trabajo de grado - 9bits.com.ar9bits.com.ar/gc/img/trabajo_grado.pdf · trabajo de grado:...

Trabajo de Grado

Carrera: Ingeniería en Sistemas

Instituto Universitario Aeronáutico

Proyecto: Estimación del Retorno de la Inversión en Seguridad Informática

Año: 2010

Asesor: Ing. Casanovas, Eduardo

Equipo de Proyecto

Alumno E-mail

Mage, Mariel Magali [email protected]

Crivellini, Gonzalo [email protected]

Trabajo de Grado:

Estimación del Retorno de la Inversión en Seguridad Informática

Fecha: 05 de Julio de 2010

Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

2

FECHA: ...../..../........

FACULTAD: ...........................

DEPARTAMENTO: .......................

PRESENTACIÓN DEL INFORME FINAL DEL TRABAJO FINAL DE GRADO

Sr. Director Departamento

De mi consideración:

Habiendo finalizado la confección del Informe Final de mi TFG, me dirijo a Ud. a fin de

solicitar la evaluación del mismo, de acuerdo al Art. 10.2 del “REGLAMENTO GENERAL

DE TRABAJO FINAL DE GRADO O TRABAJO FINAL DE PREGRADO”.

Córdoba, ...../....../........

Firma del Alumno: .......................

Visto Bueno:

Firma del Tutor: ........................

APÉNDICE VII

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

3

Declaración de derechos de autor

Esta obra es propiedad intelectual de los autores, y los derechos de publicación han sido

transferidos al Instituto Universitario Aeronáutico. Se prohíbe su reproducción total o parcial,

por cualquier medio sin permiso, por escrito a los autores originales del mismo.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

4

Agradecimientos

Agradecemos a nuestras familias que nos apoyaron, que fueron nuestro soporte y nos

brindaron su colaboración desinteresada; alentándonos en cada paso.

También queremos agradecer a los profesores, que con mucha dedicación nos acompañaron

estos años, guiándonos y preparándonos para esta profesión, la que elegimos y disfrutamos.

Y a todos nuestros amigos que estuvieron siempre a nuestro lado.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

5

Resumen o Abstracto

En el presente documento se describe una estimación del retorno de la inversión de la

seguridad, aplicable en cualquier organización.

Se investigó las ofertas del mercado de fórmulas que pudieran dar solución al problema

planteado, teniendo en cuenta que todas las fórmulas existentes pertenecen a empresas

privadas y tienen un costo alto.

Se hicieron pruebas de la metodología planteada sobre una empresa (caso de estudio), que ha

permitido detectar errores y mejorar la fórmula, y ha brindado la posibilidad de demostrar la

hipótesis planteada.

Por último se analizó si la solución presentada, tiene la utilización prevista por los tesistas.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

6

Índice

APÉNDICE VII ....................................................................................................................... 2

Declaración de derechos de autor .......................................................................................... 3

Agradecimientos ...................................................................................................................... 4

Resumen o Abstracto .............................................................................................................. 5

Índice ........................................................................................................................................ 6

Índice de Tablas ...................................................................................................................... 7

Índice de Figuras ..................................................................................................................... 9

1. INTRODUCCION .................................................................................................... 10

1.1 Antecedentes ............................................................................................................... 10

1.2 Situación Problemática ............................................................................................... 11

1.3 Problema ..................................................................................................................... 12

1.4 Objeto de estudio ........................................................................................................ 13

1.5 Campo de acción ......................................................................................................... 14

1.6 Objetivos ..................................................................................................................... 14

1.7 Idea a defender/Propuesta a justificar/Solución a comprobar..................................... 15

1.8 Delimitaciones del proyecto ....................................................................................... 15

1.9 Aporte Teórico ............................................................................................................ 15

1.10 Aporte Práctico ........................................................................................................... 16

1.11 Factibilidad ................................................................................................................. 17

1.12 Métodos y Medios de Investigación ........................................................................... 17

2. PRIMERA PARTE: MARCO CONTEXTUAL .................................................... 19

2.1 Entorno del objeto de estudio ..................................................................................... 19

2.2 Relación tesista y objeto de estudio ............................................................................ 23

2.3 Análisis de los problemas observados ........................................................................ 24

2.4 Antecedentes de Proyectos similares .......................................................................... 29

3. SEGUNDA PARTE: MARCO TEORICO ............................................................. 38

3.1 Marco Teórico del campo de acción ........................................................................... 38

3.2 Diagnóstico ................................................................................................................. 65

4. TERCERA PARTE: MODELO TEORICO .......................................................... 70

4.1 Descripción del Modelo .............................................................................................. 72

4.2 Introducción a la Guía Metodológica ......................................................................... 76

4.3 Ejemplo a desarrollar .................................................................................................. 77

4.4 Guía metodológica para la estimación del ROSI ........................................................ 79

5. CUARTA PARTE: CONCRECION DEL MODELO ........................................ 108

5.1 Aplicación de la Guía Metodológica a un Caso de Estudio...................................... 108

5.2 Resultados de la aplicación de la Guía Metodológica .............................................. 109

5.3 Análisis de Resultados .............................................................................................. 148

6. CONCLUSIONES................................................................................................... 161

7. GLOSARIO DE TERMINOS ................................................................................ 162

8. REFERENCIA BIBLIOGRAFICA ...................................................................... 163

9. ANEXO A ................................................................................................................ 166

10. ANEXO B ................................................................................................................ 170

11. ANEXO C ................................................................................................................ 171

12. ANEXO D ................................................................................................................ 184

13. ANEXO E ................................................................................................................ 188

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

7

Índice de Tablas

TABLA 3-1 EJEMPLO NIST 800-30 ..................................................................................................................... 56 TABLA 4-1 MODELO – ESTIMACIÓN AÑO 1, IMPACTO MENOR QUE LA INVERSIÓN INICIAL .............................. 74 TABLA 4-2 MODELO – ESTIMACIÓN AÑO 1, IMPACTO MAYOR QUE LA INVERSIÓN INICIAL .............................. 75 TABLA 4-3 MODELO - ESTIMACIÓN AÑO 2 ....................................................................................................... 76 TABLA 4-4 EJEMPLO - TABLA DE RIESGOS IDENTIFICADOS ................................................................................ 86 TABLA 4-5 EJEMPLO - FAO ................................................................................................................................ 87 TABLA 4-6 EJEMPLO – FAO R1 .......................................................................................................................... 88 TABLA 4-7 EJEMPLO – FAO R2 .......................................................................................................................... 88 TABLA 4-8 EJEMPLO – FAO R3 .......................................................................................................................... 88 TABLA 4-9 EJEMPLO – FAO R4 .......................................................................................................................... 89 TABLA 4-10 EJEMPLO – CRITICIDAD FAO .......................................................................................................... 89 TABLA 4-11 NIVEL CRITICIDAD CI ...................................................................................................................... 91 TABLA 4-12 EJEMPLO –CI R1 ............................................................................................................................ 91 TABLA 4-13 EJEMPLO –CI R2 ............................................................................................................................ 92 TABLA 4-14 EJEMPLO –CI R3 ............................................................................................................................ 92 TABLA 4-15 EJEMPLO –CI R4 ............................................................................................................................ 93 TABLA 4-16 EJEMPLO –RANGO CI ..................................................................................................................... 93 TABLA 4-17 EJEMPLO – CRITICIDAD CI .............................................................................................................. 93 TABLA 4-18 EJEMPLO – CRITICIDAD FAO Y CRITICIDAD CI ................................................................................. 94 TABLA 4-19 RELACIÓN CRITICIDAD FAO - CI ...................................................................................................... 94 TABLA 4-20 CRITICIDAD DE RIESGO .................................................................................................................. 95 TABLA 4-21 EJEMPLO - CRITICIDAD DE RIESGO ................................................................................................. 95 TABLA 4-22 VALOR RAI ..................................................................................................................................... 95 TABLA 4-23 EJEMPLO - RAI ............................................................................................................................... 96 TABLA 4-24 EJEMPLO – RECOMENDACIÓN CONTROL R1 .................................................................................. 97 TABLA 4-25 EJEMPLO – RECOMENDACIÓN CONTROL R2 .................................................................................. 97 TABLA 4-26 ESTIMACIÓN PRIMER AÑO .......................................................................................................... 100 TABLA 4-27 EJEMPLO- ESTIMACIÓN AÑO 1 R2 ............................................................................................... 101 TABLA 4-28 EJEMPLO- ESTIMACIÓN AÑO 1 R1 ............................................................................................... 101 TABLA 4-29 ESTIMACIÓN PARA EL AÑO 2 EN ADELANTE ............................................................................... 102 TABLA 4-30 EJEMPLO - ESTIMACIÓN AÑO 2 R2 .............................................................................................. 103 TABLA 4-31 ESTIMACIÓN EN EL AÑO 0, CONDICIONES IDEALES ..................................................................... 106 TABLA 4-32 EJEMPLO – ESTIMACIÓN EN EL AÑO 0, CONDICIONES IDEALES ................................................... 107 TABLA 5-1 CASO DE ESTUDIO – TABLA DE RIESGOS IDENTIFICADOS ............................................................... 128 TABLA 5-2 CASO DE ESTUDIO – FRECUENCIA ANUAL DE OCURRENCIAS ......................................................... 129 TABLA 5-3 CASO DE ESTUDIO – RANGO FAO R1 ............................................................................................. 130 TABLA 5-4 CASO DE ESTUDIO – RANGO FAO R2 ............................................................................................. 130 TABLA 5-5 CASO DE ESTUDIO – RANGO FAO R3 ............................................................................................. 131 TABLA 5-6 CASO DE ESTUDIO – RANGO FAO R4 ............................................................................................. 131 TABLA 5-7 CASO DE ESTUDIO – RANGO FAO R5 ............................................................................................. 131 TABLA 5-8 CASO DE ESTUDIO – RANGO FAO R6 ............................................................................................. 131 TABLA 5-9 CASO DE ESTUDIO – RANGO FAO R7 ............................................................................................. 132 TABLA 5-10 CASO DE ESTUDIO – RANGO FAO R8 ........................................................................................... 132 TABLA 5-11 CASO DE ESTUDIO – RANGO FAO R9 ........................................................................................... 132 TABLA 5-12 CASO DE ESTUDIO – RANGO FAO R10 ......................................................................................... 132 TABLA 5-13 CASO DE ESTUDIO – RANGO FAO R11 ......................................................................................... 132 TABLA 5-14 CASO DE ESTUDIO – RANGO FAO R12 ......................................................................................... 133 TABLA 5-15 CASO DE ESTUDIO – RANGO FAO R13 ......................................................................................... 133 TABLA 5-16 CASO DE ESTUDIO – CRITICIDAD FAO .......................................................................................... 133

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

8

TABLA 5-17 CASO DE ESTUDIO – CI R1............................................................................................................ 134 TABLA 5-18 CASO DE ESTUDIO – CI R2............................................................................................................ 134 TABLA 5-19 CASO DE ESTUDIO – CI R3............................................................................................................ 135 TABLA 5-20 CASO DE ESTUDIO – CI R4............................................................................................................ 135 TABLA 5-21 CASO DE ESTUDIO – CI R5............................................................................................................ 135 TABLA 5-22 CASO DE ESTUDIO – CI R6............................................................................................................ 136 TABLA 5-23 CASO DE ESTUDIO – CI R7............................................................................................................ 136 TABLA 5-24 CASO DE ESTUDIO – CI R8............................................................................................................ 136 TABLA 5-25 CASO DE ESTUDIO – CI R9............................................................................................................ 136 TABLA 5-26 CASO DE ESTUDIO – CI R10 .......................................................................................................... 137 TABLA 5-27 CASO DE ESTUDIO – CI R11 .......................................................................................................... 137 TABLA 5-28 CASO DE ESTUDIO – CI R12 .......................................................................................................... 137 TABLA 5-29 CASO DE ESTUDIO – CI R13 .......................................................................................................... 138 TABLA 5-30 CASO DE ESTUDIO – RANGO CI .................................................................................................... 138 TABLA 5-31 CASO DE ESTUDIO – CRITICIDAD CI .............................................................................................. 138 TABLA 5-32 CASO DE ESTUDIO – CRITICIDAD FAO Y CRITICIDAD CI ................................................................. 139 TABLA 5-33 CASO DE ESTUDIO – CRITICIDAD DE CADA RIESGO ...................................................................... 139 TABLA 5-34 CASO DE ESTUDIO – RAI DE CADA RIESGO ................................................................................... 140 TABLA 5-35 CASO DE ESTUDIO – RECOMENDACIONES DE CONTROL .............................................................. 141 TABLA 5-36 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R1................................................................................ 142 TABLA 5-37 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R2................................................................................ 143 TABLA 5-38 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R3................................................................................ 143 TABLA 5-39 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R4................................................................................ 143 TABLA 5-40 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R5................................................................................ 143 TABLA 5-41 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R7................................................................................ 143 TABLA 5-42 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R8................................................................................ 144 TABLA 5-43 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R9................................................................................ 144 TABLA 5-44 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R10 .............................................................................. 144 TABLA 5-45 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R11 .............................................................................. 144 TABLA 5-46 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R1................................................................................ 145 TABLA 5-47 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R2................................................................................ 146 TABLA 5-48 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R3................................................................................ 146 TABLA 5-49 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R4................................................................................ 146 TABLA 5-50 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R5................................................................................ 146 TABLA 5-51 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R7................................................................................ 147 TABLA 5-52 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R8................................................................................ 147 TABLA 5-53 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R9................................................................................ 147 TABLA 5-54 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R10 .............................................................................. 147 TABLA 5-55 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R11 .............................................................................. 148 TABLA 5-56 RESUMEN DE RESULTADOS CASO DE ESTUDIO ............................................................................ 156 TABLA 5-57 RECOMENDACIONES DE CONTROL PARA RIESGOS NO TRATADOS .............................................. 156

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

9

Índice de Figuras

ILUSTRACIÓN 1 PORCENTAJE DE CAUSAS DE PÉRDIDA DE INFORMACIÓN 21 ILUSTRACIÓN 2 BENEFICIOS DE ISO 27001 32 ILUSTRACIÓN 3 RESUMEN DE RESULTADOS 33 ILUSTRACIÓN 4 COMPONENTES DE ANÁLISIS Y VALORACIÓN DE RIESGOS 53 ILUSTRACIÓN 5 DIAGRAMA ANÁLISIS DE RIESGOS 57 ILUSTRACIÓN 6 MODELO PROPUESTO 71 ILUSTRACIÓN 7 EJEMPLO - ARQUITECTURA DE RED 78 ILUSTRACIÓN 8 IDENTIFICACIÓN DE RIESGOS 80 ILUSTRACIÓN 9 ESTIMACIÓN DE ROSI POR AÑOS 99 ILUSTRACIÓN 10 ESTIMACIÓN DE ROSI EN CONDICIONES IDEALES 105 ILUSTRACIÓN 11 ESTRUCTURA ORGANIZACIONAL 110 ILUSTRACIÓN 12 CASO DE ESTUDIO - DIAGRAMA DE RED 112 ILUSTRACIÓN 13 CASO DE ESTUDIO - DIAGRAMA DE SEGURIDAD 120

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

10

1. INTRODUCCION

1.1 Antecedentes

En la actualidad existe un entorno cambiante de la seguridad de la información, donde

cada día surgen nuevas amenazas, se publican decenas de vulnerabilidades y se construyen

innovadoras soluciones tecnológicas; implementar un nivel de seguridad acorde a las

necesidades de una organización se convierte en una tarea, cuando menos, compleja. Si

dejamos que la estrategia de seguridad sea dirigida por las necesidades tecnológicas,

corremos el riesgo de perder de vista el verdadero objetivo, y a menudo nos encontramos

inmersos en una frenética carrera entre amenazas y contramedidas que se aleja cada vez más

de la realidad empresarial.

Si preguntamos a diez directivos de una organización, cuáles son las necesidades de la

empresa respecto a la seguridad, probablemente obtengamos respuestas diferentes.

Cualquier estrategia de gestión de la seguridad por la que se opte requiere una

inversión económica o humana y, al igual que cualquier otra, la inversión en seguridad debe

ser rentable.

La inversión en seguridad debe de servir para que la organización obtenga un

beneficio, al menos, superior al costo. El problema, muchas veces, radica en la dificultad de

medir el costo y, sobre todo, el beneficio obtenido.

La complejidad del asunto queda claramente reflejada cuando se plantea el ejemplo

de un extintor de incendios: ¿es rentable un extintor?, ¿cómo evaluar la rentabilidad de algo

que raramente se usa?, ¿cómo evaluar la rentabilidad de un componente que nunca se debería

utilizar si todo está bien planificado?

Es necesario deshacerse de la visión tan habitual: “si no hubo un incendio el año

pasado, entonces no fue rentable el extintor”. Se debe entrar de lleno en el incierto mundo de

la probabilidad y la gestión de riesgos, en el cual, las amenazas no se eliminan, se mitigan.

Invertir bien en seguridad significa conseguir el mayor beneficio posible dentro de la

ecuación formada por el impacto (o costo) de los incidentes, amenazas existentes,

probabilidades de materialización de las amenazas, contramedidas de seguridad y coste de las

mismas.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

11

Hay que seleccionar los indicadores económicos que queremos evaluar, buscar el

método de análisis de riesgos que más se ajuste a nuestras necesidades y adaptar ambos a la

organización.

No existe un método falible, pero un buen punto de partida es comenzar por el

famoso retorno de la inversión (ROI), que se define como la diferencia entre el ahorro y el

coste de la inversión. Si se traslada a la seguridad, el retorno de la inversión en seguridad

(ROSI) sería el ahorro en incidentes de seguridad menos el costo de las contramedidas.

El objetivo es obtener el mayor ROSI posible, aumentar la inversión o disminuirla no

son las únicas decisiones factibles: en ocasiones se puede conseguir un incremento

significativo simplemente reubicando la inversión, desinvirtiendo en los aspectos de menor

rentabilidad para mejorar en puntos donde el retorno es superior.

El objetivo no es la precisión, sino la obtención de una serie de parámetros y medidas

para que los responsables de seguridad y de negocio puedan tomar buenas decisiones.

No sólo consiste en acertar en los nuevos proyectos y adquisiciones, hay que

optimizar los recursos existentes.

Sin olvidar los escenarios de reducción de gastos, que deben ser tan cuidadosamente

examinados como los de nueva inversión.

Por tanto, evaluar la inversión de seguridad está claramente ligado a la gestión y

estrategia de seguridad. Poner el discurso de seguridad en términos de coste/beneficio facilita

la comunicación con el resto de áreas y desmitifica la función de seguridad, reduciendo el

problema al tipo de decisiones que la Dirección toma cada día.

1.2 Situación Problemática

Los tres recursos económicos fundamentales para una organización son:

La tierra

El capital

El trabajo

Se dice que el cuarto lugar es:

La Información

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

12

Ocupa el cuarto lugar debido a que se ha convertido en un recurso estratégico crítico,

dada su demostrada importancia económica.

Por eso es muy importante mantener seguridad en la información organizacional.

Hoy en día, muchas empresas en el mundo son amenazadas constantemente y deben

prevenir las vulnerabilidades en los sistemas de información, deben defenderse de los

posibles ataques y resguardar la integridad de su información.

Frente a ello las empresas, tienen la necesidad de establecer formas para justificar los

beneficios que se pueden obtener implementando un proyecto de seguridad de la

información, lo cual implica inversiones.

Como sabemos, por lo estudiado en distintas materias, existen diversas formas que

permiten calcular el Retorno de la Inversión (ROI), que es un valor que relaciona la inversión

en un proyecto con los beneficios económicos que este traerá. Es utilizado en las empresas

para evaluar la viabilidad de una inversión.

Es posible hacer una medición del retorno de inversión en seguridad (ROSI),

analizando los beneficios económicos relacionados a dichas inversiones. Se puede llevar a

cabo analizando los incidentes que dicha medida de seguridad prevendrá o evitará, y cuál es

el impacto económico que se evita.

Cada vez que ocurre un incidente de seguridad (una infección de malware, un daño en

una base de datos, un intruso), la empresa pierde dinero; y al cuantificar este dinero es

posible analizar la viabilidad económica de dicha inversión.

Mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el

ROSI evalúa cuánto dinero se dejará de perder.

Si bien existen diversas fórmulas para calcular el ROSI, no existe una metodología

bien definida, y los estándares o métodos utilizados generalmente son de uso privado y se

necesita pagar por ellos para obtenerlos.

1.3 Problema

Considerando la importancia de la seguridad de la información de la organización y la

inversión que genera la misma, no existe una metodología bien definida para calcular ROSI,

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

13

y los estándares o métodos utilizados, generalmente, son de uso privado y se necesita pagar

por ellos para obtenerlos.

1.4 Objeto de estudio

El objeto de estudio contempla diseñar una metodología que permita guiar a las

organizaciones en el cálculo del retorno a la inversión en seguridad informática (ROSI); que

pueda ser accesible y aplicable a cualquier empresa. Teniendo en cuenta la importancia del

resguardo de la información en cuanto a beneficios y la inversión necesaria para llevar a cabo

un proyecto de seguridad.

ROSI puede resultar de gran utilidad como herramienta para que el responsable de

seguridad pueda justificar un proyecto y para que el área de finanzas o administración de una

empresa pueda analizar dicho proyecto.

También puede ser tomado como el componente financiero del caso de negocio que

represente un proyecto de seguridad, que puede ser analizado por los niveles más altos de la

organización (niveles de decisión).

Cuando se habla del retorno a la inversión se hace referencia a la ganancia que una o

más inversiones retorna en un momento dado. Al referirse al retorno a la inversión en

seguridad informática, se está hablando de todas las inversiones que encierra esta área para

una organización; la cual se ha caracterizado por ser una fuente de gastos, debido a todos los

requerimientos de la seguridad de la información y la tecnología. Se necesitan conocer los

principales conceptos de la seguridad informática y la implicancia que tiene en una

organización para entender los aspectos relevantes de la seguridad informática con respecto a

las inversiones y sus requerimientos.

La propuesta de esta investigación busca proponer una guía metodológica para el

cálculo del retorno a la inversión, basada en la administración de la seguridad informática,

incluyendo la administración de riesgos en la organización, en busca del cumplimiento de los

objetivos y principios de la seguridad.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

14

1.5 Campo de acción

Se va a trabajar sobre una organización, lo cual nos va a permitir la demostración del

método propuesto y va a facilitar el entendimiento del mismo.

Se llevará a cabo la aplicación de la guía metodológica presentada, a un caso de

estudio. Se describirán los métodos, técnicas, materiales y documentos que se utilizaron

durante el ejercicio de aplicación, lo cual puede ser útil al lector, como una guía o ayuda para

futuras aplicaciones de los procesos que componen la guía metodológica propuesta.

1.6 Objetivos

El objetivo principal de esta investigación es proponer una metodología que permita a

generar estimación del retorno a la inversión basada en la seguridad informática, evaluando y

aplicando dicha guía a un caso de estudio específico, un caso real.

Los objetivos específicos son los siguientes:

Llevar a cabo una investigación y contextualización de:

Conceptos relevantes de la seguridad informática

Concepto de ROI (Return on Investment)

Situación actual del ROI en seguridad informática

Métricas en seguridad informática

Administración de riesgos

Construir un método de cálculo viable

Construir una guía de procedimientos que permita al usuario llevar adelante el

proceso de ROSI.

Realizar una prueba calculando el ROSI en una empresa (a definir)

Evaluar y analizar los resultados de las pruebas realizadas.

Generar conclusiones pertinentes al caso.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

15

1.7 Idea a defender/Propuesta a justificar/Solución a comprobar

Demostrar que podemos presentar un modelo o metodología para permitir el cálculo o

estimación de ROSI, y que puede ser aplicado en cualquier organización siguiendo la guía

propuesta; y dar una solución importante a las empresas a la hora de evaluar su proyecto de

seguridad informática, de una manera sencilla y sin costos de ejecución.

1.8 Delimitaciones del proyecto

El proyecto se limita sólo al estudio del cálculo de retorno de la inversión de

seguridad informática, y la presentación de un caso real. Además se llevará a cabo el análisis

de riesgos necesario para poder realizar la estimación.

1.9 Aporte Teórico

La novedad de la propuesta presentada consiste en la generación de una metodología

simple de implementar, de fácil acceso, y con explicaciones paso a paso que permita al

usuario utilizarlo como guía.

Los resultados del proyecto son accesibles por cualquier organización, es aplicable a

cualquier proyecto de seguridad informática.

Todos los conceptos definidos en el proyecto serán un aporte para el entendimiento de

las organizaciones y los usuarios en general.

Los aportes teóricos desde el punto de vista de la ingeniería son:

Información sobre la importancia de la seguridad de la información en las

organizaciones.

Establecer un procedimiento de cálculo de ROSI.

Información sobre la creación de proyectos informáticos.

Aplicación de Análisis de Riesgos y Estimación de ROSI en una organización.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

16

1.10 Aporte Práctico

Como dijimos anteriormente el tema que vamos a tratar en el proyecto permitirá a las

organizaciones, quienes son las primeras beneficiadas, tener al alcance de las manos un

método que les permita calcular el retorno de inversión en cuanto a la seguridad.

Hemos encontrado noticias en donde se asegura que más de dos tercios de las

inversiones en seguridad son un desperdicio.

Algunos fragmentos son los siguientes:

“Más del 40% del dinero invertido en seguridad es un desperdicio”, dijo Peter

Tippett.

Muchas organizaciones están aumentando la inversión en la protección contra

amenazas internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas

exitosamente en los últimos años han sido de este tipo, según el último Business Data Breach

Investigations Report.

La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la

investigación indica que sólo el 20% son de origen interno.

Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando

mucho donde se percibe que están las amenazas, en lugar de dónde verdaderamente están.

Los beneficios que este proyecto produciría serian:

Ayudar a las empresas a generar un buen proyecto de seguridad.

Establecer los tiempos de recuperación de la inversión de los proyectos de

seguridad.

Permitir a las organizaciones conocer cuáles son los riesgos existentes y

analizar sus vulnerabilidades y amenazas.

Ayudar a las organizaciones a realizar el análisis de riesgos

Permitir realizar la estimación de ROSI

Los beneficiarios son:

Cualquier persona y/o organización que crea necesite generar un proyecto de

seguridad.

http://www.computerweekly.com/Articles/2009/12/11/239683/Spyware-keyloggers-and-SQL-injection-are-top-attacks-in.htm


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

17

Sirve de base para futuras investigaciones en cuanto a los proyectos

informáticos.

Se puede incluir la metodología propuesta en el programa de estudios de

algunas materias dedicadas a la gestión y seguimientos de proyectos.

1.11 Factibilidad

A continuación presentamos la factibilidad del proyecto, evaluando la misma de la

siguiente manera:

Factibilidad Técnica: Para el desarrollo del proyecto no se requieren elementos

tecnológicos, sólo una pc que nos permita la redacción del mismo y llevar a

cabo la investigación para demostrar la propuesta planteada. Además por

medio de internet obtendremos los conocimientos necesarios para llevar a

cabo la investigación mencionada.

Factibilidad Operativa: Con respecto a la factibilidad operativa podemos

afirmar que tenemos una buena relación con la empresa que será nuestro caso

de estudio y que nos permitirá demostrar nuestro modelo, para que nuestro

proyecto sea probado y/o usado.

Factibilidad Económica: con respecto a la factibilidad económica podemos

decir que el proyecto es totalmente realizable, tomando en cuenta que los

recursos económicos necesarios para llevar a cabo el proyecto son

prácticamente nulos, lo cual es una ventaja frente a otros métodos de cálculos

privados existentes en la actualidad

En base a esto podemos concluir que el proyecto es totalmente factible.

1.12 Métodos y Medios de Investigación

El método de investigación utilizado en el proyecto es el método empírico.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

18

Los métodos empíricos de investigación permiten efectuar el análisis preliminar de la

información, así como verificar y comprobar las concepciones teóricas.

El fundamento radica en la percepción directa del objeto de investigación y del

problema.

El término empírico deriva del griego antiguo de experiencia, έμπειρία, que a su vez

deriva de έυ (en) y πεἳρα (prueba): en pruebas, es decir, llevando a cabo el experimento.

Su aporte al proceso de investigación es resultado fundamentalmente de la experiencia.

Estos métodos posibilitan revelar las relaciones esenciales y las características fundamentales

del objeto de estudio a través de procedimientos prácticos con el objeto y diversos medios de

estudio.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

19

2. PRIMERA PARTE: MARCO CONTEXTUAL

2.1 Entorno del objeto de estudio

El estudio del presente proyecto se sitúa en el siguiente contexto:

En el aspecto social:

El crecimiento exponencial de la digitalización de transacciones y /o de cualquier tipo de

documentación. Por ende el riesgo de pérdida es cada vez más importante debido a la gran

masividad de información en formato digital. Se conoce que el volumen de información

digital que utiliza una empresa, crece a una tasa anual entre el 50 y 60%.

Teniendo en cuenta la creciente digitalización, muchas personas corren el riesgo de perder

todos sus archivos, pese a haber hecho de ellos copia de seguridad. Esta idea se basa en que

la seguridad de los datos no depende tanto de mantener múltiples copias de valiosos archivos,

sino de mantener esos datos irreemplazables en un lugar completamente diferente y seguro.

Muy pocos backups tienen esa seguridad. Basta un robo, un incendio o cualquier otra

catástrofe para perder para siempre años de trabajo en valiosos datos mantenidos todos en el

mismo lugar.

A continuación se detalla las estadísticas recolectadas sobre el dimensionamiento global de la

digitalización de la información, con el objetivo de tomar conciencia de la transformación

digital que transita el mundo actual.

Según un estudio de IDC y de Gartner/Dataquest, nos habla del “mercado del

almacenamiento”, el cual crece por concepto de S.S.P. (Storage Service Providers) llegando a

un 79 % siendo 1.2 millones de Terabytes en el 2003.

Según la empresa Carbonite Online Backup, reconoce que cada año el 43% de los usuarios

de computadoras sufren pérdidas irrecuperables de archivos. Las causas varían entre

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

20

desastres naturales, rupturas de discos rígidos, hasta la eliminación accidental de archivos.

Con el cual demuestra la real importancia de las tareas de backup.

En el aspecto económico:

En lo económico podemos destacar la dependencia hacia la información y hacia los datos

como verdaderos motores económicos y financieros de las empresas. Esta dependencia se

encuentra en un constante aumento teniendo como consecuencia directa que tanto los

propietarios y gestores están sujetos a nuevos riesgos.

Con el fin de poder visualizar la concurrencia y las consecuencias sobre los riesgos de

pérdida de información, se detalla a continuación varios resultados de investigaciones sobre

este tema:

Uno de los estudios realizados en U.S.A. nos informa que una empresa que

experimenta una interrupción duradera en el uso de la información de una

computadora durante más de 10 días nunca se recupera completamente en lo

financiero, y que el 50 por ciento de las empresas que sufren esa situación estarán

fuera del negocio dentro de los siguientes 5 años.

Otro informe más critico aun, proporcionado por la Universidad de Texas, nos

informa que solo el 6% de las empresas que sufren perdida de información

sobreviven, mientras que el 94% restante tarde o temprano desaparecen del mercado.

Gartner Group sostiene que dos de cada cinco empresas, que sufren daños de este

tipo, desaparecen.

Para poder estimar los costos reales que se producen con la perdida de información y calcular

el costo de la perdida en sí, se detalla a continuación las causas y concurrencia de las mismas:

Hardware: representa el 40 % de los incidentes (incluyen pérdidas debidas a

unidades de disco duro dañadas y fallas eléctricas)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

21

Error humano: representa el 30% de los episodios de pérdida de datos. (incluyen la

eliminación accidental de datos, así como daños accidentales por el hardware, como

los daños causados por caídas de lap tops.)

Software corrupto: representa el 13 % (como por ejemplo los daños causados por un

software de diagnóstico)

Virus: representa el 6 % de la perdida de información

Robo: representa el 9 % (especialmente computadoras portátiles)

Desastres naturales: representa el 3% (que incluye los daños causados por

inundaciones, rayo y fuego, etc)

Ilustración 1 Porcentaje de causas de Pérdida de Información

Porcentajes de Causas de Perdida de Informacion

Hardware

Error Humano

Software corrupto

Virus

Robo

Desastres naturales

Fig. 2.1: Porcentaje de causas de Pérdida de Información

La empresa internacional Verizon, a través de Peter Tippett, vicepresidente de tecnología e

innovación, asegura que más de dos tercios de las inversiones en seguridad son un

desperdicio.

Algunos fragmentos son los siguientes:

“Más del 40% del dinero invertido en seguridad es un desperdicio”, dijo Peter Tippett.

Muchas organizaciones están aumentando la inversión en la protección contra amenazas

internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas exitosamente en

http://www.verizonbusiness.com/

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

22

los últimos años han sido de este tipo, según el último Business Data Breach Investigations

Report.

La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la investigación

indica que sólo el 20% son de origen interno.

Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho

donde se percibe que están las amenazas, en lugar de dónde verdaderamente están.

Algunos datos que se mencionan en Information Security Breaches Survey 2010 realizado

por Infosecurity Europe.

Según el reporte, el 90% de las empresas aumentaron su presupuesto asignado a seguridad en

el último año, un valor alto y alentador respecto a la posición del ámbito corporativo respecto

a la relevancia que posee la protección de la información en las organizaciones.

El informe extiende esta información indicando que en promedio el presupuesto de seguridad

para empresas pequeñas es de un 10% (cuando el año pasado era el 7%) y en grandes

empresas ya ocupa el 6%. Este dato se condice con los presentados en el ESET Security

Report Latinoamérica que indicaba según los datos recabados en encuestas realizadas en la

región durante el año 2009, que “más de la mitad de los encuestados (57,86%) afirmaban que

menos del 5% del presupuesto de IT es utilizado para seguridad“.

Comparando estos datos puede observarse que:

Las pequeñas diferencias en los valores entre ambos informes pueden deberse a que

en 2010 las inversiones en seguridad se estiman mayores a las del año anterior.

Además, sabido es que en la región latinoamericana los presupuestos pueden ser

levemente menores a los que se acostumbren en Europa.

A pesar de todo, también puede concluirse que las inversiones en Latinoamérica no

son tan distintas a las brindadas en el informe de los números en otro continente.

Sobre las inversiones de seguridad, recuerden que ya hemos comentado algunos métodos

para analizar, evaluar y decidir sobre estas, con metodologías como TCO o ROSI.

Adicionalmente, el informe también posee muchos datos sobre la cantidad de incidentes que

sufrieron las empresas, indicando que el 92% tuvieron un incidente de seguridad el último

año. Respecto al malware, 62% de las empresas sufrieron alguna infección durante el año.

Extendiendo algunos datos sobre los tipos de incidentes, analizando las respuestas sólo para



http://www.infosec.co.uk/files/isbs_2010_technical_report_single_pages.pdf

http://www.infosec.co.uk/

http://www.eset-la.com/centro-amenazas/2297-reporte-anual-latinoamerica

http://www.eset-la.com/centro-amenazas/2297-reporte-anual-latinoamerica

http://blogs.eset-la.com/laboratorio/2010/03/16/tco-%c2%bfcomo-evaluar-una-inversion-en-seguridad/

http://blogs.eset-la.com/laboratorio/2010/04/06/retorno-de-inversion-en-seguridad/

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

23

“grandes empresas” (para ver las respuestas para otros tamaños de organizaciones pueden ver

el informe completo) se desprende que:

70% tuvieron un incidente de seguridad accidental

90% un incidente malicioso

62% un incidente serio

Resumiendo, podemos apreciar en lo citado anteriormente, que la seguridad es un tema de

nivel crítico teniendo en cuenta la inmensa cantidad de datos digitalizados y el continuo

crecimiento de la misma, como así también los inmensos efectos negativos que traen

aparejado la perdida de esta información en cuanto a lo económico y social, y más aún

cuando es sensible y de alto valor.

2.2 Relación tesista y objeto de estudio

En la materia Auditoría y Evaluación de Sistemas, de la carrera de Ingeniería de Sistemas;

los tesistas presentaron un trabajo de campo llevado a cabo en la empresa Ladrillos Merlino

SRL, donde se realizó un relevamiento para generar una auditoría, principalmente en el

aspecto de seguridad de una organización.

Por este motivo, se decidió, llevar a cabo el proyecto tomando como herramienta de

relevamiento las vistas anteriormente la materia nombrada.

La idea principal del proyecto surgió luego de leer artículos sobre la importancia de la

información y de la seguridad informática; y la inversión que la misma requiere para las

empresas, teniendo en cuenta y utilizando para ello, otros trabajos llevados a cabo en otros

países.

Los factores condicionantes:

1.1. Generar una guía de fácil entendimiento para el lector.

1.2. Armar un relevamiento de información óptimo y oportuno.

1.3. La necesidad de poder contar con el apoyo de la organización para que nos facilite la

información necesaria.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

24

1.4. Identificar los riesgos para poder llevar a cabo la metodología.

1.5. Ponderar los riesgos, agregar un grado de criticidad a los mismos.

1.6. Generar conclusiones respecto a la evaluación generada con respecto al objeto de

estudio que permita llegar al objetivo propuesto.

2.3 Análisis de los problemas observados

¿Qué eso de lo que todo el mundo habla, pero tan poco se ha visto en concreto? ¿Es posible

justificar económicamente las inversiones en seguridad de la información?

Es un hecho que cada vez se encuentran más perfiles asociados a Seguridad de la

Información en las organizaciones, tanto en América Latina como en el mundo.

La creación de la figura del “CISO” (Chief Information Security Officer) está dando lugar a

la aparición de ciertas necesidades no cubiertas respecto a la Seguridad de la Información en

las empresas, llevando al CISO a responder una serie de preguntas que pueden definir el

éxito o fracaso de su gestión: ¿estamos invirtiendo lo suficiente?, ¿cuánto deberíamos invertir

de acuerdo a nuestros objetivos de negocio?, ¿cómo distribuir las inversiones de la mejor

forma?

Gracias al surgimiento de estas (y muchas otras) preguntas, es que suena cada vez más fuerte

la necesidad de contar con un adecuado cálculo de ROSI (Return On Security Investments),

que permita justificar inversiones y proyectos frente a la Alta Dirección y el departamento de

Finanzas.

Es un hecho que a medida que en las organizaciones crece la conciencia respecto a la

relación entre la Seguridad de la Información y el cumplimiento de los objetivos del

Negocio, las inversiones en recursos asociados a Seguridad se posicionan para competir por

el presupuesto con los proyectos más significativos en cuanto costos y recursos.

Muchas organizaciones, son amenazadas constantemente en sus activos, lo que se representa

en pérdida. Las vulnerabilidades en los sistemas de información pueden representar

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

25

problemas graves, por ello es muy importante que las empresas comprendan los conceptos

necesarios para combatir y defenderse de los posibles ataques a su información.

En la actualidad, la información es el bien de mayor valor para las empresas. El progreso de

la informática y de las redes de comunicación no sólo ha sido un beneficio para las mismas

sino que generan un mayor nivel de prevención y responsabilidad frente a las amenazas sobre

dicha información.

La información puede estar en diferentes medios como por ejemplo en papel impreso, en los

discos duros o incluso en la memoria de las personas que la conocen, al seguridad de la

información tiene como propósito proteger la misma, independientemente del lugar en donde

se encuentre.

Las empresas buscan la mejor forma de asegurar la organización y los recursos de la misma.

En consecuencia surgen, las empresas dedicadas a la seguridad informática y a los servicios

de consultoría para el aseguramiento de los recursos tecnológicos y humanos que se ven

involucrados en la organización y los departamentos encargados de la seguridad de

tecnología de información de las organizaciones.

Existe la necesidad de establecer formas para justificar frente a los clientes, o a la alta

gerencia, las ganancias o beneficios que se pueden llegar a obtener al implementar un

proyecto de seguridad de la información realizando las respectivas inversiones en ellos.

En la actualidad existen algunas iniciativas de guías, modelos, estándares, definidas que

permiten calcular los beneficios que la organización podría percibir por concepto de una

inversión realizada en seguridad informática, pero generalmente son de uso privado y es

necesario pagar por ellas. Considerando lo mencionado se plantea esta investigación para

proponer una guía metodológica para sugerir una manera básica de calcular el retorno a la

inversión en seguridad informática.

Algunas personas sostienen que el ROI en seguridad informática es una pérdida de tiempo,

por la dificultad que representa medir algunos aspectos intangibles que contiene el área de

seguridad.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

26

Esta investigación hace un aporte al tema, sintetizando algunas de las propuestas realizadas,

generando una propuesta de una guía metodológica para realizar dichos cálculos, con su

respectiva evaluación y análisis, que puede ser base para futuras investigaciones.

Los costos asociados a servicios de seguridad representan habitualmente un pequeño

porcentaje del costo que nuestra compañía habría tenido que soportar en caso de haberse

materializado la amenaza que mitigan.

Cuando un servidor es hackeado, el hacker no suele detener ahí su avance, sino que continua

con las máquinas de la red interna que ahora son accesibles desde el servidor hackeado. Una

vez en la red interna, donde las medidas son más laxas, es más sencillo para el hacker

apoderarse de los sistemas que allí se encuentran.

¿Cuáles son las pérdidas en este escenario? Es difícil determinar porque será casi imposible

hacerse una imagen exacta de hasta qué punto se ha adentrado el intruso. Sin embargo, estos

son algunos puntos a tener en cuenta para calcular los daños tras una intrusión:

Horas de trabajo para determinar todas las máquinas comprometidas.

Horas de trabajo para reinstalar y configurar cada dispositivo.

Horas de trabajo para revisar el código fuente en busca de cambios por el intruso.

Horas de trabajo para monitorizar la red en busca de actividades de intrusos.

Horas de trabajo de educación a la plantilla y clientes.

Multas e indemnizaciones.

El coste de la inactividad.

El coste de la pérdida de clientes.

El coste de la pérdida de reputación.

Etc.

Sin embargo, si contratamos un proveedor que estudia los sistemas y las redes con el

determinado detenimiento nos estaremos asegurando que se detectan aquellas

vulnerabilidades que podrían acarrear costos mayores en el futuro mientras que al mismo

tiempo también estaremos adecuándonos a la norma objetivo.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

27

El siguiente apartado permitirá aclarar y justificar el cálculo de ROSI, y la importancia de su

estimación para las empresas. Estos conceptos ayudarán a entender los ahorros y riesgos

económicos relacionados con la seguridad informática.

Fuente: B:Secure

“Hace un par de días llegó a mis manos una presentación acerca del Retorno de inversión

en seguridad, llamado “ROSI” por sus siglas en inglés: Return of Security Investment. Dicho

documento define el ROSI como “el gasto directo que una compañía realiza para poder

implementar una seguridad deseable contra el costo de una falla de seguridad”.

Los conceptos “deseable” y “costo de una falla de seguridad” llamaron mi atención

inmediatamente, y les voy a explicar por qué. Algunas empresas siempre se preguntan

entonces: ¿Qué tan seguro estoy?, ¿Sé si estoy seguro?, ¿Estoy mejor o peor que el año

pasado?, ¿Estoy invirtiendo poco/suficiente/mucho en seguridad informática?, ¿Cómo

administraré la seguridad, si no la puedo medir?, ¿Cómo puedo estimar el daño resultante

de un incidente de seguridad?

Creo que, por lo menos, si usted está dedicado a telecomunicaciones, se habrá planteado

más de una de estas preguntas.

La razón de que la palabra “deseable” saltara a mi vista es que a veces no sabemos qué es

una seguridad deseable. Yo cambiaría ese vocablo por “necesaria”, pero entonces tenemos

que buscar la justificación de esa seguridad. Esta justificación tendríamos que hacerla con

respecto a un análisis de riesgos, y este análisis con respecto a la valuación de los bienes, y

esta valuación nos va a dar como resultado los controles que requerimos para estar más

“seguros”.

Si se da cuenta, es una cadena que normalmente no seguimos. Las empresas implementan

miles de controles para que los usuarios no hagan o limiten su acceso, pero no tienen una

política corporativa que los sustente. Por otro lado, las compañías tienen excelentes

controles para que los virus no entren a su servidor de correo, pero los empleados tienen

acceso a cuentas de correo vía web, donde bajan el virus y lo ejecutan en sus máquinas.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

28

Entonces, ¿por qué es tan difícil justificar la inversión en seguridad? Muy sencillo, porque

es similar a justificar el costo de un arma de fuego. Imagine que tiene que justificar el costo

de un arma de fuego: hay tantas posibilidades o escenarios que podrían pasarle, que en este

caso tiene usted que pensar en un “evento” para poder justificarlo. Muchas veces hasta que

no sucede, ¡no podemos justificarlo!

Y ahí viene la segunda palabra, que ya la convertí en frase: “costo de una falla de

seguridad”.

Al final del día, usted puede hacer un ROSI sin problema. Va a ser un trabajo muy duro, mas

no imposible.

Esto suena incluso hasta desafiante, pero lo que podemos considerar es el hecho de que un

análisis de riesgo de la empresa, realizado conscientemente, por una persona que trabaje

dentro de la organización, quien conozca perfectamente los flujos de trabajo de la empresa y

los sistemas y procesos críticos, puede llegar a ayudarle y con esta información ya tiene

suficiente para poder justificarlo.

Es muy sencillo, imagine (realmente imagine) que en su empresa tiene un sistema donde hay

una base de datos con información de clientes (desde los datos, como el seguimiento,

facturación, etc.) y el equipo no tiene un antivirus. ¿Como va a justificarlo? Es sencillo, si un

virus afecta una máquina, que lamentablemente es la máquina con la base de datos de

clientes, tenemos que el valor de la información debe ser valuado y un modo de valuarlo es

preguntarse: ¿Cuánto pagaría yo por esa información? A este valor hay que aumentarle el

del tiempo en recuperarla, el número de personas que van a tener que desarrollarla, los

sistemas afectados, etc.

Ya tiene el valor del activo; ahora quedan varias opciones: aceptar el riesgo, implementar

un control o transferir ese riesgo. Lleve este valor a la alta dirección y justifique lo que

puede pasar y cómo esta pérdida va a afectar a la organización. Si le piden que instale un

antivirus, la administración decidió disminuir el riesgo por medio de un control; si la

administración le dice que no hay presupuesto, acaba de aceptar el riesgo y, por

consiguiente, quien tiene la responsabilidad sobre ello es la administración. Si le piden

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

29

llamar a un outsourcing o a una compañía de seguros para comprar una póliza de

protección de la información, entonces la empresa ha transferido el riesgo a un tercero.

Es importante que tenga clara la postura en materia de seguridad que adoptará su

organización; esto es, ¿qué tanto riesgo va usted a tolerar? Determinar también el impacto

del riesgo en su compañía y, lo más importante, invierta dinero en aquello que sabe que va a

ayudar a la empresa.”

2.4 Antecedentes de Proyectos similares

La problemática planteada es muy amplia, y en el mercado existen soluciones muy similares

entre sí.

El antecedente que se presenta a continuación es un documento que habla sobre el retorno de

inversión en proyectos ISO 27001.

“El cálculo de retorno de inversión (ROI) siempre ha sido una herramienta muy adecuada

para justificar inversiones de cara a la gerencia de una organización. Ver beneficios no

siempre es fácil, por eso este tipo de cálculos han ido ganando protagonismo en los últimos

tiempos.

En el caso particular de inversiones en seguridad, el término a utilizar se denomina ROSI

(Return Of Security Investment) y al igual que ROI mide la relación entre el retorno que

produce una inversión y la inversión propiamente dicha.

Centrándonos en ROSI, la esencia del cálculo se basa en calcular los costes ahorrados como

consecuencia de evitar incidentes de seguridad o de mitigar los efectos de los mismos en caso

de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorro conseguido

(además de otro tipo de beneficios como pueden ser mejorar la imagen de la empresa

consiguiendo así nuevos clientes).

ISO 27001 aporta confianza en este sentido, ya que habiendo implantado un sistema de

gestión en seguridad de la información (SGSI) como se define en dicho estándar se está

asegurando una importante reducción y eliminación de incidentes de seguridad.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

30

Además, al estar dentro de un ciclo de mejora continua, se consigue que el sistema de gestión

responda a las nuevas necesidades de seguridad de la organización que vayan apareciendo.

A través de los diferentes controles de seguridad que plantea ISO 27001 se puede reducir de

forma considerable la gran mayoría de incidentes que en caso de no implantar ningún sistema

de seguridad podrían amenazar nuestra organización.

Otro factor clave a la hora de calcular el retorno de inversión en proyectos de implantación

ISO 27001 es el hecho de tener que contar con un Plan de Continuidad de Negocio (BCP,

Business Continuity Plan). Gracias a un BCP tendremos asegurada –en un alto porcentaje- la

continuidad de nuestro negocio en caso de desastre, como por ejemplo un incendio o un

terremoto. Si bien en estos casos vamos a sufrir un importante daño en cuanto a costos, el

hecho de poder seguir prestando servicios a los clientes reporta unos beneficios que están

muy por encima de los costos en implantar el plan (y evita las pérdidas de no poder prestar

servicio, además de evitar daño hacia la imagen de la marca y la percepción negativa que se

llevaría el cliente).

La norma ISO 27001 contempla en todas sus fases elementos que son perfectamente

integrables dentro de un estudio de retorno de inversión en seguridad.

- Inventario y valoración de activos: en esta etapa se evalúa el valor que para la

organización tiene cada uno de los activos que vamos a incluir dentro del alcance del

SGSI a implantar. La pérdida de confidencialidad, integridad o disponibilidad de

alguno de los activos puede ocasionarnos pérdidas tanto tangibles (reemplazo de

activos o restauración de los daños causados) como intangibles (pérdida de imagen,

reducción de la confianza de los clientes, problemas para conseguir nuevos clientes).

- Análisis de riesgos sobre los activos: estudiamos las amenazas que podrían

materializarse sobre los activos y los procesos de negocio. Se calcula también la

frecuencia de ocurrencia de esas amenazas y el impacto que tendría sobre el negocio.

Estas amenazas, a través de sus impactos, causan un daño al negocio que puede

cuantificarse desde dos puntos de vista: desde el ahorro que supone no sufrir esos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

31

incidentes o desde el daño que supondría sufrirlas. La propia ausencia de controles es

una amenaza que se materializa en sufrir incidentes de seguridad.

- Tratamiento de esos riesgos (reducción de incidentes): en esta fase es donde se

implanta los controles de seguridad que harán reducir o eliminar los incidentes de

seguridad. Posteriormente se medirá la eficacia de esos controles para comprobar que

realmente están siendo útiles para proteger nuestra organización. El gasto de

implantar estos controles es uno de los costos a tener en cuenta a la hora de calcular el

ROSI.

- Plan de continuidad (BCP): un plan de continuidad de negocio, como su propio

nombre indica, nos asegura poder seguir dando servicio a los clientes en caso de

catástrofes de origen natural (terremotos, inundaciones, etc.), industrial (incendios,

explosiones, averías, etc.) o humano (errores no intencionados, ataques deliberados).

Si bien implantar un BCP es costoso en tiempo y dinero, los beneficios obtenidos en

caso de ocurrir un incidente grave pueden ser incalculables. Por dar algunos ejemplos,

se puede pensar en la pérdida de productividad ocasionada al no poder prestar

servicio (pérdidas diarias), la pérdida de imagen, las pérdidas por no cumplir con

acuerdos de nivel de servicio, sanciones económicas al infringir regulaciones legales,

etc. Es por esto que un BCP por si solo aporta suficiente retorno de inversión; más

aún si lo enmarcamos dentro de un plan de implantación de un SGSI.

- Mejora continua: ISO 27001 contempla en su cláusula 8 la mejora continua del

sistema, basada en mejorar la eficacia del SGSI implantado y responder a las nuevas

necesidades en seguridad de la información que tiene la empresa. Para enlazar este

punto con el cálculo del ROSI se puede pensar que un sistema de seguridad que no se

mantenga “vivo” en el tiempo no podrá responder con las garantías oportunas ante las

nuevas incidencias de seguridad que podrían afectar a nuestro negocio.

Entre los principales beneficios de implantar ISO 27001 se pueden destacar los siguientes de

forma esquemática:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

32

Ilustración 2 Beneficios de ISO 27001

Fig. 2.2: Beneficios de ISO 27001

Para calcular el ROSI de implantar ISO 27001 en una organización es importante tener en

cuenta tres factores:

- Coste de la implantación de la norma.

- Ahorro al reducir o eliminar incidentes.

- Beneficios directos al mejorar nuestra imagen de marca y conseguir así nuevos

clientes.

Estos tres factores son los que deben hacernos decantarnos de forma positiva para implantar

un SGSI en nuestra organización.

Una fórmula sencilla para el cálculo del ROSI podría ser la siguiente:

ROSI = [ (BENEFICIO – COSTOS) / COSTOS ] * 100%

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

33

Sin embargo, para un correcto cálculo del retorno de inversión deberían conocerse todos los

posibles incidentes que afectan a la organización en cuestión y llevar a cabo el proceso

indicado a lo largo de este documento.

Ilustración 3 Resumen de resultados

Fig. 2.3: Resumen de resultados: “ROSI, EL ROI DE LA SEGURIDAD DE LA

INFORMACIÓN” por Carlos Ormella Meyer. Abril de 2006.

CASO PRÁCTICO OBTENIDO EN “Calculating Security Return on Investment”. Don

O’Neill, Software Engineering Institute. Carnegie Mellon University. 2007-02-06.

Savings: = (Resistance Savings + Recognition Savings + Reconstitution Savings)

Cost: = (Total Preparation + Total Cleanup + Total Lost Opportunity + Total Critical

Infrastructure Impact)

Where:

Incidents: = 100 [Expected number of incidents]

IR1: Number of expected incidents successfully resisted = 60

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

34

IR2: Number of expected incidents successfully recognized = 30

IR3: Number of expected incidents successfully survived = 5

IR4: Number of expected incidents undetected (duds) except for a forensic trace = 5

Resistance Savings

SR1: = IR1 * (Cleanup1 + Lost Opportunity1 + Critical Infrastructure Impact1)

SR1: = 60 * (2,500 + 10,000 + 0) = 750,000

Recognition Savings


SR2: = 30 * (25,000 + 20,000 + 0) = 1,350,000

Reconstitution Savings


SR3: = 5 * (250,000 + 500,000 +5,000,000) = 28,750,000

Dud Costs

SR4: = IR4 * (Cleanup4)

SR4: = 5 * (250) = 1,250

Preparation

Step 1: = 75,000 [3 days * 50 participants * $500/day]

Step 2: = 75,000 [5 days * 25 participants * $600/day]

Step 3: = 250,000 [Resistance and Recognition implementation costs]

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

35

Step 4: = 500,000 [Reconstitution implementation costs]

Step 5: = 50,000 [Information disclosure control costs]

Total Preparation: = (Step1 + Step2 + Step3 + Step4 + Step5)

Total Preparation: = (75,000 + 75,000+ 250,000 + 500,000 + 50,000)

Total Preparation: = 950,000

Cleanup Per Incident

Cleanup1: = [2,500/incident]



Cleanup4: = [250/incident]

Total Cleanup: = (IR1 * Cleanup1) + (IR2 * Cleanup2) + (IR3 * Cleanup3) + (IR4 *

Cleanup4)

Total Cleanup: = (60 * 2,500) + (30 * 25,000) + (5* 250,000) + (5 * 250) = 150,000 +

750,000 + 1,250,000 + 1,250

Total Cleanup: = 2,151,250

Lost Opportunity Per Incident

Lost Opportunity1:= 0.1 day * 10,000/day: = 10,000

Lost Opportunity2:= 0.2 days * 10,000/day: = 20,000

Lost Opportunity3:= 5 days * 100,000/day:= 500,000

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

36

Total Lost Opportunity: = (IR1 * Lost Opportunity1) + (IR2 * Lost Opportunity2) + (IR3 *

Lost Opportunity3)

Total Lost Opportunity: = (60 * 10,000) + (30 * 20,000) + (5 *500,000)

Total Opportunity: = 600,000 + 600,000 + 2,500,000

Total Lost Opportunity: = 3,700,000

Critical Infrastructure Impact Per Incident

Critical Infrastructure Impact1:= 0 * 1,000,000:= 0

Critical Infrastructure Impact2:= 0 * 1,000,000:= 0

Critical Infrastructure Impact3:= 5 * 1,000,000:= 5,000,000

Total Critical Infrastructure Impact: = (60 * 0) + (30 * 0) + (5* 5,000,000): = 25,000,000

Savings: = (Resistance Savings + Recognition Savings + Reconstitution Savings)

Cost: = (Total Preparation + Total Cleanup + Total Lost Opportunity + Total Critical

Infrastructure Impact)

Savings: = 750,000 + 1,350,000 + 28,750,000) = 30,850,000

Cost: = (950,000 + 2,151,250 + 3,700,000 + 25,000,000) = 31,801,250

ROI: = Savings/Cost

ROI: = 30,850,000/31,801,250

ROI: = 0.97008765379

Como se ha dicho antes, este tipo de estudios no es posible realizarlo sin conocer de forma

exhaustiva las amenazas que afectan a una organización. Para realizarlo de la forma más

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

37

precisa posible (siempre son estimaciones probabilísticas) se debe remontar a la historia

reciente de la organización y ver qué incidentes se han sufrido, para así poder prever los

posibles incidentes futuros.

Una vez estimadas las posibles incidencias se debe calcular el coste asociado a ellas y ver en

qué grado ISO 27001 permite reducir el impacto económico de las mismas.

Respecto a la posibilidad de sufrir una catástrofe de gran tamaño (incendios, terremotos, etc.)

ISO 27001 cubre la incidencia con la elaboración y puesta en marcha de un plan de

continuidad.”

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

38

3. SEGUNDA PARTE: MARCO TEORICO

3.1 Marco Teórico del campo de acción

En los últimos años, las inversiones en el área de seguridad informática de las

organizaciones, han incrementado de manera notable, y esta tendencia se seguirá dando,

debido al continuo crecimiento de dicha área en las compañías actuales. En las

organizaciones se están incrementando cada vez más los fondos económicos destinados a la

seguridad informática, lo cual es importante, ya que de esta forma están logrando cubrir más

y de mejor manera las brechas y requerimientos de seguridad en la empresa, dando un mayor

nivel de protección dentro de las mismas. Sin embargo, es necesario reflejar el retorno de las

inversiones económicas; es decir poder mostrar a la alta gerencia o a cualquier persona de la

organización, los réditos o beneficios que las inversiones del área están dando.

Los administradores de seguridad necesitan de una forma para medir y poder demostrar

dichos beneficios de las inversiones y la efectividad de la infraestructura de seguridad, con el

objetivo de justificar los proyectos del área. Una de las formas de las que puede valerse el

área de seguridad, es a través de las métricas en seguridad informática.

Las métricas pueden estar inmersas dentro de un proceso conocido como administración de

riesgos, en donde las métricas pueden ayudar y apoyar el proceso de medición del impacto y

la probabilidad de cada uno de los riesgos, y así determinar su nivel, para finalmente, apoyar

y facilitar el proceso de toma de decisiones en la organización con respecto a la situación de

seguridad informática.

La base del marco teórico de esta investigación está sustentada en diversos temas, pero

centrada fundamentalmente en los conceptos principales de la seguridad informática, retorno

a la inversión y algunos modelos de cálculo. Sin embargo, como se verá a lo largo de la

investigación, esta revisión de literatura provee solo un fragmento de la información

necesaria para el desarrollo de la guía metodológica. Se busca construir una base de

conocimiento y una perspectiva sobre los temas concernientes a la investigación.

A continuación se presentarán distintos conceptos teóricos asociados al campo de acción.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

39

HISTORIA DE LA SEGURIDAD INFORMÁTICA

Antes de la interconexión de computadoras surgieron los problemas de seguridad. Se hablaba

de seguridad desde los inicios de la Segunda Guerra Mundial, donde surgieron los problemas

de comunicación segura entre las diferentes tropas en misión; para solucionar estos

problemas se empezó a hablar del cifrado de mensajes.

Pero la seguridad informática tuvo un auge importante cuando se conectaron los

computadores entre sí para compartir información, donde la cantidad de equipos tuvo un

crecimiento exponencial, que presentaban cada vez mayor riesgo para asegurar la

información.

A continuación se describen algunos de los hechos históricos que han marcado los inicios y

evolución de la seguridad informática:

A finales de los años 50 las computadoras trabajaban con registros especiales para

definir particiones en memoria para el uso de programas separados y asegurar que un

programa en ejecución no pueda acceder a particiones de otro programa. Las

particiones y el concepto de memoria virtual proveen una de las primeras medidas de

protección de seguridad en ambientes multiusuarios.

A principios de los años 60, se utilizaron los sistemas de tiempo compartido. Este

sistema fue seguro usando control de acceso, que permitía al dueño de la información,

especificar y autorizar accesos a otros diferentes usuarios. La primera característica

de la seguridad fue la protección de contraseñas de usuarios.

A fines de los 60, el sistema Multics del MIT, se identificó un pequeño kernel en el

sistema operativo, que garantizara que todas las políticas de seguridad del sistema

fueran permitidas. Además, vino la aparición de ARPANET (Advanced Research

Project Agency Network) comenzando con cuatro nodos, hasta convertirse en lo que

es hoy en día Internet. Este continuo aumento de interconexiones, incrementó el

riesgo de acceso a usuarios externos no autorizados y asimismo, el conocimiento

sobre temas de seguridad a los administradores y propietarios de las redes.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

40

En los 70, el Unix-Unix System Mail (UUCP) permitía a usuarios ejecutar comandos

en un sistema Unix secundario. Permitía que, correos electrónicos y archivos fuesen

transferidos automáticamente entre sistemas, lo que también permitía a los atacantes

borrar o sobrescribir los archivos de configuración. En los siguientes años se empezó

a hablar sobre criptografía con llave pública y firmas digitales, debido a la necesidad

de permitir comunicación confidencial entre dos usuarios. Esto ha generado que la

criptografía sea un tema importante en el desarrollo de la seguridad informática.

En 1978 (Morris y Thompson) se realizó un estudio que demostraba que adivinar

contraseñas a partir de datos personales de los usuarios, como son el nombre,

teléfono, fecha de nacimiento, era más eficiente que decodificar las imágenes de

dichas contraseñas. En el mismo año nace una nueva preocupación de la seguridad

informática, que consiste en la protección de los pagos electrónicos a través de la red

que comenzaron a hacerse disponibles a los clientes. Este tipo de transacciones se

tradujo en la necesidad de un alto nivel de seguridad, evolucionando así los conceptos

de confidencialidad e integridad.

El crecimiento exponencial de la red, comenzó a requerir un DNS (Directory Name

Server) dinámico, que actualizara la base de datos de asociación de nombres y

direcciones. Estos nuevos servidores se convierten en otro blanco para los atacantes y

suplantadores. Los virus informáticos tienen un crecimiento notable y se convierten

en una seria amenaza para los administradores de seguridad informática y para los

usuarios.

A fines de los 80, se destaca el primer ataque a gran escala, a través de gusanos

cibernéticos, que podrían llegar a infectar en horas un porcentaje significativo de la

red.

En los 90, la seguridad encuentra otro interés, donde los atacantes utilizan métodos de

sniffing (rastreo) para detectar contraseñas, y spoofing (suplantación) o usan los

mismos computadores con identificadores falsos para transmitir sus propios paquetes

al ganar accesos al sistema.

Se comenzaron a presentar abusos computacionales causados por los mismos usuarios. Estos

abusos se pueden clasificar en: robo de recursos computacionales, interrupción de servicio,

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

41

divulgación no autorizada de información y modificación no autorizada de información. Hoy

en día se tiene un modelo actual basado en dichos principios de confidencialidad, integridad

y disponibilidad, que buscan proteger la información, recursos y personas que hacen uso de

esta, tratando así de evitar el continuo crecimiento a dichos abusos. Dichos principios han ido

evolucionando a través del tiempo, lo que no significa que hayan surgido solo hasta esta

época.

Se pueden definir además seis clases de abusos técnicos por los que debe preocuparse la

seguridad informática:

Errores humanos: son simples errores cometidos por los usuarios que pueden llegar a

representar grandes daños al sistema.

Abuso de usuarios autorizados: se refiere a los abusos que hacen los usuarios al

entregarles demasiada confianza o privilegios sobre algún sistema.

Exploración directa: se presenta cuando el usuario ingresa teniendo autorización, pero

sin ser previsto por los operadores del sistema.

Exploración con software especializado: consiste en exploraciones en donde se hace

uso de herramientas especializadas para acceder a recursos no autorizados o generar

irregularidades en los sistemas. Algunos de estos software empleados son: los

troyanos que son ocultados en aplicaciones comunes y comerciales, los virus que

tienen la capacidad de reproducirse, las bombas de tiempo, entre otros.

Penetración directa: a diferencia de la exploración directa, no se tiene autorización,

pero los intrusos encuentran alguna falla o vulnerabilidad, y generan algún tipo de

código malicioso para explotarla y obtener el control del sistema.

Mecanismos de subversión de seguridad: se ataca el control interno para entrar sin

autorización a un sistema, sin ser detectado.

CONCEPTOS DE LA SEGURIDAD INFORMÁTICA

Todo sistema es desarrollado y cambiado varias veces a lo largo de su ciclo de vida, debido a

nuevas funcionalidades que son adicionadas. Estos cambios y nuevas funcionalidades alteran

los requerimientos de seguridad de los sistemas, y obligan descubrir las nuevas

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

42

vulnerabilidades y debilidades del sistema, y así implementar soluciones ante estos nuevos

requerimientos.

Objetivo de la Seguridad Informática

La Seguridad Informática busca dar apoyo a los objetivos y misión de las organizaciones, a

través de la protección de sus principales recursos y activos como son: la información, la

tecnología que la soporta (hardware y software) y las personas que la utilizan o conocen, a

través de la selección y aplicación de protecciones adecuadas, cuidando, de esta manera, sus

recursos físicos, financieros, reputación, y otros activos tangibles e intangibles.

La Seguridad Informática ha definido tres principios básicos (confidencialidad, integridad y

disponibilidad) y 4 servicios (autenticación, autorización, no repudio y auditabilidad), para

poder cumplir su objetivo.

Principios de la Seguridad Informática

La correcta Gestión de la Seguridad de la Información busca conservar la confidencialidad,

integridad y disponibilidad de la información, si alguna de estas características falla no

estamos ante nada seguro. Hay que conocer siempre las vulnerabilidades y las amenazas que

se pueden producir sobre cualquier información, teniendo en cuenta las causas de riesgo y la

probabilidad de que ocurran, así como el impacto que puede tener.

Uno de los objetivos principales de la seguridad informática, esto significa mantenerlos

seguros frente a las diversas amenazas a las que se enfrentan y que pueden afectar su

funcionalidad de diferentes maneras: corrupción, acceso indebido e incluso hurto y

eliminación.

La Seguridad Informática se basa en la preservación de unos principios básicos, los cuales

son definidos por diferentes autores, con algunas variantes y algunas constantes. Para el

desarrollo de esta investigación, se definen los siguientes principios básicos:

- Confidencialidad

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

43

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o

sistemas no autorizados.

Este principio tiene como propósito asegurar que sólo la persona o personas autorizadas

tengan acceso a cierta información. La información, dentro y fuera de una organización, no

siempre puede ser conocida por cualquier individuo, si no por el contrario, está destinada

para cierto grupo de personas, y en muchas ocasiones, a una sola persona. Esto significa que

se debe asegurar que las personas no autorizadas, no tengan acceso a la información

restringida para ellos.

La confidencialidad de la información debe prevalecer y permanecer, por espacios de tiempo

determinados, tanto en su lugar de almacenamiento, es decir en los sistemas y dispositivos en

los que reside dentro la red, como durante su procesamiento y tránsito, hasta llegar a su

destino final.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de

tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a

una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad

mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética

durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la

tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de

la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira

por encima de su hombro, mientras usted tiene información confidencial en la pantalla,

cuando se publica información privada, cuando un laptop con información sensible sobre una

empresa es robado, cuando se divulga información confidencial a través del teléfono, etc.

Todos estos casos pueden constituir una violación de la confidencialidad.

- Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

La integridad tiene como propósito principal, garantizar que la información no sea

modificada o alterada en su contenido por sujetos no autorizados o de forma indebida.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

44

Asimismo, la integridad se aplica a los sistemas, teniendo como propósito garantizar la

exactitud y confiabilidad de los mismos. Debido a esto, la integridad como principio de la

Seguridad Informática, se ha definido en dos partes: integridad de los datos e integridad de

los sistemas.

La integridad de los datos, se refiere a que la información y los programas solo deben ser

modificados de manera autorizada por las personas indicadas para ello. Estas alteraciones

pueden darse por inserciones, sustituciones o eliminaciones de contenido de la información.

La integridad de los sistemas, hace referencia a que todo sistema debe poder cumplir su

función a cabalidad, sin ninguna violación o modificación del mismo, en su estructura física

y/o lógica, sin perder necesariamente su disponibilidad.

La violación de integridad se presenta cuando un empleado, programa o proceso (por

accidente o con mala intención) modifica o borra los datos importantes que son parte de la

información, así mismo hace que su contenido permanezca inalterado a menos que sea

modificado por personal autorizado, y esta modificación sea registrada, asegurando su

precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto

de datos de comprobación de la integridad: la huella digital.

- Disponibilidad

Es la característica, cualidad o condición de la información de encontrarse a disposición de

quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En el caso de los

sistemas informáticos utilizados para almacenar y procesar la información, los controles de

seguridad utilizada para protegerlo, y los canales de comunicación protegidos que se utilizan

para acceder a ella deben estar funcionando correctamente.

Este principio tiene como propósito, asegurar que la información y los sistemas que la

soportan, estén disponibles en el momento en que se necesiten, para los usuarios autorizados

a utilizarlos. Al referirse a los sistemas que soportan la información, se trata de toda la

estructura física y tecnológica que permite el acceso, tránsito y almacenamiento de la

información.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

45

Adicionalmente, la disponibilidad hace referencia a la capacidad que deben tener los sistemas

de recuperarse ante interrupciones del servicio, de una manera segura que garantice el

continuo desarrollo de la productividad de la organización sin mayores inconvenientes.

En conclusión, disponibilidad, integridad y confidencialidad son principios básicos de la

seguridad informática, y su adecuada comprensión es necesaria en esta investigación, para la

correcta identificación de problemas y las soluciones apropiadas a ellos a través de la

administración de la seguridad, con el objetivo de calcular el retorno a la inversión sobre

dichas soluciones.

Servicios de la Seguridad Informática

Para lograr hacer cumplir la preservación y el cumplimiento de los tres principios básicos de

la seguridad informática, se han planteado cuatro servicios principales.

Las definiciones planteadas a continuación, son resultado del compendio de las definiciones

dadas por los siguientes autores.

- Autenticación

Busca asegurar la validez de una identificación proporcionada para acceder cierta

información, proveyendo medios para verificar la identidad de un sujeto, básicamente, de tres

formas: por algo que el sujeto es, por algo que el sujeto tiene o por algo que el sujeto conoce.

- Autorización

Permite la especificación y continua administración de las acciones permitidas por ciertos

sujetos, para el acceso, modificación o inserción de información de un sistema,

principalmente, mediante permisos de acceso sobre los mismos.

- No repudio

Proporciona protección contra la interrupción, por parte de alguna de las entidades

implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

46

servicio de Seguridad de No repudio está estandarizado en la ISO-7498-2. No Repudio de

origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el

receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de

negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio

emisor y la recibe el destinatario. No Repudio de destino: El receptor no puede negar que

recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona

al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando

que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor

y la recibe el emisor. Si la autenticidad prueba quién es el autor de un documento y cuál es su

destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en

origen) y que el destinatario la recibió (no repudio en destino).

La administración de un sistema de información debe estar en capacidad de asegurar quién o

quiénes son los remitentes y destinatarios de cualquier información. Provee los medios y

mecanismos para poder identificar quien ha llevado a cabo una o varias acciones en un

sistema, para que los usuarios no puedan negar las responsabilidades de las acciones que han

llevado a cabo.

- Auditabilidad

Proporciona los mecanismos para la detección y recuperación ante posibles fallas o

incidentes de seguridad, mediante el registro de todos los eventos y acciones hechas en un

sistema.

Definición de Seguridad Informática

Definición y posterior implementación de protecciones, políticas y procedimientos, en

búsqueda de la preservación de la integridad, disponibilidad y confidencialidad de la

información, los recursos que la soportan (hardware, software, firmware, dispositivos de

comunicación) y los individuos que la utilizan o conocen.

ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

47

Actualmente se escucha en varios medios acerca de incidentes de seguridad informática,

como ataques de virus que causan pérdidas y daños que pueden llegar a representar grandes

sumas de dinero para una organización, ataques remotos de hackers a instituciones

financieras, ataques a los sitios Web de grandes y prestigiosas empresas y corporaciones, etc.

Este tipo de incidentes son los que hacen cada vez más interesante la seguridad informática,

pero así mismo significa tareas y responsabilidades diarias de esta área para prevenir ataques

como los antes mencionados. Es por esto que la administración de la seguridad informática

es uno de los temas más importantes en la estructura de seguridad informática de una

organización.

La tarea de administración, comprende la administración de riesgos, definición, creación e

implementación de políticas de seguridad, procedimientos, estándares, guías, clasificación de

información, organización de la estructura de seguridad de la compañía, y la educación de los

individuos de la organización, entre otras.

Como se mencionó anteriormente, la clave de un programa de seguridad informática, es la

protección de los activos más importantes de la compañía. Los cuales pueden ser

identificados mediante los análisis de riesgos, además de la identificación de las

vulnerabilidades y amenazas que pueden llegar a afectar dichos activos, y estimar los costos

y daños que tendría para la compañía, la materialización de una o más de dichas amenazas.

Como resultado de los análisis de riesgos se puede lograr tener un presupuesto de las

inversiones necesarias para la protección de dichos activos, contra los riesgos anteriormente

identificados.

La administración de seguridad debe tener en cuenta que el desarrollo y crecimiento de un

sistema, las redes, etc., producen cambios constantes en las políticas de seguridad, en la

protección de bienes y las amenazas establecidas, lo cual requiere también de una debida

gestión y administración.

Una de las formas más utilizadas para hacer administración de la seguridad informática, se

basa en la utilización de estándares. No sólo existen estándares reconocidos

internacionalmente, sino también han surgido estándares locales o nacionales, referentes a la

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

48

administración de seguridad informática. La razón principal de la creación de estos

estándares locales, radica en la casuística y especificidad que pueden llegar a tener las

mejores prácticas en el área, en un país o región determinada.

Dentro de la administración de la seguridad de la información, se deberían tener en cuenta las

inversiones requeridas para el desarrollo de los procedimientos, políticas, estándares, etc.,

anteriormente mencionados, y para que dichas inversiones lleguen a retornar los beneficios o

ganancias esperadas, se debería también conocer la forma de estimar las ganancias o posibles

pérdidas de dichas inversiones.

SEGURIDAD DE LA INFORMACION

En la seguridad de la información es importante señalar que su manejo está basado en la

tecnología y debemos de saber que puede ser confidencial: La información está centralizada

y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o

saboteada: Esto afecta su disponibilidad y la pone en riesgo.

La información es poder y a la información se le conoce como:

- Critica: Es indispensable para la operación de la empresa

- Valiosa: Es un activo de la empresa y muy valioso

- Sensitiva: Debe de ser conocida por las personas autorizadas

La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la

información como por ejemplo la disponibilidad, comunicación, identificación de problemas,

análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Seguridad de la Información tiene como fin la protección de la información y de los sistemas

de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Se

refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos,

independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras

formas.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

49

Involucra la implementación de estrategias que cubran los procesos en donde la información

es el activo primordial. Estas estrategias deben tener como punto primordial el

establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para

detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo,

es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la

almacenan y administran.

Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y

controles establecidos para la protección de la información deberán revisarse y adecuarse, de

ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan

reducirlos y en el mejor de los casos eliminarlos.

PLANIFICACION DE LA SEGURIDAD

Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten

un conjunto mínimo de controles de seguridad para proteger su información y sistemas de

información. El propósito del plan de seguridad del sistema es proporcionar una visión

general de los requisitos de seguridad del sistema y se describen los controles en el lugar o

los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea

las responsabilidades y el comportamiento esperado de todos los individuos que acceden al

sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el

sistema, incluidos los propietarios de la información, el propietario de la red, y el alto

funcionario de la agencia de información de seguridad (SAISO).

Los administradores de programas, los propietarios del sistema, y personal de seguridad en la

organización debe entender el sistema de seguridad en el proceso de planificación. Los

responsables de la ejecución y gestión de sistemas de información deben participar en el

tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.

Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la

organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo

minimizar los efectos de una violación sino también, reducir la publicidad negativa.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

50

Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura

(pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de

poca confianza como lo es Internet), sino más bien cuando ocurre. El aspecto positivo de

entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese

información confidencial, no está limitado a servicios informáticos) es que permite al equipo

de seguridad desarrollar un curso de acciones para minimizar los daños potenciales.

Combinando un curso de acciones con la experiencia le permite al equipo responder a

condiciones adversas de una manera formal y oportuna.

El plan de respuesta a incidentes puede ser dividido en cuatro fases:

- Acción inmediata para detener o minimizar el incidente

- Investigación del incidente

- Restauración de los recursos afectados

- Reporte del incidente a los canales apropiados

Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy

poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los

tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la

velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el

daño potencial causado por el sistema en peligro.

Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:

- Un equipo de expertos locales (un Equipo de respuesta a emergencias de

computación)

- Una estrategia legal revisada y aprobada

- Soporte financiero de la compañía

- Soporte ejecutivo de la gerencia superior

- Un plan de acción factible y probado

- Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y

servicios de respaldo

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

51

La respuesta a incidentes debe ir acompañada con recolección de información siempre que

esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho

más deberían ser auditados activamente en tiempo real. Puede ser muy útil tener una toma

instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos

maliciosos.

ANÁLISIS DE RIESGOS

El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas

que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los

cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación

de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a

ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe

estar prohibido" y ésta debe ser la meta perseguida.

Los medios para conseguirlo son:

- Restringir el acceso (de personas de la organización y de las que no lo son) a los

programas y archivos.

- Asegurar que los operadores puedan trabajar pero que no puedan modificar los

programas ni los archivos que no correspondan (sin una supervisión minuciosa).

- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el

procedimiento elegido.

- Asegurar que la información transmitida sea la misma que reciba el destinatario al

cual se ha enviado y que no le llegue a otro.

- Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión

entre diferentes puntos.

- Organizar a cada uno de los empleados por jerarquía informática, con claves distintas

y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones

empleadas.

- Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

52

Cuando se pretende diseñar una técnica para implementar un análisis de riesgo informático se

pueden tomar los siguientes puntos como referencia a seguir:

- Construir un perfil de las amenazas que esté basado en los activos de la organización.

- Identificación de los activos de la organización.

- Identificar las amenazas de cada uno de los activos listados.

- Conocer las prácticas actuales de seguridad

- Identificar las vulnerabilidades de la organización.

Recursos humanos

Recursos técnicos

Recursos financieros

- Identificar los requerimientos de seguridad de la organización.

- Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.

- Detección de los componentes claves

- Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:

Riesgo para los activos críticos

Medidas de riesgos

Estrategias de protección

Planes para reducir los riesgos.

La administración y evaluación de riesgos conlleva a un proceso de análisis y valoración de

riesgos que están básicamente compuesto por:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

53

Ilustración 4 Componentes de Análisis y Valoración de Riesgos

Fig. 3.1: Componentes de Análisis y Valoración de Riesgos

La administración de riesgos es el término aplicado a un método lógico y sistemático de

establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los

riesgos asociados con una actividad, función o proceso de una forma que permita a las

organizaciones minimizar pérdidas y maximizar oportunidades. Administración de riesgos es

tanto identificar oportunidades como evitar o mitigar pérdidas.

El análisis de riesgos, tiene una estructura bien definida que nos ayuda a identificar los

riesgos a los cuales están sometidos los activos de la organización, para evaluarlos y

analizarlos con el fin de priorizar y clasificar, qué riesgos deben ser administrados.

La seguridad informática busca dicha protección, pero para que ésta cumpla su función,

requiere inversión, lo cual trae costos elevados que no siempre están disponibles en las

organizaciones; por este motivo, es necesario tener una correcta administración de riesgos

que incluya su correspondiente análisis de riesgos, para lograr decidir en qué riesgos invertir

y en cuáles no es necesario, según su prioridad.

Risk Management Guide for Information Technology Systems, define el riesgo en función de

la probabilidad de que se materialice una amenaza debido a una vulnerabilidad existente, y el

impacto resultante que perjudica a la organización a razón de dicho evento. También propone

una metodología para llevar a cabo un análisis de riesgos. Esta propuesta consta de nueve

pasos principales:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

54

1. Caracterización del sistema

Para identificar los riesgos en un sistema de tecnología de información se requiere tener

conocimiento del ambiente y de los procesos del sistema. Se propone la recolección de

información relacionada con el sistema, por medio de entrevistas, cuestionarios, revisión de

documentos, etc. Este proceso debe ser completo y debe incluir el estudio del contexto

organizacional y del negocio.

Después de realizar este paso podemos tener conocimiento de los límites del sistema,

funciones, sistemas y datos críticos.

2. Identificación de amenazas

Las amenazas son agentes capaces de explotar los fallos de seguridad, que denominamos

puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una

organización, afectando a sus negocios.

Como se nombró anteriormente, las amenazas se pueden presentar por diferentes causas:

naturales, humanas o del ambiente; y pueden ser ocasionadas voluntarias o intencionalmente.

La identificación de éstas, nos dan a luz algunas de las posibles necesidades de protección

Informática que requiere la organización.

3. Identificación de vulnerabilidades

Las vulnerabilidades son debilidades que son atacadas por las amenazas mediante la

materialización de éstas, y afectan la confidencialidad, disponibilidad e integridad de una

organización, su información o sus individuos.

Las vulnerabilidades pueden ser detectadas a partir de reportes, documentos previos de

valoración de riesgos, requerimientos de seguridad y resultados de pruebas de seguridad.

4. Análisis de controles existentes

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

55

Se deben analizar los controles que han sido implementados o se planean implementar, con

fin de reducir la probabilidad de que una amenaza sea materializada y tomen ventaja de una

vulnerabilidad.

5. Determinación de probabilidad

Este proceso consiste en determinar la probabilidad de que una vulnerabilidad sea explotada,

en un ambiente con amenazas asociadas. Para estimar una probabilidad, se debe tener en

cuenta las amenazas, la naturaleza de la vulnerabilidad y la existencia y eficiencia de

controles actuales.

Para lograr una medición de la probabilidad, debemos definir métricas.

6. Análisis de impacto

Consiste en valorar el impacto causado, como resultado de la materialización de una

amenaza.

Para ello se debe tener en cuenta, en qué medida las amenazas afectan a los sistemas y a los

datos críticos, la misión del sistema, sistemas y datos sensitivos.

Es posible medir el impacto que causa la materialización de una amenaza, calculando el

costo que implica la recuperación del daño causado. Pero esto solo es posible si los daños son

tangibles y pueden ser estimados en dinero. Sin embargo existen otro tipo de impactos que

no pueden ser medidos cuantitativamente, ya que son intangibles, por ejemplo la pérdida de

imagen, reputación, confianza del sistema, etc.

Este tipo de impactos solo pueden ser estimados cualitativamente, ya que no pueden ser

estimados en unidades específicas, sino calificados o descritos en términos de impacto Alto,

Medio o Bajo. Este tipo de medidas cualitativas son relativas, ya que cada persona tiene un

punto de vista diferente, y puede variar la valoración del impacto por cada persona que los

califique.

7. Determinación de riesgo

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

56

Este proceso consiste en la valoración del nivel de riesgo del sistema.

Para determinar el nivel de riesgo, es necesario multiplicar el impacto por la probabilidad de

ocurrencia. Esto puede llevarse a cabo a partir de una matriz con los diferentes niveles de

impacto y probabilidad, y dándole así valores numéricos a cada uno de los niveles definidos.

A partir de esta tabla se puede representar el nivel de riesgo que puede llegar a tener la

materialización de una amenaza frente a una vulnerabilidad, esta matriz realmente muestra el

nivel de riesgo que se tiene, el cual puede llegar a ser significativo para estimar el ROI, ya

que nos presenta y prioriza la necesidad de inversión. Es necesario, al igual que para estimar

el nivel de impacto, el uso de métrica para definir a qué se hace referencia con un nivel

riesgo alto, medio o bajo, y así poder categorizar el nivel de riesgo al que está expuesto el

sistema.

Se muestra un ejemplo de lo que podría ser una matriz de nivel de riesgos.

Tabla 3-1 Ejemplo NIST 800-30

Probabilidad \

Impacto

Bajo (10) Medio (50) Alto (100)

Alto(1.0) Bajo 10 * 1.0 = 10 Medio 50 * 1.0 = 50 Alto 100 * 1.0 = 100

Medio(0.5) Bajo 10 * 0.5 = 5 Medio 50 * 0.5 = 25 Medio100 * 0.5 = 50

Bajo(0.1) Bajo 10 * 0.1 = 1 Bajo 50 * 0.1 = 5 Bajo 100 * 0.1 = 10

Tabla 3-1 Ejemplo NIST 800-30

Tabla 3.1. Ejemplo NIST 800-30

Escala de riesgo: alto (>50 -100); medio (>10-50); bajo (1>10)

8. Recomendaciones de control

El objetivo es reducir el nivel de riesgo del sistema y llevarlo a un nivel aceptable. Debe

tenerse en cuenta los siguientes factores: recomendaciones efectivas, regulación y

legislación, políticas organizacionales, impacto operacional y seguridad y confianza.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

57

9. Documentación de Resultados

Una vez finalizado cada paso del proceso, los resultados deben ser documentados en un

reporte oficial.

Se presenta un diagrama explicativo del Análisis de riesgos:

Fig. 3.2. Diagrama Análisis de Riesgos

Antes de estimar el ROI puede ser útil hacer un análisis de riesgos, para lograr tener

conocimiento de las amenazas a las que está expuesta la organización, las vulnerabilidades

que se tienen, la estimación de la probabilidad de ocurrencia de las amenazas, el riesgo al

cual se está expuesto y el impacto organizacional causado por tener niveles de riesgos

inaceptables. Una vez hecho el análisis, se pueden estimar las pérdidas a las cuales está

expuesta la organización de acuerdo con su nivel de exposición.

Un análisis de riesgos puede ser considerado como una de las opciones que permite priorizar

inversiones de seguridad en la organización, frente a los recursos de inversión que se prevean

para ello. Se puede valorar el nivel de impacto organizacional que se produciría al no invertir

Ilustración 5 Diagrama Análisis de Riesgos Explot

an

Protege

n contra

Increment

an

Incrementa

n

Expon

en

Tienen

Incrementa

n Indican

Definen

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

58

en dichas soluciones de seguridad o al hecho de estar expuestos a amenazas que impacten las

vulnerabilidades del sistema, lo cual perjudica la misión organizacional, y por consiguiente

pérdida del buen funcionamiento del sistema, el cual podría producir mayores costos.

MANEJO DE RIESGOS DENTRO DE LA SEGURIDAD DE INFORMACION

Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas

para manejar los posibles riegos que un activo ó bien puede tener dentro de los procesos en

una empresa. Esta clasificación lleva el nombre de manejo de riegos. El manejo de riesgos,

conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos

identificado, priorizados y analizados, a través de acciones factibles y efectivas. Para ello se

cuenta con las siguientes técnicas de manejo del riesgo:

- Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se

permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse

a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que

ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades.

Ejemplo: No instalar empresas en zonas sísmicas.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

59

- Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo

operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta

opción es la más económica y sencilla. Se consigue optimizando los procedimientos,

la implementación controles y su monitoreo constante. Ejemplo: No fumar en ciertas

áreas, instalaciones eléctricas anti flama, planes de contingencia.

- Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes del manejo

de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento.

Ejemplo de Asumir el riesgo: Con recursos propios se financian las pérdidas.

- Transferir. Es buscar un respaldo y compartir el riego con otros controles o entidades.

Esta técnica se usa ya sea para eliminar un riegos de un lugar y transferirlo a otro, ó

para minimizar el mismo, compartiéndolo con otras entidades. Ejemplo: Transferir

los costos a la compañía aseguradora.

MÉTRICAS DE LA SEGURIDAD INFORMÁTICA

Una métrica se puede definir como una herramienta diseñada para facilitar el proceso de

toma de decisiones, a través de la recolección, análisis y reporte de datos relevantes,

relacionados con el desempeño.

En el campo de la seguridad informática, se puede concluir que una métrica confiable, debe

indicar el grado en que los objetivos de la seguridad informática están siendo alcanzados, y

ayudan a llevar a cabo acciones en busca del mejoramiento del programa e infraestructura de

seguridad de la organización.

Las métricas pueden ser una herramienta efectiva para monitorear y medir la efectividad y el

estado de diferentes componentes y sus actividades, que componen su programa e

infraestructura de seguridad. Dichas métricas pueden además ayudar a la identificación de los

niveles de riesgo de ciertos componentes, siendo así parte del proceso de administración de

riesgos que lleva la organización, para poder dar prioridades a dichos riesgos, y llevar a cabo

las acciones necesarias.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

60

Las métricas pueden cambiar de tres formas:

• A través del tiempo: debido a cambios en el entorno y en la tecnología, que obligan a

modificaciones en las medidas tomadas y los mecanismos de seguridad implementados.

• Según la industria: no todas las industrias son iguales, y por lo tanto su definición de

métricas es diferente, dependiendo de sus metas y objetivos de seguridad informática,

basados en la misión y objetivos organizacionales.

• Según las acciones: el estado de la seguridad de la organización cambia dependiendo de las

protecciones implementadas en uno u otro lugar para mitigar riesgos. Cada vez que se

implementa un nuevo control o protección, cambia el estado de la organización y por

consiguiente cambian las medidas de las métricas.

Las métricas pueden encontrarse tipificadas o categorizadas en tres tipos:

• De Implementación, para medir la efectividad de la implementación de políticas de

seguridad.

• De Efectividad y Eficiencia, para medir los resultados de los servicios de seguridad

implementados.

• De Impacto, para medir el impacto de los eventos de seguridad en el negocio o la misión

de la organización.

Para esta investigación se utilizarán en su gran mayoría, las métricas de impacto, ya que éstas

ayudarán a medir el impacto de los riesgos asociados, para luego poder calcular el retorno de

las inversiones que se pueden hacer con el objetivo de mitigar dichos riesgos. Sin embargo,

los otros dos tipos de métricas son útiles en el proceso de medición de probabilidad de

ocurrencia y efectividad de los procesos que actualmente se ejecutan en las organizaciones.

Las métricas de seguridad son algo difícil de crear y comprender, debido a que esta disciplina

es reciente, y se encuentra en un estado de desarrollo, además podemos decir que son activos

intangibles.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

61

Luego de un análisis de los modelos propuestos, se puede deducir la siguiente guía para la

generación de métricas, encaminada al uso de las métricas en la presente investigación:

1. Identificar las metas y objetivos del sistema o programa de seguridad informática de la

organización.

2. Identificar las políticas, procedimientos y controles existentes

3. Definir qué métricas se van a generar: este proceso puede ser iniciando desde los objetivos

previamente identificados, y para cada uno, se pueden identificar métricas específicas que

pueden ayudar a determinar si dichos objetivos se están cumpliendo o no.

4. Desarrollar y planear estrategias para la generación de las métricas.

5. Crear un plan de acción para la generación de las métricas, y ejecutarlo.

Se puede concluir entonces, que las métricas de seguridad pueden ser utilizadas dentro de un

proceso de análisis, administración de riesgos y la justificación de las inversiones, mediante

el cálculo del retorno de las inversiones en dichos proyectos.

SEGURIDAD EN UN SISTEMA DE INFORMACION

Cuando se habla de la función informática generalmente se tiende a hablar de tecnología

nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas formas de elaborar

información más consistente, etc.

Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la

existencia de los anteriores elementos. Esta base es la información.

Es muy importante conocer su significado dentro la función informática, de forma esencial

cuando su manejo está basado en tecnología moderna, para esto se debe conocer que la

información:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

62

- esta almacenada y procesada en computadoras

- puede ser confidencial para algunas personas o a escala institucional

- puede ser mal utilizada o divulgada

- puede estar sujeta a robos, sabotaje o fraudes

Los primeros puntos nos muestran que la información está centralizada y que puede tener un

alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o

parcial de la información, que incurre directamente en su disponibilidad que puede causar

retrasos de alto costo.

Si se piensa por un momento que se sufre un accidente en el centro de cómputo o el lugar

donde se almacena la información. ¿Cuánto tiempo pasaría para que la organización este

nuevamente en operación?

Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el

centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.

Delitos accidentales e incidentales:

Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.

En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95%

de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio

de computadora estos son:

- fraudes

- falsificación

- venta de información

Entre los hechos criminales más famosos en los E.E.U.U. están:

- El caso del banco Wells Fargo donde se evidencio que la protección de

archivos era inadecuada, cuyo error costo USD 21.3 millones.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

63

- El caso de la NASA donde dos alemanes ingresaron en archivos

confidenciales.

- El caso de un muchacho de 15 años que entrando a la computadora de la

Universidad de Berkeley en California destruyo gran cantidad de archivos.

- También se menciona el caso de un estudiante de una escuela que ingreso a

una red canadiense con un procedimiento de admirable sencillez, otorgándose

una identificación como un usuario de alta prioridad, y tomo el control de una

embotelladora de Canadá.

- También el caso del empleado que vendió la lista de clientes de una compañía

de venta de libros, lo que causo una pérdida de USD 3 millones.

RETORNO A LA INVERSION (ROI) EN SEGURIDAD INFORMÁTICA

El cálculo del ROSI deriva de la forma genérica de “Retorno de la Inversión” (ROI), que es

un indicador bien conocido y ampliamente utilizado por las gerencias de Finanzas y

Administración en general:

ROI = (Beneficio – Costo) / Costo

De forma genérica: si el ROI es positivo, estamos frente a una inversión que conviene

considerar; sino, los costos superarán el beneficio, por lo cual no es recomendable.

Cabe aclarar que cuando nos referimos a “Beneficio”, esto significa “Beneficio Económico”:

una de las principales ventajas que presentan este tipo de indicadores, es que no analiza los

detalles técnicos particulares de cada inversión, sino solamente el impacto que éstas tendrán

sobre la rentabilidad de la Organización, tanto en los ingresos como en los costos.

En el caso del ROSI, si bien la fórmula conserva la forma del cálculo del ROI, los

indicadores son diferentes:

ROSI = (Riesgo Disminuido – Costo) / Costo

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

64

Esto es así porque cuando analizamos una inversión en Seguridad, no buscamos un aumento

en los ingresos, sino más bien una disminución del Riesgo al que están expuestos los

principales procesos del Negocio.

Antes de continuar con detalles inherentes al cálculo del ROSI, es fundamental comprender

esta diferencia en cuanto a los indicadores: aun cuando estemos frente a un proyecto que

vaya a aumentar los ingresos de la Organización y que dependa fuertemente de controles

asociados a la Seguridad de la Información (por ejemplo: la implementación de una nueva

plataforma de e-commerce), los análisis de ROI y ROSI se realizan necesariamente por

separado, ya que el “ROI” estaría representando la inversión “imprescindible” para el

desarrollo del Negocio, mientras que el ROSI representa la inversión más adecuada de

acuerdo al “Nivel de Riesgo” que estamos dispuestos a asumir.

Y ésta es la primera clave a considerar en el desarrollo de un cálculo de ROSI representativo

de la Organización y del Negocio: como garantizar un determinado nivel de Seguridad de la

Información es imposible (menos aún, el ideal de “100%”), lo que se busca no es justificar la

implementación de “la mejor solución”, sino encontrar cuál es “la más adecuada” de acuerdo

al Nivel de Riesgo tolerable para el Negocio.

Por supuesto, siempre que tenemos que elegir, necesitamos opciones, y en esto se basa

nuestra metodología para el cálculo de ROSI: una herramienta de decisión, que nos permite

elegir la mejor de las diferentes opciones que tenemos disponibles.

Adicionalmente, si bien todo cálculo de Riesgo siempre tiene asociados componentes

“subjetivos” o no demostrables, nuestra metodología nos permitirá utilizar un modelo de

fórmula aceptado ampliamente en los niveles más altos de la Organización, con un conjunto

de técnicas matemáticas que disminuirán los componentes subjetivos del análisis a los

niveles más bajos posibles.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

65

3.2 Diagnóstico

Para el diagnostico se tomó la información relevada sobre los proyectos o servicios similares

y sobre el marco teórico del estado actual del arte, conjuntamente con el problema base de

este proyecto como así también las limitaciones identificadas en el mismo.

Este diagnóstico lo podemos encuadrar en el modelo: “Que existe una teoría o varias

completamente desarrolladas aplicables al problema o situación”. La selección de este

modelo se basa y justifica en que como se detalló anteriormente, existen actualmente, varias

teorías y técnicas, aplicables a nuestro proyecto, el problema es que todavía no han sido

implementadas conjuntamente para brindar una solución a las empresas.

Además se debe tener en cuenta que las teorías propuestas no tienen el alcance necesario para

implementar en cualquier organización, y que no existe una metodología práctica que

permita llevar a cabo la estimación del ROSI.

Es por todo lo expuesto anteriormente que el diagnóstico es que el problema de la falta de

una metodología específica que permita llevar adelante la estimación del ROI en la

seguridad, teniendo en cuenta el gran crecimiento de la digitalización de la información como

así también el incremento de información altamente sensible y de muy alto valor tanto

económico como social y cultural en cuanto a su gran repercusión si dejase de estar

disponible.

Es por todo esto que la principal diferencia entre el presente proyecto y los servicios actuales

de ROSI es que el presente trabajo tiene por objetivo brindar una solución específica a la

estimación del ROSI válida para cualquier organización y con una guía práctica que facilite

el cálculo definido.

Greg McLean y Jason Brown, afirman que la seguridad no debe ser planeada alrededor del

suministro de un retorno en la inversión en dinero, debe ser planeada con el objetivo de

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

66

proporcionar un nivel de comodidad a la alta gerencia, mantener a los intrusos fuera de la

red, y los errores u omisiones deben mantenerse a un nivel de riesgo aceptable, etc.

Puede suceder que muchas organizaciones tengan la misma infraestructura, pero cada una

puede tener un conjunto único de requerimientos de seguridad, y sus bienes pueden requerir

diferentes niveles de atención. Como ejemplo podemos ver los diferentes daños que puede

causar un mismo tipo de ataque a un servidor de un banco, o a un servidor de hosting. Las

técnicas de ataque pueden ser similares, pero las diferencias de pérdidas a dichos ataques

pueden ser grandes. Los daños causados en el servidor del banco pueden generar un alto

nivel de pérdida de información valiosa, en tanto que la pérdida de información de un

servidor hosting puede no tener mayor costo.

Debido a estas dificultades, se han generado polémicas y varios puntos de vista de diferentes

autores los cuales proponen posibles intentos de calcular el ROI en seguridad informática.

Modelos propuestos para el cálculo del ROI en seguridad informática

La universidad de Carnegie Mellon trabajó para estudiar la supervivencia de un

sistema en red. Su propuesta se basó en recolectar datos empíricos sobre seguridad y

amenazas de seguridad.

Las variables existentes para esta prueba, fueron la inversión en seguridad y la

supervivencia de la infraestructura de tecnología de información. Basados en estas

variables, se realizaron y se documentaron ataques a un sistema, haciendo uso de una

máquina que generaba ataques, los cuales eran configurables para que fueran en

ocasiones más robustos que en otros casos.

También fue necesario tener variación en los niveles de inversión en seguridad para

lograr concluir frente a estas variables, el impacto o supervivencia del sistema en

prueba.

Después de realizar dichas pruebas, variando el nivel de inversión en seguridad y

robustez de los ataques, se evaluó la supervivencia del sistema atacado. Los gráficos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

67

resultantes presentaron una curva que refleja que a mayor inversión, mayor

supervivencia del sistema, pero se muestra un punto de quiebre, en el cual, para

aumentar la supervivencia a partir de este punto, era necesario tener una mayor

inversión para lograr aumentar en tan solo un poco el nivel de supervivencia del

sistema.

En la Universidad de Idaho, se realizó otra investigación para estimar el ROI.

Consistió en la construcción de un Sistema de Detección de Intrusos (SDI) y asignar

valor a los activos tangibles, los cuales eran medidos en dólares y los intangibles con

valores relativos. Los investigadores lograron calcular resultados teóricos a partir de

lo que llamaron Pérdida Anual Esperada (ALE): que es definido como el costo del

daño causado por un ataque, multiplicado por la frecuencia de ocurrencia durante un

año. Según los estudios de la Universidad de Idaho para estimar el ROI se puede

utilizar: ROI=(ALE x EFICIENCIA DEL IDS) – COSTO DEL IDS

Marcia J. Wilson propone una serie de pasos para tener en cuenta al momento de

tratar de estimar el ROI en seguridad informática, estos son:

• Identificar los activos de información: recursos, productos, infraestructura

computacional de red, la información referente a la organización, los clientes y

empleados. Perder confidencialidad, integridad y disponibilidad puede representar

pérdida tangible en dólares y/o pérdidas intangibles, como puede ser de

reputación o imagen organizacional.

• Identificar amenazas y vulnerabilidades: una amenaza es cualquier evento que

causa un resultado indeseado. Las amenazas pueden ser de diferentes tipos y

causan diferentes efectos.

• Hacer una valoración de los activos: puede ayudar a priorizar la necesidad de

protegerlos. Esta tarea puede llegar ser realizada a partir de una matriz que liste

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

68

cada uno de los activos en riesgo, y ser clasificados en una escala de alto, medio o

bajo según las necesidades del sistema.

Una vez recabada la información, es necesario comprender cuánto le costaría a la

organización la pérdida de estos, versus el costo que tendría protegerlos. A partir de

estos principios se podría llegar a estimar el ROI en seguridad informática de una

organización.

Se presentan algunas fórmulas que pueden ser empleadas para ayudar a calcular el

ROI en seguridad. Entre estas encontramos:

El Factor de exposición (EF): para un activo en particular, es el porcentaje de pérdida

si un evento ocurriese.

Pérdida Esperada (SLE): cantidad de dólares necesarios en caso de que ocurra un

incidente.

Tasa de ocurrencia anual (ARO): estimación de la frecuencia de ocurrencia de un

evento. Puede ser estimado basado en tipos de vulnerabilidades y amenazas que son

conocidas o han sido documentadas.

Pérdida anual Esperada (ALE): SLE * ARO = ALE

La pérdida anual Esperada, puede llegar a ser útil para determinar el impacto causado

por la materialización de una amenaza, a partir de este estimado se lograría

determinar el ahorro que una inversión representa para un determinado riesgo.

Eddie Schwartz en opina que las ecuaciones propuestas, son fórmulas estándar para la

valoración cuantitativa de riesgos; pero hacen falta datos estadísticos en la mayoría de

las organizaciones, para aplicar estas fórmulas. Por ejemplo, es muy escasa la

información de ALE y ARO sobre vulnerabilidades y amenazas de seguridad, lo cual

hace que al aplicar dichas fórmulas, esto se haga de forma incompleta.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

69

El ROI en seguridad informática, no es tangible, ya que el “retorno” no incrementa

tangiblemente la productividad de los empleados, ni disminuye los costos

operacionales.

Greg McLean y Jason Brown proponen uscar estimar el retorno de la inversión,

listando los tipos de exposición y el costo que esto implicaría si llegase a ocurrir. Esta

clasificación se realiza tanto para factores cuantitativos, como cualitativos, los cuales

son clasificados en tres grupos: exposición financiera, procesos ineficientes y costos

intangibles. Su propuesta también incluye una clasificación de inversiones junto con

el costo que sería necesario para su implementación; estos serían agrupados en:

inversiones de instalación e inversiones de mantenimiento.

Este tipo de estimación se propone que debe hacerse cada tres años. A partir de estos

datos la suma del costo de inversiones de instalación se divide en tres años y se

suman a los costos de mantenimiento anual. Por lo tanto se suman las inversiones

anuales y se restan los costos de exposición evitados con la inversión

correspondiente. Esto permitiría, calcular una estimación de lo que se puede llegar a

recibir después de hacer una inversión en seguridad.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

70

4. TERCERA PARTE: MODELO TEORICO

Se presentará el modelo propuesto en esta investigación, acerca de cómo podría hacerse el

cálculo del ROSI (Return On Security Investment), teniendo en cuenta lo visto y analizado

en dichos modelos.

Los modelos propuestos por otros autores, nombrados anteriormente, presentan algunas

limitaciones, una de las limitaciones que existen es la falta de formas de medir los activos o

aspectos intangibles de las organizaciones.

A través del proceso de análisis y administración de riesgos en una organización se puede

llegar a medir el retorno de las inversiones en seguridad informática.

Tomando como soporte los análisis realizados alrededor de los modelos para el cálculo del

ROSI, el proceso de administración de riesgos y la utilidad de las métricas en la seguridad

informática, se planteará el diseño del modelo con miras a la guía metodológica a desarrollar

durante esta investigación.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

71

Modelo general de cálculo del retorno a la inversión:

Fig. 4.1. Modelo propuesto

Ilustración 6 Modelo propuesto

Aproximan

Se clasifican por

Genera lista

Análisis de Riesgos

Riesgo

s

Probabilidad

de Ocurrencia

Magnitud del

Impacto

Costo de

Impacto

Costo de

Mitigación

ROSI

Nivel de

Criticidad

Determinado por

Tienen

ADMINISTRACION DE

RIESGOS

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

72

4.1 Descripción del Modelo

Para comenzar el modelo se utiliza como base el proceso de Administración de Riesgos, el

cual consiste en un proceso iterativo que consta de una secuencia de pasos.

Este proceso incluye la identificación de los riesgos a los que está expuesta la organización

en un momento dado, y que en este caso, se refieren a riesgos de seguridad de la información.

Luego de la identificación de riesgos, permite analizar, evaluar, tratar, monitorear y

comunicar los riesgos asociados a la infraestructura de seguridad de la información.

Durante el proceso Administración de Riesgos se involucra un subproceso llamado Análisis

de Riesgos, detallado anteriormente. Este proceso permite establecer una lista de riesgos

clasificados según su nivel de criticidad, determinado por la probabilidad de ocurrencia y la

magnitud del impacto que generaría la materialización de un riesgo determinado. Los riesgos

que resultan ser más críticos, o con prioridad alta, involucran los activos más importantes y

valiosos de la organización, por lo cual son los que primero deben ser mitigados, en el menor

tiempo posible. Sin embargo, el modelo propuesto permitiría evaluar cualquier tipo de riesgo,

ya sea con prioridad alta, media o baja.

Para cuantificar la probabilidad de ocurrencia y el impacto del riesgo, se pueden utilizar

como herramientas, algunas métricas definidas para valorar, por ejemplo, la magnitud de

dicho impacto.

Para lograr la estimación de la probabilidad o número de ocurrencias de los eventos no

deseados, lo más deseable es contar con datos históricos de los eventos sucedidos en la

organización, relacionados con el riesgo que se esté evaluando.

En caso de no tener registros de los eventos sucedidos en períodos anteriores que ayuden a

estimar dicha probabilidad de ocurrencia, es posible basarse en historiales obtenidos de

organizaciones de características similares, en cuanto a su tamaño, sector, ingresos anuales,

número de clientes, entre otros aspectos. Aunque es poco probable que dicha información

esté disponible, y por lo tanto habría que buscar otro medio para realizar dichas estimaciones.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

73

La estimación del impacto que puede causar la ocurrencia de un evento no deseado,

consistiría en calcular el costo de recuperación de los daños causados por dicho evento. Para

ello, es necesario tener en cuenta el mayor número de aspectos implicados en la recuperación

de los sistemas o activos afectados por la ocurrencia del evento.

Algunos ejemplos de estos factores son: el número de horas de inactividad de la organización

debido al evento ocurrido y el costo que esto implica, porcentaje de actividades paralizadas

debido al evento, cantidad correspondiente en dinero que implica el porcentaje de inactividad

del negocio, costo por hora de los empleados afectados y de los empleados que se requieren

para el restablecimiento de los sistemas afectados, tiempo estimado de recuperación, entre

muchos otros aspectos que pueden variar dependiendo del tipo y actividad principal de la

organización y del tipo de evento analizado.

Una vez que se obtuvo la lista de los riesgos asociados a la infraestructura de seguridad de la

organización, y de haber realizado el análisis de dichos riesgos, se debería contar con el costo

de impacto para cada uno de ellos. Este costo está basado en la estimación del impacto,

realizado en la valoración de cada uno de los riesgos.

Para cada uno de los riesgos se puede también calcular el costo de mitigación (costo de

implementar y mantener una solución que permita disminuir la probabilidad de la ocurrencia

del evento o eventos asociados a dichos riesgos); lo cual incluye: el costo de la inversión que

implica la implementación de la solución, los costos de operación, que incluyen los costos de

mantenimiento y soporte anual que requiere dicha solución.

Un riesgo no necesariamente se mitiga con un solo control o inversión; se puede tener la

necesidad de hacer varias inversiones con el objetivo de mitigar algún riesgo de la manera

más efectiva. También, es posible que una inversión planeada para la mitigación de un riesgo

específico, ayude también a mitigar de manera parcial, otros riesgos identificados en la

valoración realizada anteriormente.

Una vez que se cuenta con esta información, se puede iniciar con el análisis del ROSI, el cual

consta de una lista de riesgos priorizados según su criticidad, la probabilidad de ocurrencia y

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

74

estimación de impacto para cada uno de dichos riesgos, el costo de impacto para cada riesgo,

y el costo de mitigación para cada uno de los riesgos.

El diseño del modelo está hecho para realizar periódicamente el proceso, y se sugieren lapsos

de tiempo anuales, en los cuales se realicen las iteraciones sobre el modelo.

Esto se hace con el objetivo de ver y analizar el comportamiento de las inversiones y su

retorno a través del tiempo, y poder estimar los ahorros e inversiones que cada año se harían.

Para cada uno de los análisis anuales, es importante tener en cuenta, además de los factores

nombrados anteriormente, un nuevo valor que se denomina Recuperación Anual del Impacto

(RAI). Este valor corresponde al costo estimado de impacto, calculado en el año 0, es decir el

costo de impacto que ya se tiene en el listado previo. Servirá para poder comparar, desde el

segundo año en adelante, el ahorro anual que se tiene gracias a la inversión realizada.

Se podría decir que el RAI es la cantidad de dinero que habría tenido que gastarse en la

recuperación de los daños, en el caso en que no se hubiera hecho la inversión inicial.

A continuación se presentarán ejemplos para poder observar los beneficios o retorno que da

la inversión hecha, a partir de la relación de los valores de Impacto y la Inversión inicial que

se haría para mitigar el riesgo en el primer año.

Año 1

Impacto menor que la Inversión inicial

Tabla 4-1 Modelo – Estimación año 1, Impacto menor que la inversión inicial

Riesgo n Año ($)

Inversión 200

Impacto 80

Operación -

Gasto Adicional -120

Tabla 4.1. Modelo – Estimación año 1, Impacto menor que la inversión inicial

El ejemplo muestra una inversión de 200 pesos, y un costo de impacto de 80 pesos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

75

El valor del RAI sería de 80 pesos, ya que es la cantidad que se tendría que gastar en

reparación de daños, si no se implementa la solución o inversión. Se puede apreciar que para

este año, se tiene un valor negativo de -120 pesos; muestra la relación entre Inversión e

Impacto, que haciendo una simple resta aritmética, indica que en dicho año hubo que gastar

120 pesos más de lo que se hubiera gastado sin la inversión, es decir, 120 pesos más que el

RAI, los cuales se deben tener en cuenta para “recuperar” al siguiente año.

Impacto mayor que la Inversión inicial

Tabla 4-2 Modelo – Estimación año 1, Impacto mayor que la inversión inicial

Riesgo n

Año ($)

Inversión 200

Impacto 220

Operación -

Gasto Adicional +20

Tabla 4.2. Modelo – Estimación año 1, Impacto mayor que la Inversión inicial

En este caso, la inversión inicial es de 200 pesos, contra un costo de impacto de 220 pesos.

Es por esto que en este primer año, cuando la inversión inicial es menor que el costo de

impacto, ya se tiene un ahorro de 20 pesos, con lo cual se tendría ya un retorno de la

inversión, que estaría representado por el beneficio del ahorro. Se podría definir el ahorro

como: Ahorro = RAI – Inversión, o lo que es lo mismo, Ahorro = Impacto – Inversión.

Año 2 en adelante

Para los años siguientes se debe realizar una nueva iteración sobre el modelo para cada uno

de los riesgos, y de esta manera, se obtendrán nuevos valores para el impacto y los costos de

operación. Para el Costo de Operación se tendrían en cuenta los costos de mantenimiento de

la solución implementada en el año 1. Y en el Costo de Impacto, se tendrían en cuenta los

costos que implica la reparación de los daños residuales asociados con cada uno de los

riesgos. Es decir, el Impacto que probablemente no fue mitigado en su totalidad por la

solución implementada.

Un ejemplo para el año 2:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

76

Tabla 4-3 Modelo - Estimación año 2

Riesgo n Año 1 ($) Año 2 ($)

Inversión 100 -

Impacto 80 20

Operación - 15

Gasto o Ahorro -20 35

Pendiente por

Recuperar

20

Ahorro Total o Saldo

por Recuperar

25

Tabla 4.3. Modelo - Estimación año 2

La inversión (en costos de mantenimiento) en el año 2 es de 15 pesos, y tiene un costo de

impacto de 20 pesos. Esto daría un total de 35 pesos que habría que invertir en ese segundo

año, y comparando este valor con el valor del RAI (80 pesos), se tendría un ahorro de 45

pesos; pero hay que tener en cuenta el valor que había pendiente por recuperar del año

anterior es de 20 pesos. Por lo tanto, el ahorro finalmente sería de 25 pesos. De esta manera

el ahorro para el año 2 en adelante se podría definir como: Ahorro = (RAI – (Gasto del año))

– (Pendiente por Recuperar); para nuestro ejemplo: Ahorro = (80 − 15) − 20 = 45

La organización debería poder realizar un proceso iterativo para que se pueda determinar a lo

largo de los años, un valor estimado de los beneficios o retornos que se presentan debido a

las inversiones realizadas en períodos anteriores.

4.2 Introducción a la Guía Metodológica

A continuación se presenta la secuencia de pasos que compone la guía metodológica objetivo

de esta investigación, con la cual se busca proponer una forma para estimar el retorno de las

inversiones en seguridad de la información.

La guía metodológica está basada en un documento de recomendaciones del NIST (National

Institute of Standards and Technology), el cual se titula: NIST SP 800-30 Risk Management

Guide for Information Technology Systems. Este documento fue utilizado como base, pero

se realizaron algunas modificaciones en los puntos de determinación de probabilidad de

ocurrencia, impacto y priorización de riesgos, etc.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

77

Esta guía busca orientar al lector y usuario de la misma, para estimar el retorno de las

inversiones en seguridad informática, pero hay que tener en cuenta que el resultado es una

estimación, por lo tanto puede suceder que no tengan precisión. A raíz de esto se busca

mostrar cómo realizar dichas estimaciones positivamente.

El desarrollo de cada uno de los pasos que componen la guía, se ilustrará mediante un

ejemplo de un caso, mostrando algunas sugerencias al respecto. También se debe aclarar que

esta guía metodológica busca ser flexible, es decir, se podría adaptar a cualquier tipo de

organización en donde se aplique, aunque se pueden hacer modificaciones para condiciones

o situaciones particulares.

Se recomienda que la guía metodológica, sea manipulada por personas con conocimiento y

experiencia en el área, buscando una mejor comprensión y aplicación de la misma.

4.3 Ejemplo a desarrollar

A continuación se muestran las características de la organización que se deben tener en

cuenta, cada una con su respectivo ejemplo:

Nombre de la Organización: Ejemplo S.A.

Tipo de Organización: Prestación de Servicios

Misión: Brindar servicios especializados en sistemas de información para la

administración de la información relevante de cada organización.

Tamaño de la organización: la empresa cuenta con aproximadamente 30 empleados,

distribuidos en 4 áreas organizacionales:

• Comercialización

• Sistemas

• Finanzas

• Recursos Humanos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

78

Información crítica de la organización: los datos críticos son aquellos que

corresponden a la información que suministran los clientes para la implementación de

los proyectos desarrollados. La organización cuenta con información crítica propia de

la misma empresa, correspondientes a la administración, por ejemplo, datos de sus

empleados, contabilidad, datos financieros en general, etc.

Arquitectura de Red: a continuación se presenta el diagrama de la arquitectura de red

con que cuenta la organización para el caso del ejemplo.

Fig. 4.2. Ejemplo - Arquitectura de red

A partir de la información recolectada en Ejemplo S.A., se identificaron los siguientes

controles de seguridad, entre otros:

Firewall: se previene el acceso de software malintencionado y se logra controlar la

entrada a la red por solo personas autorizadas basadas en políticas de la red.

Ilustración 7 Ejemplo - Arquitectura de red

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

79

Implementación de zona: controla los servicios prestados por el servidor, el cual

presta servicio de Correo, WebMail, FTP (File Transfer Protocol), SSH. El servidor

de Archivos se encuentra localizado en la LAN, ver en (Figura 3.2).

Conexiones remotas a través de una VPN (Virtual Private Network): controla el

acceso remoto a partir de un medio seguro y privado.

Autenticación de usuarios al conectarse a la red inalámbrica, mediante WEP (Wired

Equivalent Privacy). Este control de autenticación es débil (los datos no se transmiten

de forma cifrada).

4.4 Guía metodológica para la estimación del ROSI

La guía metodológica se divide en dos partes principales: la primera de ellas se refiere al

proceso de Análisis de Riesgos, y la segunda parte describe el proceso de Estimación del

Retorno de las Inversiones.

1. Análisis de Riesgos

Este proceso consiste en la identificación de los riesgos a los cuales está expuesta la

organización, y de los controles existentes para algunos de los riesgos identificados, además

de la recomendación de nuevos controles

Durante dicho proceso se priorizan los riesgos identificados, teniendo en cuenta el número de

ocurrencias e impacto de cada uno de ellos, en un tiempo determinado. La Figura 3.3

describe este proceso, para mayor entendimiento del lector y a continuación se detallan los

pasos a seguir para llevar a cabo este proceso.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

80

-Plataforma estratégica -Procesos

-Infraestructura tecnológica

-Topología de red y seguridad

-Políticas y procedimientos

-Límites del sistema -Funcionamiento

-Datos críticos y sensibles

-Lista de vulnerabilidades

potenciales

-Conjunto de amenazas

identificadas

-Lista de controles

recomendados para riesgos

críticos

-RAI, recuperación anual del

impacto para cada uno de los

riesgos

-Criticidad de cada uno de los riesgos

-Lista del costo de impacto

(CI) para cada uno de los

riesgos

-Criticidad del CI

-Lista de frecuencia anual de

ocurrencias (FAO) para cada uno de los riesgos

identificados.

-Criticidad del FAO

-Lista de riesgos potenciales, compuesto por duplas

vulnerabilidades - amenazas

-Listado de riesgos críticos

-FAO y CI de cada uno de los

riesgos identificados

-Factores generadores de

impacto para cada uno de los

riesgos

-Técnicas de levantamiento de

información -Registro histórico de eventos

-Datos de organizaciones

similares

-Datos de fabricantes o vendedores

-Lista de vulnerabilidades potenciales

-Lista de amenazas

identificadas

-Lista de vulnerabilidades

potenciales -Datos históricos

-Datos de agencias o entidades

de seguridad informática

-Medios masivos -Políticas y procedimientos

-Levantamiento de información

previo

-Reporte de valoraciones anteriores

-Reportes de auditoría

-Listas de chequeo

- Resultados de pruebas de

seguridad

- Fuentes de información de medio

de comunicación

-Políticas y procedimientos

Retroalimentación

Actividad Salida Entrada

Ilustración 8 Identificación de Riesgos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

81

Fig. 4.3: Identificación de Riesgos

a) Caracterización de la Organización

El primer paso consiste en definir el alcance del estudio a realizar, con el objetivo de

trazar los límites de la organización, y obtener la información relevante. Este paso es

importante ya que permite el conocimiento y contextualización dentro de la

organización, lo que permitirá luego la identificación de amenazas y vulnerabilidades.

Para llevar a cabo la Caracterización de la Organización se hace un relevamiento de

información de los factores más importantes de la empresa. Debido a que las

organizaciones son todas son distintas, no se puede generalizar en este punto acerca

del levantamiento de información, no se puede utilizar una misma técnica para dicho

procedimiento.

A continuación se presentan algunas sugerencias generales para ciertos puntos que se

han identificado como relevantes en el levantamiento de información, y algunas

técnicas; esto debe ser adaptado en cada organización, según sus características y

condiciones dadas.

Sugerencias para el relevamiento de información

Se pueden tener en cuenta los siguientes aspectos:

• Nombre de la Organización

• Misión

• Visión

• Objetivos

• Planes estratégicos

• Tamaño de la organización

• Alcance (Local, nacional, internacional)

• Áreas funcionales

• Estructura organizacional

• Información crítica de la organización

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

82

• Requerimientos funcionales

• Usuarios de los sistemas

• Políticas de seguridad implementadas

• Procedimientos de Seguridad (Copias de Respaldo, Mantenimiento. Etc.)

• Topología de Red – Arquitectura de Seguridad

• Descripción de la topología de red y de la arquitectura de seguridad

• Administración de la información (Protecciones, forma y lugar de almacenamiento)

• Flujos de información

• Controles implementados en materia de seguridad de la información

• Planes de seguridad

• Hardware

• Software

Técnicas sugeridas para el relevamiento de información

Algunas de las técnicas utilizadas durante un levantamiento de información son:

• Cuestionarios: durante el proceso de recolección de información pueden desarrollar

cuestionarios de manera continua, haciéndolos especializados para las condiciones de

cada organización. Estos cuestionarios pueden ser desarrollados también durante las

entrevistas. En general la recolección de información debe hacerse en gran parte de la

organización.

• Entrevistas: las entrevistas con el personal relacionado con tecnologías de

información puede ser útil al momento de recolectar información acerca de los

sistemas que utilizan en dicha área, y los sistemas de seguridad implementados en la

organización. Permiten una observación más detallada del ambiente físico de la

organización, y de la seguridad de la organización en un nivel operacional.

• Revisión de documentos: las organizaciones poseen la documentación de las

políticas, procedimientos, planes de seguridad, sistemas implementados, etc., que

pueden proveer información acerca de la situación actual de la organización.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

83

• Herramientas automáticas de escaneo: las herramientas de escaneo son útiles en el

levantamiento de información detallado de la topología de red y la arquitectura de

seguridad de la información, mediante herramientas de mapeo de red, que proveen

información detallada de los servicios, estado de conexiones, etc.

b) Identificación de vulnerabilidades

En este paso, el objetivo, es identificar y desarrollar una lista de las principales

vulnerabilidades de seguridad de la organización, determinadas por debilidades que

hay en el ambiente de la empresa o en los sistemas de la misma, y que pueden derivar

en una o más amenazas.

Los tipos de vulnerabilidades que se identificarán y los métodos utilizados para la

identificación, pueden variar dependiendo de la naturaleza de la organización y sus

sistemas de seguridad.

Se sugieren tres métodos en esta guía, pero pueden utilizarse otros.

• Pruebas de seguridad: consiste en el uso de herramientas de prueba en sistemas y

redes, que pueden ser útiles para la identificación de vulnerabilidades en la

infraestructura tecnológica de una organización. Incluye:

- Herramientas automatizadas de escaneo de vulnerabilidades: son utilizadas

para escanear un grupo de hosts, parte de una red o una red completa, y buscar

posibles servicios en la red que puedan ser vulnerables.

- Pruebas de penetración: son utilizadas para evaluar la habilidad de la

infraestructura tecnológica de la organización, para defenderse ante intentos

malintencionados de penetración a la misma, que pueden causar daños a los

activos de la organización.

- Evaluaciones y pruebas de seguridad: consiste en la ejecución de planes de

pruebas de seguridad, con el objetivo de evaluar la efectividad de los controles

de seguridad con que cuenta en un momento dado la organización.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

84

• Fuentes de información: existen varias fuentes de información, de las cuales se

pueden extraer vulnerabilidades que han sido previamente identificadas. Alguna de

las técnicas descritas, durante el proceso de relevamiento de información, pueden

ayudar también a identificar las debilidades en la seguridad de la organización.

Algunas fuentes de información que pueden ser de utilidad para la identificación de

las debilidades de la organización en materia de seguridad son:

- Listas de vulnerabilidades, por ejemplo la base de datos de vulnerabilidades

NIST NVD (http://nvd.nist.gov/)

- Documentación de análisis de riesgos realizados

- Reportes de auditorías y pruebas de seguridad

- Programas que permitan la evaluación de los posibles riesgos de la

organización, por ejemplo Microsoft Security Assessment Tool 4.0.

• Lista de chequeo de requerimientos de seguridad: utilizando este método se puede

determinar si los requerimientos de seguridad estipulados en la organización están

siendo satisfechos con los controles existentes o planeados. Están basadas en los

estándares de seguridad que ayudan a identificar las vulnerabilidades de los activos de

la organización.

Para Ejemplo S.A, después de realizar la identificación de vulnerabilidades del

ambiente organizacional, las principales vulnerabilidades son:

- El centro de cómputo está descentralizado; el rack de conexión está en un

lugar de acceso público.

- Las instalaciones de la organización no cuentan con UPS, o algún sistema de

contingencia para fallas eléctricas.

- El punto de Acceso inalámbrico maneja un protocolo de encriptación débil

(WEP)

- Falta de conocimiento y capacitación de los usuarios sobre seguridad,

administración y confidencialidad de contraseñas, información crítica, etc.

c) Identificación de amenazas

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

85

El objetivo es identificar las principales amenazas que ponen en peligro los activos de

la organización. Una amenaza puede ser definida como un agente o circunstancia,

capaz de explotar una vulnerabilidad específica, puede ser accionada accidental o

intencionalmente.

Las vulnerabilidades que han sido identificadas en el paso anterior están relacionadas

directamente con las amenazas que aquí se determinan.

Las amenazas se pueden clasificar en tres tipos:

- Amenazas Humanas: eventos causados por humanos, con intención (ataques

de red, accesos no autorizados, ejecución de software mal intencionado, etc.),

o sin intención (modificación de datos por accidente). Ejemplos: hacking,

accesos no autorizados a los sistemas, intrusos, spoofing, terrorismo, robo de

información, ejecución de código malicioso, etc.

- Amenazas Naturales: condiciones de la naturaleza que pueden causar daños a

los activos. Por ejemplo, incendios, inundaciones, terremotos, tormentas

eléctricas, etc.

- Amenazas Ambientales: fallos de energía prolongados, corrosión, derrame

de líquidos y/o químicos, etc.

La persona encargada de este proceso en la organización, deben identificar las

amenazas más significativas para la misma, dependiendo de la organización, y las

condiciones a partir de las vulnerabilidades identificadas anteriormente. Se deben

encontrar las amenazas que puedan derivar en las vulnerabilidades determinadas en la

identificación de las mismas.

Para nuestro caso Ejemplo S.A, se asume que se realizaron los diferentes mecanismos

recomendados de relevamiento de información. Como resultado de dicho proceso se

identificaron varias amenazas, las cuales son:

- Denegación al servidor de archivos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

86

- Corte de servicio eléctrico.

- Penetración al sistema vía inalámbrica.

- Divulgación de información confidencial.

d) Riesgos identificados

Se puede definir un riesgo como una pareja compuesta por una o más

vulnerabilidades, junto con una o más amenazas que pueden llegar a derivar dichas

vulnerabilidades.

Para el Ejemplo S.A., la tabla de riesgos identificados sería la siguiente:

Tabla 4-4 Ejemplo - Tabla de riesgos identificados

Identificador Vulnerabilidad Amenaza

R1 Las instalaciones de la organización

no cuentan con UPS, o algún sistema

de contingencia para fallas eléctricas.

Corte de servicio eléctrico

R2 El punto de Acceso inalámbrico

maneja un protocolo de encriptación

débil (WEP)

Penetración al sistema vía inalámbrica

R3 El centro de cómputo está

descentralizado; el rack de conexión

está en un lugar de acceso público.

Denegación de servicio del servidor

de archivos.

R4 Falta de conocimiento y capacitación

de los usuarios sobre eventos de

seguridad, administración y

confidencialidad de contraseñas,

información crítica, entre otros.

Divulgación de información

confidencial.

Tabla 4.4. Ejemplo - Tabla de riesgos identificados

A continuación se orienta a la determinación de la probabilidad de ocurrencia de cada

uno de los riesgos identificados anteriormente, y el impacto de los mismos, en el caso

en que se materializara el riesgo.

e) Determinación de la cantidad de ocurrencias

Cada uno de los riesgos identificados, representa un evento en el cual dicho riesgo se

materializaría. Para el manejo de la guía metodológica y para que resulte más

práctico, se tendrán en cuenta períodos anuales para todos los cálculos acerca de los

eventos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

87

La probabilidad de ocurrencia de un riesgo, estará definida como, el número de

ocurrencias de un evento en un período de un año, FAO (Frecuencia Anual de

Ocurrencias).

Cada uno de los riesgos tendrá asociado un FAO (Frecuencia Anual de Ocurrencias),

que debería ser mayor a 0 (cero), ya que, un riesgo que tuviera 0 ocurrencias al año,

no tendría sentido tratarlo.

Para determinar el número de ocurrencias anuales existen varias formas de hacerlo,

pero se sugiere la primera de ellas, debido a que es un dato más realista y propio de la

empresa. Dichas fuentes de información son:

- Registros históricos de eventos: consiste en tomar dicho dato de cada evento,

de los logs, historiales, registros de software o hardware, que hayan sucedido

en períodos anteriores.

- Organizaciones similares: se puede tratar de buscar los datos de

organizaciones similares, con respecto al evento del riesgo que se esté

evaluando.

- Fabricantes y/o Vendedores: otra forma de obtener datos del número de

ocurrencias de un evento, es de forma estadística, a través de reportes que

algunos fabricantes y/o vendedores de soluciones de seguridad informática,

tienen a disposición del público en sus sitios Web, reportes vía correo

electrónico, foros, etc.

Para Ejemplo S.A. se podría estimar el número de ocurrencias a partir de los registros

históricos de eventos ocurridos en periodos anteriores.

El número de ocurrencias Anuales (FAO) de los riesgos listados anteriormente serían:

Tabla 4-5 Ejemplo - FAO

Riesgo FAO

R1 60 horas anuales

R2 25 veces al año

R3 3 horas anuales

R4 2 veces al año

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

88

Tabla 4.5. Ejemplo - FAO

Teniendo la lista de riesgos y el FAO asociado para cada uno, se puede proceder a

asignar a cada uno de ellos, y basado en el número de ocurrencias determinado, un

nivel de ocurrencia cualitativo con valores de Alto, Medio o Bajo, con base en unos

rangos de valores que debe determinar la organización misma para cada uno de los

riesgos.

La organización Ejemplo S.A, determinó un rango de ocurrencias, para clasificar el

nivel de criticidad de ocurrencia, estos rangos son:

• R1

Tabla 4-6 Ejemplo – FAO R1

Rango FAO Criticidad FAO

0 – 24 BAJO

25 - 44 MEDIO

>45 ALTO

Tabla 4.6. Ejemplo – FAO R1

• R2



0 – 19 BAJO

20 – 29 MEDIO

>30 ALTO


• R3



Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

89

0 – 5 BAJO

6 – 14 MEDIO

>15 ALTO


• R4



0 – 1 BAJO

2 – 3 MEDIO

>4 ALTO


A partir de esta especificación de rangos para la organización, se obtiene la siguiente

clasificación de criticidad de riesgos identificados:

Tabla 4-10 Ejemplo – Criticidad FAO

Riesgo FAO Criticidad FAO

R1 60 ALTO

R2 25 MEDIO

R3 3 BAJO

R4 2 MEDIO

Tabla 4.10. Ejemplo – Criticidad FAO

Es importante tener los dos datos anteriores, cuantitativo el primero, y cualitativo el

segundo, para cada riesgo, debido a que con el cualitativo se podrán priorizar

posteriormente los riesgos, y con el cualitativo (FAO) se podrán ejecutar los cálculos

para la estimación del retorno de la inversión.

f) Análisis del impacto

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

90

En este paso, el objetivo principal es determinar, para cada uno de los riesgos, el

impacto de una ocurrencia del evento que materializaría cada uno de dichos riesgos,

lo que se denominó Costo de Impacto (CI)

Se tendrán dos valores de impacto para cada riesgo, uno cuantitativo (CI; en dinero) y

uno cualitativo que representa también el nivel de criticidad (Alto, Medio, Bajo).

Se deben tener en cuenta la mayor cantidad de factores que puedan generar un costo a

la organización en el momento en que se presentase el evento que materialice el

riesgo que se esté evaluando. Se deben sumar todos los costos causados por los daños

ocasionados a la organización en la ocurrencia del evento. A continuación se sugieren

algunos de los factores a tener cuenta para el cálculo de los costos de impacto:

- Número de transacciones perdidas por hora

- Horas de inactividad parcial o total en la organización debido al evento, y el costo

que esto implica

- Costo por hora del personal afectado o con labores paralizadas

- Costo por hora del personal necesario para la recuperación del sistema o sistemas

afectados

- Costo de pérdida de productividad por hora de inactividad

- Costo de posibles pérdidas de información crítica

- Costo de mantenimiento de software o hardware afectado en el evento

- Costos de recuperación de infraestructuras físicas afectadas

- Costo de recuperación de equipos de cómputo

Estos factores implican un costo de impacto a la organización, y son cuantitativos, ya

que se les puede estimar un costo de impacto en dinero, como son el tiempo en horas

de inactividad del personal, pérdida de información, daños físicos, entre otros.

Sin embargo existen otros tipos de factores cualitativos que implican un costo de

impacto para algunos riesgos, como pueden ser la pérdida de imagen organizacional,

la desconfianza de los clientes, entre otros. Estos factores no son fácilmente medibles

a partir de una métrica en particular, ya que se torna complejo el calcular el nivel

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

91

cuantitativo de estos, y el costo correspondiente a dicho nivel. Es por ello que estos

serán denominados factores intangibles para la estimación del CI.

Para el caso de la pérdida de imagen, no es posible estimar el costo que ésta

representa, sin embargo es posible medir la disminución de ventas a causa de esta,

que podría generar costos, por ejemplo, de estudios publicitarios para levantar las

ventas.

Además, se debe determinar el nivel de criticidad para cada uno de los riesgos, según

las características y condiciones dadas en cada organización en particular. Este nivel

de criticidad, se debe asignar en una escala de Alto, Medio o Bajo.

Hasta aquí se debería tener una tabla similar a esta:

Tabla 4-11 Nivel Criticidad CI

Riesgo FAO Criticidad FAO CI Criticidad CI

Tabla 4.11. Nivel Criticidad CI

Para cada uno de los riesgos a los cuales está expuesta la organización Ejemplo S.A,

se tuvieron en cuenta los siguientes aspectos para determinar el CI:

• R1:

Tabla 4-12 Ejemplo –CI R1

Factor CI ($)(1 hora de corte)

Inactividad organizacional * 800

El costo promedio de

información perdida a causa

de un corte eléctrico

250

El costo promedio de

reparación de daños causados

a equipos

100

TOTAL 1150

Tabla 4.12. Ejemplo –CI R1

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

92

*El costo de inactividad organizacional por cada hora sin servicio eléctrico es

calculado a partir de la siguiente información:

- El costo total de tener a los 30 empleados por hora es: $300

- Producción organizacional por hora: $500

• R2:


Factor CI ($)

Valor promedio de

información perdida

100

Costo promedio de

recuperación de información

perdida

200

Costo de daños causados a

clientes

500

TOTAL 800


• R3:


Factor CI ($)(1 hora sin acceso al servidor)

Inactividad organizacional * 400

TOTAL 400


* El costo de inactividad organizacional por cada hora sin acceso al Servidor de

Archivos es calculado a partir de la siguiente información:

- El costo total de tener a 15 empleados por hora es: $150

- Producción organizacional por hora: $500. El evento afecta al 50% de la

organización, por lo tanto el costo hora de producción sería de $250.

• R4:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

93


Factor CI ($)

Daños causados por acceso a

la red malintencionado

100

TOTAL 100


En la organización Ejemplo S.A, para la clasificación del nivel de criticidad CI, se

definieron los siguientes rangos:

Tabla 4-16 Ejemplo –Rango CI

Rango CI* ($) Criticidad CI*

0 a 199 BAJO

200 a 499 MEDIO

Más de 500 ALTO

Tabla 4.16. Ejemplo –Rango CI

*Los niveles de criticidad CI son determinados por la organización.

El costo unitario de Impacto (CI) y grado de criticidad CI, para cada uno de los

riesgos identificados en el ejemplo sería:

Tabla 4-17 Ejemplo – Criticidad CI

Riesgo CI ($) Criticidad CI

R1 1150 ALTO

R2 800 ALTO

R3 400 MEDIO

R4 100 BAJO

Tabla 4.17. Ejemplo – Criticidad CI

Hasta aquí se tendría entonces, una lista, en donde cada riesgo tendrá su respectivo

FAO, CI, y el nivel de criticidad de los valores anteriores. Para el ejemplo que se está

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

94

llevando a cabo esta sería la información obtenida hasta este momento en el proceso

de Administración de Riesgos:

Tabla 4-18 Ejemplo – Criticidad FAO y Criticidad CI

Riesgo FAO Criticidad

FAO

CI ($) Criticidad

CI

R1 60 ALTO 1150 ALTO

R2 25 MEDIO 800 ALTO

R3 3 BAJO 400 MEDIO

R4 2 MEDIO 100 BAJO

Tabla 4.18. Ejemplo – Criticidad FAO y Criticidad CI

g) Determinación de niveles de riesgo

En este punto se busca obtener una lista de los riesgos que se han relacionado en la

tabla anterior con una cierta prioridad. Para ello se utilizarán para cada riesgo, los

niveles de criticidad asociados, tanto para la frecuencia anual de ocurrencias (FAO)

como para el costo de impacto (CI).

Con base en la siguiente tabla (Tabla 3.19), se agregará una columna más a la tabla

anterior (Tabla 3.18), con el nombre de Criticidad del Riesgo, que se definirá de la

relación entre la criticidad del FAO y del CI, de la siguiente manera:

Tabla 4-19 Relación criticidad FAO - CI

Criticidad

FAO

Criticidad CI

Bajo Medio Alto

Alto Medio Medio - Alto Alto

Medio Bajo Medio Medio-Alto

Bajo Bajo Bajo Medio

Tabla 4.19. Relación criticidad FAO - CI

Se podrá establecer entonces, la Criticidad del Riesgo, obteniendo una tabla similar a

la siguiente:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

95

Tabla 4-20 Criticidad de riesgo


FAO

CI Criticidad

CI

Criticidad

del Riesgo

Tabla 4.20. Criticidad de riesgo

Se podrá construir ahora una lista de riesgos priorizada, en donde quedarán los

riesgos con criticidad Alta, Media y Media – Alta únicamente. Esta lista será la base

para las recomendaciones y estimaciones del retorno a las inversiones. Debido a que

son los que más criticidad representan tanto en impacto como en número de

ocurrencias para la organización.

Para el ejemplo en curso, la clasificación del nivel de riesgo a partir de la tabla 3.20,

daría como resultado la siguiente tabla del orden de prioridad:

Tabla 4-21 Ejemplo - Criticidad de riesgo


FAO

CI ($) Criticidad

CI

Criticidad

del Riesgo

R1 60 ALTO 1150 ALTO ALTO

R2 25 MEDIO 800 ALTO MEDIO-

ALTO

R3 3 BAJO 400 MEDIO BAJO

R4 2 MEDIO 100 BAJO BAJO

Tabla 4.21. Ejemplo - Criticidad de riesgo

Finalmente se calculará un valor cualitativo que servirá para el próximo proceso en la

estimación del ROSI. Este valor consiste en Recuperación Anual del Impacto (RAI),

que representa el valor en dinero del impacto anual de cada uno de los riesgos. Este

valor se puede definir y calcular de la siguiente manera: RAI = FAO × CI

La tabla podría verse ahora similar a la siguiente:

Tabla 4-22 Valor RAI


FAO

CI Criticidad

CI

Criticidad

del Riesgo

RAI

Tabla 4.22. Valor RAI

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

96

Para la organización Ejemplo S.A, la Recuperación Anual de Impacto (RAI)

corresponde a la siguiente tabla:

Tabla 4-23 Ejemplo - RAI


FAO

CI ($) Criticidad

CI

Criticidad

del Riesgo

RAI

($)

R1 60 ALTO 1150 ALTO ALTO 69000

R2 25 MEDIO 800 ALTO MEDIO-

ALTO

20000

R3 3 BAJO 400 MEDIO BAJO 1200

R4 2 MEDIO 100 BAJO BAJO 200

Tabla 4.23. Ejemplo - RAI

Como se puede observar en la tabla 3.23, el nivel de criticidad es superior en los dos

primeros riesgos; corte de servicio eléctrico y penetración a la red vía inalámbrica,

por lo tanto la organización Ejemplo S.A., debería mitigar el riesgo perteneciente a

estos en primera medida, ya que podrían llegar involucrar los activos más importantes

de la organización, y generar el mayor impacto en ellos.

h) Recomendaciones de control

En este paso, el objetivo es proveer las recomendaciones de implementación de

controles de seguridad para mitigar o reducir la criticidad de cada uno de los riesgos.

A cada uno se le debe asignar uno o más controles recomendados para la mitigación,

y llevarlo a un nivel de criticidad aceptable.

Para buscar las recomendaciones se puede utilizar distintos materiales bibliográficos,

por ejemplo: NIST SP 800-53, 800-26, 800-26, 800-53, 800-36.

Esta guía metodológica busca que el personal encargado de ejecutarla, sugiera los

controles más apropiados y más recomendados, con base en su retorno de la

inversión, y los beneficios que este traería a futuro para la organización.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

97

En el ejemplo se estudiarán solo los controles para los riesgos que representan un

nivel crítico para la organización, es decir, con un nivel de riesgo Alto, Medio – Alto

o Medio; ya que son los que deben ser mitigados en el menor tiempo posible, al

involucrar los activos de la organización.

Para mitigar el riesgo de un corte eléctrico los controles a implementar serían:

Tabla 4-24 Ejemplo – Recomendación Control R1

Control Costo de control ($)

Compra e instalación de

UPS

20.000

Crea políticas de

mantenimiento

1.000

TOTAL 21.000

Tabla 4.24. Ejemplo – Recomendación Control R1

Para mitigar el riesgo de penetración a la red vía inalámbrica los controles a

implementar serían:

Tabla 4-25 Ejemplo – Recomendación Control R2

Control Costo de control ($)

Implementación del

protocolo WPA (Wi-Fi

Protected Access)

21.000

TOTAL 21.000

Tabla 4.25. Ejemplo – Recomendación Control R2

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

98

2. Estimación del ROSI

Consiste en llevar a cabo un proceso iterativo para cada uno de los riesgos, mediante

el cual se podrá estimar el retorno de las inversiones que cada uno de ellos necesita,

como resultado de las recomendaciones de control realizadas.

Para esto será importante tener en cuenta los costos de los controles de seguridad

recomendados para cada riesgo, así como los costos de impacto o RAI de cada uno de

ellos.

El proceso de estimación del ROSI se puede llevar a cabo en dos situaciones

diferentes. A continuación se explicará la primera.

Estimación por Años

Se realiza un proceso iterativo cada año con cada uno de los riesgos mitigados

mediante inversiones, para analizar anualmente si hay o no retorno de dichas

inversiones, estimándolo de manera cuantitativa y representada en dinero. Mediante

este proceso, se pueden conocer resultados de los gastos o ahorros de dinero en cada

año posterior a las inversiones. En la siguiente figura se detalla el proceso

mencionado.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

99

Fig. 4.4. Estimación de ROSI por años

Ilustración 9 Estimación de ROSI por años

NO

NO

NO

SI

Pendiente Recuperar (Año) = Ahorro

Total o Saldo por recuperar (Año)

Pendiente Recuperar (Año) = (-)

Gasto o Ahorro (n)

Ahorro Total o Saldo a Recuperar (Año) = (RAI(n) – Gasto o

Ahorro(Año)) – Pendiente

Recuperar(Año)

Gasto o Ahorro (Año) = RAI (n) –

(Inversión (n) + Operación (n)

Gasto o Ahorro (Año) = Impacto Residual (Año – 1) + Operación

(Año)

Ahorro Total o Saldo por

Recuperar (Año)

> = 0

Gasto o Ahorro

(n) >= 0

Hay ROI para el riesgo n

Documentar Pendiente por

Recuperar para iteración del

año siguiente

FIN

Año = 1

-RAI riesgo n

-Inversión riesgo n

-Año -Operación riesgo n (Año)

- Impacto residual riesgo n (Año)

- Pendiente recuperar (Año) =

Pendiente recuperar (Año – 1)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

100

Los pasos que se describirán a continuación deben ejecutarse para cada uno de los riesgos

que ya han sido identificados y priorizados en los pasos anteriores.

Debe tenerse en cuenta que este es un proceso iterativo, el cual se debe ejecutar cada año,

con el objetivo de calcular los beneficios anuales de las inversiones realizadas, y por lo tanto

se debe tener en cuenta en qué año se está desarrollando cada iteración.

Estimación para el año 1

Para cada uno de los riesgos se debe construir una tabla similar a la siguiente:

Tabla 4-26 Estimación primer año

Riesgo n Año 1 ($)

Inversión

Impacto

Operación

Gasto o Ahorro

Tabla 4.26. Estimación primer año

En el campo Inversión se debe colocar el total del costo de las inversiones que representan

los controles recomendados para la mitigación del riesgo que se esté tratando. En el campo

Impacto, se debe hacer referencia al costo de impacto anual calculado en pasos anteriores, es

decir el RAI para el riesgo específico. En el campo Operación se deben colocar los costos de

operación que generan las soluciones o controles dados para la mitigación del riesgo (soporte

y mantenimiento). Si no se conoce con certeza este costo de operación, se sugiere a la

organización, determinar un porcentaje del valor de la inversión. Si la organización no puede

determinar dicho porcentaje, se sugiere utilizar un 5% del valor de la inversión, como dicha

cifra mínima, basado en la práctica y experiencia. En el campo Gasto o Ahorro, se ejecuta

una resta entre los campos de Impacto (RAI), e Inversión y Operación: Gasto o Ahorro =

RAI − (Inversión +Operación)

Se pueden identificar dos resultados:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

101

Resultado negativo: cuando el valor del impacto (RAI), es menor que el valor de la suma

entre Inversión y Operación. El valor negativo representa un Gasto Adicional, que se tendría

que hacer en el año respectivo, con el objetivo de mitigar el riesgo. Esto quiere decir que en

el año 1, la inversión total sale más costosa que el impacto, por lo que habría un valor

Pendiente por Recuperar, que estaría ubicado en el campo Gasto o Ahorro. Este valor a

recuperar, es importante tenerlo en cuenta para las iteraciones de los años posteriores.

En Ejemplo S.A., la estimación para el año 1 del riesgo de penetración a la red inalámbrica

sería:

Tabla 4-27 Ejemplo- Estimación Año 1 R2

Riesgo n Año 1 ($)

Inversión 21000

Impacto 20000

Operación 1000

Gasto o Ahorro -2000

Tabla 4.27. Ejemplo- Estimación Año 1 R2

Si se supone un costo de operación de $1000 para el año 1, el gasto adicional que implicaría

la inversión es de $2000, el cual representa un valor Pendiente por Recuperar para los años

posteriores.

Resultado positivo: los costos de Inversión y Operación de los controles de seguridad serían

menores que los costos de Impacto (RAI), la resta daría un resultado positivo, representando

que en el primer año habría un ahorro con respecto al valor del RAI; es decir, en este caso, ya

se tendría un retorno de la inversión tangible, representado en el beneficio del ahorro de

dinero.

En Ejemplo S.A., la estimación para el año 1 del riesgo de corte de servicio eléctrico sería:

Tabla 4-28 Ejemplo- Estimación Año 1 R1

Riesgo n Año 1 ($)

Inversión 20000

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

102

Impacto 69000

Operación 1000

Gasto o Ahorro 48000

Tabla 4.28. Ejemplo- Estimación Año 1 R1

Suponiendo un costo de operación de $1000 para el año 1, el ahorro con respecto al valor del

RAI es de $48000, el cual significa un retorno de la inversión en el primer año, representado

en el beneficio del ahorro de dinero.

Estimación para el año 2 en adelante

Se debe realizar una nueva iteración sobre el modelo, para cada uno de los riesgos, asignando

nuevos valores en los campos de Impacto y Operación. En el caso de los costos de operación,

se tendrían en cuenta los costos de mantenimiento y/o soporte de la solución implementada

en el año 1, para los años posteriores a la implementación. Y en el caso del impacto, se

tendrían en cuenta los costos de los riesgos residuales asociados con cada uno de los riesgos

originales. Es decir, el impacto que probablemente no fue mitigado en su totalidad por la

solución implementada.

Se tendría una tabla similar a la siguiente:

Tabla 4-29 Estimación para el año 2 en adelante


Inversión -

Impacto

Operación

Gasto o Ahorro

Pendiente por recuperar -


Recuperar

-

Tabla 4.29. Estimación para el año 2 en adelante

Para el año 2 en adelante, el valor para el campo de Gasto o Ahorro se calcula de otra forma.

Se tendrá en cuenta el resultado de la suma entre los campos Impacto y Operación del año.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

103

En el campo Pendiente por recuperar, se debe colocar el posible valor negativo que viene del

año anterior, en el caso en que el impacto haya sido menor que la inversión inicial en dicho

año.

En el campo Ahorro Total o Saldo por recuperar, se puede calcular de la siguiente forma:

Ahorro Total o Saldo por recuperar = (RAI − Gasto del año) − Pendiente por recuperar

Para los años posteriores al primero, se sigue teniendo en cuenta el valor del RAI

(Recuperación Anual de Impacto), debido a que es un valor de referencia contra el cual se va

a comparar año por año, para determinar si se está teniendo un ahorro, con respecto a lo que

se hubiera tenido que gastar en caso de no haber invertido en la solución o control.

En Ejemplo S.A., se muestra la estimación del año 2 para el riesgo de Penetración a la red

inalámbrica:

Tabla 4-30 Ejemplo - Estimación Año 2 R2


Inversión 21000 -

Impacto 20000 1500

Operación 1000 500


Pendiente por recuperar - 2000


Recuperar

- 16000

Tabla 4.30. Ejemplo - Estimación Año 2 R2

Como se puede ver en el campo de Ahorro Total, se estima que para en el año 2 hay un

retorno de la inversión de $16000 a favor de la organización.

Para Ejemplo S.A. la estimación del año 2 para el riesgo de Corte de servicio eléctrico:

Para este caso como pudo verse en la Tabla 3.28, debido a que en el año uno ya se presentó

un ahorro de dinero, no se harán las estimaciones para los años posteriores, ya que dicho

ahorro representó un retorno de la inversión de los controles para este riesgo.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

104

Estimación del ROSI en el año 0

Se debe realizar una estimación en el año 0, es decir, antes de invertir, para conocer el tiempo

(en años) y el valor del retorno de la inversión, y conocer con anterioridad la efectividad de

dichas inversiones. Este proceso hay que hacerlo en condiciones ideales, es decir sin tener en

cuenta, por ejemplo, valores de impacto residual, valores exactos de gastos de operación,

entre otros factores, y que permitirán estimar el tiempo en el cual se pueden retornar las

inversiones. En la siguiente figura se explica gráficamente mediante diagrama de flujo, este

proceso.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

105

Fig. 4.5. Estimación de ROSI en condiciones ideales

Ilustración 10 Estimación de ROSI en condiciones ideales

NO

NO

NO

SI

SI

SI

Año = Año + 1


Ahorro Total o Saldo por recuperar (Año - 1)

Año = Año + 1


Gasto o Ahorro (n)

Ahorro Total o Saldo a Recuperar (Año) = (RAI(n) – Gasto o Ahorro

(Año)) – Pendiente Recuperar(Año)

Gasto o Ahorro (Año) = RAI (n) –

(Inversión (n) + Operación (n)

Año = 1


Recuperar (Año)

> = 0

Gasto o Ahorro

(n) >= 0

Hay ROI para el riesgo n

ROI para el riesgo n, en (Año)

años

FIN

-RAIriesgo n -Inversión riesgo n

-Año

-Operación riesgo n (Año)

- Pendiente recuperar (Año) = Pendiente recuperar (Año – 1)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

106

A veces, es importante conocer el tiempo en el cual se retornaría una inversión antes de

realizarla. Este tipo de estimación, se realizaría entonces en el año 0 (antes de invertir), y es

importante tener en cuenta que dará como resultado una estimación aproximada, tanto del

tiempo como del valor del ROSI.

Las estimaciones se deben realizar en condiciones ideales para los años posteriores sobre los

cuales se hace la estimación, debido a los siguientes factores:

- No se puede tener en cuenta la variable Impacto, para el segundo año en adelante, ya

que a partir de dicho año esta variable tiene en cuenta el valor del Impacto residual

del riesgo correspondiente; en el año 0, no se puede conocer el valor de los impactos

residuales que van a haber en los años siguientes.

- La variable Operación debe ser aproximada para el segundo año en adelante.

Debido a que es posible que no se conozca este valor, se sugiere por ejemplo, seguir

utilizando un valor de 5% de la inversión inicial, como se hizo en el año 1.

Se tendría entonces una tabla como la siguiente:

Tabla 4-31 Estimación en el año 0, condiciones ideales

Riesgo n Año 1

($)

Año 2

($)

… Año n

($)

Inversión - - -

Impacto - - -

Operación

Gasto o Ahorro

Pendiente por Recuperar -


recuperar

-

Tabla 4.31. Estimación en el año 0, condiciones ideales

La variable de referencia a tener en cuenta se encuentra ubicada en la última fila, y

corresponde al Ahorro Total o Saldo por recuperar. Cuando esta variable llegue a un valor

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

107

positivo, se tendrá retorno a la inversión e indicará tanto el año como el valor del mismo, en

dicho período.

Los cálculos para este proceso son iguales a los detallados anteriormente, para el año 1 y para

el año 2 en adelante, pero sin tener cuenta el valor de Impacto para el segundo año en

adelante (impactos residuales).

A continuación se muestra un ejemplo, con valores aleatorios para un riesgo cualquiera, con

el objetivo de ilustrar el funcionamiento de este proceso:

Tabla 4-32 Ejemplo – Estimación en el año 0, condiciones ideales

Riesgo n Año 1

($)

Año 2

($)

Año 3

($)

Año 4

($)

Inversión 25000 - - -

Impacto 8000 - - -

Operación 1000 1000 800 500

Gasto o Ahorro -18000 1000 800 500

Pendiente por Recuperar - 18000 11000 3800


recuperar

- -11000 -3800 3700

Tabla 4.32. Ejemplo – Estimación en el año 0, condiciones ideales

Se puede concluir que se presentaría retorno a la inversión en el cuarto año, con un valor de

$3700 para el primer año de retorno, representado en ahorro de dinero. Durante los años

anteriores, se tenían valores negativos en la última fila de cada columna, es decir se tenían

valores pendientes por recuperar.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

108

5. CUARTA PARTE: CONCRECION DEL MODELO

5.1 Aplicación de la Guía Metodológica a un Caso de Estudio

A continuación se describe la forma en que se llevó a cabo la aplicación de la guía

metodológica, a un caso de estudio. Se describirán los métodos, técnicas, materiales y

documentos que se utilizaron durante el ejercicio de aplicación, lo cual puede ser útil al

lector, como una guía o ayuda para futuras aplicaciones de los procesos que componen la

guía metodológica propuesta.

Algunos de los datos, nombres, e información obtenida de la organización en la cual se llevó

a cabo el caso de estudio, no serán exactamente revelados en este documento, ya que es

información de carácter confidencial de la organización.

Técnicas utilizadas durante el levantamiento de información

Para realizar el relevamiento de información del caso de estudio, se utilizaron algunas de las

técnicas sugeridas:

- Cuestionarios: se utilizó un cuestionario (Anexo A), con el cual se buscaba recoger

un primer conjunto de datos acerca de la organización y de su infraestructura

tecnológica y de seguridad, para luego entrar en detalle en cada uno de los puntos del

cuestionario.

- Entrevistas: se realizaron entrevistas en las oficinas de la organización, con las

cuales se logró recoger un volumen mayor de información, con más detalle, y con

varias personas responsables de la información solicitada. Durante las entrevistas se

logró tener un contacto más directo con la organización, y de esta manera descubrir y

recoger información adicional y valiosa para el análisis de riesgos.

- Visitas a instalaciones: se efectuaron visitas a las instalaciones de la organización.

Se realizó una visita al centro de cómputo, así como también una visita a las oficinas

administrativas y algunos otros lugares.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

109

- Consultas vía correo electrónico o teléfono: estos medios de comunicación fueron

importantes, mediante el cual se realizaron consultas puntuales.

Se utilizaron fichas de campo para cada una de las actividades de campo (actividades en la

organización del caso de estudio), en las cuales se registraron los siguientes datos de cada

actividad: fecha, objetivo de la actividad, descripción de la actividad realizada, lugar de la

reunión, responsables, participantes o asistentes, y una sección de notas adicionales. En el

Anexo B, se presenta la plantilla utilizada de las fichas de campo elaboradas durante la

aplicación de la guía. En el Anexo C, se adjuntan las fichas de campo elaboradas durante el

caso de estudio.

5.2 Resultados de la aplicación de la Guía Metodológica

Se presentarán los detalles del caso de estudio sobre el cual se aplicó la guía metodológica, se

mostrarán los resultados de la aplicación de la guía, paso por paso.

Proceso No. 1: Análisis de Riesgos

a) Caracterización de la Organización

Nombre de la Organización: Ladrillos Merlino SRL

Plataforma Estratégica (Misión, Visión, Objetivos organizacionales): no se revela esta

información por Acuerdo de Confidencialidad con la organización.

Tipo de Organización: es una organización con fines lucrativos, se dedica a la

producción y venta de materiales de construcción.

Estructura Organizacional: la empresa cuenta con 115 empleados, a continuación se

presenta un organigrama.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

110

Fig. 5.1. Estructura Organizacional

Ilustración 11 Estructura Organizacional

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

111

Merlino es una empresa familiar con más de 60 años de trayectoria en el mercado de la

construcción de Córdoba.

Son propietarios de la única fábrica de ladrillos totalmente automatizada del país como así

también de una cantera de áridos, lo que implica una alta competitividad en los precios del

mercado.

Son vendedores minoristas y mayoristas de todos los productos y materiales de las marcas

líderes del rubro.

Merlino posee una vasta flota de vehículos propios, lo que asegura una entrega inmediata de

los materiales al cliente con las comodidades que esto significa.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

112

Fig. 5.2. Caso de estudio - Diagrama de red - Infraestructura de Red de la organización

2 switches de 24 y 12

bocas ubicados en

un rack en el centro

de la planta alta

5 impresoras

de red

Sucursal Cordoba

1 switch de 24 bocas

ubicado en la panta

alta

2 impresoras

de red

9 equipos

Access Point

Access Point


1 switch de 12

bocas

3 impresoras de

red

Access Point

2 impresoras de

red5 equipos

Access Point

Access Point


1 equipoClasificadora

Fábrica

Sucursal Va.

Carlos Paz 1

Sucursal Va. Carlos

Paz 2

Sucursal Estancia

Vieja

InternetFirewall

Servidor de Datos y

Distribuidor de

Aplicación

3 equipos

1 impresora

de red

1 impresora de

red

1 Controlador

Fiscal

1 Controlador

Fiscal

1 Controlador

Fiscal

1 Controlador Fiscal

WAN

WAN

WAN

WAN

WAN

LAN

LAN

LAN

LAN

LAN

Ilustración 12 Caso de estudio - Diagrama de

red

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

113

A continuación se presentan los detalles de la infraestructura:

• La red de la organización está dividida de acuerdo a las sucursales dependientes de

la misma:

- Sucursal Córdoba

- Sucursal Carlos Paz 1

- Sucursal Carlos Paz 2

- Sucursal Estancia Vieja

- Sucursal Estancia Vieja

- Fábrica y Clasificadora

• Los equipos de Core presentan alta disponibilidad, redundancia, pero son externos a

la empresa.

• El servidor de core y distribución, es el equipo a través del cual se prestan todos los

servicios de red a la organización. Están ubicados en la empresa “NeuralSoft”,

proveedora de las aplicaciones y de los servicios de mantenimiento de la misma.

• En el edificio principal de la organización, existe un Centro de Cableado, ubicado

en el centro de la Planta Baja.

• En el edificio de la sucursal de Carlos Paz 1, existe un Centro de Cableado, ubicado

en el centro de la Planta Alta.

• En el resto de las sucursales existe un Centro de Cableado en cada una, ubicado en

el centro de la Planta Baja.

• Se utiliza una red privada virtual o VPN que permite conectar las sucursales

utilizando como vínculo Internet, la misma se genera a través de un equipo

denominado SDT.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

114

• Para ello se utiliza una conexión a internet, cuyo proveedor es una empresa

telefónica, y además otra conexión aparte vía aire. Para cada sucursal, teniendo en

cuenta que si se cae una hay otra conexión disponible.

• Existe un control de acceso a la VPN restringido por IP (para que no se pueda

acceder desde cualquier equipo que no pertenezca a la empresa), pero existen algunas

excepciones por usuario, para que puedan acceder desde cualquier lugar.

• El centro de cableado de la Sucursal Córdoba hay 2 swtiches, uno de 24 puertos

10/100 Mbps y otro de 12 puertos 10/100 Mbps para usuarios.

• El centro de cableado de la Sucursal Carlos Paz 1, está compuesto por 1 switch de

24 puertos 10/100 Mbps.

• El centro de cableado de la Sucursal Carlos Paz 2, está compuesto por 1 switch de 5

puertos 10/100 Mbps.

• El centro de cableado de la Sucursal Estancia Vieja, está compuesto por 1 switch de

12 puertos 10/100 Mbps.

• El centro de cableado de la Fábrica, está compuesto por 1 switch de 12 puertos

10/100 Mbps, y se conecta por medio de un Acces Point con la Clasificadora.

• No hay redundancia de cableado.

• Se tienen conectados 2 Access Point, para servicios de red inalámbrica, para unir la

Fábrica con la Clasificadora.

• Los Access Point cuentan con dos mecanismos de seguridad:

- Lista de direcciones MAC

- Cifrado WEP (Passphrase 128 bits)

• Para los equipos de escritorio conectados a los switches, se cuenta con los siguientes

mecanismos de seguridad:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

115

- Lista de direcciones MAC en los switches

- Identificación de usuario: las VPN deben verificar la identidad de los

usuarios y restringir su acceso a aquellos que no se encuentren autorizados.

- Codificación de datos: los datos que se transmiten a través de la red pública

(Internet), antes son cifrados, para que así no puedan ser leídos.

- Administración de claves: las VPN permiten actualizar las claves de cifrado

para los usuarios.

• El direccionamiento IP está definido por la empresa NeuralSoft quien se hace cargo

de la distribución, están dentro de un rango específico.

• Se manejan políticas de acceso, para restringir servicios, proteger servidores, etc.

• En la parte de core y distribución hay redundancia, contingencias, fuentes de poder,

controladores de mantenimiento, enlaces dobles.

• La red de la empresa no tiene muchos planes de contingencia.

• Los centros de cableado de la organización, se encuentran en salones pequeños:

- No se tienen planes de mantenimiento periódicos

- No hay refrigeración ni ventilación

- Acceso físico con llaves.

- En algunos casos los cables de todo tipo entran por el mismo lugar, sin

respetar normas.

- Cada switch está conectado a una UPS para respaldar en caso de falta de

energía eléctrica.

- No hay cableado diferenciado para los artefactos informáticos, del resto de

los equipos.

- La infraestructura de cableado en el caso de la Sucursal de Córdoba está

saturada.

http://es.wikipedia.org/wiki/Usuario

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

116

• Infraestructura de tecnología (activos, equipos, aplicaciones, procedimientos): la

siguiente información fue suministrada por el área de Soporte Técnico, acerca de los

equipos, aplicaciones y algunos procedimientos que aplican y conciernen a la

organización.

• En la organización se cuenta con 47 equipos: 44 de escritorio y 3 notebooks. Las

especificaciones de las mismas son Core 2 Duo E4600 2,44Ghz, con 2Gb de memoria

y 200Gb de disco rígido. Están distribuidas de la siguiente manera:

- Sucursal Córdoba: 23 equipos.

- Sucursal Carlos Paz 1: 9 equipos.

- Sucursal Carlos Paz 2: 3 equipos.

- Sucursal Estancia Vieja: 5 equipos.

- Fábrica: 3 equipos.

- Clasificadora: 1 equipo.

• Además se cuenta con 14 impresoras de red HP LaserJet 2035N, distribuidas de la

siguiente manera:

- Sucursal Córdoba: 5 impresoras.

- Sucursal Carlos Paz 1: 3 impresoras.

- Sucursal Carlos Paz 2: 2 impresoras.

- Sucursal Estancia Vieja: 2 impresoras.

- Fábrica: 1 impresora.

- Clasificadora: 1 impresora.

• Tienen 4 controladores fiscales, 1 por cada caja de las distintas sucursales.

• La empresa posee 12 UPS, 1 por cada switch, 1 por cada caja, y 1 por mostrador de

venta de las distintas sucursales.

• Sistema Operativo

- Windows XP: la mayoría.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

117

- Windows Vista: Las Notebooks.

• Todos los equipos utilizan conexión a Internet y al Terminal Server.

• La aplicación que se tiene en la organización, es implementada y mantenida por una

empresa nombrada anteriormente, dedicada a las funciones de desarrollador de la

misma. Esta aplicación se llama Presea y maneja:

Administración y Contabilidad

Funcionalidad:

- Contabilidad: Asientos modelos, Índices de ajustes, Proceso de apertura y

cierre de cuentas, contabilidad presupuestaria, Aplicación de movimientos

contables.

- Finanzas: Situación patrimonial, Cash Flow.

- Ventas: Menús disponibles y comprobantes, Controles a activar de acuerdo a

las diferentes necesidades, Consultas, listados, informes estadísticos,

Facturación, Vendedores y Cobradores, Administración de Cunetas Corrientes

Deudoras, Venta de Servicio.

- Compras: administra todas las actividades de compras, aprovisionamiento, e

importaciones de la Empresa teniendo como objetivos principales proveer

información sobre el estado actual e histórico de cada una y todas las

operaciones pactadas.

Esto se logra mediante la definición de los siguientes elementos: Entidades

(Proveedores y Acreedores) Comprobantes y Circuitos, Orden de Compra,

Notas de Pedido, Pedidos de cotización, recepciones, Consultas y Listados,

administración de Cuentas Corrientes Acreedoras.

- Stock y Precios: Aquí se administran los artículos que se comercializan, ya

sean artículos terminados elaborados mediante un proceso de fabricación,

artículos de reventa o servicios ofrecidos dependiendo del rubro al que

pertenezca cada empresa. Operaciones, Características principales de la

gestión de stock, Consultas y listados, precios.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

118

- Bienes de Uso: permite administrar el inventario de los bienes de uso,

considerando los sectores en los que se encuentra, responsables asignados,

vencimientos de pólizas de seguros, importes y períodos de amortización, etc.

Planificación y seguimiento del proceso productivo: Producción:

- Planificación de recursos y materiales.

- Trazabilidad por número de serie y/o partida.

- Arbol de producto.

- Configuración de circuito según cada proceso productivo.

- Control de calidad de producto y mantenimiento de maquinaria.

- Gantt de producción.

- Ordenes de producción.

- Generación de órdenes de compra.

- Monitoreo de planta.

- Control de scrap.

Administración del Capital Humano

- Liquidación de haberes para diferentes contratos y convenios laborales.

- Organigrama.

- Control de horarios de personal.

- Evaluaciones de desempeño.

- Perfiles y legajos.

- Costo laboral por centro de costos.

Gestión de relaciones con clientes

- Fidelización de clientes.

- Gestión de reclamos.

- Encuestas y mediciones de satisfacción.

- Seguimiento de procesos comerciales.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

119

Sistematización de los procesos y proyectos

- Seguimiento de proyectos.

- Asignaciones y estado de tareas.

- Configuración de circuitos.

- Procesos de calidad para certificación de Normas.

Automatización del gerenciamiento

- Tablero de comandos.

- Configuración ilimitada de reportes.

- Automatización de tareas.

- Alarmas y semáforos.

- Visualización de indicadores en tiempo real.

• Es una aplicación que tiene bastante tiempo, y se han registrado optimización y

evolución en la misma.

• La aplicación se encarga de actualizar tablas en los diferentes equipos, mientras no

haya problemas (de red, apagado de algún equipo repositorio de tabla, etc.). En el

momento en que suceda algún inconveniente, hay que comunicarse con la empresa

para solucionar los problemas.

• Se lleva a cabo cambios en la aplicación, que genera un impacto alto en los

usuarios, pero como se encuentra en la etapa de implementación hay que llevarlo a

cabo.

• La aplicación que está actualmente en uso, garantiza integridad de los datos.

• El área de Soporte se encarga en su mayoría, del Mantenimiento Correctivo.

• Los documentos generados por sistema son los siguientes:

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

120

- Factura: 3 copias (original para el cliente, duplicado para archivo y triplicado

una vez cumplimentado el pago)

- Nota Crédito: 3 copias (original para el cliente, duplicado para archivo y

triplicado una vez cumplimentado el pago)

- Nota Débito: 3 copias (original para el cliente, duplicado para archivo y

triplicado una vez cumplimentado el pago)

- Remitos: 2 copias (original para el cliente, duplicado para archivo)

- Recibos de Pago: 1 copia (original para el cliente)

- Minutas de Pago: 1 copia (original para el cliente)

- Nota de Venta: no se imprime.

- Orden de Compra: impresión opcional, con autorizaciones de acuerdo a

rangos de montos de compra.

- Recibos de sueldo: 2 copias (una para el empleado y otra para el archivo).

- Planilla para Fletes Terciarizados: 1 copia.

El siguiente es un diagrama que muestra los mecanismos presentes con respecto a la

empresa que brinda el servicio de red y aplicación:

Fig. 5.3. Caso de estudio - Diagrama de Seguridad

Ilustración 13 Caso de estudio - Diagrama de Seguridad

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

121

Los detalles de la infraestructura de seguridad son los siguientes:

Con respecto a la organización NeuralSoft la seguridad en cuanto a los servidores

representados en la figura anterior podemos decir:

• Replica de servidores de datos.

• Servicio de Backups diarios automatizados.

• Mesa de ayuda las 24 horas.

• Monitoreo, detección y eliminación de virus.

• Firewall.

Con respecto a la organización, la infraestructura de seguridad es la siguiente:

• No hay políticas de seguridad claras. Son procesos mínimos de aseguramiento,

parcheo, niveles básicos.

• Cuando un empleado se va de la empresa el usuario y clave son bloqueados.

• No se tiene gobierno de Servidores y aplicaciones que interactúan con ellos. A

futuro se busca crear políticas alineadas con los principios de la organización.

• No hay procedimientos claros para el control de la información.

• Con respecto al Centro de Cómputo, se encontró que:

- Hay problemas de humedad (filtraciones, goteras)

- No hay estándares como tal, para el centro de cómputo.

- Piso elevado sin perforaciones

- No hay flujo de aire, no se controla la temperatura por medio de aire

acondicionado.

- UPS con banco de baterías redundante.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

122

- Canaletas de flujo eléctrico con origen de diferentes fuentes eléctricas.

- El cableado del centro de cómputo no es elevado.

- Detector de incendios.

- Extintores de fácil acceso

• No se usa Proxy para el acceso a Internet, se implementa NAT (Network Address

Translation), el cual controla el flujo de información hacia adentro y hacia fuera de la

red, esto funciona administrando dos grupos: PC’s y Servidores: se controla el flujo

de entrada, por medio de Protocolos, puertos y Direcciones IP.

• Política de Backups: No se hace Backup en la organización, sólo el que se hace en

el servidor externo.

• No se tienen servidores en Standby para contingencias en caso de daños.

• Antivirus NOD-32: Escaneo automático diario para PC’s de usuarios

administrativos.

A partir de la evaluación de riesgos que se hizo con la herramienta Microsoft Security

Assessment Tool 4.0, se identificaron algunas situaciones que se resumirán en

vulnerabilidades y amenazas.

• Los socios y clientes externos se conectan a los sistemas internos para gestionar la

información, provocando que los datos puedan dañarse o robarse.

• Los empleados o contratistas acceden remotamente a la red corporativa interna.

• La red corporativa es compartida para que las mismas sean usadas por clientes,

socios o terceros. Aumenta el riesgo de dañar datos importantes.

• Subcontratar el mantenimiento nos lleva a una dependencia en recursos externos,

cuando en realidad no tendría que ser un punto donde la empresa tenga que

preocuparse.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

123

• La empresa no cuenta con un plan a medio o largo plazo para la selección y

utilización de nueva tecnología. Posibilitando tiempos de inactividad y ataques.

• La empresa permite que los empleados descarguen información a sus computadoras.

Aumentando el riesgo de pérdida o robo.

• La empresa adquiere software de fabricantes desconocidos, los mismos podrían

contener código peligroso.

• No se dispone de una metodología de seguridad fundamental para mejorar la

seguridad, la compatibilidad y la capacidad de gestión de las aplicaciones.

• Los datos sin cifrar se transmiten y almacenan como texto sin formato quedando

susceptibles a robos o traspasos de información.

Informe

Perfil de riesgos para la empresa vs Índice de defensa en profundidad Informe resumido

Interpretación de gráficos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

124

La puntuación del BRP va de 0 a 100. Una puntuación más alta significa un riesgo posible

aumentado al que está expuesta su empresa en esta área de análisis. Es importante tener en

cuenta que una puntuación de 0 no es posible; dedicarse a una actividad comercial siempre

implica un nivel de riesgo. También es importante comprender que hay riesgos comerciales

que no se pueden mitigar directamente.

- Perfil de riesgos para la empresa (BRP) - Medida del riesgo al que está

expuesto una empresa, según el entorno empresarial y el sector en que

compite.

- AoAs - Áreas de análisis que son la infraestructura, las aplicaciones,

operaciones, y la gente.

DiDI también tiene una puntuación de 0 a 100. Una puntuación más alta significa un entorno

donde han tomado más medidas para implementar estrategias de DiD en el área de análisis

específica. La puntuación DiDI no indica la eficacia general de la seguridad ni siquiera la

cantidad de recursos para la misma, sino que cuantifica la estrategia global que se utiliza para

defender el entorno.

- Índice de defensa en profundidad (DiDI) - Medida de las defensas de

seguridad utilizadas en el personal, los procesos y la tecnología para contribuir

a reducir los riesgos identificados en una empresa.

En principio, una puntuación baja del BRP y alta del DiDI parecería un buen resultado, pero

no siempre es así. Está fuera del ámbito de la presente autoevaluación tener en cuenta todos

los factores. Una disparidad significativa entre la puntuación del BRP y la del DiDI para un

área de análisis específica significa que se recomienda una revisión del área. Cuando analice

sus resultados, es importante tener en cuenta las puntuaciones individuales, tanto de BRP

como de DiDI, y cómo se relacionan entre sí. Un entorno estable probablemente tendría

como resultado puntuaciones iguales en todas las áreas. Disparidades entre las puntuaciones

DiDI son un indicio de una estrategia general de seguridad concentrada en una sola técnica

de mitigación. Si la estrategia de seguridad no abarca el personal, los procesos ni la

tecnología, el entorno estará expuesto a un mayor riesgo de ataque.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

125

b) Identificación de vulnerabilidades

A partir del relevamiento de información realizado anteriormente se identificaron las

siguientes vulnerabilidades:

• Se tiene una única copia de documento en el archivo, y en algunos casos no se

imprime.

• Dentro de la organización los documentos solo se encuentran en papel, ya que los

datos grabados van todos al servidor externo.

• No hay un control estricto para las bajas de los productos por rotura, ya que el

realiza las bajas es el encargado de depósito.

• No hay control en las cajas cerradas de los productos, a veces se cambian baratos

por otros más caros.

• No hay control sobre el sistema en cuanto al abandono del mismo por parte de un

empleado en plena tarea.

• No hay enlaces redundantes entre los switches de cada centro de cableado.

• Todos los datos son guardados en un servidor externo a la organización.

• Cifrado de encriptación débil en los Access Point

• Seguridad mediante lista de direcciones MAC

• Los socios y clientes externos se conectan a los sistemas internos para gestionar la

información.

• PC’s con carpetas compartidas de acceso público. Los PC’s son de uso cotidiano, en

labores diferentes a ser servidores como tal.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

126

• La red corporativa es compartida para que las mismas sean usadas por clientes,

socios o terceros.

• Contraseñas compartidas por todos los usuarios

• No hay políticas ni procedimientos debidamente documentados para la

administración de la infraestructura de red interna de la organización.

• Localización inadecuada del centro de cómputo, con respecto a estándares de

buenas prácticas para centros de cómputo.

• No hay sensores de humedad en el centro de cómputo

• No hay flujo adecuado de aire dentro del centro de cómputo, ni los equipos

adecuados para esto.

• Configuración inadecuada e incompleta del antivirus instalado, con respecto a las

necesidades y características propias de la organización.

• Se generan demoras en el funcionamiento del programa debido a las conexiones de

internet.

• A pesar de que hay doble conexión a Internet, teniendo una redundancia por si

alguna se cae, suele suceder que no funciona ningún enlace de internet y por lo tanto

toda la sucursal afectada queda sin funcionamiento.

• No existe ningún mecanismo o dispositivo de seguridad, que permita detectar o

evitar ataques generados dentro de la LAN.

• No existe cableado diferenciado para los equipos informáticos del resto de los

equipos.

• Falta de planes a medio o largo plazo para la selección y utilización de nueva

tecnología.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

127

• La empresa permite que los empleados descarguen información a sus computadoras.

• La empresa adquiere software de fabricantes desconocidos.

c) Identificación de amenazas

Las siguientes son las amenazas encontradas a partir del relevamiento de información

y de las vulnerabilidades:

• Pérdida de documentos

• Incendio en el Archivo

• Hurto de materiales de diversas índoles.

• Caída de enlace – Denegación de Servicios en los equipos de red de la organización

• Penetración a la red vía inalámbrica

• Acceso no autorizado a datos

• Pérdida de integridad de datos

• Pérdida de disponibilidad de datos, o hurtos de los mismos

• Sabotaje por parte de usuarios

• Errores humanos por desconocimiento de procedimientos y políticas.

• Lluvias fuertes, inundaciones, filtraciones de agua.

• Daño de equipos en el centro de cómputo por sobrecalentamiento

• Ataques de infección de virus

• Posible pérdida de integridad de los datos o funcionalidad de la aplicación de la

organización

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

128

• Imposibilidad de funcionamiento de la organización por caída de enlace de internet,

sin poder utilizar el programa.

• Lentitud y demoras del sistema por mala conexión.

• Ataques informáticos internos en la LAN de la Organización.

• Pérdida de funcionamiento o de los servicios de un switch

• Pérdida de funcionamiento de algún equipo por sobrecarga de corriente.

d) Tabla de riesgos identificados

A partir de las vulnerabilidades y amenazas determinadas en los pasos anteriores, se

puede ahora construir la tabla de riesgos, compuesta por vulnerabilidades y

amenazas.

Tabla 5-1 Caso de estudio – Tabla de riesgos identificados

Identificador Vulnerabilidad Amenaza

R1 -Se tiene una única copia de cada documento

en el archivo dentro de la empresa.

-No hay un control estricto en el seguimiento

de los documentos.

Pérdida de información,

debido al extravío o

hurto de Documentos

R2 -Las copias de los documentos se

encuentran en papel dentro de la organización

-No hay sensores de humo en las instalaciones

del Archivo

Incendio en el Archivo

de Documentos

R3 -No hay enlaces redundantes entre los

switches de cada centro de cableado.

-El sistema no funciona por caída de enlaces a

internet.

Caída de enlace –

Denegación de

Servicios en los equipos

de red de la

organización

R4 -Cifrado de encriptación débil en los Access

Point

-Seguridad mediante lista de direcciones

MAC

Penetración a la red vía

Inalámbrica.

R5 - La red corporativa es compartida para que

las mismas sean usadas por clientes, socios o

terceros.

Pérdida de integridad

de datos

Acceso no autorizado a

datos

R6 -Contraseñas compartidas por algunos Sabotaje por parte de

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

129

usuarios o abandono de sistema en función

con la clave puesta.

usuarios

R7 -Mala localización del centro de cómputo

-No hay sensores de humedad en el centro de

cómputo

Lluvias fuertes,

inundaciones,

filtraciones de agua.

R8 -No hay flujo adecuado de aire dentro del

centro de cómputo, ni los equipos adecuados

para esto.

Sobrecalentamiento de

equipos o partes de

equipos del centro de

cómputo.

R9 -Mala configuración de antivirus

-Antivirus débil o no adecuado para la

organización

Ataques de infección de

virus

R10 -La aplicación corre sólo vía internet, por lo

tanto genera demoras si la conexión está

excedida, o si funciona mal.

Posible pérdida de

disponibilidad de los

datos o funcionalidad

de la aplicación de la

organización

R11 -No existe ningún mecanismo o dispositivo de

seguridad, que permita detectar o evitar

ataques generados dentro de la LAN.

- Se adquiere software de fabricantes

desconocidos

- Se permite que los empleados descarguen

información a sus computadoras.

Ataques informáticos

internos en la LAN de

la Organización.

R12 -Los equipos informáticos no tienen cableado

diferenciado del resto de los equipos de la

empresa.

Pérdida de

funcionamiento o de los

servicios de un switch

R13 -No hay ningún tipo de mecanismo de

contingencia ante fallas de flujo eléctrico en

las instalaciones de la organización

Cortes o picos de flujo

eléctrico.

Tabla 5.1. Caso de estudio – Tabla de riesgos identificados

e) Determinación el número de ocurrencias

La siguiente, es la tabla del Frecuencia Anual de Ocurrencias (FAO) de los riesgos

identificados anteriormente:

Tabla 5-2 Caso de estudio – Frecuencia Anual de Ocurrencias

Riesgo FAO

R1 5 al año

R2 0

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

130

R3 3 veces por día en promedio

R4 1 hora al año

R5 7 al año

R6 0 veces. No se han detectado casos, pero es

posible que suceda

R7 3 veces al año

R8 13 veces al año

R9 47 veces al año

R10 9 veces al año

R11 25 veces al año

R12 3 horas al año

R13 27 veces al año

Tabla 5.2. Caso de estudio – Frecuencia Anual de Ocurrencias

Adicionalmente, se determinaron los siguientes rangos de criticidad del FAO, para

cada uno de los riesgos identificados:

R1

Tabla 5-3 Caso de estudio – Rango FAO R1


0 ≤ x < 2 BAJO

2 ≤ x < 4 MEDIO

x ≥ 4 ALTO

Tabla 5.3. Caso de estudio – Rango FAO R1

R2



- BAJO

- MEDIO

x > 0 ALTO


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

131

R3



0 ≤ x < 1 BAJO

1 ≤ x < 2 MEDIO

x ≥ 2 (por día) ALTO


R4



0 ≤ x < 20 BAJO

20 ≤ x < 40 MEDIO

x ≥ 40 (HORAS) ALTO


R5



0 ≤ x < 13 BAJO

13 ≤ x < 23 MEDIO

x ≥ 23 ALTO


R6



0 ≤ x < 16 BAJO

16 ≤ x < 32 MEDIO

x ≥ 32 ALTO


R7

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

132



0 ≤ x < 3 BAJO

3 ≤ x < 5 MEDIO

x ≥ 5 ALTO


R8



0 ≤ x < 3 BAJO

3 ≤ x < 9 MEDIO

x ≥ 9 ALTO


R9



0 ≤ x < 10 BAJO

10 ≤ x < 20 MEDIO

x ≥ 20 ALTO


R10



0 ≤ x < 3 BAJO

3 ≤ x < 12 MEDIO

x ≥ 12 ALTO

Tabla 5.12.Caso de estudio – Rango FAO R10

R11



Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

133

0 ≤ x < 8 BAJO

8 ≤ x < 15 MEDIO

x ≥ 15 ALTO


R12



0 ≤ x < 3 BAJO

3 ≤ x < 6 MEDIO

x ≥ 6 (por horas) ALTO


R13



0 ≤ x < 25 BAJO

25 ≤ x < 70 MEDIO

x ≥ 70 ALTO


Dados los rangos anteriores, la criticidad de la Frecuencia Anual de Ocurrencias

(FAO), de los riesgos queda de la siguiente manera:

Tabla 5-16 Caso de estudio – Criticidad FAO

Identificador Criticidad FAO

R1 ALTO

R2 BAJO

R3 ALTO

R4 BAJO

R5 BAJO

R6 BAJO

R7 MEDIO

R8 ALTO

R9 ALTO

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

134

R10 MEDIO

R11 ALTO

R12 MEDIO

R13 MEDIO

Tabla 5.16. Caso de estudio – Criticidad FAO

f) Determinación del impacto

A continuación se presentan, para cada uno de los riesgos, los factores de impacto

relacionado, y el Costo de Impacto de cada uno de dichos factores, así como el total

para el riesgo específico. La forma como se calculó cada uno de estos costos, se

encuentra detallada en el Anexo D del presente documento.

R1

Tabla 5-17 Caso de estudio – CI R1

Factor de Impacto CI ($)

Pérdida irrecuperable de

información confidencial y

financiera.

11250

Pérdida de imagen organizacional. 4342500

TOTAL 4353750

Tabla 5.17. Caso de estudio – CI R1

R2



Pérdida irrecuperable de información

confidencial y financiera.

45000000

Pérdida de imagen organizacional. 0

TOTAL 45000000


R3

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

135



Pérdida de tiempo de labores o

productividad de las personas de

la organización afectadas.

564/hora

Tiempo del personal encargado de

la reparación del daño, o cambio

de un equipo en caso de daño.

40/hora

Costo de la reposición del equipo

afectado.

3000

TOTAL 3604


R4



Posible pérdida de información o

intrusión de usuario no autorizado a la

red.

1000

Posible pérdida de funcionamiento de

la aplicación para todos los usuarios

80640

Falta de disponibilidad de la conexión

inalámbrica para los usuarios

4200

TOTAL 84840


R5



Tiempo de la persona encargada

para identificar y recuperar

integridad de datos.

250

Posible paralización parcial de

actividades de los usuarios del

sistema, mientras se restablece la

normalidad del mismo.

64860

TOTAL 65110


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

136

R6



Tiempo de paralización de actividades

de los usuarios, mientras se restablece

la contraseña.

64860

TOTAL 64860


R7



Daño de equipos, enceres,

instalaciones, entre otros.

60000

Tiempo de restauración de la

información perdida.

720

TOTAL 60720


R8



Tiempo de restauración de la

información perdida.

200

Costo de la(s) parte(s) dañadas. 800

TOTAL 1000


R9



Pérdida de información *

Tiempo de restauración del sistema

afectado.

35250

TOTAL 35250

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

137


R10



Tiempo de falta de disponibilidad

para los usuarios, de una o más

funcionalidades del sistema.

64860

Pérdida de ventas a clientes que no

pueden ser atendidos.

225000

TOTAL 289860


R11



Pérdida de información de equipos de

la LAN

*

Paralización de actividades por daño

de software o hardware de equipos.

564

Tiempo de restauración del sistema. 11750

TOTAL 12314


*El valor de la pérdida de información, a pesar de ser un factor intangible, se puede

llegar a aproximar, pero para este caso de estudio no se contó con los elementos

suficientes para conocer toda la información necesaria para calcular este costo.

R12



Tiempo de paralización de actividades

de usuarios de la red inalámbrica.

4200

Costo de la(s) parte(s) dañadas. 800

TOTAL 5000

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

138


R13



Daño de partes o de la totalidad de

equipos de cómputo. Por ejemplo,

discos duros, fuentes de poder, entre

otros.

1528

TOTAL 1528


Se definieron los siguientes rangos de valor, para la clasificación del nivel de

criticidad CI:

Tabla 5-30 Caso de estudio – Rango CI

Rango CI ($) Criticidad CI

0 ≤ x ≤ 40000,00 BAJO

40000,00 < x ≤ 65000,00 MEDIO

x > 65000,00 ALTO

Tabla 5.30. Caso de estudio – Rango CI

El costo de Impacto (CI) y grado de criticidad CI, para cada uno de los riesgos

identificados queda de la siguiente manera:

Tabla 5-31 Caso de estudio – Criticidad CI

Riesgo CI ($) Criticidad CI

R1 4353750 ALTO

R2 45000000 ALTO

R3 3604 BAJO

R4 84840 ALTO

R5 65110 ALTO

R6 64860 MEDIO

R7 60720 MEDIO

R8 1000 BAJO

R9 35250 BAJO

R10 289860 ALTO

R11 12314 BAJO

R12 5000 BAJO

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

139

R13 1528 BAJO

Tabla 5.31. Caso de estudio – Criticidad CI

*El valor de la pérdida de información, a pesar de ser un factor intangible, se puede

llegar a aproximar, pero para este caso de estudio no se contó con los elementos

suficientes para conocer toda la información necesaria para calcular este costo.

La siguiente tabla muestra un resumen de las criticidades, tanto de FAO como de CI

para cada uno de los riesgos:

Tabla 5-32 Caso de estudio – Criticidad FAO y Criticidad CI

Riesgo Criticidad FAO Criticidad CI

R1 ALTO ALTO

R2 BAJO ALTO

R3 ALTO BAJO

R4 BAJO ALTO

R5 BAJO ALTO

R6 BAJO MEDIO

R7 MEDIO MEDIO

R8 ALTO BAJO

R9 ALTO BAJO

R10 MEDIO ALTO

R11 ALTO BAJO

R12 MEDIO BAJO

R13 MEDIO BAJO

Tabla 5.32. Caso de estudio – Criticidad FAO y Criticidad CI

g) Determinación del nivel de riesgo

Con base en la Tabla 3.19 de este documento, el nivel o criticidad de cada uno de los

riesgos, basado en la criticidad del FAO y del CI, son los siguientes:

Tabla 5-33 Caso de estudio – Criticidad de cada riesgo

Riesgo Criticidad FAO Criticidad CI Criticidad de Riesgo

R1 ALTO ALTO ALTO

R2 BAJO ALTO MEDIO

R3 ALTO BAJO MEDIO

R4 BAJO ALTO MEDIO

R5 BAJO ALTO MEDIO

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

140

R6 BAJO MEDIO BAJO

R7 MEDIO MEDIO MEDIO

R8 ALTO BAJO MEDIO

R9 ALTO BAJO MEDIO

R10 MEDIO ALTO MEDIO-ALTO

R11 ALTO BAJO MEDIO

R12 MEDIO BAJO BAJO

R13 MEDIO BAJO BAJO

Tabla 5.33. Caso de estudio – Criticidad de cada riesgo

Por último, en este paso, se calcula el RAI (Recuperación Anual del Impacto) para cada uno

de los riesgos, con base en su FAO y CI cuantitativos:

Tabla 5-34 Caso de estudio – RAI de cada riesgo

Riesgo Criticidad

FAO

Criticidad

CI

Criticidad de

Riesgo

FAO CI ($) RAI ($)

R1 ALTO ALTO ALTO 5 4353750 21768750

R2 BAJO ALTO MEDIO 0 45000000 0

R3 ALTO BAJO MEDIO 3 3604 10812



R6 BAJO MEDIO BAJO 0 64860 0

R7 MEDIO MEDIO MEDIO 3 60720 182160



R10 MEDIO ALTO MEDIO-

ALTO

9 289860 2608740


R12 MEDIO BAJO BAJO 3 5000 15000

R13 MEDIO BAJO BAJO 27 1528 41256

Tabla 5.34. Caso de estudio – RAI de cada riesgo

h) Recomendaciones de control

La tabla 4.34, muestra las criticidades finales de los riesgos, determinadas por la

relación entre las criticidades del FAO y CI para cada uno de ellos. Siguiendo la guía

metodológica propuesta, se tratarán y recomendarán controles, a los riesgos con

criticidad Alta, Media – Alta y Media.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

141

Se presentan a continuación los controles recomendados para dichos riesgos, y sus

costos aproximados. La forma como se calcularon estos costos, se encuentra detallada

en el Anexo E al final de este documento.

Tabla 5-35 Caso de estudio – Recomendaciones de Control

Riesgo Controles sugeridos Costo Controles

R1 • Digitalización de Documentos que se

guarden en la empresa (no en un servidor

externo), además de las copias en papel.

• Backup continuo de Documentos

Digitalizados

• Almacenamiento de copias de respaldo en

lugares físicos distintos a la organización.

5850

R2 • Almacenamiento de Documentos (en

papel) en un lugar apropiado para ello: p.

ej. sin tomas de corriente eléctrica

• Instalar sensores de humo y aspersores de

gas en el lugar de almacenamiento de

archivo.

• Almacenamiento de Documentos (en

papel) en diferentes sitios físicos.

1495

R3 • Mantener en funcionamiento un servidor

que sea redundante con el externo para

poder trabajar en algún momento de corte

de enlaces.

7000

R4 • Instalar un sistema con un algoritmo de

encriptación de datos para evitar el robo de

los mismos o fraude.

8750

R5 • Implementación e implantación de un

sistema de información de acceso Web,

distribuido, escalable, redundante, entre

otras características, que permita hacer la

aplicación más accesible, segura y estable.

• Implementar un Servidor redundante

para mejorar la disponibilidad de datos en

caso de caída de conexión de Internet.

• Capacitación de usuarios en el uso del

sistema.

42000

R7 • Adecuación del centro de cómputo a un 2050300

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

142

lugar apropiado para ello.

• Adecuación de los centro de cableado y

distribución.

• Instalación de sensores de humedad en los

lugares necesarios.

R8 • Instalación de aire para una correcta

refrigeración de los equipos y de esta

manera controlar el flujo del mismo.

15000

R9 • Revisión y reconfiguración de las

principales políticas, funciones y

características del antivirus instalado,

desde la consola de administración central.

0

R10 • Contratar un servicio dedicado de

Internet para no tener fallas en los enlaces

y/o asegurarse de tener un ancho de banda

suficiente para que el sistema sea flexible.

8000

R11 • Instalación e implementación de uno o

más firewall dentro de la red de la

organización

• Instalación e implementación de uno o

más IDS internos en la red de la

organización

60000

Tabla 5.35. Caso de estudio – Recomendaciones de Control

Proceso No. 2: Estimación del ROSI

a) Estimación del ROSI por años

Estimación para el año 1

Las siguientes son las tablas de estimación de gasto o ahorro de las inversiones, en el

primer año, y para cada uno de los riesgos:

Tabla 5-36 Caso de estudio – Estimación Año 1 R1

R1 Año 1 ($)

Inversión 5850

Impacto 21768750

Operación 292.5

Gasto o Ahorro 21762607,5

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

143

Tabla 5.36. Caso de estudio – Estimación Año 1 R1


R2 Año 1 ($)

Inversión 1495

Impacto 0

Operación 74.75

Gasto o Ahorro -1569.75



R3 Año 1 ($)

Inversión 7000

Impacto 10812

Operación 350

Gasto o Ahorro 3462



R4 Año 1 ($)

Inversión 8750

Impacto 84840

Operación 437.5




R5 Año 1 ($)

Inversión 42000

Impacto 455770

Operación 2100




R7 Año 1 ($)

Inversión 205300

Impacto 182160

Operación 10265


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

144



R8 Año 1 ($)

Inversión 15000

Impacto 13000

Operación 750




R9 Año 1 ($)

Inversión 0

Impacto 1656750

Operación 0




R10 Año 1 ($)

Inversión 8000

Impacto 2608740

Operación 400




R11 Año 1 ($)

Inversión 60000

Impacto 307850

Operación 3000



Como se puede ver en las tablas anteriores, los riesgos R1, R3, R4, R5, R9, R10 y

R11 generan ahorro desde el primer año, es decir que ya hay retorno de las

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

145

inversiones que se sugirieron para dichos riesgos, en el primer año. Para los riesgos

R3, R7 y R8, el valor del campo Gasto o Ahorro, tiene un resultado negativo, lo que

significa un gasto adicional en el primer año, debido a las inversiones para dichos

riesgos. Para estos casos, se realizará entonces, en las secciones siguientes, un estudio

de estimación para los años posteriores, para analizar y determinar en cuánto tiempo a

futuro se vería retornada la inversión propuesta.

Estimación para el año 2 en adelante

Como se expuso anteriormente, donde se detallan los pasos de la guía metodológica,

el proceso de estimación del retorno a la inversión por años, implica un proceso

iterativo por años, en los cuales se debe conocer algunos datos del año

inmediatamente anterior, datos como el impacto residual. En este caso, si se fuera

hacer la estimación para el año 2, se necesitaría conocer el valor del impacto residual

del año 1 para cada riesgo; recuerde que dicho impacto residual es dado por los costos

generados por los daños que todavía puedan haberse generado en el año

inmediatamente anterior, después de haber aplicado el control sugerido.

Es por ello, que para este caso de estudio, en este punto de la guía, no se pueden

seguir haciendo iteraciones para los años 2 en adelante, debido a que no se conoce el

valor del impacto residual de cada año. De hecho, esto lleva directamente al siguiente

numeral, en el cual se hace la estimación del tiempo en el cual se retorna la inversión,

sin tener en cuenta el valor del impacto residual para cada riesgo, es decir, en

condiciones ideales.

b) Estimación del ROSI en el año 0

Las siguientes tablas, muestran la estimación del retorno de las inversiones de cada

riesgo, en tiempo y dinero, en condiciones ideales, como se explicó anteriormente.


Riesgo R1 Año 1 ($)

Inversión 5850

Impacto 21768750

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

146

Operación 292.5



Ahorro Total o Saldo por Recuperar -




Inversión 1495

Impacto 0

Operación 74.75

Gasto o Ahorro -1569.75






Inversión 7000

Impacto 10812

Operación 350

Gasto o Ahorro 3462






Inversión 8750

Impacto 84840

Operación 437.5







Inversión 42000

Impacto 455770

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

147

Operación 2100






Riesgo R7 Año 1

($)

Año 2

($)

Inversión 205300 -

Impacto 182160 -

Operación 10265 10265


Pendiente por Recuperar - 33405

Ahorro Total o Saldo por Recuperar - 138490



Riesgo R8 Año 1 ($) Año 2 ($)

Inversión 15000 -

Impacto 13000 -

Operación 750 750


Pendiente por Recuperar - 2750


Recuperar

- 9500




Inversión 0

Impacto 1656750

Operación 0







Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

148

Inversión 8000

Impacto 2608740

Operación 400







Inversión 60000

Impacto 307850

Operación 3000





5.3 Análisis de Resultados

Con base en los resultados obtenidos en la estimación del retorno de las inversiones

propuestas para cada riesgo crítico, de estos se puede concluir:

RIESGO R1

Vulnerabilidades:

• Se tiene una única copia de cada Documento

• No hay un control estricto en el control de los documentos

Amenazas

• Pérdida de información, debido al extravío o hurto de Documentos

Recomendaciones de Control

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

149

• Digitalización de Documentos que se guarden en la empresa (no en un servidor

externo), además de las copias en papel.

• Backup continuo de los documentos digitalizados.

• Almacenamiento de copias de respaldo en lugares físicos distintos a la organización.

Resultados estimación del ROI

Como resultado de la aplicación de la estimación del ROI para R1, la inversión en los

controles recomendados, daría como resultado un retorno en el primer año,

representado en ahorro de dinero, con un valor de $ 21762607,5.

RIESGO R2

Vulnerabilidades:

• Las copias de los documentos se encuentran en papel dentro del Archivo de la

organización

• No hay sensores de humo en las instalaciones del Archivo

Amenazas

• Incendio en el Archivo de Documentos


• Almacenamiento de documentos (en papel) en un lugar apropiado para ello: p. ej.

Sin tomas de corriente eléctrica

• Instalar sensores de humo y aspersores de gas en el lugar de almacenamiento de

archivo.

• Almacenamiento de documentos (en papel) en diferentes sitios físicos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

150


En este caso, no es posible realizar el proceso de estimación del retorno a la

inversión, debido a que el Recuperación Anual del Impacto (RAI) para este riesgo,

tiene un valor de 0 (cero). Dicho valor se dio debido a que el Número de Ocurrencias

Anuales también es nulo, dado que la materialización de este riesgo no se ha

presentado nunca en la organización. Al tener un valor de RAI nulo, no hay un valor

de referencia con el cual realizar los cálculos dados por las fórmulas propuestas en la

guía, y por lo tanto no es posible estimar el retorno de las inversiones para este riesgo.

La probabilidad de ocurrencia del evento que materializaría el riesgo, es alta, así

como también el impacto del mismo, y es por ello que el riesgo es clasificado como

crítico, al tener una Criticidad media, en la escala que se manejó durante la guía

metodológica, y se recomienda ser tratado con los controles sugeridos en este caso.

RIESGO R3

Vulnerabilidades:

• Falta de enlaces redundantes entre los switchs de cada centro de cableado.

• Problemas con el sistema por caída de enlaces de Internet

Amenazas

• Caída de enlace y denegación de servicios en los equipos de red de la organización


• Mantener en funcionamiento un servidor que sea redundante con el externo para

poder trabajar en algún momento de corte de enlaces.


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

151



representado en ahorro de dinero, con un valor de $3462.

RIESGO R4

Vulnerabilidades:

• Cifrado de encriptación débil en los Access Point

• Seguridad mediante lista de direcciones MAC

Amenazas

• Penetración a la red vía Inalámbrica


• Instalar un sistema con un algoritmo de encriptación de datos para evitar el robo de

los mismos o fraude.




representado en ahorro de dinero, con un valor de $75652,5.

RIESGO R5

Vulnerabilidades:

• PC’s con carpetas compartidas de acceso público.

Amenazas

• Pérdida de Integridad de datos y accesos no autorizados a los mismos

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

152


• Implementación e implantación de un sistema de información de acceso Web,

distribuido, escalable, redundante, entre otras características, que permita hacer la

aplicación más accesible, segura y estable.

• Implementación de un servidor redundante para mejorar la disponibilidad de datos

en caso de que se produzca una caída en el enlace de conexión con internet.

• Capacitación de usuarios con el uso del sistema.




representado en ahorro de dinero, con un valor de $411670, en dicho año.

RIESGO R7

Vulnerabilidades:

• Mala localización del centro de cómputos y centros de cableado

• No hay sensores dentro del centro de cómputos y centros de cableado

Amenazas

• Lluvias fuertes, inundaciones, filtraciones de agua.


• Adecuación del centro de cómputos a un lugar apropiado para ello.

• Adecuación de los centros de cableado y distribución.

• Instalación de sensores de humedad en los lugares necesarios.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

153



controles recomendados, daría como resultado un retorno en el segundo año,


RIESGO R8

Vulnerabilidades:

• No hay flujo adecuado de aire dentro del centro de cómputos, ni los equipos


Amenazas

• Sobrecalentamiento de equipos o partes de equipos del centro de cómputos.


• Instalación de aire para una correcta refrigeración de los equipos y, de esta manera,

controlar el flujo de aire.



controles recomendados, daría como resultado un retorno en el segundo año,


RIESGO R9

Vulnerabilidades:

• Mala configuración de antivirus

• Antivirus débil o no adecuado para la organización.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

154

Amenazas

• Ataques de infección de virus


• Revisión y reconfiguración de las principales políticas, funciones y características

del antivirus instalado.





RIESGO R10

Vulnerabilidades:

• La aplicación corre sólo vía internet, por lo tanto genera demoras si la conexión está

excedida, o si funciona mal.

Amenazas

• Posible pérdida de disponibilidad de los datos o funcionalidad de la aplicación de la

organización.


• Contratar un servicio dedicado de internet para no tener fallas en los enlaces y/o

asegurarse de tener un ancho de banda suficiente para que el sistema sea flexible.


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

155

Como resultado de la aplicación de la estimación del ROI para R10, la inversión en

los controles recomendados, daría como resultado un retorno en el primer año,


RIESGO R11

Vulnerabilidades:

• No existe ningún mecanismo o dispositivo de seguridad, que permita detectar o

evitar ataques dentro de la LAN

Amenazas

• Ataques informáticos internos en la LAN de la organización.


• Instalación e implementación de uno o más firewall dentro de la red de la

organización

• Instalación e implementación de uno o más IDS internos en la red de la

organización


Como resultado de la aplicación de la estimación del ROI para R11, la inversión en

los controles recomendados, daría como resultado un retorno en el primer año,


Como puede verse en los resultados expuestos, casi la totalidad de los riesgos

analizados, darían un retorno en el primer año de ejecutada la inversión. Esta

situación no es anormal; se presenta en casos en los cuales la organización tenga

riesgos críticos con impactos altos, y no se tenga ningún tipo de control

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

156

implementado, lo que llevaría a que, con el primer control que se implemente,

seguramente dará retorno de la inversión de dicho control, en los primeros años luego

de su ejecución.

En resumen, la siguiente tabla muestra las inversiones y ahorros aproximados,

asociados a cada uno de los riesgos, a partir de los controles sugeridos anteriormente:

Tabla 5-56 Resumen de resultados caso de estudio

Identificador Inversión ($) Ahorro (Retorno) ($) Tiempo de Retorno

R1 5850 21762607,5 1 año

R2 1495 - -

R3 7000 3462 1 año

R4 8750 75652,5 1 año

R5 42000 411670 1 año

R7 205300 138490 2 año

R8 15000 9500 2 año

R9 0 1656750 1 año

R10 8000 2600340 1 año

R11 60000 244850 1 año

Tabla 5.56. Resumen de resultados caso de estudio

Recomendaciones de control para los riesgos no tratados

Algunos de los riesgos identificados durante el proceso de análisis de los mismos,

quedaron excluidos del proceso de estimación del ROSI.

Sin embargo, es importante que la organización conozca los controles de seguridad

sugeridos para mitigar dichos riesgos, que podrían catalogarse como, no críticos. Es

por ello, que a continuación se presenta una relación de los controles sugeridos para

los riesgos no tratados.

Tabla 5-57 Recomendaciones de Control para riesgos no tratados

Identificador Vulnerabilidades Amenazas Controles

Recomendados

R7 • Contraseñas compartidas

por los usuarios

• Seguridad mediante lista

de direcciones MAC

Sabotaje por

parte de

usuarios

• Mayor control de los

usuarios con sus

contraseñas

• Autenticación por

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

157

usuarios de dominio

R12 Los equipos informáticos

no tienen cableado

diferenciado del resto de los

equipos de la empresa

Pérdida de

funcionamiento

o de los servicios

de un switch

• Hacer una conexión

eléctrica diferenciada

para los equipos

informáticos

R13 Hay pocos mecanismos de

contingencia ante fallas de

flujo eléctrico en las

instalaciones de la

organización

Cortes o picos de

flujo eléctrico.

• Instalación de UPS

en las instalaciones de

la organización (ya

tienen algunas)

Tabla 5.57. Recomendaciones de Control para riesgos no tratados

Análisis del Proceso No. 1: Análisis de Riesgos

El primer paso consistió en el relevamiento de información, en el cual se presentaron

algunos inconvenientes, tales como, demoras de la organización del caso de estudio

en la entrega de información solicitada. El proceso de levantamiento de información

radica en la dependencia de terceros (la organización en la cual se esté aplicando la

guía metodológica), ya que de ellos depende que se tenga o no la información

suficiente para su aplicación, y de esta forma poder dar continuidad a los siguientes

pasos estipulados en la guía.

Durante este proceso se detectó una limitación de la guía metodológica en el paso de

la determinación de Frecuencias Anuales de Ocurrencias (FAO), debido a que en la

determinación de este valor para cada uno de los riesgos, se tienen en cuenta datos

históricos, es decir ocurrencias pasadas de los eventos. No se considera una

probabilidad de que un evento ocurra en el presente, sino que se tiene en cuenta

hechos pasados, que en varias ocasiones puede hacer que el valor del FAO para un

riesgo sea bajo, siendo que la probabilidad de que ocurra el evento es alta y latente,

con un impacto igualmente alto. Esto puede hacer complejo el cálculo del FAO,

puesto que en varias organizaciones no se cuenta con datos o estadísticas históricas

aproximadas de los eventos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

158

También es complejo determinar la probabilidad de ocurrencia de los eventos, ya que

entran a jugar muchas variables, que a su vez pueden ser aspectos intangibles o no

cuantificables, y por lo tanto no poder llegar a un valor real de probabilidad.

Se sugiere para un trabajo futuro, investigar y llegar a desarrollar una metodología

completa, o guía metodológica, para la estimación de la probabilidad de ocurrencia de

un evento.

Análisis del Proceso No. 2: Estimación del ROSI

El segundo proceso de la guía metodológica aplicada, consistió en la estimación del

ROSI, ya sea por años, o en condiciones ideales. Durante la ejecución de este

proceso, se detectaron algunos aspectos que vale la pena anotar en esta sección de

análisis de resultados.

En la aplicación de la guía al caso de estudio no fue posible aplicar el subproceso de

estimación del retorno a la inversión para los años 2 en adelante, para cada uno de los

riesgos. Esto surge debido a que para poder realizar las estimaciones para dichos

años, se necesitaría conocer los valores del impacto residual de cada uno de los años,

para llevar adelante el proceso iterativo. Al no conocer el valor del impacto de

residual de los riesgos tratados, esto se convierte en la estimación del retorno a la

inversión en condiciones ideales.

Hubo un caso especial que se detectó en el análisis y estimación del riesgo

identificado como R2, debido a que presentó un Referencia Anual de Impacto (RAI)

nulo, es decir con valor 0 (cero); lo anterior debido a que el riesgo presentaba un

valor de número de ocurrencias anuales también de cero; y al tener el RAI en dicho

valor, esto no permitió estimar el retorno de la inversión de dicho riesgo, ya que no

había un valor de referencia con el cual comparar año tras año, los valores de ahorro o

saldo por recuperar, y así poder conocer en qué momento se presentaba el retorno de

la inversión.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

159

Durante la aplicación del proceso de estimación del retorno a la inversión, se dio el

caso en el cual casi la totalidad de los riesgos tratados, dieron como resultado un

retorno a la inversión desde el primer año de ejecución de los controles sugeridos.

Esta situación, aunque puede parecer extraña, no lo es. La causa de esto, radica en el

hecho que la organización tenía casi la totalidad de esos riesgos críticos, sin ningún

tipo de control implementado en el pasado, por lo cual, con la primera ejecución de

un control en cada uno de ellos, seguramente daría un retorno a la inversión tan

rápidamente, debido a que los costos de inversión son significativamente menores a

los costos de impacto.

Recomendaciones para la aplicación de la guía metodológica

La aplicación de la guía metodológica permitió también encontrar varias sugerencias

y aspectos a tener en cuenta para futuras aplicaciones de la guía en otros casos de

estudio u organizaciones. A continuación se listan algunas de las recomendaciones

para que la aplicación de la guía se haga de manera más efectiva:

• Establecer con la organización en donde se aplique la guía metodológica, un

Acuerdo de Confidencialidad en el cual, las partes acuerdan, por una parte brindar

toda la información necesaria para el caso, y por otra parte, mantener en completo

secreto y confidencialidad la información brindada.

• Tener en cuenta en la planeación del tiempo de ejecución del proyecto de

aplicación, que el proceso de levantamiento de información puede ser más demorado

de lo planeado, debido a posibles demoras del cliente en recoger y entregar la

información solicitada, o debido a información incompleta o con poco detalle, entre

otras. También es recomendable obtener de parte del cliente, documentos formales en

los cuales se pueda encontrar parte de la información solicitada.

• Durante el proceso de levantamiento de información, es común que se realicen

entrevistas en sitio a personal de la organización, encargados del proyecto, visitas a

las instalaciones, entre otras.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

160

• El proceso de análisis de riesgos implica la generación de gran cantidad de

información de cada uno de los riesgos. Es por esto que es recomendable mantener la

información organizada.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

161

6. CONCLUSIONES

Como objetivo de esta investigación se desarrolló una guía metodológica que explica en

detalle cada uno de los pasos a seguir para la estimación del ROSI, considerando posibles

condiciones o situaciones particulares de las organizaciones o arquitecturas, que se

identificaron a lo largo del trabajo.

Como se describió en los objetivos de esta investigación, se ejecutó una prueba de la guía

metodológica planteada, a través de un caso de estudio en una organización; en donde se

buscó analizar la viabilidad, aplicabilidad, ventajas y limitaciones de la guía desarrollada.

Los resultados se presentaron en el último capítulo del presente documento.

Durante el desarrollo del proyecto fue importante el seguimiento de un discurso

metodológico, que permitió estructurar de manera apropiada los contenidos, objetivos,

desarrollo y resultados del trabajo realizado.

Además, se tuvo en cuenta en todo momento la pregunta de investigación que se trata de

responder con la realización de la investigación, con el objetivo de orientar el trabajo siempre

hacia la respuesta de dicha pregunta.

Fueron de gran utilidad, recursos utilizados, tales como fichas de los detalles e información

relevante durante el proceso de levantamiento de información continuo durante la aplicación

de la guía metodológica.

Uno de los problemas presentados es que es compleja la cuantificación de los costos de

impactos intangibles. En la guía metodológica se dan algunas sugerencias y ejemplos, de

cómo poder llegar a cuantificar de manera estimada, los factores intangibles que generan

costo en la materialización de un riesgo.

A partir de la ejecución de una prueba de la guía, se puede afirmar que ésta es viable y

aplicable, teniendo en cuenta las limitaciones que fueron presentadas y detalladas, y que

podrían mejorarse en futuras investigaciones.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

162

7. GLOSARIO DE TERMINOS

ROI: Retorno de la Inversión.

ROSI: Return of Security Investment – Retorno de la inversión en seguridad.

S.S.P.: Storage Service Providers.

CISO: Chief Information Security Officer.

IT: Tecnología de información.

SGSI: Sistema de Gestión en Seguridad de la Información.

BCP: Plan de Continuidad de Negocio - Business Continuity Plan

ARPANET: Advanced Research Project Agency Network

SDI: Sistema de Detección de Intrusos.

ALE: Pérdida Anual Esperada.

EF: Factor de exposición.

SLE: Pérdida Esperada.

ARO: Tasa de ocurrencia anual.

NIST: National Institute of Standards and Technology.

FTP: File Transfer Protocol.

VPN: Virtual Private Network.

WEP: Wired Equivalent Privacy.

FAO: Frecuencia Anual de Ocurrencias.

CI: Costo de Impacto.

RAI: Recuperación Anual del Impacto.

BRP: Perfil de riesgos para la empresa.

DiDI: Índice de defensa en profundidad.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

163

8. REFERENCIA BIBLIOGRAFICA

Carracedo Gallardo, Justo – Seguridad en redes telemáticas – Mc Graw Hill 2004

Daemen, J. Rijmen V.– The design of Rijndael - Springer – 2002

Menezes, A. J.; Oorschot van P., C.; y Vanstone S. A. Handbook of Applied 2001

Schneier, B. Applied Cryptography - Second Edition. Editorial Wiley and Sohn 1996.

Stallings, William. Cryptography and Network Security. Principles and Practice.

Second Edition. Editorial Prentice Hall International Editions. 1999.

Stinson, D. Cryptography, Theory and Practice, Editorial CRC Press. 1997.

ROSI – Global Crossing. Link: http://latamblog.globalcrossing.com/?q=es/content/rosi

Seguridad de la Información – Wikipedia – la enciclopedia libre. Link:

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Seguridad Informática. Wikipedia. La enciclopedia libre. Link: http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

Cryptography, Theory and Practice - Stinson, D. - Editorial CRC Press - 1997

Applied Cryptography – Second Edition – Schneier, B. – Editorial Wiley and Sohn - 1996

Seguridad en un Sistema de Información – Monografías. Link:

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

Cryptography and Network Security. Principles and Practice - Stallings, William – Second Edition - Editorial Prentice Hall International Editions - 1999

Seguridad en Redes Telemáticas – Carracedo Gallardo, Justo - Mc Graw - 2004

Retorno de la Inversión en Seguridad. Link: http://blog.segu-info.com.ar/2010/04/retorno-de-inversion-en-seguridad.html

Seguridad Informática vs. Seguridad de la Información. Link:

http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf

The design of Rijndael - Daemen, J. Rijmen V. - Springer - 2002

http://latamblog.globalcrossing.com/?q=es/content/rosi

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://blog.segu-info.com.ar/2010/04/retorno-de-inversion-en-seguridad.html

http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

164

ROSI. Universidad del Museo Social Argentino. Link: http://www.criptored.upm.es/guiateoria/gt_m327b.htm

Handbook of Applied - , A. J.; Oorschot van P., C.; y Vanstone S. A. - 2001

Calculating security ROI is tricky business. Link:

http://www.computerworld.com/securitytopics/security/story/0,10801,83207,00.html?SKC=s

ecurity-83207

Riesgos Informáticos. Business Alliance for Secure Commerce.

Módulo 2: Concepto de Análisis de Riesgos. Academia Latinoamericana de Seguridad Informática.

El Estado del Arte de la Seguridad Informática. Centro de Investigaciones en Seguridad Informática Aislar. Link:

http://www.criptored.upm.es/guiateoria/gt_m241b.htm

Determining the ROI in IT security. Link:

http://www.davidfrico.com/mclean03.htm

Security ROI can’t be proved. Link: http://www.computerworld.com/securitytopics/security/story/0,10801,83450,00.html

Publication 800-30: Risk Management Guide for Information Technology Systems.

National Institute of Standards and Technology (NIST). Link:

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

Information Security: An Integrated Collection of Essays: Essay 2 Concepts and Terminology for Computer Security. Link:

http://www.acsac.org/secshelf/book001/02.pdf

Information Security: An Integrated Collection of Essays: Essay 3 A Philosophy of

Security Management. Link:


The NIST Handbook, Special Publication 800-12. National Institute of Standards and Technology (NIST). Link:

http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf

Introducción a la Seguridad de la Información. Microsoft Technet. Link:

http://www.microsoft.com/latam/technet/video/alsi.aspx

NIST Special Publication 800-33: Underlying Technical Models for Information Technology Security. Link:


http://www.computerworld.com/securitytopics/security/story/0,10801,83207,00.html?SKC=security-83207

http://www.computerworld.com/securitytopics/security/story/0,10801,83207,00.html?SKC=security-83207


http://www.davidfrico.com/mclean03.htm

http://www.computerworld.com/securitytopics/security/story/0,10801,83450,00.html




http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

165


Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

166

9. ANEXO A

CUESTIONARIO - LEVANTAMIENTO DE INFORMACIÓN

APLICACIÓN - PRUEBAS

Una guía metodológica para el cálculo del retorno a la inversión en seguridad informática

Objetivo

El presente documento tiene como fin principal, ser una herramienta para realizar la

caracterización de la organización objeto de estudio, mediante el levantamiento y recolección

de información relevante para el tema de la investigación en curso.

Introducción

La guía metodológica desarrollada, está basada en un proceso de identificación, análisis y

administración de riesgos, durante el cual, el primer paso consiste en definir el alcance del

estudio a realizar, con el objetivo de trazar los límites de la organización, sus sistemas e

información relevante. Durante esta caracterización de la organización, se pretende adquirir

el conocimiento y contextualización dentro del negocio de la misma, siendo esta la base para

la posterior identificación de amenazas y vulnerabilidades.

En las siguientes secciones de este documento, se presentará una serie de ítems, que recogen

la información básica de la organización, en lo concerniente a la investigación.

Por favor responder a cada ítem con completitud y claridad. En caso de ser necesario, por

favor anexar documentos que complementen o suplan alguno de los ítems de este

cuestionario.

1. Datos Generales de la organización

A. Nombre de la organización

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

167

B. Tipo de organización (por ejemplo, Prestación de Servicios, Manufacturera,

etc.)

C. Misión

D. Visión

E. Objetivos organizacionales

F. Ámbito (Local, nacional, internacional)

G. Tamaño de la organización (número de empleados, dependencias, oficinas,

sucursales, etc.)

H. Planes estratégicos

2. Estructura de la organización

A. Estructura organizacional (Organigrama)

B. Áreas funcionales

C. Descripción de los principales procesos, procedimientos y flujos de

información (describir únicamente los procesos más importantes y relevantes

al manejo de la información organizacional; puede anexar, cuadros, tablas,

diagramas, documentos, etc.)

D. Descripción detallada de los procesos y procedimientos de tecnología (por

ejemplo, Administración de Red)

3. Infraestructura tecnológica y de seguridad de la organización

A. Topología de Red – Arquitectura de seguridad (Anexar diagrama(s) de

topologías de red detallados)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

168

B. Descripción escrita detallada de la topología de red y seguridad de la

organización, incluir entre otras:

a. Número de estaciones de trabajo

b. Número y descripción de servidores

c. Ubicación de equipos – Centro(s) de cómputo (condiciones,

controles, etc.)

d. Número de equipos conectados a la red

e. Direccionamiento - Subredes

f. Información de DMZ’s

g. Correo electrónico

h. Aplicaciones empresariales

i. Protocolos y servicios instalados

j. Controles de seguridad implementados

k. Flujo de información en la red

C. Inventario de Hardware (reportes de inventario de los equipos de hardware)

D. Inventario de Software (reportes de inventario de los equipos de hardware)

E. Activos de Información (información sensible de la organización)

F. Principales proveedores de tecnología

G. Usuarios de red

4. Seguridad Informática

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

169

A. Políticas de seguridad implementadas

a. Seguridad del Personal

b. Seguridad de infraestructura física

c. Seguridad Física y Ambiental

d. Seguridad de Infraestructura tecnológica

e. Seguridad Organizacional

B. Procedimientos de seguridad de la información en funcionamiento (por

ejemplo, copias de respaldo, mantenimientos, almacenamiento de la

información, control de acceso, etc.)

C. Descripción detallada de los controles de seguridad, a todo nivel, que se

han implementado

D. Planes de Contingencia

E. Planes en seguridad de la información

a. Desarrollados

b. En curso

c. Proyectado

F. Certificaciones de Calidad / Seguridad

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

170

10. ANEXO B

PLANTILLA FICHA DE CAMPO

FICHA DE CAMPO

Reporte de actividades –

Aplicación y Pruebas

Ficha No.: _____

Fecha: ___ / ___ / _____

Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad

informática: un caso de estudio

Objetivo de la actividad

Descripción de la

actividad realizada

Lugar

Responsable(s) /

Participante(s)

Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

171

11. ANEXO C

FICHAS DE CAMPO

FICHAS UTILIZADAS PARA EL CAMPO

Estimación del Retorno de la Inversión en Seguridad

Informática

Objetivo de la actividad Conocer los subsistemas, que pertenecen a la

organización.

Descripción de la

actividad realizada

Esta actividad fue realizada por medio de una

presentación, la cual fue a cargo del encargado del Área

de Sistemas, que hace parte de la organización.

En dicha presentación se presentaron los procesos

principales de la organización.

En esta actividad se detecto información muy sensible

para la organización y que tienen un algo nivel de riesgo.

También se detecto procesos críticos, que no tiene un

control adecuado.

Lugar Oficinas de la Organización.

Responsable(s) /

Participante(s)

Encargada del área de Sistemas


La reunión se llevo a cabo en condiciones normales, y en el tiempo estimado.

A partir de esta actividad, se reconoció información importante para la aplicación del

Caso de Estudio (procesos críticos y información sensible)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

172



Informática

Objetivo de la actividad Recolectar información básica de la organización, con

una persona representante de la misma. Se tratarán los

temas de la plataforma estratégica de la organización, la

estructura organizacional de la misma, y el detalle de la

información sensible.

Descripción de la

actividad realizada

Durante la entrevista se pudieron recolectar y concretar

los siguientes puntos con el representante de la

organización:

• Existe una plataforma estratégica, pero dicha

información no pudo ser entregada para la aplicación de

la guía metodológica. En dicha plataforma estratégica, se

presentaron puntos tales como: misión, visión, objetivos

organizacionales, estructura organizacional,

etc.

• La organización no puede determinar qué información

es más sensible o crítica que otra. Toda la información

está encadenada, y es por ello que todo es igual de

importante y crítico. Se podría decir que la información

más crítica son las que tienen que ver con la facturación,

inventarios, entregas, etc.

Lugar Oficinas de la Organización

Responsable(s) /

Participante(s)

Persona representante de la Organización


• Toda la información es critica

• No hay mucha información organizacional disponible información sensible

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

173



Informática

Objetivo de la actividad Levantamiento de información de la red de la

Organización, a nivel físico, lógico y de procedimientos,

en entrevista con una persona delegada para ello.

Descripción de la

actividad realizada

• Mantienen confidencial las marcas y modelos de

equipos

• Se expuso la topología de la red. Detalle de los

componentes y funcionamiento:

o División de la red

o Equipos y servidores principales

o Centros de Cableado

o Conexiones

o Detalle de los puertos de los centros de cableado

o Servicios

o Equipos inalámbricos

o Seguridad en red inalámbrica

o Esquema de seguridad para equipos en centros de

cableado

o Esquema de direccionamiento IP

o Políticas de Acceso

o Administración de equipos

o Procedimientos

o Planes de Contingencia

o Redundancia física

o Ubicación de centros de cableado, condiciones

ambientales.


Responsable(s) /

Participante(s)

Encargado de Redes


• No se tienen documentos formales y completos de la información levantada. Todo

se ha recogido mediante entrevistas verbales, en las que pueden llegar a faltar varias

cosas por decir. Se mantuvo contacto vía mail.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

174



Informática

Objetivo de la actividad Realizar un levantamiento de información de los

procedimientos, actividades acciones, etc., del área

encargada de Soporte Técnico en la Organización.

Descripción de la

actividad realizada

• Objetivo de Soporte: soportar al usuario final, en SW y

HW. Helpdesk, instalación de programas, instalación de

nuevos usuarios, configuraciones, etc. Todo se hace

desde Neural Soft.

• Se recolectó la información sobre los siguientes

detalles:

o 47 maquinas

� 44 equipos de escritorios

� 3 notebooks

Las especificaciones de las mismas son Core 2 Duo

E4600 2,44Ghz, con 2Gb de memoria y 200Gb de disco

rígido.

o Entre los PC’s comparten carpetas.

o Sistema Operativo

� Windows XP: aproximadamente 47 máquinas • Además se cuenta con 14 impresoras de red HP

LaserJet 2035N

• Tienen 4 controladores fiscales, 1 por cada caja de las

distintas sucursales.

• La empresa posee 12 UPS, 1 por cada switch, 1 por

cada caja, y 1 por mostrador de venta de las distintas

sucursales.

o Todos utilizan Office e Internet

o La aplicación es desarrollada y mantenida por una

empresa (Neural Soft). Esta

aplicación, denominada Presea, maneja:

� Administración y Contabilidad

� Planificación y seguimiento del proceso productivo

(Producción)

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

175

� Entrega de Materiales (Facturación)

� Administración de recursos humanos

� Gestión de relaciones con clientes

� Sistema de los procesos y proyectos

� Automatización del gerenciamiento

• El concepto de esta aplicación se basa en ser una Base

de Datos Distribuida e Integrada

• Es una aplicación que tiene bastante tiempo, con

optimización y evolución.

• Para acceder a las terminales, se utilizan usuarios de

dominio. Estos usuarios a veces comparten las

contraseñas por comodidad y se producen los problemas.


Responsable(s) /

Participante(s)

Encargado de Sistemas


• No se tienen documentos formales y completos de la información levantada. Todo

se ha recogido mediante entrevistas verbales, en las que pueden llegar a faltar varias

cosas por decir.

• Queda abierta la posibilidad de una entrevista con la empresa que provee el

mantenimiento de la aplicación.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

176



Informática

Objetivo de la actividad Hacer el levantamiento de información sobre el esquema

de seguridad de la red que se tiene en la organización.

Descripción de la

actividad realizada

Esta actividad se llevó a cabo mediante entrevista

realizada al encargado del aseguramiento de la red en la

Organización.

Políticas implementadas: Política no claras, sin

embargo hay normas, vistos como proceso mínimos de

aseguramiento, parcheo, niveles básicos, etc.

Hay normas establecidas en contratos de personal, pero

realmente no se conocen. No están explicitas como

políticas de seguridad. No hay procedimientos claro para

el control de la información.

Hay control de seguridad de acceso físico.

Se han generado problemas de humedad en el centro de

cómputo, está en riesgo.

No hay estándares como tal, para el centro de cómputo.

No hay flujo de aire, solo se controla la temperatura por

medio de aire acondicionado. El centro de cómputo fue

instalado en oficinas que no fueron construidas para este

objetivo.

Existe un control de acceso a la VPN restringido por IP

(para que no se pueda acceder desde cualquier equipo

que no pertenezca a la empresa), pero existen algunas

excepciones por usuario, para que puedan acceder desde

cualquier lugar.

Se tienen conectados 2 Access Point, para servicios de

red inalámbrica, para unir la Fábrica con la

Clasificadora. Los Access Point cuentan con dos

mecanismos de seguridad: Lista de direcciones MAC,

Cifrado WEP (Passphrase 128 bits)

El direccionamiento IP está definido por la empresa

NeuralSoft quien se hace cargo de la distribución, están

dentro de un rango específico. Se manejan políticas de

acceso, para restringir servicios, proteger servidores, etc.

En la parte de core y distribución hay redundancia,

contingencias, fuentes de poder, controladores de

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

177

mantenimiento, enlaces dobles.

La red de la empresa no tiene muchos planes de

contingencia.

Redundancia eléctrica en servidores, canaletas con flujo

eléctrico con origen de diferentes fuentes eléctricas.

Backup incrementales rápidos a diario, Backup full de

porciones críticas, Semanas (se generan fuera de la

organización), Mensuales, y anuales.

Antivirus Nod32: Escaneo automático diario por usuario

administrativo, Estudiantes semanal.

Visita Centro de cómputo:

Fuentes eléctricas no separadas al centro, se detecta

humedad, se maneja color del cableado no muy

organizado, detector de incendios, extintores de fácil

acceso, todos los switchs se en encuentran en Racks,

bitácora de visitantes.

Lugar Oficinas y Centro de Cómputo de la Organización

Responsable(s) /

Participante(s)

Encargado de Sistemas


Se presenta información clara y clave para encontrar riesgo.

Se hace visita al centro de cómputo.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

178



Informática

Objetivo de la actividad Poner de común acuerdo las amenazas y

vulnerabilidades identificadas por los investigadores

luego del levantamiento de información realizado, para

determinar finalmente los riesgos a tener en cuenta

durante la aplicación de la guía metodológica.

Descripción de la

actividad realizada

Los investigadores presentaron a la organización, las

amenazas y vulnerabilidades identificadas con el

levantamiento de información realizado.

Luego de haber discutido las amenazas y

vulnerabilidades presentadas, se definió el cuadro anexo

a este documento, para trabajar los riesgos de aquí en

adelante durante la aplicación de la guía metodológica.

El paso a seguir es definir el número de ocurrencias

anuales para cada uno de los riesgos que de dicho cuadro

anexo, se derivan.

Lugar Oficinas de la organización

Responsable(s) /

Participante(s)

Persona encargada de la organización


• Se harán consultas por correo para ir definiendo los FAO

AMENAZAS VULNERABILIDADES

• Pérdida de documentos como facturas.

• Incendio en el Archivo

• Se tiene una única copia de cada

documento importante en la organización.

• Los documentos se encuentran en papel.

• No hay un control estricto sobre los

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

179

• Hurto de documentos

documentos de entrega de material y baja

de los mismos.

• Caída de enlace – Denegación de

Servicios

• No hay redundancia de enlaces de red.

• No hay enlaces redundantes entre los

switches de cada centro de cableado.

• Penetración a la red vía inalámbrica

• Cifrado de encripción débil en los

Access Point

• Seguridad mediante lista de direcciones

MAC

• Acceso no autorizado a datos

• Pérdida de integridad de datos

• Pérdida de disponibilidad de datos

• PC’s con carpetas compartidas de

acceso público. Los PC’s son de uso

cotidiano.

• Sabotaje por parte de usuarios • Contraseñas compartidas por los

usuarios

• Errores humanos por desconocimiento

de procedimientos y políticas.

• No hay políticas ni procedimientos

debidamente documentados para la

administración de la infraestructura de red

interna de la Organización.

• Lluvias fuertes, inundaciones,

filtraciones de agua.

• Mala localización del centro de

cómputo

• No hay sensores de humedad en el

centro de cómputo

• Daño de equipos por

Sobrecalentamiento

• No hay flujo adecuado de aire dentro

del centro de cómputo, ni los equipos


• Ataques de infección de virus por mala

configuración

• Mala configuración del antivirus

• Posible pérdida de integridad de los • La aplicación depende de internet, por

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

180

datos o funcionalidad de la aplicación. lo tanto si se corta o se producen

actualizaciones de la misma, se pueden

generar errores.

• Ataques de seguridad informática

internos en la LAN de la Organización.

• No existe ningún mecanismo o

dispositivo de seguridad, que permita

detectar o evitar ataques generados dentro

de la LAN.

• Pérdida de funcionamiento o de los

servicios de un switch

• Algunos Access Point con que cuenta la

organización, están físicamente

conectados a un mismo switch del mismo

centro de cableado.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

181



Informática

Objetivo de la actividad Levantamiento de información acerca del FAO de

algunos de los riesgos identificados.

Descripción de la

actividad realizada

• Las personas tienen errores, debido a que la aplicación

se implementó hace muy poco tiempo.

• El problema principal es el bajo tiempo de respuesta

debido al alto tráfico de la red o a la lentitud de internet

en determinados horarios. Esto ha ocasionado que se

trunquen o se dañen las tablas que componen la base de

datos, debido por ejemplo a timeouts.

Cuando esto sucede, hay que recuperar la o las tablas

truncadas y frecuentemente se pierden datos, desde el

último backup de la tabla afectada. Estos truncamientos

de tablas se presentan 1 vez al día.

• La aplicación es como es, y funciona de esa manera,

debido a que no es una aplicación a medida, si bien se

van realizando actualizaciones, hay cosas que no pueden

ser implementadas correctamente debido a las

diferencias con las bases de datos anteriores de la

organización.

• No ha habido caso de sabotaje de contraseñas, aunque

el riesgo está presente, y es alto. Tal vez no ha ocurrido

por falta de conocimiento o falta de curiosidad de los

usuarios, pero podría suceder en cualquier momento. Lo

que si ha sucedido es que quizás un usuario deja su

contraseña puesta en medio de una venta, y se corre el

riesgo que se facture algo con ese usuario que genere

problemas.

• Cuando se hacen cambios en el código o funcionalidad

de la aplicación, que implique una cambio de versión de

la misma, sí se ha visto afectada la disponibilidad de esas

nuevas funcionalidades de la aplicación. Adicionalmente

en la Organización, se presentan cambios en la

aplicación muy frecuentemente.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

182

• Se han presentado alrededor de 1 o 2 fallos de red al

semestre, dentro de las instalaciones de la

Organización.

• La Organización no cuenta con ningún mecanismo de

contingencia frente a fallos de flujo eléctrico, cuenta con

UPS, que tienen poco tiempo de disponibilidad, pero

solo en algunos equipos (switchs y cajas) Pero no hay

ningún tipo de contingencia para fallos, ni siquiera en los

principales equipos.

• En la Organización son muy frecuentes los picos de

voltaje eléctrico, lo cual ha representado daños en partes

de equipos de cómputo. La estadística de daños por esta

razón, indica alrededor de 3 discos duros y 12 fuentes de

poder, anualmente.

• Se han detectado varios fraudes de todo tipo, en cuanto

a hurtos de materiales, por ejemplo, cambios de

mercadería cara puestas en cajas de mercadería barata; se

dan de baja materiales debido a roturas y nadie verifica

si es real la rotura del mismo; se factura menor cantidad

de materiales y se entrega de más, etc.


Responsable(s) /

Participante(s)

Encargado de la Organización y de sistemas.


Cualquier pregunta o tema adicional podrá ser tratada vía correo electrónico.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

183



Informática

Objetivo de la actividad Revisar los FAO y Factores de Impacto que se tienen

hasta el momento, de los riesgos identificados.

Descripción de la

actividad realizada

Se revisaron cada uno de los FAO e impactos que se

tenían hasta el momento. Hubo varias sugerencias y

observaciones con respecto al cálculo del FAO, datos

puntuales, etc. Asimismo, se detectaron datos nuevos

que se pueden levantar, los cuales serán consultados por

el delegado de la organización, más pronto posible.


Responsable(s) /

Participante(s)

Encargado de la Organización


• Se detecta una debilidad en la guía metodológica en lo referente al FAO, debido a

que se tienen en cuenta datos históricos para su cálculo. Es decir no se tiene una

probabilidad de ocurrencia real, sino datos de hechos pasados que no tienen en cuenta

situaciones y condiciones actuales.

• Asimismo, es difícil tener FAO para organizaciones que no tengan históricos,

aunque se presentan algunas sugerencias en la guía metodológica, para estos casos.

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

184

12. ANEXO D

CÁLCULOS CI

R1

Factor de Impacto Cálculo Total ($)



financiera.

Ingresos / No. clientes:

45000000/4000

11250

Pérdida de imagen

organizacional.

386 nuevos clientes *

Ingreso promedio por cliente

(11250)

4342500

TOTAL 4353750

R2




financiera.

Ingresos por ventas de

clientes activos

45000000

Pérdida de imagen

organizacional.

Se asume que no hay imagen

organizacional, debido a que

se pierden la totalidad de los

documentos

0

TOTAL 45000000

R3


Pérdida de tiempo de

labores o productividad de

las personas de la

organización afectadas.

47 equipos * Promedio de salarios de

personal de la organización/hora (en

promedio $12 la hora)=47*12

564/hora

Tiempo del personal

encargado de la reparación

del daño, o cambio de un

equipo en caso de daño.

Promedio de salarios de personal de red

y soporte/hora (en promedio $20 la

hora) = 40

40/hora

Costo de la reposición del

equipo afectado.

$3000 por equipo 3000

TOTAL 3604

R4


Posible pérdida de

información o intrusión de

usuario no autorizado a la

red.

Recuperación de

información desde backups

existentes: Hora promedio de

personal de soporte: 250 * 4

1000

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

185

horas

Posible pérdida de

funcionamiento de la

aplicación para todos los

usuarios

24 equipos * Promedio por

hora del personal de la

organización * 4 horas =

24*840*4=

80640

Falta de disponibilidad de

la conexión inalámbrica

para los usuarios

5 access point *

840(valor promedio de la

hora) = 4200

4200

TOTAL 84840

R5


Tiempo de la persona

encargada para identificar

y recuperar integridad de

datos.

Hora: 250 250

Posible paralización

parcial de actividades de

los usuarios del sistema,

mientras se restablece la

normalidad del mismo.

47 equipos * 1380 = 64860 64860

TOTAL 65110

R6


Tiempo de paralización de

actividades de los usuarios,

mientras se restablece la

contraseña.

1 hora * 47 usuarios/equipo

* 1380

64860

TOTAL 64860

R7


Daño de equipos, enceres,

instalaciones, entre otros.

Costo aproximado de Racks

y/o otros equipos de red: 4

racks * 13.000 + 10 equipos

de red * $800

60000

Tiempo de restauración de

la información perdida.

2 días de tiempo de personal

asignado * Promedio de

salarios diario (18 horas *40)

720

TOTAL 60720

R8


Tiempo de restauración de 5 horas * 40 200

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

186

la información perdida.

Costo de la(s) parte(s)

dañadas.

Promedio de: Costo Disco

Duro (300.00) + Costo

Fuente de Poder(400.00) +

Ventilador(100.00) = 800

800

TOTAL 800

R9


Tiempo de restauración del

sistema afectado.

47 equipos * 3 horas * Hora

promedio persona de

soporte: 250.00

35250

TOTAL 35250

R10


Tiempo de falta de

disponibilidad para los

usuarios, de una o más

funcionalidades del

sistema.

47 usuarios/equipos * 1380 64860

Pérdida de ventas a clientes

que no pueden ser

atendidos.

Tiempo en que no haya

sistema * clientes promedios

* ingreso promedio. 2 horas

* 10 * 11250

225000

TOTAL 289860

R11


Paralización de actividades

por daño de software o

hardware de equipos.

47 equipos * 12 (Costo

promedio hora)

564

Tiempo de restauración del

sistema.

47 equipos * 1 hora * 250 (hora

soporte) =11750

11750

TOTAL 12314

R12


Tiempo de paralización de

actividades de usuarios de

la red inalámbrica.

5 access point * 840(valor

promedio de la hora) = 4200

4200

Costo de la(s) parte(s)

dañadas.

Promedio de: Costo Disco Duro

(300.00) + Costo Fuente de

Poder(400.00) +

Ventilador(100.00) = 800

800

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

187

TOTAL 5000

R13


Daño de partes o de la

totalidad de equipos de

cómputo. Por ejemplo,

discos duros, fuentes de

poder, entre otros.

Promedio de:

Disco Duro: 3 al

Año * 300.00 = 900

Fuente de Poder:

1.57 al año * 400.00 = 628

1528

TOTAL 1528

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

188

13. ANEXO E

CÁLCULOS DE COSTOS DE RECOMENDACIONES DE CONTROL

Riesgo Controles sugeridos Costo Controles

(Inversión)

R1 • Digitalización de Documentos que se guarden

en la empresa (no en un servidor externo),

además de las copias en papel.

• Backup continuo de Documentos

Digitalizados

• Almacenamiento de copias de respaldo en

lugares físicos distintos a la organización.

• $5000 (Costo de una PC

con capacidad para guardar

estos datos)

• Quemador de DVD:

$ 150

• Alquiler de un archivo: $

700

R2 • Almacenamiento de Documentos (en papel)

en un lugar apropiado para ello: p. ej. sin tomas

de corriente eléctrica

• Instalar sensores de humo y aspersores de gas

en el lugar de almacenamiento de archivo.

• Almacenamiento de Documentos (en papel)

en diferentes sitios físicos.

• Detector de humo:

$70 * 6 = 420

• Extintor de CO2

Homologado: $375

• Alquiler de un Archivo

para los documentos: $ 700

R3 • Mantener en funcionamiento un servidor que

sea redundante con el externo para poder

trabajar en algún momento de corte de enlaces.

• Costo del servidor y

mantenimiento: $ 7000

R4 • Instalar un sistema con un algoritmo de

encriptación de datos para evitar el robo de los

mismos o fraude.

• Costo del sistema de

encriptación de datos: $8750

R5 • Implementación e implantación de un sistema

de información de acceso Web, distribuido,

escalable, redundante, entre otras

características, que permita hacer la aplicación

más accesible, segura y estable.

• Implementar un Servidor redundante para

mejorar la disponibilidad de datos en caso de

caída de conexión de Internet.

• Capacitación de usuarios en el uso del

sistema.

• 6 meses de trabajo * 2

ingenieros * 3500=

42000

R7 • Adecuación del centro de cómputo a un lugar

apropiado para ello.

• Adecuación de los centro de cableado y

distribución.

• Adecuación Centro de

Cómputo: 100000

• Sensor de humedad:

300

Trabajo de Grado:



Versión: 2.00

Mariel Mage –

Gonzalo Crivellini

189

• Instalación de sensores de humedad en los

lugares necesarios.

R8 • Instalación de aire para una correcta

refrigeración de los equipos y de esta manera

controlar el flujo del mismo.

• 15000

R9 • Revisión y reconfiguración de las principales

políticas, funciones y características del

antivirus instalado, desde la consola de

administración central.

• 0

R10 • Contratar un servicio dedicado de Internet

para no tener fallas en los enlaces y/o

asegurarse de tener un ancho de banda

suficiente para que el sistema sea flexible.

• 5000

R11 • Instalación e implementación de uno o más

firewall dentro de la red de la organización

• Instalación e implementación de uno o más

IDS internos en la red de la organización

• Firewall + IDS + I

PS Seguridad para

LAN: US$1500

trabajo de grado - 9bits.com.ar9bits.com.ar/gc/img/trabajo_grado.pdf · trabajo de grado:...

Documents