor - Nombres de Dominio

15 10 0 1.5 3 15 5 104.5

5. Servidor - Correo Electrónico

20 10 10 1.5 3 15 5 119.5

6.“Firewall” 15 10 30 1.5 7 15 10 785

Impacto

Total: 4033.7

Precios en M.N., de acuerdo a Información Proporcionada por la “Empresa C.E.”

En la Tabla 4.8, se muestra el costo por activo para determinar su importancia en la Empresa.



Actividad 3.4 Identificación de las Medidas de Prevención.

¿Qué hacer básico (recordatorio)? Para definición de las Medidas de Prevención se pueden utilizar las tablas Activo – Amenaza, con el fin de identificar todas las vulnerabilidades posibles, una vez obtenida esta información se podrán encontrar las Medidas Preventivas más adecuadas al contexto de la Empresa u Organización. Aunque para la selección de las medidas de Prevención se deberá de considerar la Importancia de la Información, el Valor del Activo y la capacidad de implantación para estas medidas propuestas.



Información Obtenida. Para cada de uno de los Activos se hará la identificación de Amenazas, usando la 3.5 Documentación del Activo referenciadas a las Tablas 4.5.N, donde N, es el número consecutivo del Activo a Proteger.

Tabla 4.5.1: Documentación de Activo – Servidor de Tiendas Virtuales. Nombre del Activo Descripción breve del Activo: Clasificación

del Activo 1. Servidor de Tiendas Virtuales


AIN

Para Activo – Servidor de Tiendas Virtuales completar lo siguiente: Capa o Nivel de Defensa




Descripción de Medidas de Seguridad.

Físico Robo o perdida de Servidores

Acceso de Personas Mal Intencionadas.

B Transferido a Tercero

Cables, tarjetas de red u otros dispositivos


M Dispositivos redundantes

Aplicación Interrupción del Servicio “Web”

Falla de sistema operativo o Servicio “Web”

M Revisión y Actualización periódica.

Modifica o Elimina código de Tiendas Virtuales


B Revisión de Permisos y Concienciación Periódica

“SQL Injection” Vía “URL” A Escaneo de “URL” y validación de Entradas

Ejecución de Código Remoto.

Vía “URL y Web” A Escaneo de “URL” y validación de Entradas

Servidor Pérdida de Control del Servidor


M Revisión de Dispositivos y Concienciación Periódica

Red Fallas de Conexión. Fibra óptica y Microonda


M Transferido a Tercero

Alto flujo de accesos en las tiendas


A Sistema de Detección de Intrusos (IDS)

Datos Acceso a Datos a Confidenciales de Clientes, pedidos y ventas por medio de Tienda Virtual


A Sistema de Detección de Intrusos (“IDS”) y Escaneo de “URL”




Tabla 4.5.2: Documentación de Activo – Servidor de Base de Datos.


Activo 2. Servidor de Base de Datos.


AIN

Para Activo – Servidor de Base de Datos completar lo siguiente: Capa o Nivel de Defensa











Aplicación Pérdida del control de consolas del Servidor de Base de Datos



Fallas del Servidor de Base de Datos

Falla de sistema operativo o Servicio de Base de Datos











Datos Acceso a bases de datos



Modifica o Elimina bases de datos










BIN

Capa o Nivel de Defensa











Aplicación Interrupción del Servicio “Web”

Falla de sistema operativo o Servicio “Web”


Modifica o Elimina código de Tiendas Virtuales



“SQL Injection” Vía “URL” A Escaneo de “URL” y validación de Entradas

Ejecución de Código Remoto.

Vía “URL y Web” A Escaneo de “URL” y validación de Entradas










Datos Acceso a Datos a Confidenciales de Clientes, pedidos y ventas por medio del Servicio “Web”


A Sistema de Detección de Intrusos (“IDS”) y Escaneo de “URL”

Donde:

AIN – Alto Impacto al Negocio. A – Alto MIN - Medio Impacto al Negocio. M - Medio BIN - Bajo Impacto al Negocio. B – Bajo





4. Servidor de Nombre de Dominio (“DNS”).


MIN

Para Activo – Servidor de Nombres de Dominios completar lo siguiente: Capa o Nivel de Defensa











Aplicación Pérdida del control de consolas del Servidor de Dominios









Sin acceso en las tiendas por medio del Nombre de Dominio


A Sistema de Detección de Intrusos (“IDS”) y Revisión Periódica.






Activo 5. Servidor de Correo Electrónico (“Email”).


MIN












Aplicación Pérdida del control de consolas del Servidor de Correo



Suplantación de Correo Por error humano, o ataque de “Hacker”

A Sistema de Detección de Intrusos (“IDS”)







Sin acceso en Correo Electrónico








Activo 6.“Firewall” Dispositivo Basado en “Hardware” y “Software”, que sirve como

protección del perímetro de la Red. Además contiene las reglas de Red de los Servidores como son: Servidor de Tienda Virtual, de Base de Datos, de Correo, de DNS, de Servicios Web y de Correo Electrónico.

MIN












Aplicación Pérdida del control de consolas del “Firewall”



Sin Acceso a Servidores Internos de Red


A Sistema de Detección de Intrusos (“IDS”)







Sin acceso en Correo Electrónico






¿Qué hacer básico (recordatorio)? Aunque para la selección de las medidas de Prevención se deberá de considerar la Importancia de la Información, el Valor del Activo y la capacidad de implantación (en donde sea posible) para estas medidas propuestas.

Información Obtenida. De la Tabla 4.8 Determinación de Impacto, se obtienen los siguientes valores:

Impacto al Negocio (X)

Impacto (Valor en $)

Activo / Factor AIN=10, MIN=5 y BIN=2 Por cada Activo X 1000

1. Servidor - Tiendas Virtuales AIN 1716.5

2. Servidor - Base de Datos AIN 1076.6

3. Servidor - Servicios Web MIN 231.5

4. Servidor - Nombres de Dominio MIN 104.5

5. Servidor - Correo Electrónico MIN 119.5

6.“Firewall” MIN 785

Tabla 4.9 Cruz de Importancia contra Impacto al Negocio.

AIN

6 1,2

MIN

3,4,5 Impacto

al Negocio

BIN

Bajo Medio Alto Muy Alto Nivel de Impacto Importancia o Valor del Activo

Donde: AIN – Alto Impacto al Negocio. Rojo: Nivel de Impacto Alto MIN - Medio Impacto al Negocio. Amarillo: Nivel de Impacto Medio BIN - Bajo Impacto al Negocio. Verde: Nivel de Impacto Alto



Actividad 3.5 Revisión de Pasos anteriores.

¿Qué hacer básico (recordatorio)? Es punto tiene como finalidad revisar en su conjunto la totalidad de los pasos anteriores.

Información Obtenida de la aplicación de la Metodología Propuesta en “Empresa C.E.” misma que sirve de resumen del Capítulo 4: Fase I. Concienciación. Actividad Descripción Status

1.1 Crear conciencia de la importancia de la Seguridad en los Sistemas de Información.

Concluida

1.2 Establecer la importancia del Análisis de Riesgos como eje de Seguridad.

Concluida

1.3 Resaltar el Valor del Negocio y “Plus” de Seguridad. Concluida 1.4 Identificar el Contexto Nacional de la Seguridad de

Información. Concluida

1.5 Comprometer a la dirección en el Análisis de Riesgo. Concluida 1.6 Establecer contactos y equipo de trabajo. Concluida

Fase II. Conocimiento del Medio Ambiente Actividad Descripción Status

2.1 Identificar la misión, visión, objetivos, planes, políticas y estrategias.

Concluida

2.2 Identificar actividades y procesos críticos. Concluida 2.3 Obtener una representación general de la Empresa. Concluida 2.4 Recopilar información crítica o de valor al Negocio. Concluida 2.5 Definir alcance actual y futuro. Concluida

Fase III. Análisis de Riesgo. Actividad Descripción Status

3.1 Identificación de Activos. Concluida 3.2 Identificación de Amenazas y Vulnerabilidades. Concluida 3.3 Determinación del Impacto. Concluida 3.4 Identificación de las Medidas de Prevención. Concluida 3.5 Revisión de Pasos anteriores En Proceso



Resumen del Capítulo: En éste Capítulo, se desarrollaron las tres primeras Fases de la Metodología Propuesta de acuerdo a cada una de las Actividades. Con esto se verifica la viabilidad de la Metodología para ser aplicada en PYMES, quedando como trabajo futuro el desarrollo de las siguientes Fases. En la Fase I. Concienciación, la forma práctica de establecer el punto de inicio fue a través de ejemplos, resaltando la importancia de la Seguridad en los Sistemas de Información, así, como resultado se obtuvo el compromiso de la Alta dirección para realizar la Fase II. Conocimiento del Medio Ambiente, donde se describen la misión, visión, objetivos y procesos críticos de la Empresa en cuestión. En la Fase III. Análisis de Riesgos; se ordenan los datos obtenidos para analizar sobre que activos deberá trabajarse, identificando las amenazas, vulnerabilidades y el Impacto, tanto de costo del Activo como de afectación en el Negocio y operación. Cumpliendo éstas tres fases con la parte marcada como Sensibilización. Ahora, para finalizar el documento de Tesis, en el siguiente Capítulo, se hará la valoración de Objetivos, Trabajos Futuros y las Conclusiones del trabajo de Tesis.



Capítulo 5.- Valoración de

Objetivos, Trabajos Futuros y

Conclusiones.

Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones. 107


En el Capítulo anterior, se aplicó la Metodología Propuesta para desarrollar la Fase I. Concienciación, Fase II. Conocimiento del Medio Ambiente hasta la Fase III. Análisis de Riesgos. Donde, se identifica la Información de importancia a proteger, determinación de Activos críticos, conocimiento del Medio Ambiente y los procesos involucrados con el manejo de dicha Información. Así mismo, se determinaron las Amenazas, Vulnerabilidades y el Impacto en el caso de estudio de los Sistemas de Información críticos para la Empresa. Ahora, en el presente Capítulo, se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta y por último, se presentarán las conclusiones de este trabajo 5.1 Valoración de Objetivos. 5.1.1 Valoración del Objetivo General. En este trabajo de Tesis se obtuvo una Metodología para hacer Análisis de Riesgos en Sistemas de Información que puede ser muy útil, para la Seguridad y Operación de una Empresa o Negocio. Con lo anterior, se observa que la Metodología Propuesta presentada cumple con los requerimientos de Operación de una Empresa detectados con anterioridad. El objetivo general presentado: “Proponer una Metodología con un enfoque sistémico para el apoyo al Análisis, Evaluación y Diagnóstico para la prevención de consecuencias de Riesgos en los Sistemas de Información en PYMES”; el cual se cumple a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos. Además, con la Metodología Propuesta se logró identificar, las necesidades, Activos de Información, Funciones, Personas y el Medio Ambiente en General donde se desarrolló y aplicó la Metodología hasta la Fase III. Lo anterior, basado en un Enfoque Sistémico para la Realización de Análisis de Riesgos y los tres pilares de Seguridad de la Información que son: Integridad, Disponibilidad y Confidencialidad. A continuación, se mostraran los objetivos específicos alcanzados al finalizar el presente proyecto de Tesis:



5.1.2 Valoración de Objetivos específicos. Se considera que los objetivos específicos en general, fueron cumplidos debido a que se realizó un trabajo para identificar los elementos involucrados en el proceso de Análisis de Riesgo en Sistemas de Información del entorno del caso en estudio. A continuación, se muestra una tabla referente a los objetivos específicos: Tabla 5.1 Valoración de Objetivos Específicos.

Objetivo a Verificar

¿Qué hacer? Objetivo Verificado ¿Qué se obtuvo?

Conocer el medio ambiente de la Seguridad de los Sistemas de Información en PYMES para identificar la prevención de consecuencias de Riesgos.

Permitió obtener una visión del Medio ambiente donde se desarrollo las tres primeras fases de la Metodología Propuesta, además de obtener más información referente al Tema de Seguridad de Información.

Analizar las Metodologías de análisis y evaluación de Riesgos de los Sistemas de Información en PYMES para efectuar una evaluación y diagnóstico de la situación actual de las mismas.

Fue fundamental el conocer bajo que Medio Ambiente que desenvuelve la Seguridad de la Información, bajo el contexto nacional e identificar el enfoque global bajo metodología y estándares existentes.

Implantar la metodología propuesta en una empresa real para evaluar su viabilidad inicial.

Se cumplió parcialmente ya que se desarrollo hasta la Fase III, pero sirvió para conocer una Empresa real bajo un enfoque Sistémico además de no diferir considerablemente entre la Metodología Propuesta y la Aplicación de la misma.

Diseñar una Metodología para el apoyo al Análisis, Evaluación y Diagnóstico para la prevención de consecuencias de Riesgos en los Sistemas de Información en PYMES

Fue el desarrollo del Capítulo III, donde se diseña una Metodología Propuesta con enfoque Sistémico, basado en los pilares de la Seguridad de Información que son: Disponibilidad, Confidencialidad e Integridad; además, de considerar los elementos involucrados que son: Personas, Procesos y Tecnología.

Además de la valoración de Objetivos, dentro de un Análisis de Riesgos en Sistemas de Información, existen otros factores que son críticos de éxito y son muy importantes, los cuales se describen a continuación:



5.1.3 Factores Críticos de Éxito para generar un Ambiente de Seguridad en Sistemas de Información:

• Entendimiento del negocio. o Es decir que hace y como lo hace.

• Darle un sentido de negocio a la Seguridad, alineando los esfuerzos hacia el cumplimiento de los objetivos estratégicos de la Empresa.

• No forzar las prácticas y modelos genéricos, incluso utilizados en otras Compañías para acomodarse en el ambiente operativo la Empresa en Estudio.

o Cada Organización tiene sus particularidades y Riesgos. o Si algo funcionó en una Organización no necesariamente funcionará

en todas. • Basar nuestras acciones en un enfoque de riesgos y no de controles. • Equilibrio de acciones entre: Tecnología, Procesos y Personas.

5.2 Trabajos Futuros: Dentro de las posibilidades de crecimiento de la Metodología Propuesta, existen varias, sobre todo si se consideran que se pueden considerar otras guías de Especificaciones Técnicas dentro de los Sistemas de Información. Recordando que, los Sistemas no sólo son Sistemas Información Basados en computadoras sino también por ejemplo, la forma de cómo se lleva un proceso basado en papel. Para lo cual se proponen los siguientes trabajos futuros.

• Elaboración de una guía de especificación Técnica anexa, de acuerdo a la norma 27001.

• Fomentar y Difundir la práctica de Análisis de Riesgos para la planeación de Sistemas de Seguridad en general en las PYMES.

• Desarrollar las siguientes Fases de la Metodología Propuesta ya que sólo se desarrolló hasta la Fase III.

• Posibilidad de anexar un programa de concienciación y/o de cómo fomentar el cambio de la personas en las Empresas.

• Analizar desde otras perspectivas el flujo de las Fases de la Metodología Propuesta así como la representación de la misma.



5.3 Conclusiones: Básicamente, se obtienen dos tipos: una que refiere a materia de Seguridad y otra sobre la realización del presente trabajo de Tesis. 5.3.1 Conclusiones sobre Seguridad de Información.

• El diseño de una Arquitectura de Seguridad depende sustancialmente de un Análisis, Evaluación y Diagnóstico del Riesgo.

• No existe un modelo único por industria para el establecimiento de una Arquitectura de Seguridad, lo que le sirve a una Organización no necesariamente será así para otra.

• Una Arquitectura de Seguridad con un diseño sólido será un factor muy

importante a considerarse en la Estrategia del Negocio

• La inversión en una Arquitectura de Seguridad puede ser alta, por lo que todo componente deberá estar justificado en términos de costo beneficio.

• Se deben establecer métricas para conocer el desempeño de la

Arquitectura de Seguridad

• Lo que se busca con la implementación de una Arquitectura de Seguridad de la información, es tener las bases para diseñar e implementar un Sistema de Seguridad de la Información en forma sustentable, que permita hacer la gestión de los Riesgos de Seguridad de la Información



5.3.2 Conclusiones sobre el Trabajo de Tesis.

• Al redactar el presente trabajo de tesis se integraron conceptos de diferentes áreas, los cuales tienen un papel fundamental para comprender y madurar ideas que interactúan a la mejora en varios los aspectos.

• Se considera muy importante conocer y saber aplicar la visión sistémica u holística, así como las metodologías involucradas en las diferentes etapas de realización del presente proyecto y de cualquier otro, ya que de esta manera se obtienen bases firmes, a partir de las cuales es posible obtener resultados congruentes y consecuentes que presentan un contenido comprensible en fondo y en forma.

• También se aplicaron conocimientos adquiridos en las diferentes asignaturas cursadas en el programa de posgrado que se estudió: “Maestría en Ciencias en Ingeniería de Sistemas”, y más que eso, representa una valiosa oportunidad para ampliar los conocimientos adquiridos durante la maestría combinado con la experiencia profesional.

• De manera particular y personal pienso que los conocimientos adquiridos

durante la Maestría como son: Metodologías, Técnicas y Herramientas, me han ayudado a tener un crecimiento profesional y mejor aun, con crecimiento humano (“mejor ser humano”), con capacidad de análisis y crítico. Mismo que deberá ser útil para impulsar al crecimiento a otras personas para así, mejorar el entorno que me rodea y de mi país.



Bibliografía

Bibliografía. 113


Bibliografía: [Aceituno, 2006] Aceituno V., “Seguridad de la Información”. Expectativas, riesgos y técnicas. 2006 Editorial: Limusa. [Aguirre, Delgado, 2008] Aguirre R., Delgado J., “Taller ISO 27000 v2008” 5,7,8 y 9 de Julio 2008, Ma. Isabel Sheraton Cd. De México. Info Security Forum 2008 [Checkland, 2005] Checkland P., “Pensamiento de Sistemas, Práctica de Sistemas / Systems Thinking, Systems Practice” - (Paperback - Junio 2005) [Dillard, Pfost, Ryan, 2006] Dillard K., Pfost J., Ryan S,. “The Security Risk Management Guide”. Microsoft Solutions for Security and Compliance. © 2006 Microsoft Corporation, USA. [Galindo, 2005] Galindo L., “Una Metodología para el Desarrollo y Redacción de un Proyecto de Maestría”. Memorias del 1er Congreso Internacional de Metodología de la Ciencia y de la Investigación para la Educación; Instituto Tecnológico de Sonora y Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C., 12 de Enero, Ciudad Obregón, Sonora. Pp. 1505-1522. [Galindo, 2006] Galindo L., “Una Metodología para la Planeación Estratégica de Sistemas de Información”. Memorias del Segundo Congreso Internacional de Metodología de la Ciencia y de la Investigación para la Educación; Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y ESIME Unidad Culhuacán IPN. México D. F. México, Mayo 2006 [ISO 17799, 2005] “Tecnología de la Información – Técnicas de seguridad – Código para la práctica para la gestión de la seguridad de la información.” Estándar Internacional ISO-IEC 17799. 2005 [Machado, 2003] Machado C., “Evaluación de Procesos y Riesgos”. PRISMA Consulting, México, 2003 [MAGERIT, 2006] Ministerio de Administración Pública (España), “Metodología de Análisis y Gestión de Riesgos en Sistemas de Información”. Catalogo General de Publicaciones Oficiales. http://publicaciones.administración.es (Fecha de Consulta:24/10/2007) [Palma, 2007] Palma A., “Análisis y Evaluación de Riesgos en TI” Capítulo V. Artículos sobre Seguridad Informática. Estudio de Percepción de Seguridad en Informática, JFS, Joint Future Systems, México, 2007.

Bibliografía. 114


[Alberts, et al, 2003] Alberts C., Dorofee a., Stevens J., Woody C., (USA) “Introduction to the OCTAVE® Approach”, Carnegie Mellon: Software Engineering Institute, Pittsburg (USA), Agosto 2003. [Ramírez, 2008] Ramírez C., “Perspectiva de Inseguridad en México para el 2008”.PRISMA Consulting, Enero 2008. [Van Gigch, 1987] Van Gigch J. P,. “Teoría General de Sistemas”. Editorial Trillas, México D. F. MÉXICO, 1987. Referencias a Internet. http://www.microsoft.com/latam/technet/seguridad/ Microsoft TechNet. “Academia Latinoamericana de Seguridad Informática”. (Fecha de Consulta: 01/06/2008) http://www.navegaprotegido.org.mx Sitio de Sugerencias para navegar protegido en Internet. (Fecha de Consulta: 15/03/2007) http://www.cert.org.mx UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo) (Fecha de Consulta: 03/12/2006) http://www.securityfocus.com Comunidad de Profesionales de Seguridad de Información. (Fecha de Consulta: 04/12/2008) http://www.wikipedia.com Enciclopedia Libre en Internet. (Fecha de Consulta: 01/10/2008 - Constante) http://www.iso27000.es Portal ISO Serie 27000 en Español. (Fecha de Consulta: 11/07/2008)

Bibliografía. 115

Anexos

Anexo A: Activos Comunes Generales en Sistemas de Información. Este anexo es una lista de Activos en Sistemas de Información comúnmente encontrados en organizaciones de diferentes tipos. Éste listado no intenta ser comprensivo, y sólo representará los Activos que se pueden presentar en alguna organización de acuerdo a su medio ambiente. Es importante, que el implementador o Analista de Riesgos los personalice durante el desarrollo del proyecto, correspondiente. Lo anterior, proveerá una lista de referencia y un punto de inicio de ayuda dentro de la organización. Tabla A.1: Activos Comunes Relacionados con los Sistemas de Información. [Dillard, Pfost, Ryan, 2006]

Clase de Activo

Medio Ambiente de Tecnología de Información.

Nombre del Activo Rango de Activo

Nivel más alto de descripción del activo.

Siguiente nivel de definición. (Si es necesario)

Escala propuesta del Activo.

Tangible Infraestructura Física Data centers 5

Tangible Infraestructura Física Servidores de Aplicación, Bases de Datos.

3

Tangible Infraestructura Física Computadoras de Escritorio 1

Tangible Infraestructura Física Computadoras Móviles. 3

Tangible Infraestructura Física PDAs 1

Tangible Infraestructura Física Teléfonos Celulares 1

Tangible Infraestructura Física Software de Aplicación de Servidor

1

Tangible Infraestructura Física Software para Aplicación de Usuario Final

1

Tangible Infraestructura Física Herramientas de Programación

3

Tangible Infraestructura Física Ruteadores 3

Tangible Infraestructura Física Switches de red 3

Tangible Infraestructura Física Fax 1

Tangible Infraestructura Física PBXs 3

Tangible Infraestructura Física Medios Removibles (cintas, floppy disks, CD-ROMs, DVDs, disco duros portátiles, tarjetas de almacenamiento, Dispositivos USB de almacenamiento, etc)

1

Continuación - Tabla A.1: Activos Comunes Relacionados con los Sistemas de Información.

Tangible Infraestructura Física Suministros de Energía 3

Tangible Infraestructura Física Suministros in-interrumpibles de Energía

3

Tangible Infraestructura Física Sistemas de supresión de Fuego

3

Tangible Infraestructura Física Sistema de Aire acondicionado

3

Tangible Infraestructura Física Sistema de filtrado de Aire 1

Tangible Infraestructura Física Otros Sistemas de Control Ambiental

3

Tangible Red Interna de Datos Código Fuente 5

Tangible Red Interna de Datos Datos de Recursos Humanos.

5

Tangible Red Interna de Datos Datos financieros 5

Tangible Red Interna de Datos Datos de Mercadotecnia 5

Tangible Red Interna de Datos Contraseñas de Empleados. 5

Tangible Red Interna de Datos Llaves privadas criptográficas de empleados

5

Tangible Red Interna de Datos Sistemas de llaves Criptográficas de Computadoras

5

Tangible Red Interna de Datos Tarjetas Inteligentes 5

Tangible Red Interna de Datos Propiedad Intelectual 5

Tangible Red Interna de Datos Datos Requerimientos regulatorios (Directivas de Protección de datos)

5

Tangible Red Interna de Datos Números de Seguro Social de Empleados

5

Tangible Red Interna de Datos Números de Licencia de manejo de empleados

5

Tangible Red Interna de Datos Planes Estratégicos 3

Tangible Red Interna de Datos Reportes de crédito de clientes

5

Tangible Red Interna de Datos Customer medical records 5

Tangible Red Interna de Datos Identificadores Biométricos de Empleados

5

Tangible Red Interna de Datos Datos de Contactos de Negocio de Empleados

1

Tangible Red Interna de Datos Datos Contactos personales de Empleados

3


Tangible Red Interna de Datos Datos de órdenes de compra

5

Tangible Red Interna de Datos Diseño de Infraestructura de Red

3

Tangible Red Interna de Datos Sitios Internos Web 3

Tangible Red Interna de Datos Datos etnográficos de empleados

3

Tangible Red Externa de Datos Datos de Contratos con Socios

5

Tangible Red Externa de Datos Datos Financieros de Socios

5

Tangible Red Externa de Datos Datos de Contacto de Socios

3

Tangible Red Externa de Datos Aplicaciones de Colaboración de Socios

3

Tangible Red Externa de Datos Llaves criptográficas de Socios

5

Tangible Red Externa de Datos Reportes de crédito de Socios

3

Tangible Red Externa de Datos Datos de órdenes de compra de socios

3

Tangible Red Externa de Datos Datos de Contrato con proveedores

5

Tangible Red Externa de Datos Datos Financieros con Proveedores

5

Tangible Red Externa de Datos Datos de Contacto con Proveedores

3

Tangible Red Externa de Datos Aplicación de colaboración de proveedores

3

Tangible Red Externa de Datos Llaves criptográficas de proveedores

5

Tangible Red Externa de Datos Reportes de crédito con proveedores

3

Tangible Red Externa de Datos Órdenes de compra con proveedores

3

Tangible Datos de Internet Aplicaciones de ventas Web 5

Tangible Datos de Internet Datos de Mercadotecnia de Sitio Web

3

Tangible Datos de Internet Datos de Tarjeta de Crédito de Clientes

5


Tangible Datos de Internet Datos de Contacto de clientes

3

Tangible Datos de Internet Public cryptographic keys 1

Tangible Datos de Internet Press releases 1

Tangible Datos de Internet White papers 1

Tangible Datos de Internet Documentación de Producto 1

Tangible Datos de Internet Materiales de Entrenamiento

3

Intangible Reputación 5

Intangible Moral del empleado 3

Intangible Productividad del empleado 3

Servicios TI Mensajería E-mail 3

Servicios TI Mensajería Mensajes instantáneos 1

Servicios TI Mensajería Acceso a Correo por Web 1

Servicios TI Infraestructura Esencial Servicios de directorio active 3

Servicios TI Infraestructura Esencial Sistema de Nombres de Dominio (DNS)

3

Servicios TI Infraestructura Esencial Protocolo de Configuración Dinámica

(DHCP)

3

Servicios TI Infraestructura Esencial Herramientas de Administración Corporativa

3

Servicios TI Infraestructura Esencial Compartición de archivos 3

Servicios TI Infraestructura Esencial Almacenes 3

Servicios TI Infraestructura Esencial Acceso remote via telefónica

3

Servicios TI Infraestructura Esencial Telefonía 3

Servicios TI Infraestructura Esencial Red Privada Virtual (VPN) Acceso

3

Fin - Tabla A.1: Activos Comunes Relacionados con los Sistemas de Información.

Anexo B: Vulnerabilidades generales comunes. Este anexo es una lista de Vulnerabilidades comúnmente encontradas en organizaciones de diferentes tipos. Esto no intenta ser comprensivo, y sólo representará las Vulnerabilidades que se pueden presentar en alguna organización de acuerdo a su medio ambiente. Es importante, que el implementador o analista de Riesgos los personalice durante el proyecto correspondiente. Lo anterior, proveerá una lista de referencia y un punto de inicio de ayuda dentro de la organización. Tabla B.1: Vulnerabilidades. [Dillard, Pfost, Ryan, 2006] Tipo Vulnerabilidad Vulnerabilidad Ejemplo

Nivel de vulnerabilidad Breve descripción de la vulnerabilidad Ejemplo especifico (si aplica)

Físico Puertas abiertas

Físico Acceso a equipos computo de forma fácil

Físico Sistemas de supresión de fuego insuficientes

Físico Diseños de construcción inadecuados.

Físico Construcciones inadecuadas o insuficientes

Físico Materiales inflamables usados en la construcción

Físico Materiales inflamables usados en acabados

Físico Ventanas abiertas

Físico Paredes susceptibles a ataques de manera física.

Físico Paredes interiores no completamente seguras de ambos lados

Natural Ubicación en zona de derrumbes

Natural Ubicación en zona de inundaciones

Natural Ubicación en zona de avalanchas

“Hardware” Parches no instalados

“Hardware” Sin firma o desconocido

“Hardware” Sistemas mal configurados

“Hardware” Sistemas físicamente no seguros

“Hardware” Administración de protocolos permitidas sobre interfaces publicas

“Software” Antivirus expirados o no actualizados

Continuación - Tabla B.1: Vulnerabilidades

“Software” Parches de vulnerabilidades no instalados

“Software” Permisos mal asignados de escritura en aplicaciones

“Cross site scripting”


“SQL injection”


Code weaknesses such as buffer overflows

“Software” Puntos de ataque mal intencionados Sistemas de puertas traseras “backdoors”

“Software” Puntos de ataque mal intencionados “Spyware” como son “key loggers”

“Software” Puntos de ataque mal intencionados Caballos de Troya

“Software” Puntos de ataque mal intencionados

“Software” Errores de configuración Configuraciones inconsistentes

“Software” Errores de configuración Sistemas no auditados

“Software” Errores de configuración Sistemas no monitoreados

Medio Interferencia Eléctrica

Comunicaciones Protocolos de red no encriptados

Communications Conexiones a multiples redes

Communications Protocolos innecesarios permitidos

Communications Segmentos de red no filtrados

Humano Procedimientos mal definidos o incompletos

Preparación insuficiente de respuesta a incidentes


Aprovisionamiento Manual


Insuficientes planes de recuperación a incidentes


Pruebas sobre sistemas en producción


Incidentes no reportados


Insuficiente control de cambios

Humano Robo de credenciales o Identificaciones

Fin - Tabla B.1: Vulnerabilidades

Anexo C: Amenazas generales comunes. Éste anexo es una lista Amenazas comúnmente encontrado en organizaciones de diferentes tipos. Esto no intenta ser comprensivo, y sólo representará las Amenazas que se pueden presentar en alguna organización de acuerdo a su medio ambiente. Es importante, que el implementador o Analista de Riesgos los personalice durante el proyecto correspondiente. Lo anterior, proveerá una lista de referencia y un punto de inicio de ayuda dentro de la organización. Tabla C.1: Amenazas generales comunes. [Dillard, Pfost, Ryan, 2006]

Amenaza Ejemplo

Descripción de la amenaza Ejemplo especifico

Incidente catastrófico Fuego

Incidente catastrófico Inundación

Incidente catastrófico Temblor o terremoto

Incidente catastrófico Tormenta severa o tornado

Incidente catastrófico Ataque terrorista

Incidente catastrófico Libertad de actividad civil

Incidente catastrófico Avalancha

Incidente catastrófico Accidente Industrial

Falla Mecánica Corte de Energía.

Falla Mecánica Falla de Hardware

Falla Mecánica Corte de Conexión de red

Falla Mecánica Falla de Controladores de Medioambiente

Falla Mecánica Accidente de Construcción

Persona no maliciosa Empleado o Usuario no Informado

Persona maliciosa “Hacker”, “cracker”

Persona maliciosa Criminal de computación

Persona maliciosa Espionaje industrial

Persona maliciosa Espionaje de Gobierno

Persona maliciosa Ingeniería Social

Persona maliciosa Empleado a Disgusto

Persona maliciosa Capacitador a Disgusto

Persona maliciosa Terrorista

Persona maliciosa Empleado Negligente

Persona maliciosa Empleado deshonesto

Persona maliciosa Código malicioso Re-movible

“metodologÍa para apoyo al anÁlisis de consecuencias …

Documents