Magerit

MAGERIT: Anlisis y Gestin de riesgos
Introduccin:..................................................................................................................... 3 ETAPA 1: Planificacin del Anlisis y Gestin de Riesgos ............................................ 4 Actividad 1: Oportunidad de realizacin...................................................................... 5 Tarea nica: Clarificar la oportunidad de realizacin .............................................. 5 Actividad 2: Definicin de dominio y objetivos .......................................................... 7 Tarea 1: Especificar los objetivos del proyecto........................................................ 7 Tarea 2: Definir el dominio y lo lmites del proyecto .............................................. 7 Tarea 3: Identificacin del entorno y las restricciones generales............................. 8 Tarea 4: Estimar dimensin, costes y retornos del proyecto .................................... 9 Actividad 3: Planificacin del proyecto ..................................................................... 10 Tarea 1: Evaluar cargas y planificar entrevistas..................................................... 10 Tarea 2: Organizar a los participantes .................................................................... 10 Tarea 3: Planificar el trabajo .................................................................................. 11 Actividad 4: Lanzamiento del proyecto...................................................................... 12 Tarea 1: Adaptar cuestionarios ............................................................................... 12 Tarea 2: Seleccionar criterios de evaluacin y tcnicas para el proyecto .............. 12 Tarea 3: Asignacin de los recursos necesarios ..................................................... 13 Tarea 4: Sensibilizar (campaa informativa).......................................................... 13 ETAPA 2: Anlisis de Riesgos....................................................................................... 14 Actividad 1: Recogida de Informacin....................................................................... 15 Tarea 1: Preparar la informacin ............................................................................ 15 Tarea 2: Realizar entrevistas .................................................................................. 15 Tarea 3: Analizar la informacin recogida ............................................................. 16 Actividad 2: Identificacin y Agrupacin de ACTIVOS .......................................... 17 Tarea 1: Identificar Activos y Grupos de Activos.................................................. 17 Tarea 2: Identificar los mecanismos de salvaguarda existentes ............................. 19 Tarea 3: Valores Activos ........................................................................................ 21 Actividad 3: Identificacin y Evaluacin de AMENAZAS ....................................... 23 Tarea 1: Identificar y agrupar Amenazas ............................................................... 23 Tarea 2: Establecer los rboles de fallos generados por Amenazas ....................... 25 Actividad 4: Identificacin y Estimacin de VULNERABILIDADES ..................... 27 Tarea 1: Identificar Vulnerabilidades ..................................................................... 27 Tarea 2: Estimar Vulnerabilidades ......................................................................... 30 Actividad 5: Identificacin y valoracin de IMPACTOS .......................................... 31 Tarea 1: Identificar Impactos.................................................................................. 31 Tarea 2: Tipificar Impactos .................................................................................... 33 Tarea 3: Valorar Impactos ...................................................................................... 35 Actividad 6: Evaluacin del Riesgo ........................................................................... 36 Tarea 1: Evaluar el riesgo intrnseco ...................................................................... 36 Tarea 2: Analizar las funciones de salvaguarda existentes..................................... 37 Tarea 3: Evaluar el riesgo efectivo ......................................................................... 38
ETAPA 3: Gestin del Riesgo........................................................................................ 41 Actividad 1: Recogida de Informacin....................................................................... 41 Tarea nica: Interpretar y manejar los riesgos........................................................ 41 Actividad 2: Identificacin y estimacin de funciones y servicios de salvaguarda ... 42 Tarea 1: Identificar funciones y servicios de salvaguarda...................................... 42 Tarea 2: Estimar efectividad de las funciones y servicios de salvaguarda............. 44 Actividad 3: Seleccin de funciones y servicios de salvaguarda .............................. 46 Tarea 1: Aplicar los parmetros de seleccin......................................................... 46 Tarea 2: Reevaluar el riesgo ................................................................................... 46 Actividad 4: Cumplimientos de objetivos .................................................................. 49 Tarea nica: Determinar el cumplimiento de los objetivos.................................... 49 ETAPA 4: Seleccin de Salvaguardas............................................................................ 52 Actividad 1: Identificacin de mecanismos de salvaguarda....................................... 52 Tarea 1: Identificar mecanismos posibles .............................................................. 52 Tarea 2: Estudiar mecanismos implantados ........................................................... 55 Tarea 3: Incorporar restricciones............................................................................ 55 Actividad 2: Seleccin de mecanismos de salvaguarda ............................................. 56 Tarea 1: Identificar mecanismos a implantar ......................................................... 56 Tarea 2: Evaluar el riesgo con los mecanismos elegidos ....................................... 56 Tarea 3: Seleccionar mecanismos a implantar ....................................................... 57 Actividad 3: Especificacin de los mecanismos a implantar ..................................... 58 Tarea nica: Especificar los mecanismos a implantar............................................ 58 Actividad 4: Planificacin de la implantacin............................................................ 60 Tarea 1: Priorizar mecanismos ............................................................................... 60 Tarea 2: Evaluar los recursos necesario ................................................................. 60 Tarea 3: Elaborar cronogramas tentativos .............................................................. 60 Actividad 5: Integracin de resultados ....................................................................... 61 Tarea nica: Integrar los resultados........................................................................ 61 Anexo de Documentos MAGERIT ................................................................................ 62
Introduccin:
El uso de los medios electrnicos, informticos y telemticos supone unos beneficios evidentes para los ciudadanos; pero tambin dan lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticacin, confidencialidad, integridad y disponibilidad de los sistemas de informacin. Por tanto es necesario el uso de una metodologa bien definida y actualizada de seguridad que mantenga el sistema en desarrollo a salvo de los distintos peligros que le acechan. Es muy importante resaltar la importancia de la seguridad puesto que el sistema en desarrollo maneja informacin personal reservada, luego en el caso de ser objeto de un ataque, los responsables del sistema pasaran de vctimas (del ataque) a inculpados (por violacin de la LORTAD, Ley Orgnica de Regulacin del Tratamiento Automatizado de los Datos de carcter personal). Por tanto, es imprescindible integrar una metodologa enfocada a la seguridad del sistema en el desarrollo del mismo. La metodologa recomendada es MAGERIT, desarrollada por el Ministerio de Administraciones Pblicas, que permite un seguimiento exhaustivo de la seguridad del sistema ajustndose a criterios como los de ITSEC o Criterios Comunes de Evaluacin de la Seguridad de los Productos y Sistemas de
Informacin, que permitan la posterior homologacin y certificacin del sistema de informacin desde el punto de vista de la seguridad.
MAGERIT consta de cuatro fases: 1. Planificacin del Proyecto de Riesgos: estimaciones iniciales de los riesgos que pueden afectar al sistema de informacin as como del tiempo y los recursos que su tratamiento conllevar. 2. Anlisis de Riesgos: se estima el impacto que tendrn los riesgos en la organizacin, cuestin muy importante, puesto que si bien la seguridad es fundamental, su uso desproporcionado puede afectar gravemente al rendimiento del sistema por lo que es necesario establecer un umbral de riesgo deseable (tolerable) que debe superar un determinado riesgo para ser objeto de tratamiento. 3. Gestin de riesgos: se seleccionan posibles soluciones para cada riesgo, en este apartado son fundamentales las prcticas de simulacin. 4. Seleccin de salvaguardas: se seleccionan los mecanismos que implementarn las soluciones seleccionadas en la fase anterior.
ETAPA 1: Planificacin del Anlisis y Gestin de Riesgos

El Objetivo principal de esta Etapa de Planificacin es establecer y definir el marco general de referencia para todo proyecto de realizacin de anlisis y gestin de riesgos. Otros objetivos complementarios son: Motivar a la Direccin de la Unidad implicada. Demostrar la oportunidad de realizar un Anlisis y Gestin de Riesgos. Afirmar y dar a conocer la voluntad poltica de la realizacin por parte de la Direccin. Crear las condiciones para el buen desarrollo del proyecto. As, la Planificacin Estratgica de la Organizacin tiene como finalidad principal definir las metas de sta a largo plazo (en cuanto a funcionalidades y servicios futuros a prestar, perspectivas de crecimiento y/o previsiones de evolucin), as como estimar las necesidades de informacin en funcin de dichas metas (considerando tanto la situacin de la Organizacin frente a su entorno, como la visin de los responsables de la misma). Esta Etapa de Planificacin concreta la realizacin tctica de las metas estratgicas definidas en la Planificacin Estratgica, con dos grandes resultados: La definicin precisa del proyecto de Anlisis y Gestin de Riesgos y de su dominio La programacin ajustada para desarrollar el proyecto, teniendo en cuenta las prioridades y los recursos necesarios, es decir: o la definicin de la serie de hitos a considerar en el desarrollo del proyecto. o la obtencin de unos resultados que sirvan de punto de partida al desarrollo del proyecto. Como consecuencia lgica, esta Etapa de Planificacin requiere: Un mbito organizativo ms restringido y un horizonte temporal ms limitado Un trabajo sucesivo de refinamiento y revisin a lo largo del desarrollo del proyecto, de manera que se pueda valorar el cumplimiento de su programacin en el marco de metas establecidas por la Planificacin Estratgica (y teniendo en cuenta que la Planificacin de la Implantacin de medidas de seguridad forma parte de otra Etapa de este Submodelo de Procesos). La participacin imprescindible de los responsables de las Unidades implicadas, puesto que les corresponde definir los objetivos y las estrategias de evolucin de dichas Unidades, as como patrocinar todos los trabajos encaminados a obtener la seguridad de sus sistemas como uno de los retos bsicos de un entorno en constante evolucin. En resumen, el contenido de esta Etapa como marco general de referencia incluye: La justificacin y oportunidad de abordar el proyecto. La definicin del dominio a considerar y de los objetivos del proyecto. La planificacin del proyecto, considerando los participantes, los recursos necesarios y el cronograma de realizacin. La particularizacin de las tcnicas a emplear en las actividades del proyecto.
Actividad 1: Oportunidad de realizacin Esta actividad tiene por objetivo suscitar el inters de la Direccin de la Organizacin en la realizacin de un proyecto de Anlisis y Gestin de Riesgos. La Direccin de la Organizacin suele ser consciente de las ventajas que aportan las tcnicas electrnicas, informticas y telemticas a su funcionamiento, pero no de los nuevos problemas de seguridad que estas tcnicas implican. Para toda Organizacin pblica o privada es importante transformar en medidas concretas la creciente preocupacin por la falta de seguridad de los sistemas de informacin, por su soporte y entorno, puesto que sus efectos no slo afectan a dichos sistemas, sino al propio funcionamiento de la Organizacin y, en las situaciones crticas, a la misin e incluso a la pervivencia de sta. Tarea nica: Clarificar la oportunidad de realizacin La iniciativa para la realizacin de un proyecto de Anlisis y Gestin de Riesgos parte de un promotor interno o externo a la Organizacin, consciente de los problemas relacionados con la seguridad de los Sistemas de Informacin, como por ejemplo: Incidentes continuados relacionados con la seguridad. Inexistencia de previsiones en cuestiones relacionadas con la evaluacin de necesidades y medios para alcanzar un nivel aceptable de seguridad de los Sistemas de Informacin que sea compatible con el cumplimiento correcto de la misin y funciones de la Organizacin. Reestructuraciones en los productos o servicios proporcionados. Cambios en la tecnologa utilizada. Desarrollo de nuevos Sistemas de Informacin. El promotor puede elaborar a partir de lo anterior un cuestionario-marco (documento poco sistematizable, luego externo al ncleo de productos de MAGERIT) para provocar la reflexin sobre aspectos de la seguridad de los Sistemas de Informacin por parte de: Los responsables de las Unidades. El cuestionario permite proceder a un examen superficial de la situacin en cuanto a la seguridad de sus sistemas de informacin; deben poder expresar su opinin por los proyectos de seguridad ya realizados (con su grado de satisfaccin o con las limitaciones de stos), as como sus expectativas ante la elaboracin de un proyecto de Anlisis y Gestin de Riesgos. Esta aproximacin de alto nivel permite obtener una primera visin de los objetivos concretos y las opciones polticas que tendran que subyacer a la elaboracin del proyecto de Anlisis y Gestin de Riesgos. Los responsables de informtica. El cuestionario permite obtener una panormica tcnica para la elaboracin del proyecto de Anlisis y Gestin de Riesgos y posibilita abordar el estudio de oportunidad de realizacin del proyecto, tras integrar las opciones polticas anteriores. Con estos elementos el promotor realiza el Informe preliminar recomendando la elaboracin del proyecto de Anlisis y Gestin de Riesgos e incluyendo estos elementos:
Exposicin de los argumentos bsicos. Especificacin de los antecedentes sobre seguridad de sistemas de informacin (por ejemplo un Plan Estratgico de la propia Organizacin, un Plan de Actuacin del Ministerio, Departamento, Unidad, etc.). Primera aproximacin del Dominio a incluir en el proyecto en funcin de las finalidades de las Unidades las orientaciones polticas y tcnicas retenidas la estructura organizativa el entorno tcnico. Primera aproximacin de los medios, tanto humanos como materiales, para la realizacin del proyecto de Anlisis y Gestin de Riesgos (AGR).
El promotor presenta este Informe preliminar a la Direccin que puede decidir: Aprobar el proyecto, o bien Modificar su dominio y/o sus objetivos, o bien Retrasar el proyecto.
Los tres aspectos relacionados con la seguridad referentes al proyecto se trataron en la entrevista SILVEMA 3; acceso al sistema (tanto al de captura como al de gestin de datos), descarga de los datos y cifrado de la informacin relativa a ejemplares pertenecientes a especies protegidas. A estos tres aspectos se aadirn los propios de una estructura de almacenamiento de datos; integridad y disponibilidad, as como la proteccin de datos personales. Puede consultar tanto los documentos referentes a la entrevista SILVEMA 3 como la versin definitiva del informe para la planificacin del anlisis y la gestin de riesgos.
Actividad 2: Definicin de dominio y objetivos Una vez que se ha constatado la oportunidad de realizar el proyecto de Anlisis y Gestin de Riesgos y el apoyo por la Direccin, esta Actividad procede a identificar los objetivos que debe cumplir el proyecto y a definir su dominio y lmites. Tarea 1: Especificar los objetivos del proyecto Esta tarea permite determinar el alcance del proyecto y de sus objetivos, diferenciados segn horizontes temporales a corto y medio plazo. Los objetivos del proyecto se especifican en funcin de la finalidad de la Planificacin Estratgica, del estado de partida de la Organizacin y de las consideraciones de la Direccin recogidas en la actividad anterior. Esta especificacin de objetivos especificara por ejemplo que el proyecto busca determinar las reas de riesgo ms elevado en la Organizacin (objetivo reducido); o bien que busca usar la gestin de los riesgos para realizar una gestin integral de la seguridad de los sistemas de informacin (objetivo amplio). Puesto que el sistema actual es manual y se pretende desarrollar un sistema totalmente automatizado no tendr sentido contemplar aspectos del sistema actual con el fin de marcar los objetivos del plan para el anlisis y gestin de riesgos. Hemos de distinguir dos mbitos distintos para el estudio de la seguridad a lo largo de todo el proyecto; por una parte la seguridad enfocada al propio proceso de desarrollo y al cumplimiento de sus objetivos y por otra la seguridad asociada al sistema de informacin una vez haya sido desarrollado y puesto en funcionamiento. Para el estudio de la seguridad del proceso de desarrollo tomaremos como punto de partida los objetivos del proyecto de desarrollo del propio sistema de informacin (Modelo de negocio). A partir de estos objetivos, en adelante objetivos de desarrollo, iremos generando lo que denominaremos objetivos de seguridad cuyo fin ser garantizar el cumplimiento dichos objetivos de desarrollo. Por tanto, tendremos como objetivo genrico el cumplimiento de todos los objetivos de desarrollo y un objetivo particular por cada uno de estos objetivos de desarrollo dedicado a su cumplimiento. En cuanto a la seguridad del sistema de informacin una vez haya sido desarrollado aadiremos otro objetivo genrico; el diseo un plan de seguridad para el sistema de informacin que garantice su funcionamiento en condiciones seguras en los supuestos destacados en la Actividad 1 de esta etapa. Puede consultar los objetivos del anlisis y gestin de riesgos en la versin definitiva del informe para la planificacin del anlisis y gestin de riesgos. Tarea 2: Definir el dominio y lo lmites del proyecto Esta tarea identifica las Unidades objeto del Anlisis y Gestin de Riesgos y especifica las caractersticas generales de dichas Unidades en cuanto a Responsables, Servicios proporcionados o Ubicaciones geogrficas. Tambin identifica las principales relaciones de las Unidades objeto del proyecto con otras entidades, por ejemplo el intercambio de informacin en diversos soportes, el acceso a medios informticos comunes, etc.
La tarea parte de un principio bsico: el anlisis y la gestin de riesgos (AGR) debe centrarse en un Dominio limitado, que puede incluir varias Unidades o mantenerse dentro de una sola Unidad orgnica (segn la complejidad y el tipo de problema a tratar), ya que un proyecto de mbito demasiado amplio o indeterminado podra ser inabarcable, por excesivamente generalista o por demasiado extendido en el tiempo, con perjuicio en las estimaciones de los elementos del Anlisis y Gestin de Riesgos. El dominio del proyecto desde el punto de vista de la seguridad del sistema de informacin abarcar los subsistemas de captura y de gestin de datos, si bien su alcance ser bastante limitado. Se controlar en ambos subsistemas el acceso a los mismos y se controlarn los aspectos propios de las bases de datos existentes en cada subsistema (integridad y disponibilidad). Adems, aadiremos un funcionalidad especfica, el cifrado de los datos pertenecientes a ejemplares de especies protegidas. En cuanto a la seguridad del proceso de desarrollo, garantizaremos la correccin de las tareas realizadas mediante el seguimiento de diversas metodologas (por ejemplo, el documento que est leyendo y los procedimientos de los que informa se llevaron a cabo siguiendo la metodologa MAGERIT). Otro aspecto a considerar ser la proteccin de la informacin relativa al proyecto para lo cual se restringir el acceso a las instalaciones de la organizacin de desarrollo, y dentro de las instalaciones se restringir el acceso a cada mquina. La informacin impresa ser guardada en archivos bajo llave.
Tarea 3: Identificacin del entorno y las restricciones generales Esta tarea realiza un estudio global de los sistemas de informacin de las Unidades incluidas en el Dominio del proyecto, con objeto de identificar sus funciones y finalidades principales y sus relaciones con el entorno, as como sus tendencias de evolucin. El perfil general de las Unidades, producto obtenido en la tarea anterior, se amplia en sta con la informacin proporcionada por los responsables de las diversas reas de dichas Unidades. La tarea tambin identifica las personas a entrevistar para obtener la obtencin detallada de informacin que posibilite la Etapa 2 de Anlisis de riesgos y las posibles restricciones generales que deber tener en cuenta el proyecto. Para incorporar las restricciones al Anlisis y Gestin de Riesgos, se agrupan por distintos conceptos. En esta tarea se adopta la siguiente clasificacin de restricciones en 6 grupos: temporales, financieras, tcnicas, sociolgicas, del entorno, legales. El entorno del Sistema de Informacin comprender los organismos oficiales a los que debe informarse mediante el envo de determinados documentos. Si bien el cumplimento de estos documentos podra considerarse un restriccin legal, en realidad ha sido considerado una restriccin funcional del Sistema de Informacin y puede estudiarse el cumplimiento de esta restriccin el Anlisis del negocio. El resto de comunicaciones establecidas por el Sistema sern a nivel interno, del subsistema de captura al de gestin y viceversa. Sin embargo, s se considera una restriccin legal, y un punto crtico en la seguridad del sistema, la proteccin de los datos personales de los anilladores, es decir, el cumplimiento de la LORTAD. Las medidas de seguridad mencionadas en anteriores tareas no impondrn ninguna restriccin tcnica, financiera o temporal adicional al Sistema puesto que con los
recursos necesarios para cumplir las restricciones funcionales del Sistema dotaremos al mismo de capacidad suficiente para cumplir las restricciones de seguridad. Tarea 4: Estimar dimensin, costes y retornos del proyecto La tarea posibilita el dimensionamiento (tamao, complejidad, zonas de incertidumbre) del proyecto a partir del conocimiento de los objetivos del proyecto, del Dominio y del perfil de las Unidades incluidas en el estudio. En funcin de la dimensin estimada y de los objetivos del proyecto se escogen algunas de las tcnicas a utilizar en el anlisis y gestin de riesgos. Por ejemplo, si el proyecto tiene como objetivo la realizacin de un Anlisis y Gestin de Riesgos inicial y genrico, la tcnica de clculo del riesgo se orienta a una discriminacin dicotmica (en dos bloques) de los riesgos, segn que exijan o no otras aplicaciones ms detalladas de Anlisis y Gestin de Riesgos. Por otra parte la tarea tambin dimensiona el proyecto en cuanto a su coste y los retornos o beneficios que puede aportar, para que la Direccin pueda tomar con fundamento la decisin de emprenderlo y asignar los recursos necesarios para su desarrollo. El estudio del coste del proyecto puede realizarse sin dificultad estimando los tiempos y perfiles de personal asignado a las Etapas del proyecto dimensionado anteriormente. El estudio de los retornos slo puede ser muy impreciso en esta Etapa inicial, pues no puede tener en cuenta an el verdadero retorno de un proyecto de seguridad, que es precisamente el coste de no tener dicha seguridad en el Dominio estudiado o sea el resultado del propio proyecto de Anlisis y Gestin de Riesgos. Como se mencion anteriormente la introduccin de las nuevas restricciones de seguridad no suponen un incremento en el coste del proyecto puesto que contamos con los recursos necesarios para afrontar dichas restricciones, estos recursos son los mismos que estimamos necesarios para afrontar las restricciones funcionales del proyecto. As, las restricciones de seguridad impuestas a las bases de datos (integridad y disponibilidad) son restricciones que deben cumplir las bases de datos de por s, es decir, el cumplimiento de un restriccin funcional de almacenamiento permanente de la informacin conlleva el cumplimiento implcito de las restricciones de seguridad integridad y disponibilidad, puesto que si una base de datos no es capaz de proporcionar la informacin que cuando es necesario (disponibilidad) o no es capaz de relacionar de forma consistente los datos que almacena (integridad) no ser capaz de cumplir con sus restricciones funcionales. En cuanto al acceso a los subsistemas tanto de captura como de gestin de datos, la implementacin de una funcin de identificacin no supone un aumento significativo en la realizacin del proyecto ni en cuanto a coste ni en cuanto a tiempo, en el mismo caso se encuentra la proteccin de datos de aves protegidas cuyos datos pueden ser ocultados con una administracin de permisos ya contemplada en la restriccin del acceso, adems emplearemos un funcin de cifrado sobre esos datos, en cualquier caso se considera que la inclusin de esta funcin de cifrado es asumible por la planificacin general del proyecto. La proteccin de datos personales conllevar una segunda funcin de identificacin, la primera permitir acceder al sistema con permiso para acceder a datos personales y la segunda permitir acceder a un registro concreto En definitiva, la dotacin de seguridad al Sistema de Informacin no repercutir en la planificacin ni en el estudio de la inversin del proyecto.
Actividad 3: Planificacin del proyecto Esta actividad estima los elementos de Planificacin del proyecto, es decir sus cargas de trabajo, el grupo de usuarios, los participantes y su modo de actuacin y el plan de trabajo para la realizacin del proyecto. En dicha estimacin se ha de tener en cuenta la posible existencia de otros planes (por ejemplo un Plan Estratgico de Sistemas de Informacin o de Seguridad general en las Unidades que pueden ser afectadas o en la Organizacin) y el plazo de tiempo considerado para la puesta en prctica del proyecto de Anlisis y Gestin de Riesgos. En particular, la existencia de un Plan Estratgico de Sistemas de Informacin para las Unidades que pueden ser afectadas dentro de la Organizacin puede determinar en gran medida el alcance y la extensin de las actividades que se realicen en esta actividad. Tarea 1: Evaluar cargas y planificar entrevistas Para evaluar el tiempo y los efectivos necesarios en la realizacin del Anlisis y Gestin de Riesgos, la tarea establece los parmetros a estudiar en funcin de las finalidades de las Unidades y de los mbitos de su actividad, fijando en funcin de la malla de estudio elegida el grado de detalle al que conviene llegar en la cuantificacin de dichos parmetros. La tarea por tanto permite: Identificar, por mbitos y temas, a los usuarios afectados. Planificar la composicin, papel y contribuciones respectivas de los grupos de usuarios. valuar la carga de trabajo y deducir la composicin del equipo de proyecto a constituir, en trminos de competencia tcnica y de efectivos Planificar las entrevistas a realizar con los usuarios para la recogida de informacin. Como se indic anteriormente, la seguridad se integrar totalmente en la planificacin general del proyecto, las tareas relativas a la misma sern consideradas en dicha planificacin y en la asignacin de personal para su desarrollo. En cuanto a las entrevistas, la seguridad ser un aspecto ms a tratar en las entrevistas de carcter general, consulte la entrevista SILVEMA 3 en la que se tratan los aspectos relativos a la seguridad. Tarea 2: Organizar a los participantes Los objetivos de esta tarea son: Determinar los rganos participantes en la gestin, realizacin, seguimiento y actualizacin del proyecto de Anlisis y Gestin de Riesgos . Definir las funciones y responsabilidades de los rganos participantes. Establecer las reglas y los modos operativos. Los participantes en un proyecto de Anlisis y Gestin de Riesgos se articulan en estos rganos (concordantes en lo posible con la orientacin operacional de Mtrica v.2.1): Comit de Direccin
Est constituido por los responsables de las Unidades afectables por el proyecto de Anlisis y Gestin de Riesgos, as como por los responsables de la informtica y de la gestin dentro de dichas Unidades. Tambin ser importante la participacin de los servicios comunes de la Organizacin (Programacin y Presupuestacin, Recursos Humanos, Administracin, etc.). En cualquier caso la composicin del Comit depende de las caractersticas de las Unidades afectadas. Director del Proyecto Debe ser un directivo de alto nivel, responsable dentro de la Organizacin de Seguridad, de Sistemas de Informacin o, en su defecto, de Planificacin, de Coordinacin o de materias, servicios o reas semejantes. Equipo de proyecto Formado por personal experto en Tecnologas y Sistemas de Informacin y personal tcnico cualificado del Dominio afectado, con conocimientos de Gestin de seguridad en general y de la aplicacin de la metodologa de Anlisis y Gestin de Riesgos en particular. Si el proyecto se hace con asistencia tcnica mediante contratacin externa, el subsiguiente personal especialista en seguridad de sistemas de informacin se integrar en este equipo de proyecto. Enlace operacional Ser una persona de la Organizacin con buen conocimiento de las personas y de las Unidades implicadas en el proyecto de Anlisis y Gestin de Riesgos, que tenga capacidad para conectar al equipo de proyecto con el grupo de usuarios. Grupo de usuarios Est formado por usuarios representativos dentro de las Unidades afectadas por el proyecto de Anlisis y Gestin de Riesgos. Lo constituyen varios posibles subgrupos: o Informticos (analistas, diseadores, programadores, gestores,..). o Usuarios (gestores, finales,...). o Otros (seguridad fsica, calidad, mantenimiento, compras,..). La constitucin de un Grupo de Calidad diferenciado del Grupo de Usuarios y la amplitud relativa de los diversos grupos de participantes depender de los objetivos y envergadura del proyecto, as como del dominio considerado. Consultar la planificacin general del proyecto. Tarea 3: Planificar el trabajo Esta tarea realiza las funciones siguientes: Elaborar el calendario concreto de realizacin de las distintas etapas, actividades y tareas del proyecto especificado de Anlisis y Gestin de Riesgos, en funcin de sus objetivos y caractersticas definidos previamente. Especificar los recursos humanos y materiales estimados para la cumplimentacin de cada etapa. Establecer un calendario de seguimiento que define las fechas tentativas de reuniones del Comit de Direccin, el plan de entregas de los productos del proyecto, las posibles modificaciones en los objetivos marcados, etc. Consultar la planificacin general del proyecto.
Actividad 4: Lanzamiento del proyecto Esta actividad completa las tareas preparatorias del lanzamiento del proyecto de Anlisis y Gestin de Riesgos: empezando por seleccionar y adaptar los cuestionarios que se utilizarn en la recogida de datos, as como especificar los criterios y las tcnicas concretas a emplear en el anlisis y gestin de riesgos; y terminando por asignar los recursos necesarios para la realizacin del proyecto y por realizar la campaa informativa de sensibilizacin a los implicados en el proyecto. Tarea 1: Adaptar cuestionarios La tarea adapta los cuestionarios a utilizar en la recogida de informacin de la siguiente etapa, en funcin de los objetivos del proyecto, del dominio y de los temas a profundizar con los usuarios. Los cuestionarios se adaptan con el objetivo de identificar correctamente los Elementos y otros condicionantes principales del Anlisis y Gestin de Riesgos (activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes, restricciones, ...). La necesidad de una adaptacin siempre existe (debido al amplsimo espectro de los problemas de seguridad que puede y debe tratar MAGERIT). Pero el grado mayor o menor de adaptacin depende adems de las condiciones en que se realice la explotacin de dichos cuestionarios. No habr la misma profundidad de adaptacin para entrevistas guiadas por el especialista en seguridad (que corresponden al cuestionario bsico ofrecido por MAGERIT en su Gua de Tcnicas) que para cuestionarios autoadministrados por el responsable del dominio o por los usuarios de sus sistemas de informacin. Como se indic anteriormente las medidas de seguridad a tomar estn claramente definidas (una vez ms, control de acceso a subsistemas, integridad y disponibilidad de bases de datos, cifrado de datos de aves protegidas y proteccin de datos personales). Por tanto, no sern necesario procesos de entrevista relativos nicamente a seguridad, cualquier cuestin pendiente ser aclarada en entrevistas generales. Tarea 2: Seleccionar criterios de evaluacin y tcnicas para el proyecto Esta tarea, preparatoria de la Etapa 2 de Anlisis de Riesgos, establece la seleccin cuando cabe de los criterios y tcnicas que se mantendrn a lo largo de todo el proceso de Anlisis y Gestin de Riesgos. En efecto, la Gestin de los riesgos de la Etapa 3 de MAGERIT estar condicionada por el tipo de Anlisis de riesgos realizado en la Etapa 2: si se han elegido un tipo de criterios y tcnicas para evaluar los riesgos, es recomendable aplicar las mismas tcnicas para evaluar la reduccin de riesgos al implantar las salvaguardas propuestas. La eleccin de estos criterios y tcnicas en funcin de: los objetivos del proyecto el dominio del proyecto el tipo de proyecto
Las restricciones de seguridad impuestas al Sistema de Informacin derivarn del cumplimiento de otra serie de restricciones funcionales. As las restricciones de seguridad relativas a la base de datos (integridad y disponibilidad) se cumplirn implcitamente al garantizar el cumplimiento de la restriccin funcional almacenamiento permanente de datos, la restriccin de acceso al subsistema de captura de datos se cumplir implcitamente al garantizar el cumplimiento de la restriccin funcional de identificacin, necesaria no slo por cuestiones de seguridad sino tambin funcionales pues ser necesario asociar los datos capturados en una sesin a un anillador en concreto. Como vemos, estas restricciones de seguridad se integran perfectamente en el desarrollo del Sistema, para mantener esta integracin introduciremos las tres restricciones de seguridad restantes como restricciones funcionales, as para la restriccin de acceso al subsistema de gestin de datos definiremos las restriccin funcional gestin de permisos que puede consultarse en la entrevista SILVEMA 3, para la restriccin de cifrado de datos de aves protegidas definiremos una restriccin funcional homnima de modo que todas las restricciones de seguridad queden reflejadas (esto es, integradas) en las restricciones funcionales. Para la restriccin de proteccin de datos personales se reforzar la restriccin de acceso al subsistema de gestin, una vez se acceda al subsistema con permiso para acceder a datos personales, ser necesario pasar otro control de identificacin para acceder a un registro concreto. Esta integracin de la seguridad en la funcionalidad del Sistema de Informacin nos permitir emplear las tcnicas de desarrollo y los criterios de prueba generales con los aspectos del Sistema relativos a la seguridad. Tarea 3: Asignacin de los recursos necesarios Esta tarea asigna los recursos necesarios (humanos, organizacionales, tcnicos, etc.) para la realizacin del proyecto de Anlisis y Gestin de Riesgos. Consultar la planificacin general del proyecto. Tarea 4: Sensibilizar (campaa informativa) Esta tarea informa a las Unidades afectadas del lanzamiento del proyecto de Anlisis y Gestin de Riesgos, por diversos medios, y como mnimo: Una nota informativa de la direccin, dirigida a las unidades implicadas y declarando su apoyo a la realizacin del proyecto. La presentacin del proyecto, sus objetivos y la metodologa a emplear, realizada en las unidades implicadas por parte del equipo de trabajo. Debido a la integracin total de las restricciones de seguridad en las restricciones funcionales definidas anteriormente, el uso del Sistema implicar el uso del Sistema de un modo seguro, es decir, no cabe en general una distincin entre funcionalidad y seguridad. Por lo tanto, las tareas de formacin para el uso del Sistema implicarn la sensibilizacin de los usuarios en materia de seguridad. Slo cabe aadir como recomendacin de seguridad la eleccin (y proteccin) adecuada de contraseas.
ETAPA 2: Anlisis de Riesgos

Esta etapa tiene los siguientes objetivos: Evaluar el riesgo del sistema en estudio, tanto el riesgo intrnseco (sin salvaguardas), como el riesgo efectivo (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Mostrar al Comit director las reas del sistema con mayor riesgo. Presentar y obtener la aprobacin de los umbrales de riesgo aceptables o asumibles. El punto de partida de esta Etapa en el ciclo del proceso de MAGERIT es la documentacin de la anterior Etapa 1 (planificacin) referente a los objetivos del proyecto, los planes de entrevistas, la evaluacin de cargas, la composicin y reglas de actuacin del equipo de participantes, el plan de trabajo y el informe de presentacin del proyecto. El Anlisis del Riesgo identifica, evala y combina los Elementos definidos en el correspondiente Submodelo, con el resultado de una evaluacin del Riesgo en el Dominio del proyecto que sea utilizable para la Identificacin y Gestin de las Salvaguardas que puedan contrarrestar el Riesgo no asumible. La Etapa de Anlisis del Riesgo sigue en cierta forma el subescenario de ataque de la vista dinmica organizativa del Submodelo de Eventos, combinando en cada uno de los pasos del subescenario operaciones relacionadas con los Elementos de seguridad. As y tras definir ms detalladamente el contenido del Dominio (es decir el conjunto de los Activos), la Etapa considera los posibles eventos (o sea las Amenazas), la potencialidad de la materializacin de stas y las consecuencias de dicha materializacin (los Impactos). Con ayuda de todos estos materiales, suficientemente Identificados y evaluados, el clculo o la estimacin de los distintos tipos de riesgo es una labor bastante rutinaria, cuyos resultados (tipos de Riesgo) debern interpretarse adecuadamente en la Etapa 3 siguiente.
Actividad 1: Recogida de Informacin Esta actividad tiene por objeto recoger la informacin sobre el sistema y de los factores que pueden influir en la seguridad. Tarea 1: Preparar la informacin Esta tarea comprende las siguientes Acciones encaminadas a preparar la recogida de la informacin: Recopilar los cuestionarios personalizados distribuidos en la etapa anterior. Ubicar y localizar a los entrevistados, para optimizar la realizacin de las entrevistas, tanto espacial como temporalmente. Confirmar cada entrevista, informando de los documentos que se van a requerir durante la entrevista, para facilitar su disponibilidad Recordar los objetivos de cada entrevista al entrevistado. Disponer del documento acreditativo de la Direccin. Como se indic en la etapa de planificacin, hemos integrado las tareas de seguridad en las de desarrollo, por tanto la recopilacin de informacin adicional y la preparacin de entrevistas se integra en las tareas de carcter general.
Tarea 2: Realizar entrevistas Esta tarea profundiza con los entrevistados los siguientes aspectos: Definicin de las funciones y objetivos del entrevistado. Descripcin del modo de actuacin. Identificacin de los medios de que dispone para realizar las funciones y del personal a su cargo. Identificacin de los procesos realizados y de la informacin manejada. Descripcin del entorno. Identificacin de posibles situaciones conflictivas (internas o externas, accidentales o provocadas). Durante la entrevista, suele ser necesario informar al entrevistado de los principales conceptos relacionados con la seguridad y la de los sistemas de informacin, en un grado que depende de su informacin y experiencia en la materia. Con estos preparativos, la entrevista permite realizar una primera adquisicin de conceptos y datos sobre elementos de la seguridad como los siguientes: Delimitacin de los activos. Valor de reposicin de los activos, si tiene sentido o es factible. Importancia de los activos para el sistema organizacional del entrevistado. Salvaguardas existentes. Amenazas potenciales. Incidentes, y en el caso de que hayan ocurrido, las consecuencias derivadas de stos (prdidas materiales, inmateriales, etc.).
Planos y distribucin geogrfica pertinentes en materia de riesgos.
Asimismo, la entrevista permite apreciar otros extremos: Umbral de riesgo y aspectos de la seguridad en los que ser necesario concentrarse. Restricciones a tener en cuenta (econmicas, temporales, etc.). Aspectos organizativos. Utilizacin de metodologas de desarrollo. Especificacin de normas y estndares. Procedimientos de explotacin. Toda la informacin concerniente a la seguridad se recoge en las entrevistas generales, como se indic en la etapa anterior.
Tarea 3: Analizar la informacin recogida Esta tarea permite realizar una sntesis de la informacin obtenida en las entrevistas realizadas, que se refleja en las correspondientes actas de reunin. stas permiten, una vez redistribuidas a los entrevistados, confirmar y depurar los datos recogidos. Las actas de reunin se actualizan con las modificaciones propuestas para obtener las actas definitivas. La informacin obtenida en las entrevistas se completa en los casos necesarios con: Si se han realizado inspecciones operacionales, las observaciones del auditor o del analista experto en seguridad. Las observaciones de expertos en temas relacionados con la Seguridad de los Sistemas de Informacin, de forma que se detecten los puntos no evidentes, los activos encubiertos, las frecuencias de las amenazas generadas por nuevas tecnologas. La recopilacin de informacin de otras fuentes, como por ejemplo, estudios estadsticos sobre ocurrencia de desastres naturales (que puedan afectar al sistema), estadsticas de fallos en los componentes (MTBF o de Tiempo Medio entre Fallos, que posiblemente se encuentran en los manuales de caractersticas tcnicas del componente), nmero de errores por milln de instrucciones en los programas, etc.
Ser necesario reprogramar entrevistas adicionales, procediendo de forma similar a la descrita anteriormente, en caso de requerirlo el entrevistado o para cubrir alguna laguna o necesidad de aclaracin en la informacin obtenida. Se elabora un informe recopilador con todos los aspectos de la informacin recogida de las distintas Unidades y con las consideraciones que el analista de seguridad puede incorporar. Se incluirn como anexo las actas de reunin de las entrevistas realizadas. Puede consultar el documento Informe de entrevistas relativo a seguridad.
Actividad 2: Identificacin y Agrupacin de ACTIVOS En la etapa de definicin del dominio se han descrito las funciones que se realizan, ponderadas adems segn su importancia para la misin de la organizacin. El objetivo de esta actividad es reconocer los activos que componen los procesos, y definir las dependencias entre ambos. As y a partir de la informacin recopilada en la actividad anterior, esta actividad profundiza el estudio de las activos con vistas a obtener la informacin necesaria para realizar las estimaciones del riesgo. Tarea 1: Identificar Activos y Grupos de Activos Para gran parte de Activos materiales y algunos inmateriales (los llamados inventariables), la tarea puede arrancar de los correspondientes Inventarios valorados que se desarrollan para otros fines (por de pronto para la valoracin anual del Patrimonio de la Organizacin que forma parte obligatoria de toda Contabilidad General por partida doble). Esta valoracin oficial de muchos Activos ayuda tambin fundamentalmente a arrancar la Tarea siguiente, que se centrar en valorar los Activos identificados por la tarea actualmente descrita. La tarea clasifica los Activos identificados en las tipologas ofrecidas por MAGERIT y los agrupa segn una consideracin principal de jerarqua organizativa y segn otras posibles consideraciones: subestados de seguridad (Autenticacin, Confidencialidad, Integridad, Disponibilidad, referenciados brevemente como A-C-I-D). amenazas que los pueden atacar, salvaguardas que los pueden proteger. La tarea se completa aadiendo en el registro de cada Activo otros campos pertinentes para su tratamiento posterior: descripcin, ubicacin, responsable encargado, nmero o cantidad, etc. La tarea agrupa Activos articulndolos en conjuntos definidos por el objetivo comn de realizar un tipo de funcin determinada (que a su vez es un componente de la misin del sistema). La agrupacin de Activos ms prctica desde el punto de vista del Anlisis de Riesgos los articula en los 5 niveles de capas considerados en el Submodelo de Elementos de MAGERIT: 1. entorno 2. sistema de informacin 3. informacin 4. funcionalidades de la Organizacin 5. otros activos Una cadena vertical concreta o rbol de Activos tomados de estas capas agrupa los Activos afectables por el desencadenamiento potencial de una Amenaza determinada. Por ejemplo, la amenaza de un ladrn aprovecha la vulnerabilidad de una puerta abierta en el despacho del director financiero por el personal de limpieza fuera del horario de trabajo para robar un PC (entorno, capa 1) con sus programas (sistema de informacin, capa 2), lo que desencadena una carencia (de informacin, capa 3) crtica para el mantenimiento de la Organizacin (funcionalidades, capa 4). Aunque la informacin se pueda recomponer (preguntando a los bancos con los que la
Organizacin opera) es inevitable la mala imagen causada y es posible el falseamiento de datos, sin mencionar el mal uso por revelacin que puede resultar del robo del contenido, si ha sido intencionado (otros activos, capa 5). Adicionalmente y por otro lado, la Tarea puede preparar potestativamente otro tipo de agrupacin basada en la naturaleza de los Activos, para facilitar el estudio de los mecanismos de salvaguarda ya implantados o a implantar en aqullos. Por ejemplo, un computador personal PC, formado por varios activos como monitor, teclado, CPU, perifricos, sistema operativo, aplicaciones, datos, etc. puede ser atacado en su conjunto por determinadas amenazas y requiere mecanismos de salvaguarda adaptados individualmente a cada activo y colectivamente al PC conjunto. Este tipo de agrupacin de Activos recoge grandes reas tradicionales como stas: Informacin y datos. Hardware. Software operativo. Software de aplicacin. Comunicaciones. Documentos. Equipamiento ambiental. Personal interno y externo. Infraestructura. Activos organizacionales. Se realiz una identificacin y agrupacin de activos atendiendo al primer criterio (niveles de capa), aunque slo se identificaron activos en los cuatro primeras niveles. Los criterios identificados y agrupados por nivel son los siguientes: 1. Entorno Pocket PC. PC. Impresora. Armario en el que se guarden los documentos oficiales impresos. SGBD (Sistema Gestor de Base de Datos). 2. Sistema de informacin Aplicacin de captura de datos. Aplicacin de gestin de datos. 3. Informacin Captura de datos: o Identidad del usuario (necesario para la documentacin oficial). o Datos capturados en la presente sesin. o Datos de apoyo para esta sesin. Gestin de datos: o Datos almacenados (incluidos los de apoyo). o Datos personales (L O R T A D). o Documentos oficiales impresos para ser enviados. o Documentos oficiales recibidos.
4. Funcionalidades de la Organizacin Transferencia de datos de apoyo desde el PC hacia el Pocket PC (para no introducir valores errneos). Transferencia de datos desde Pocket PC hacia PC. Relacin entre los datos (para hacer anlisis, consultas y generar documentos). Administracin de permisos. Cabe destacar que los datos de apoyo son aqullos cuyos valores pueden estar predefinidos de forma que se evita la introduccin de datos errneos en el sistema. Puede consultar el informe final de activos para obtener ms informacin sobre los mismos.
Tarea 2: Identificar los mecanismos de salvaguarda existentes Paralelamente a la Tarea anterior de identificacin de los activos, esta Tarea permite identificar los mecanismos de salvaguarda asociados o implantados en aqullos, describindolos y descubriendo la contribucin de los mismos a los distintos subestados de seguridad de los Activos (Autenticacin, Confidencialidad, Integridad, Disponibilidad, A-C-I-D). Adems, la Tarea obtiene informacin de los costes de la implantacin y de mantenimiento anual de dichos mecanismos. Es importante recordar que recordar que tanto los activos como los mecanismos asociados a ellos se corresponden con el Sistema de Informacin en desarrollo y no con el actual pues el principal objetivo de este proyecto es la automatizacin total del proyecto lo que implica un cambio radical en el conjunto de activos, de mecanismos asociados y de amenazas sobre stos. Teniendo en cuenta estas caractersticas del sistema en desarrollo se cambia el cometido de esta actividad, as en lugar de seleccionar mecanismo existentes se proponen funciones o servicios de salvaguardas nuevos. A continuacin se muestran una tabla con los activos, las salvaguardas propuestas y los estados de seguridad que refuerzan.
Activo Nivel Salvaguarda Proteccin del equipo en el campo y mantenimiento. Limitacin de acceso a las instalaciones de la organizacin y mantenimiento. Limitacin de acceso a las instalaciones de la organizacin y mantenimiento. Limitacin de acceso a las instalaciones de la organizacin. Estado de seguridad Confidencialidad Disponibilidad Confidencialidad Disponibilidad Explicacin El robo del equipo o los daos que pueda sufrir tras un ataque fsico o avera comprometen la confidencialidad y la disponibilidad en el primer caso y la disponibilidad en el segundo. El robo del equipo o los daos que pueda sufrir tras un ataque fsico o avera comprometen la confidencialidad en el primer caso y la disponibilidad en el segundo. Si la impresora sufre un ataque o una avera se vera comprometida la disponibilidad de los documentos oficiales. El robo o la destruccin de documentos oficiales comprometen la confidencialidad en el primer caso y la disponibilidad en el segundo.
Pocket PC
Entorno
PC
Entorno
Impresora Armario en el que se guarden los documentos oficiales impresos
Entorno
Disponibilidad Confidencialidad Disponibilidad
Entorno
Activo SGBD (Sistema Gestor de Base de Datos)
Nivel
Salvaguarda Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo. Almacenamiento temporal de datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Almacenamiento permanente de datos. Identificacin por usuario y contrasea. Identificacin por usuario y contrasea. Identificacin de usuario y contrasea. Identificacin de usuario (categora) y contrasea. Identificacin doble tanto por categora como por usuario y contrasea. Limitacin de acceso a las instalaciones de la organizacin. Limitacin de acceso a las instalaciones de la organizacin. Transferencia por unin fsica, seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Definicin correcta del modelo de datos. Identificacin de usuario (categora) y contrasea.
Estado de seguridad Confidencialidad Disponibilidad Integridad Autenticacin Integridad Disponibilidad
Entorno
Aplicacin de captura de datos
Sistema de Informacin
Confidencialidad
Aplicacin de gestin de datos
Integridad Disponibilidad Autenticacin Autenticacin Integridad Integridad Confidencialidad Confidencialidad Autenticacin Confidencialidad Disponibilidad Confidencialidad Disponibilidad Confidencialidad
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos Administracin de permisos
InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinGestin InformacinGestin InformacinGestin
Funcionalidades de la organizacin
Integridad Integridad Disponibilidad Confidencialidad
Funcionalidades de la organizacin Funcionalidades de la organizacin
Explicacin El acceso no autorizado a los datos compromete la confidencialidad, la destruccin o introduccin de cambios en los datos voluntaria o no comprometen la disponibilidad y la integridad de los mismos. La suplantacin de identidad, la introduccin de datos incorrectos y la prdida de los datos capturados comprometeran la autenticacin, la integridad y la disponibilidad respectivamente. La suplantacin de identidad dara lugar a un acceso a la aplicacin con permisos que no se corresponden con los que tiene asignado el usuario comprometiendo la confidencialidad. La introduccin de datos incorrectos comprometera la integridad. La prdida de los datos almacenados comprometera la disponibilidad. La suplantacin de identidad compromete la autenticacin. La suplantacin adems de la autenticacin, compromete la integridad puesto que la propia identidad del usuario forma parte de los datos. La introduccin de datos incorrectos compromete la integridad. El acceso al sistema con unos permisos que no son los concedidos a ese usuario compromete la confidencialidad. Para acceder a un registro personal hay que tener permiso para ello (categora) o se compromete la confidencialidad y debe tratarse del usuario en cuestin o se compromete la autenticacin. El robo o la destruccin de documentos oficiales comprometen la disponibilidad y la confidencialidad. El robo o la destruccin de documentos oficiales comprometen la disponibilidad y la confidencialidad. La transferencia a distancia puede provocar accesos no permitidos a la informacin que comprometan la confidencialidad, ser necesario transferir los datos cuando ambos dispositivos est listas para que no se pierdan los datos o parte de ellos, lo que comprometera la integridad. Un mal diseo del modelo de datos comprometer tanto la integridad como la disponibilidad de los mismos. La concesin de ms permisos de los estipulados a un usuario compromete la confidencialidad.
Como se indic en la etapa de planificacin, las tareas de seguridad han sido integradas en las tareas generales de desarrollo del sistema por tanto, sus costes asociados se incluyen en el coste general del sistema tanto en trminos econmicos como en trminos de tiempo.
Tarea 3: Valores Activos La tarea arranca de los Inventarios valorados ya utilizados en la tarea anterior y permite dos valoraciones de los Activos, una intrnseca y otra asociada a sus subestados de seguridad (autenticacin, confidencialidad, integridad, disponibilidad). Valoracin intrnseca. Los activos inventariables permiten la asociacin de un valor monetario derivable, a efectos de cuantificar posibles Impactos, del valor patrimonial oficial reseado en el inventario (valor de reposicin, valor de cambio, coste de produccin en horas/hombre por precio/ hora, etc.). Los activos no inventariables no permiten dicha asociacin directa de un valor monetario, pero esto no impide que en la mayor parte de los casos se pueda ponderar su valor de uso, por ejemplo considerando las consecuencias econmicas que supondra su carencia, a partir del correspondiente rbol de activos encadenado. Este tipo de valoracin intrnseca se mantendr cuando se realice la valoracin del impacto correspondiente. MAGERIT no recomienda la mezcla de valoraciones de activos inventariables y no inventariables porque esta mezcla suele subestimar stos ltimos, sobre todo los inmateriales y especialmente los especficamente ligados a la Administracin Pblica. El procedimiento recomendado por MAGERIT para valorar activos se puede resumir en un doble esfuerzo: o Debe intentarse encontrar el valor de cambio del activo como valor de reposicin, directa (valor de inventario) o indirectamente (coste de su regeneracin tras un Impacto) o Si esa valoracin fuera imposible o inconveniente (valor de reposicin de una persona tras un accidente causado por falta de seguridad de algn activo), debe de tratarse este activo (con sus posibles impactos y riesgo consecuentes) como un elemento del entorno del Dominio abarcado por el proyecto de seguridad; elemento que influye sobre ste como una restriccin parcialmente ajena al tratamiento estricto de MAGERIT pero condicionante de su resultado (por lo que el activo o sus derivados habrn de aparecer por ejemplo en los informes intermedios y en su caso en el informe final del proceso). Valoracin asociada a los subestados de seguridad. Proporciona un valor cualitativo de los subestados de seguridad del Activo (autenticacin, confidencialidad, integridad, disponibilidad, A-C-I-D), tomando como referencia el grado de cumplimiento de la funcin y la importancia del activo para la misin del sistema. Este tipo de valoracin asociada a los subestados de seguridad tambin permitir en el estudio de valoracin del impacto una primera aproximacin alternativa a la valoracin intrnseca.
La Tarea tambin genera los niveles globales para todo el Dominio de los subestados A-C-I-D de seguridad a partir de los niveles de los subestados A-C-I-D de cada elemento y con ayuda de las agrupaciones indicadas en la Tarea anterior. Debido a que el sistema tiene como funcin una actividad sin nimo de lucro, las prdidas temporales no tienen un coste econmico asociado, por tanto slo ser posible el valor intrnseco de los activos inventariables, que ser directamente su valor econmico.
Activo Pocket PC PC Impresora Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema Gestor de Base de Datos) Resumen Entorno
Nivel Entorno Entorno Entorno Entorno Entorno
Valor intrnseco 420 900 250 65 1635 0.45 / udad. 0.45 / udad.
Autenticacin Mxima Mxima Mxima Mxima Mxima Mxima Muy Alta -
Valoracin de subastados de seguridad Confidencialidad Integridad Disponibilidad Muy alta Mxima Mxima Mxima Alta Mxima Mxima Mxima Mxima Mxima Muy Alta Mxima Alta Alta Mxima Mxima Mxima Mxima Mxima Mxima Muy Alta Mxima Mxima Mxima Mxima Muy Alta Mxima Mxima Mxima Mxima Mxima Alta Mxima Mxima Mxima Mxima Mxima Alta Alta Alta Mxima Muy Alta
Aplicacin de captura de Sistema de datos Informacin Aplicacin de gestin de Sistema de datos Informacin Resumen Sistema de Informacin InformacinCaptura InformacinDatos capturados esta sesin Captura Datos de apoyo de esta Informacinsesin Captura Resumen Informacin-Captura Identidad del usuario Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Resumen Informacin-Gestin Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos InformacinGestin InformacinGestin InformacinGestin InformacinGestin
Funcionalidades de la organizacin Funcionalidades de Administracin de permisos la organizacin Resumen Funcionalidades de la organizacin
Actividad 3: Identificacin y Evaluacin de AMENAZAS La Actividad permite identificar y evaluar las amenazas que sufren los activos del sistema. Cada Amenaza es un evento que potencialmente puede desencadenar otras amenazas. Todas juntas constituyen un escenario de amenazas, que desencadena un rbol de fallos como subescenario de ataque real a un rbol de activos (determinado en la Actividad anterior). La Vulnerabilidad asociada al rbol de Activos y especfica para el escenario de amenazas, propicia el desencadenamiento de stas que producen Impactos (es decir deterioros) en los Activos afectados, con distintos grados posibles de profundidad. La Actividad simplifica el subescenario de ataque complejo y recursivo de los rboles de fallos afectando a rboles de activos y lo divide en dos anlisis semiautnomos realizados en las dos tareas sucesivas siguientes.
Tarea 1: Identificar y agrupar Amenazas La tarea realiza la identificacin de las amenazas y establece su tipologa as como sus orgenes y sus objetivos principales o secundarios. La tipologa atiende a la naturaleza de las amenazas (clasificables como accidentes, errores, intencionales presenciales e intencionales teleactuadas). Entre los orgenes puede que interese identificar los agentes de las amenazas y ciertas caractersticas como su capacidad y oportunidad de accin, as como su motivacin en el caso de amenazas intencionadas. Los objetivos de las amenazas son los rboles de activos que aqullas pueden afectar. En la siguiente tabla mostramos las amenazas por cada activo, junto con su origen y capacidad. Al estar los activos agrupados por niveles no se estima necesario agrupar las amenazas, las relaciones entre stas se estudian en la prxima tarea.
Activo Nivel Amenaza Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera Impresora Armario en el que se guarden los documentos oficiales impresos Entorno Ataque fsico Avera Robo (de su interior) Entorno Ataque fsico Origen Intencin de acceder a los datos o inters por el dispositivo. Intencin de invalidar los datos. Mal uso o infortunio Intencin de acceder a los datos. Intencin de invalidar los datos Mal uso o infortunio Intencin de retrasar la actividad de la organizacin. Mal uso o infortunio Intencin de acceder a la documentacin. Intencin de retrasar la actividad de la organizacin. Capacidad Gravedad muy alta si se accede a datos de especies protegidas. Puede invalidar el trabajo de la jornada. Asumible por el sistema. Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, obligando a recomponer toda la informacin. El dao causado ser asumible por el sistema. Especialmente daino en fechas cercanas al periodo de entrega de documentos
Nivel
Amenaza Acceso no permitido.
Origen Intencin de acceder a los datos. datos Intencin de invalidar la actividad de la organizacin Intencin de actuar con impunidad. Intencin de invalidar la actividad de la organizacin, o error Intencin de acceder a los datos y hacer que la organizacin los pierda. Intencin de acceder a informacin para la que no se tiene permiso. Intencin de invalidar la actividad de la organizacin, o error Intencin de invalidar la actividad de la organizacin Intencin de impunidad. actuar con
Entorno Modificacin de malintencionada.
Suplantacin de identidad. Aplicacin de captura de datos Sistema de Informacin Introduccin incorrectos. de datos en
Capacidad Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, obligando a recomponer toda la informacin. Invalida los documentos oficiales. Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Prdida de informacin. Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Invalida los documentos oficiales. Afecta a los propios datos de la sesin puesto que la identidad del usuario es un dato ms. Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Gravedad mxima si se accede a datos personales (LORTAD). Gravedad mxima. Especialmente daino en fechas cercanas al periodo de entrega de documentos Se produce un acceso no deseado a la informacin. Los documentos son fcilmente recuperables. Se produce un acceso no deseado a la informacin.
Descarga de datos destino inapropiado.
Suplantacin de identidad. Aplicacin de gestin de datos Sistema de Informacin Introduccin incorrectos. de datos
Borrado de datos. Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinGestin InformacinGestin InformacinGestin Suplantacin de identidad.
Introduccin incorrectos.
de
datos
Suplantacin de identidad. Suplantacin de identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.
Intencin de invalidar la actividad de la organizacin, o error Intencin de acceder a informacin para la que no se tiene permiso. Intencin de acceder a datos personales. Intencin de acceder a la documentacin. Intencin de retrasar la actividad de la organizacin. Intencin de acceder a la documentacin. Intencin de retrasar la actividad de la organizacin. Intencin de acceder a la informacin.
Funcionalidades de la organizacin Error en la comunicacin.
Intencin de retrasar la actividad de la organizacin o fallo tcnico. Mala aplicacin de metodologa de desarrollo. la
Obliga a repetir la operacin, no especialmente grave. Gravedad mxima si no se detecta a tiempo, puede obligar a rehacer el proyecto. Si bien puede causar un gran dao momentneamente, es recuperable si la definicin del modelo de datos es correcta. Se produce un acceso no deseado a la informacin.
Error en la definicin del modelo de datos. Relaciones entre datos Funcionalidades de la organizacin Acceso no permitido a la base de datos.
Intencin de invalidar la actividad de la organizacin. Intencin de obtener ms permisos de los estipulados.
Administracin de permisos
Suplantacin de identidad.
Tarea 2: Establecer los rboles de fallos generados por Amenazas Esta tarea establece las dependencias entre amenazas identificadas en la tarea anterior, sin tener en consideracin por el momento los rboles de activos afectados, de forma que se articulen agrupaciones de amenazas cuyo denominador comn es su desencadenamiento y actuacin conjunta, en el caso de materializacin de alguna de ellas. Puesto que los activos est organizados por niveles, y dicho orden coincide con el de orden de acceso al sistema (entorno, sistema en s, informacin y funcionalidades) se partir de las amenazas asociadas a los activos de los primeros niveles para llegar hasta las amenazas asociadas a los activos de los ltimos niveles estableciendo las oportunas dependencias, no obstante si el estudio revelara una dependencia en sentido inverso al descrito se adaptara el modelo de amenazas. Robo del Pocket PC: Puede dar lugar a la materializacin de las siguientes amenazas: o Suplantacin de identidad en el subsistema de captura. o Introduccin de datos incorrectos en el subsistema de captura. Introduccin de datos de apoyo incorrectos. Introduccin de datos incorrectos en el subsistema de gestin. o Descarga de datos en destino inapropiado. Ataque o avera del Pocket PC: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Robo del PC: Puede dar lugar a la materializacin de las siguientes amenazas: o Acceso no permitido a la base de datos. Acceso a datos personales (LORTAD). Modificacin de datos (o sus relaciones) malintencionada. Suplantacin de identidad en el subsistema de gestin. o Suplantacin de identidad en la administracin de permisos. o Suplantacin de identidad en el acceso a datos personales (LORTAD). o Introduccin de datos incorrectos en el subsistema de gestin. o Introduccin de datos incorrectos en el subsistema de captura. o Borrado de datos. Ataque o avera del PC: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Ataque o avera de la impresora: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Ataque del armario en el que se guarden los documentos oficiales: Puede dar lugar a la materializacin de las siguientes amenazas: o Destruccin de documentos oficiales impresos para ser enviados. o Destruccin de documentos oficiales recibidos. Robo (del interior) del armario en el que se guarden los documentos oficiales: Puede dar lugar a la materializacin de las siguientes amenazas: o Robo de documentos oficiales impresos para ser enviados. o Robo de documentos oficiales recibidos.
Acceso no permitido a la transferencia de informacin entre los subsistemas de captura y de gestin: Puede dar lugar a la materializacin de las siguientes amenazas: o Error en la comunicacin. o Introduccin de datos incorrectos en el subsistema de gestin. o Introduccin de datos incorrectos en el subsistema de captura. Introduccin de datos de apoyo incorrectos. Introduccin de datos incorrectos en el subsistema de gestin.
Actividad 4: Identificacin y Estimacin de VULNERABILIDADES

Esta Actividad se centra en la Vulnerabilidad, caracterstica conjunta de la Amenaza y el Activo (o propiedad de su relacin, segn se prefiera y convenga al anlisis) que puede considerarse como la potencialidad o 'cercana' previsible de la materializacin de la Amenaza en Agresin. MAGERIT evala la vulnerabilidad como la frecuencia de ocurrencia de la amenaza sobre el activo correspondiente.
Tarea 1: Identificar Vulnerabilidades La tarea identifica y establece las vulnerabilidades como relaciones entre los activos y sus amenazas, de forma individual o agrupada, a partir de las clasificaciones realizadas en las tareas anteriores. Considera tres tipos de vulnerabilidad: vulnerabilidad intrnseca, si no incluye ninguna salvaguarda (fuera de las naturales o implcitamente incorporadas en el activo considerado). vulnerabilidad efectiva, resultante de la aplicacin de las salvaguardas existentes. vulnerabilidad residual, resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Anlisis y Gestin de Riesgos. En la siguiente tabla se muestran los activos, las amenazas y salvaguardas asociados y las vulnerabilidades; intrnseca, efectiva y residual. Como se explic anteriormente el sistema supondr una completa novedad, por tanto, las salvaguardas asociados a los activos no son mecanismos existentes sino funciones o servicios de salvaguarda propuestos, lo que garantiza que reduzcan en gran medida la vulnerabilidad del activo, salvo excepciones detalladas en la tabla.
Activo
Nivel
Amenaza
Salvaguarda
Intrnseca Muy baja el entorno el que realiza actividad. Muy baja. en en se la
Vulnerabilidad Efectiva Residual Muy poco probable. Casi nula. Se reduce en gran medida. Se reduce en gran medida. Casi nula. Se reduce en gran medida Casi nula. Se reduce en gran medida
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera Ataque fsico Impresora Entorno Avera
Proteccin del equipo en el campo
Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento
Muy baja. Muy baja. Muy baja. Media. Muy baja Media.
Activo Armario en el que se guarden los documentos oficiales impresos
Nivel
Amenaza Robo (de interior) Ataque fsico Acceso permitido. no su
Salvaguarda Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos.
Entorno
Intrnseca Muy baja, no existen motivaciones. Muy baja. Muy Alta.
Vulnerabilidad Efectiva Residual Casi nula. Casi nula. Se reduce aunque no lo suficiente. Se reduce en gran medida. Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo. Se propone el bloqueo del acceso a base de datos Se propone al usuario la eleccin cuidada de contraseas -
SGBD (Sistema Gestor de Base de Datos)
Entorno
Modificacin de datos malintencionada. Suplantacin de identidad.
Media-Baja.
Media Alta
Introduccin de datos incorrectos. Descarga de datos en destino inapropiado.
Media-Alta
Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas. Se propone una papelera de reciclaje Se propone al usuario la eleccin cuidada de contraseas Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas. Estudiar otras posibles medidas, es un punto crtico del sistema
Suplantacin de identidad. Aplicacin de gestin de datos Sistema de Informacin Introduccin de datos incorrectos. Borrado de datos. Suplantacin de identidad. Introduccin de datos incorrectos. Suplantacin de identidad.
Media-Baja
Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo. Se reduce en gran medida Se reduce en gran medida
Media-Alta Media.
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos
InformacinCaptura InformacinCaptura InformacinCaptura
Identificacin por usuario y contrasea.
Media
Media Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso a las instalaciones de la organizacin.
InformacinGestin
Media-Alta
Se reduce en gran medida
InformacinGestin
Alta
Robo InformacinGestin Destruccin
Media-Alta
Se reduce al mnimo.
Activo Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Nivel
Amenaza Acceso no permitido a la comunicacin.
Salvaguarda Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea
Intrnseca Alta
Vulnerabilidad Efectiva Residual Se reduce totalmente. -
Media
Se reduce su efecto totalmente.
Error en la definicin del modelo de datos. Relaciones entre datos Funcionalidades de la organizacin
Media-Alta
Se reduce todo lo posible.
Acceso no permitido a la base de datos.
Muy Alta.
Se reduce aunque no lo suficiente.
Se propone el bloqueo del acceso a base de datos
Media-Alta
Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas.
Tarea 2: Estimar Vulnerabilidades La estimacin se puede hacer de varias formas: Siempre que sea posible, calculando la frecuencia de ocurrencia a partir de estadsticas de incidentes o de series empricas. En este caso, MAGERIT establece como unidad mtrica de la frecuencia estimable de esta forma el nmero de ocurrencias potenciales de amenaza por da. Para amenazas intencionales, estimando la frecuencia por composicin de apreciaciones cualitativas de factores como la capacidad, motivacin y oportunidad del agente. Cuando no se puede hacer ms que recoger la estimacin subjetiva de los usuarios, MAGERIT prev un proceso de interrogacin en dos etapas apoyado en tcnicas refinadas de anlisis de posibilidad con lgica difusa y de probabilidad bayesiana (tcnicas que se exponen someramente en la Gua de Tcnicas y ms detalladamente en la Gua de la Herramienta correspondiente). Debido a las caractersticas del sistema a desarrollar (del que no se tienen precedentes), a las caractersticas de las amenazas asociados a los activos del sistema (en su inmensa mayora intencionales aunque de motivaciones difciles de determinar) y a la efectividad de las salvaguardas (puesto que como se ha mencionado repetidamente no son mecanismos existentes sino salvaguardas propuestas al tratarse de un sistema totalmente nuevo) no procede la estimacin de vulnerabilidades.
Actividad 5: Identificacin y valoracin de IMPACTOS El objetivo de esta actividad es conocer el alcance del dao producido en el Dominio como consecuencia de la materializacin de amenazas sobre los activos. El Impacto, visto como caracterstica del Activo que recoge el cambio de estado de su seguridad, permite apreciar la 'gravedad' de la consecuencia generada por la Agresin, en forma de reduccin de niveles de los subestados de seguridad (ACID) del Activo afectado.
Tarea 1: Identificar Impactos Esta tarea identifica el Impacto como resultado de la agresin de una amenaza a un activo, en forma de degradacin de valor, de necesidad de reposicin (con su coste) o de reduccin de los niveles de uno o varios subestados de seguridad ACID. Atendiendo a las dependencias entre activos, la tarea considera si el Impacto o degradacin provocados en un activo pueden producir otros Impactos o degradaciones indirectas en otros activos dependientes y/o aumentar la vulnerabilidad de dichos activos dependientes frente a nuevas amenazas. En la siguiente tabla se muestran los activos, sus amenazas asociadas, el impacto directo de la materializacin de estas amenazas y las consecuencias de dicho impacto. Cuando entre las consecuencias se encuentra la materializacin de otra amenaza se destaca en negrita.
Activo
Nivel
Amenaza Robo
Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 420 Reduccin de Disponibilidad Coste mximo: 420 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 900 Reduccin de Disponibilidad Coste mximo: 900 Reduccin Disponibilidad: Coste mximo: 250 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Disponibilidad Coste mximo: 65
Pocket PC
Entorno Ataque fsico Avera Robo
Consecuencias Prdida del origen de datos. Suplantacin de identidad. Introduccin de datos incorrectos en ambos subsistemas. Descarga en destino inapropiado. Prdida del origen de datos. Prdida del destino de datos. Acceso no permitido a la base de datos. Prdida del destino de datos. Prdida de la representacin de datos. Robo de documentos impresos para ser enviados. Robo de documentos recibidos. Destruccin de documentos impresos para ser enviados. Destruccin de documentos recibidos.
PC
Entorno Ataque fsico. Avera Ataque fsico Avera Robo (de su interior) Entorno Ataque fsico
Entorno
Activo
Nivel
Amenaza
Impacto
Acceso no permitido. SGBD (Sistema Gestor de Base de Datos) Entorno Modificacin de malintencionada. datos
Reduccin de Confidencialidad
Consecuencias Acceso a datos personales. Suplantacin de identidad (tanto de categora como de usuario) Modificacin de datos malintencionada. Modificacin de datos o relaciones. Introduccin de datos incorrectos en ambos subsistemas. Borrado de datos. Introduccin de datos incorrectos en el subsistema de gestin. Prdida de datos si no se aplica el mecanismo asociado. Acceso a datos personales Introduccin de datos incorrectos en ambos subsistemas. Cambios en los permisos. Borrado de datos. Introduccin de datos incorrectos en el subsistema de captura. Introduccin de datos de apoyo incorrectos en el subsistema de captura. Introduccin de datos incorrectos en el subsistema de gestin. Acceso a datos personales Introduccin de datos incorrectos en ambos subsistemas. Cambios en los permisos. Borrado de datos. Violacin de Ley LORTAD Necesidad de volver a generarlos. Necesidad de volver a solicitarlos. Introduccin de datos incorrectos en ambos subsistemas. Error en la comunicacin.
Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Confidencialidad Reduccin de Autenticacin Reduccin de Integridad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin. Reduccin de Integridad. Reduccin de Integridad. Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Confidencialidad Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 0.45 / udad. Reduccin de Confidencialidad Reduccin de Disponibilidad Reduccin de Confidencialidad
Suplantacin de identidad. Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Suplantacin de identidad.
de
datos
Borrado de datos. Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos Administracin de permisos InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinGestin InformacinGestin InformacinGestin
Suplantacin de identidad. Introduccin incorrectos. de datos
Suplantacin de identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.
Funcionalidades de la organizacin Error en la comunicacin. Error en la definicin del modelo de datos. Acceso no permitido a la base de datos. Suplantacin de identidad. Reduccin de Integridad. Reduccin Integridad Reduccin Disponibilidad Reduccin Confidencialidad Reduccin Integridad Reduccin Disponibilidad Reduccin Autenticacin Reduccin Confidencialidad
Necesidad de repetir la transferencia Necesidad de redisear el modelo de datos. Acceso no permitido a SGBD. Suplantacin de identidad en ambos subsistemas.
Tarea 2: Tipificar Impactos La tarea permite clasificar los impactos por el tipo de consecuencias que las amenazas pueden producir en los activos impactados (recogidas en el Submodelo de Elementos): Impactos con consecuencias cuantitativas o N1: Prdidas econmicas o N2: Prdidas inmateriales o N3: Responsabilidad legal, civil o penal Impactos con consecuencias cualitativas orgnicas o L1: Prdida de fondos patrimoniales o L2. Incumplimiento de obligaciones legales o L3. Perturbacin o situacin embarazosa poltico-administrativa o L4. Dao a las personas Impactos con consecuencias cualitativas funcionales (reduccin de Subestados) o SA. Autenticacin o SC. Confidencialidad o SI. Integridad o SD. Disponibilidad A continuacin se muestra en una tabla la clasificacin de los impactos atendiendo a los criterios definidos en el enunciado, parte de la informacin aparece en la propia descripcin del impacto realizada en la tarea anterior, no obstante, se mantiene esta columna para mayor claridad. Tambin se realiza una valoracin subjetiva pero muy intuitiva de los impactos, se calificar el dao hecho al sistema una vez se produce el impacto (materializacin de la amenaza asociada) en funcin del impacto directo y de las consecuencias indirectas, es decir, se valorarn los impactos en funcin de los campos en funcin de las consecuencias que acarree. Como se podr observar todos aquellos impactos que conllevan responsabilidades legales, civiles o penales (N3), que en este sistema sern consecuencia de la violacin de la LORTAD, tiene una valoracin de dao Crtico. Todos los dems sern valorados en funcin del dao total causado al sistema con los siguientes valores; Muy Bajo, Bajo, Medio, Alto, Muy Alto.
Activo Amenaza Robo Pocket PC Ataque fsico Avera Robo PC Ataque fsico. Avera Ataque fsico Avera Robo (de su interior) Ataque fsico Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 420 Reduccin de Disponibilidad Coste mximo: 420 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 900 Reduccin de Disponibilidad Coste mximo: 900 Reduccin Disponibilidad: Coste mximo: 250 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Disponibilidad Coste mximo: 65 Consecuencias Cualitativas orgnicas L4 L4 L2 L2, L4 L2 L4 L2 L2, L4 Cualitativas funcionales SA, SD SD SD SC, SD SD SD SD SD SC, SD SD Valoracin Muy Alto Muy Alto Muy Alto Crtico Muy Alto Muy Alto Alto Alto Alto Alto
Cuantitativas N1, N2 N1, N2 N1, N2, N3 N1, N2 N1 N1 N1
Amenaza Acceso no permitido. Modificacin de datos malintencionada. Suplantacin de identidad. Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Suplantacin de identidad. Introduccin de datos incorrectos. Borrado de datos.
Impacto Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Confidencialidad Reduccin de Autenticacin Reduccin de Integridad Reduccin de Integridad Reduccin de Disponibilidad de Reduccin de Autenticacin. Reduccin de Integridad. Reduccin de Integridad. Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Confidencialidad Reduccin de Confidencialidad Reduccin de Disponibilidad
Cuantitativas N2, N3 N2, N3 N2 N2 N2 N2, N3 N2, N3
Consecuencias Cualitativas orgnicas L2 L2 L2 L2 L2 L2
Cualitativas funcionales SC SI, SD SA SI SD SC, SA SI SI, SD
Valoracin Crtico Crtico Muy Alto Muy Alto Alto Crtico Crtico Crtico Muy Alto
Aplicacin de gestin de datos Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos Administracin de permisos
Suplantacin identidad.
L2 SI, SA N2 L2 L2 N2, N3 N2, N3 L2 L2 SI SC, SI, SD SA, SC
Muy Alto Muy Alto Crtico Crtico Alto
Introduccin de datos incorrectos. Suplantacin identidad. Suplantacin identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. de de
N2
L2
SC, SD
Medio Medio Bajo Muy Alto
N2
L2
SC
Error en comunicacin.
la
Reduccin de Integridad. Reduccin Integridad Reduccin Disponibilidad Reduccin Confidencialidad Reduccin Integridad Reduccin Disponibilidad Reduccin Autenticacin Reduccin Confidencialidad
N2
SI
Medio
Error en la definicin del modelo de datos. Acceso no permitido a la base de datos. Suplantacin identidad. de
N2 N2, N3 N2, N3
L2 L2 L2
SI, SD SC, SI, SD SA, SC
Crtico Crtico Crtico
Tarea 3: Valorar Impactos

A partir de la informacin proporcionada por las tareas anteriores, sta procede a valorar el Impacto que puede producir la materializacin de una amenaza sobre el activo. En muchos casos el Impacto slo se podr recoger como estimacin subjetiva de los usuarios. Para captarla con la mayor garanta posible, MAGERIT prev un proceso de interrogacin en dos etapas apoyado en tcnicas refinadas de lgica difusa y de probabilidad bayesiana que se exponen someramente en la Gua de Tcnicas y ms detalladamente en la Gua de la Herramienta correspondiente. La valoracin de los impactos se llev a cabo en la tarea anterior. Por los mismos motivos antes expuestos para la estimacin de vulnerabilidades no procede la valoracin de impactos empleando las tcnicas propuestas por MAGERIT. En su lugar se realiz una valoracin subjetiva pero muy intuitiva de los impactos en funcin del dao total causado al sistema tanto directa como indirectamente.
Actividad 6: Evaluacin del Riesgo Las informaciones sobre vulnerabilidad e impacto obtenidas en las Actividades anteriores permiten que esta Actividad establezca y estime los distintos tipos de riesgo, empleando el criterio de evaluacin elegido en la Tarea 1.4.2 Seleccionar criterios de evaluacin y tcnicas para el proyecto de la Etapa 1 de Planificacin del Anlisis y Gestin de Riesgos. La Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el Riesgo calculado. Ambos factores se combinan en una Mtrica de Riesgo que es 'asimtrica'. Esto se puede ver con facilidad cuando se representa el riesgo con la sencilla tcnica matricial. En esta tcnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lgico, son crecientes con los niveles de ambos factores, pero sern sistemticamente mayores por debajo de la diagonal, pues se considera que el Impacto influye ms en el nivel de Riesgo que la Vulnerabilidad.
Tarea 1: Evaluar el riesgo intrnseco La tarea realiza el clculo del riesgo de activos sometidos a amenazas como riesgo intrnseco, al no tener en consideracin los mecanismos de salvaguarda que puedan actuar. Este tipo de riesgo intrnseco se toma como referencia para evaluar la efectividad de las salvaguardas a aplicar. Por claridad se evaluarn el riesgo intrnseco y el riesgo efectivo simultneamente en la tarea 3 de esta actividad. En esta actividad, sin embargo se mostrar la valoracin del riesgo (independientemente de si es intrnseco o efectivo) en funcin de la vulnerabilidad y de la amenaza. Como se puede observar, cuando el impacto es crtico el riesgo siempre alcanza su nivel mximo, por el contrario, si el impacto es Bajo o Muy Bajo la consideracin del riesgo para los valores ms bajos de vulnerabilidad es mnima o incluso inexistente. De acuerdo con las recomendaciones de MAGERIT se puede observar que el nivel de impacto influye ms que la vulnerabilidad en la valoracin final del riesgo.
Vulnerabilidad Media Media-Alta Mnimo Mnimo Bajo Bajo Medio Medio Alto Alto Muy Alto Muy Alto Mximo Mximo
Muy Bajo Bajo Medio Alto Muy Alto Crtico
Muy Baja Mnimo Medio Alto Mximo
Baja Mnimo Bajo Medio Alto Mximo
Media-Baja Bajo Medio Medio Alto Mximo
Alta Mnimo Medio Alto Alto Mximo Mximo
Muy Alta Mnimo Medio Alto Alto Mximo Mximo
Impacto
Tarea 2: Analizar las funciones de salvaguarda existentes La tarea identifica las Funciones de salvaguarda actualmente implantadas en el Activo, a partir de los mecanismos de salvaguarda existentes detectados en tareas anteriores y evaluando el grado de implantacin de las funciones para estimar su efectividad, con ayuda de los procedimientos de las Tareas 8.3.1 Identificar funciones de salvaguarda y 8.3.2 Estimar la efectividad de las funciones de salvaguarda de la Etapa 3 siguiente de Gestin de Riesgos. Como se indic en la identificacin de mecanismos de salvaguarda el objetivo principal del proyecto es la automatizacin total del proceso de anillamiento de aves, lo que implica un cambio total en el conjunto de activos, amenazas y salvaguardas. En consecuencia, en este anlisis no se ha tratado con salvaguardas existentes sino con salvaguardas propuestas para el nuevo conjunto de activos con el que contar el sistema, por tanto, la mayora de estas salvaguardas protegern el activo al que estn asociadas suficientemente. No obstante, hay algunas excepciones como se puede observar en la columna Vulnerabilidad residual de la tabla de identificacin de vulnerabilidades. A continuacin se muestra una versin reducida de los pares activo-amenaza para los que se proponen medidas adicionales:
Activo
Nivel
Amenaza
Salvaguarda Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Identificacin por usuario (categora) y contrasea. Comprobacin de permisos.
Intrnseca
Vulnerabilidad Efectiva Residual
Entorno
Acceso permitido.
no
Muy Alta.
Media
Se reduce en gran medida.
Se propone al usuario la eleccin cuidada de contraseas Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas. Se propone una papelera de reciclaje
Media-Baja
Se reduce en gran medida. Se reduce al mnimo.
Borrado datos. Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin InformacinCaptura InformacinCaptura InformacinCaptura
de
Media.
Suplantacin de identidad. Introduccin de datos incorrectos.
Media
Se propone al usuario la eleccin cuidada de contraseas
Activo Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD)
Nivel
Amenaza
Salvaguarda Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea
Intrnseca
InformacinGestin
Media-Alta
Vulnerabilidad Efectiva Residual Se propone al administrador la eleccin Se reduce en cuidada de contraseas, gran medida ser responsabilidad de los usuarios no difundir las contraseas. Se reduce en gran medida Estudiar otras posibles medidas, es un punto crtico del sistema
InformacinGestin
Alta
Relaciones entre datos
Muy Alta.
Media-Alta
Tarea 3: Evaluar el riesgo efectivo La tarea calcula el riesgo efectivo, teniendo ahora en consideracin las funciones de salvaguarda existentes detectadas con ayuda de la tarea previa. De estas funciones de salvaguarda, unas reducen la frecuencia de ocurrencia de la amenaza (disminucin de la vulnerabilidad) y otras reducen el impacto. Los nuevos niveles actuales de vulnerabilidad y de impacto se identifican y estiman rehaciendo el procedimiento establecido por las Actividades de Identificacin y estimacin de VULNERABILIDADES e Identificacin y valoracin de IMPACTOS de esta misma Etapa. Los nuevos niveles de vulnerabilidad y de impacto permiten calcular el riesgo efectivo aplicando la misma forma anterior de evaluacin del riesgo presentada en la tarea 1 de esta misma Actividad. Como se indic en la tarea 1, se evaluarn el riesgo intrnseco y el riesgo efectivo simultneamente. En la siguiente tabla se muestran los pares activo-amenaza, las salvaguardas propuestas, las valoraciones de vulnerabilidad e impacto y, en funcin de estas dos ltimas y de acuerdo con la tabla de la tarea 1, la valoracin del riesgo.
Activo
Nivel
Amenaza
Salvaguarda
Vulnerabilidad Intrnseca Efectiva Muy baja el entorno el que realiza actividad. Muy baja. Muy baja. Muy baja. Muy baja. Media. Muy baja Media. Muy baja, no existen motivaciones. Muy baja. Muy Alta. en en se la Muy poco probable. Casi nula. Se reduce en gran medida. Se reduce en gran medida. Casi nula. Se reduce en gran medida Casi nula. Se reduce en gran medida Casi nula. Casi nula. Se reduce aunque no lo suficiente. Se reduce en gran medida. Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo.
Impacto
Riesgo intrnseco
Riesgo efectivo
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera Ataque fsico Impresora Entorno Avera Armario en el que se guarden los documentos oficiales impresos Robo (de interior) Ataque fsico Acceso permitido. SGBD (Sistema Gestor de Base de Datos) Entorno no su
Muy Alto
Alto
Alto
Muy Alto Muy Alto Crtico Muy Alto Muy Alto Alto Alto Alto Alto Crtico
Alto Alto Mximo Alto Muy Alto Medio Alto Medio Medio Mximo
Alto Alto Mximo Alto Alto Medio Medio Medio Medio Mximo
Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos.
Entorno
Media-Baja.
Crtico
Mximo
Mximo
Media Alta
Muy Alto Muy Alto
Muy Alto Alto
Alto Alto
Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Suplantacin de identidad.
Media-Alta
Alto
Muy Alto
Alto
Media-Baja
Crtico
Mximo
Mximo
Introduccin de datos incorrectos. Borrado de datos. Suplantacin de identidad. Introduccin de datos incorrectos.
Media-Alta Media.
Crtico Crtico Muy Alto
Mximo Mximo Muy Alto Muy Alto Muy Alto
Mximo Mximo Alto Alto Alto
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin
Media
Muy Alto Muy Alto
Media
Activo Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Nivel InformacinGestin
Amenaza Suplantacin de identidad.
Salvaguarda Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso a las instalaciones de la organizacin.
Vulnerabilidad Intrnseca Efectiva Media-Alta Se reduce en gran medida
Impacto Crtico
Riesgo intrnseco Mximo
Riesgo efectivo Mximo
InformacinGestin
Suplantacin de identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.
Alta
Crtico
Mximo
Mximo
InformacinGestin InformacinGestin
Alto Media-Alta Se reduce al mnimo. Medio Medio Bajo Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea Se reduce totalmente.
Alto Medio Medio Bajo
Medio Mnimo -
Alta
Muy Alto
Mximo
Alto
Media
Medio
Medio
Mnimo
Media-Alta
Crtico
Mximo
Mximo
Muy Alta.
Crtico
Mximo
Mximo
Media-Alta
Crtico
Mximo
Mximo
ETAPA 3: Gestin del Riesgo

Esta Etapa tiene por objeto identificar y seleccionar las funciones de salvaguarda apropiadas para reducir el riesgo a un nivel aceptable. Los puntos de partida para esta etapa estn constituidos por la documentacin de la etapa anterior, referida a la descripcin de los componentes del riesgo (activos, funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e impactos), a los niveles de riesgos calculados y a los umbrales de riesgo aceptados por el comit director. Actividad 1: Recogida de Informacin Los puntos de partida para esta Actividad estn constituidos por la documentacin de la Etapa anterior que describe los componentes del riesgo (activos, funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e impactos) y los niveles de riesgos calculados.
Tarea nica: Interpretar y manejar los riesgos Los resultados del clculo del riesgo intrnseco y efectivo deben interpretarse antes de poder utilizarlos, agrupndolos si cabe con objeto de identificar las reas de mayor riesgo del Dominio y por lo tanto las que necesitan mayor proteccin. As, El umbral de riesgo es un valor establecido como base para decidir por comparacin con l si el Riesgo efectivo calculado es asumible o aceptable. Los umbrales de riesgo utilizados pueden proceder de una estimacin inicial, ratificada por la decisin del Comit director y propuesta por similitud respecto a otros casos. Estos umbrales de riesgo se pueden refinar por aplicacin del Anlisis y Gestin de Riesgos en un escenario de simulacin del equilibrio entre los costes de los riesgos y los de las salvaguardas en un entorno de ciertas restricciones (de misin de la Organizacin o de su capacidad presupuestaria a corto plazo, por ejemplo). Mientras que el Riesgo efectivo calculado se considere no asumible, MAGERIT propone desarrollar las Actividades siguientes de Identificacin, estimacin de efectividad y Seleccin de las funciones de salvaguarda de esta Etapa. Cuando el Riesgo efectivo calculado ya se considera asumible, quedar como riesgo residual. La tarea tambin procede a la obtencin de indicadores estadsticos sobre frecuencias de ocurrencia de amenazas (vulnerabilidad), amenazas con mayor impacto, reas ms afectadas por mayores riesgos, etc. Se establece como umbral de riesgo cuando ste sea inexistente, mnimo o bajo. En cuanto a agrupacin de riesgos, todos los pares activo-amenaza relacionados con la proteccin de datos constituyen una zona de mximo riesgo del sistema. La otra zona de mximo riesgo del sistema la constituye la definicin de la relacin entre los datos almacenados, esto es, el modelo de datos.
Actividad 2: Identificacin y estimacin de funciones y servicios de salvaguarda
Esta Actividad permite identificar las funciones o servicios de salvaguarda que reducen el riesgo, as como estimar su eficacia para lograr dicha reduccin. Tarea 1: Identificar funciones y servicios de salvaguarda La tarea propone, sin tomar en consideracin ninguna restriccin, una lista de las funciones o servicios de salvaguarda que pueden reducir el riesgo superior al umbral en los subdominios identificados en la Etapa 2 previa de Anlisis de los Riesgos. Las funciones o servicios propuestos se determinan con ayuda de las agrupaciones de activos/amenazas donde se detecta mayor riesgo. La organizacin o clasificacin de las funciones y servicios de salvaguarda se apoya en las tipologas vistas en el Submodelo de Elementos: De activos o grupos de activos (entorno, sistema de informacin, informacin, funcionalidad, otros). De amenazas (accidentes, errores, intencionales presenciales, intencionales teleactuadas). Por la propia funcionalidad de las funciones y servicios (orientados a: deteccin, disuasin. Prevencin, correccin, recuperacin, concienciacin/informacin). La lista contiene la descripcin de las caractersticas de la funcin o activo de salvaguarda, por ejemplo: tipo de amenaza, tipo de activo que protegen, a qu subestado de seguridad (A-C-I-D) se orientan, resultado (disminucin de vulnerabilidad o bien de impacto), etc. Dado que el proyecto consiste en el desarrollo de un sistema completamente nuevo, el conjunto de activos y amenazas asociadas es totalmente nuevo. Por este motivo, en la anterior etapa se definieron ciertas salvaguardas que no pertenecan al sistema actual sino al sistema en desarrollo. Esta situacin permiti que todas las salvaguardas tratadas en la etapa anterior fueran efectivas puesto que haban sido introducidas especficamente para el sistema en desarrollo. Sin embargo, todas las salvaguardas introducidas tenan como cometido la reduccin de la vulnerabilidad de los activos respecto a sus amenazas. Como se indic en la etapa anterior el riesgo asociado a un activo depende tanto de su vulnerabilidad como del impacto que tendra la materializacin de su amenaza asociada, por tanto ser necesario definir salvaguardas encaminadas a reducir el impacto.
Activo
Amenaza Robo
Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 420 Reduccin de Disponibilidad Coste mximo: 420 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 900 Reduccin de Disponibilidad Coste mximo: 900 Reduccin Disponibilidad: Coste mximo: 250 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin
Salvaguarda Contratar seguro Mantenimiento Contratar seguro Mantenimiento y copias de seguridad Contratar seguro Mantenimiento Restaurar copias Contratar seguro Bloquear acceso a la base de datos Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Comprobacin de destino Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Papelera de reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Eleccin adecuada de contraseas Eleccin adecuada de contraseas
Consecuencias Recuperacin de coste Ahorro de coste Aumento de Disponibilidad Recuperacin de coste
Pocket PC
Ataque fsico Avera Robo
PC
Ataque fsico. Avera Ataque fsico Ahorro de coste Aumento de Disponibilidad Ahorro de coste Ahorro de coste Aumento de Disponibilidad Aumento de Disponibilidad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Autenticacin
Impresora Avera Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema Gestor de Base de Datos) Robo (de su interior) Ataque fsico Acceso no permitido. Modificacin de datos malintencionada. Suplantacin identidad. Aplicacin de captura de datos de
Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Suplantacin identidad. de
Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Confidencialidad Reduccin de Autenticacin Reduccin de Integridad Reduccin de Integridad Reduccin de Disponibilidad
Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad Aumento de Integridad Aumento de Disponibilidad Aumento de Autenticacin Aumento de Integridad
Introduccin de datos incorrectos. Borrado de datos.
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD)
de
Reduccin de Autenticacin. Reduccin de Integridad.
Introduccin de datos incorrectos. Suplantacin identidad. Suplantacin identidad. de
Reduccin de Integridad. Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Confidencialidad
Aumento de Integridad Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin
de
Activo Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos
Amenaza Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.
Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad
Salvaguarda Restaurar copias
Consecuencias
Aumento de Disponibilidad
Comprobacin de origen
Aumento de Confidencialidad
la
Reduccin de Integridad.
Tratamiento de transaccin. Formacin en desarrollo software Bloquear acceso a la base de datos Eleccin adecuada de contraseas
Aumento de Integridad
Reduccin Integridad Reduccin Disponibilidad Reduccin Confidencialidad Reduccin Integridad Reduccin Disponibilidad Reduccin Autenticacin Reduccin Confidencialidad
Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin
Tarea 2: Estimar efectividad de las funciones y servicios de salvaguarda A partir de la lista de funciones y servicios de salvaguarda especificados para los subdominios seleccionados del proyecto, esta tarea procede a estimar su efectividad en la reduccin de los elementos integrantes del riesgo (vulnerabilidad e impacto). A continuacin se muestran los pares activo-amenaza con el impacto y las nuevas funciones de salvaguarda as como la efectividad de las funciones de salvaguarda representadas en la comparacin valoracin intrnseca-valoracin efectiva.
Activo Amenaza Robo Pocket PC Ataque fsico Avera Robo PC Ataque fsico. Avera Impresora Armario en el que se guarden los documentos oficiales impresos Ataque fsico Avera Robo (de su interior) Ataque fsico Reduccin de Disponibilidad Coste mximo: 900 Reduccin Disponibilidad: Coste mximo: 250 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Disponibilidad Coste mximo: 65 Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 420 Reduccin de Disponibilidad Coste mximo: 420 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 900 Valoracin intrnseca Muy Alto Muy Alto Muy Alto Crtico Muy Alto Muy Alto Alto Alto Alto Alto Mantenimiento y copias de seguridad Contratar seguro Mantenimiento Restaurar copias Contratar seguro Salvaguarda Contratar seguro Mantenimiento Contratar seguro Valoracin efectiva Medio Bajo Bajo Crtico Crtico Muy Alto Bajo Muy Bajo Medio Muy Bajo
Amenaza Acceso no permitido. Modificacin de datos malintencionada. Suplantacin identidad. de
Impacto Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin
Valoracin intrnseca Crtico Crtico Muy Alto
Salvaguarda Bloquear acceso a la base de datos Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Comprobacin de destino Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Papelera de reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Eleccin adecuada de contraseas Eleccin adecuada de contraseas Restaurar copias
Valoracin efectiva Alto
Bajo
Muy Alto Alto Crtico
Muy Bajo Muy Bajo Alto
Crtico Crtico Muy Alto Muy Alto Muy Alto
Muy Bajo Muy Bajo Alto
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos
de
Introduccin de datos incorrectos. Suplantacin identidad. Suplantacin identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. de
Reduccin de Integridad. Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Confidencialidad Reduccin de Confidencialidad Reduccin de Disponibilidad
Muy Bajo
Crtico
Alto
de
Crtico Alto Medio Medio Bajo Muy Alto
Alto Medio Muy Bajo Muy Bajo Muy Bajo Muy Bajo
la
Medio
Muy Bajo
Bajo Alto Alto
Actividad 3: Seleccin de funciones y servicios de salvaguarda La Actividad permite seleccionar las funciones o servicios de salvaguarda convenientes y justificados como proporcionados a los riesgos que deben cubrir e incluso como ptimos.
Tarea 1: Aplicar los parmetros de seleccin Partiendo de la lista de funciones y servicios de salvaguarda propuestos, y teniendo en cuenta los umbrales de riesgo mximo asumible o aceptable obtenidos en tareas y decisiones anteriores, la tarea ordena la lista segn su efectividad para reducir el riesgo. La tarea selecciona en el orden establecido las funciones o servicios que reducen el riesgo hasta los umbrales requeridos por el objetivo de seguridad establecido. No procede realizar seleccin alguna puesto que para cada vulnerabilidad (en la etapa anterior) o para cada impacto (en la actividad anterior) se seleccion la salvaguarda que se estim ms conveniente.
Tarea 2: Reevaluar el riesgo La tarea aplica las funciones y servicios de salvaguarda seleccionados a la reduccin de la frecuencia de ocurrencia de la amenaza (disminucin de la vulnerabilidad) y a la reduccin del impacto. Los nuevos niveles de vulnerabilidad y de impacto se identifican y estiman rehaciendo el procedimiento establecido por las Actividades de la Etapa 2 Identificacin y estimacin de VULNERABILIDADES e Identificacin y valoracin de IMPACTOS. Los nuevos niveles de vulnerabilidad y de impacto permiten calcular el riesgo efectivo aplicando la misma forma anterior de evaluacin del riesgo presentada en la tarea nica la Actividad 1 de esta Etapa. Este valor del riesgo efectivo calculado se ha de guardar, pues ser el riesgo residual si en la Actividad 4 siguiente se alcanza el cumplimiento de objetivos del proyecto de Anlisis y Gestin de Riesgos. En funcin de los nuevos valores de impacto asociados a cada para activo-amenaza reevaluamos los riesgos. Por mayor claridad se han destacado las columnas impacto efectivo y el nuevo riesgo efectivo en negrita.
Activo
Nivel
Amenaza
Vulnerabilidad Intrnseca Efectiva Muy baja el entorno el que realiza actividad. Muy baja. Muy baja. Muy baja. Muy baja. Media. Muy baja Media. su Muy baja, no existen motivaciones. Muy baja. no Muy Alta. Media-Baja. Media Alta Media-Alta Media-Baja Media-Alta Media. en en se la Muy poco probable. Casi nula. Se reduce en gran medida. Se reduce en gran medida. Casi nula. Se reduce en gran medida Casi nula. Se reduce en gran medida Casi nula. Casi nula. Se reduce aunque no lo suficiente. Se reduce en gran medida. Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo. Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo. Se reduce en gran medida Se reduce en gran medida Se reduce en gran medida Se reduce en gran medida
Impacto intrnseco
Impacto efectivo
Riesgo intrnseco
Riesgo efectivo
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera Ataque fsico Impresora Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema Gestor de Base de Datos) Entorno Avera Robo (de interior) Ataque fsico Acceso permitido. Entorno
Muy Alto
Medio
Alto
Mnimo
Muy Alto Muy Alto Crtico Muy Alto Muy Alto Alto Alto Alto Alto Crtico
Bajo Bajo Crtico Muy Alto Muy Alto Bajo Muy Bajo Medio Muy Bajo
Alto Alto Mximo Alto Muy Alto Medio Alto Medio Medio Mximo
Mximo Alto Alto Mnimo Alto Medio Mnimo Medio Mnimo Mnimo -
Entorno
Modificacin de datos malintencionada. Suplantacin de identidad. Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Suplantacin de identidad. Introduccin de datos incorrectos. Borrado de datos. Suplantacin de identidad. Introduccin de datos incorrectos. Suplantacin de identidad. Suplantacin de identidad.
Alto Crtico Muy Alto Muy Alto Alto Crtico Crtico Crtico Muy Alto Bajo Muy Bajo Muy Bajo Alto Muy Bajo Muy Bajo Alto Muy Alto Muy Alto Muy Bajo Alto Muy Alto Muy Alto Mximo Muy Alto Alto Muy Alto Mximo Mximo Mximo Muy Alto
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD)
InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinGestin
Media
Media
Media-Alta
Crtico
Mximo
Medio
Alta
Crtico
Alto
Mximo
Medio
Activo Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos
Nivel InformacinGestin
Amenaza Robo Destruccin
Vulnerabilidad Intrnseca Efectiva
Impacto intrnseco Alto
Impacto efectivo Medio Muy Bajo Muy Bajo Muy Bajo Muy Bajo
Riesgo intrnseco Alto Medio Medio Bajo
Riesgo efectivo Mnimo -
Media-Alta InformacinGestin Robo Destruccin Acceso no permitido a la comunicacin. Funcionalidades de la organizacin Error en la comunicacin. Error en la definicin del modelo de datos. Acceso no permitido a la base de datos. Suplantacin de identidad. Media
Se reduce al mnimo.
Medio Medio Bajo
Alta
Se reduce totalmente.
Muy Alto
Mximo
Se reduce su efecto totalmente. Se reduce todo lo posible. Se reduce aunque no lo suficiente. Se reduce en gran medida
Medio
Muy Bajo
Medio
Media-Alta Muy Alta. Media-Alta
Bajo Alto Alto
Mximo Mximo Mximo
Mnimo Alto Medio
Actividad 4: Cumplimientos de objetivos La actividad explora si los riesgos efectivos obtenidos por la aplicacin sucesiva de las funciones y servicios de salvaguarda seleccionados se encuentran bajo los umbrales de riesgo elegidos.
Tarea nica: Determinar el cumplimiento de los objetivos Si los riesgos efectivos calculados en la tarea anterior no cumplen los objetivos de su reduccin por debajo de los umbrales de riesgo fijados, la tarea organiza la conservacin provisional de los resultados parciales alcanzados (puede haber retrocesos en este proceso de simulacin). la repeticin de toda la Actividad 3 de Seleccin de las funciones y servicios de salvaguarda, o sea de las tareas de reconsiderar la seleccin y reevaluar el riesgo, antes de recomprobar el cumplimiento de los objetivos con esta tarea. Como se podr observar existen10 activos sometidos a un riesgo no asumible. Ser necesario corregir esta situacin en la siguiente etapa.
Activo
Nivel
Amenaza
Salvaguarda vulnerabilidad Proteccin del equipo en el campo Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento su Limitacin de acceso a las instalaciones de la organizacin Limitacin acceso de al
Salvaguarda impacto
Riesgo efectivo
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera
Contratar seguro
Mnimo
Mantenimiento Contratar seguro Mantenimiento y copias de seguridad Contratar seguro Mantenimiento Restaurar copias Contratar seguro Bloquear acceso a la
Mximo Alto Alto
Impresora Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema
Entorno
Ataque fsico Avera Robo (de interior) Ataque fsico
Mnimo Alto
Entorno
Entorno
Acceso permitido.
no
Activo Gestor de Base de Datos)
Nivel
Amenaza
Modificacin de datos malintencionada.
Suplantacin de identidad. Introduccin de datos incorrectos. Descarga de datos en destino inapropiado.
Salvaguarda vulnerabilidad sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos.
Salvaguarda impacto base de datos
Riesgo efectivo
Medio
Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Comprobacin de destino
Mnimo
Suplantacin de identidad. Aplicacin de gestin de datos Sistema de Informacin Introduccin de datos incorrectos. Borrado datos. Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin de
Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Papelera de reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Eleccin adecuada de contraseas Eleccin adecuada de contraseas
Medio
Mnimo Mnimo
Suplantacin de identidad. Introduccin de datos incorrectos. Suplantacin de identidad.
InformacinGestin
Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso a las instalaciones de la organizacin.
Medio
Medio
InformacinGestin InformacinGestin Funcionalidades de la organizacin
Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. Error en la Transferencia por unin fsica. Seales de Comprobacin de origen Tratamiento de Restaurar copias
Mnimo -
Activo Transferencia de datos capturados desde el Pocket PC hacia el PC
Nivel
Amenaza comunicacin.
Salvaguarda vulnerabilidad dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea
Salvaguarda impacto transaccin.
Riesgo efectivo
Formacin en desarrollo software
Mnimo
Bloquear acceso a la base de datos
Alto
Eleccin adecuada de contraseas
Medio
ETAPA 4: Seleccin de Salvaguardas

La Etapa tiene como Objetivo la Seleccin de los mecanismos de salvaguarda que materialicen las funciones y servicios de salvaguarda, respeten las restricciones y reduzcan los riesgos por debajo de los umbrales deseados. Esta etapa parte de los resultados de las etapas anteriores: Identificacin de los mecanismos de salvaguarda implantados actualmente y de las funciones y servicios de salvaguarda que cubren, as como el grado de su implantacin. funciones y servicios de salvaguarda seleccionados, capaces de reducir el riesgo hasta alcanzar los umbrales previamente elegidos (o bien actualizados, si se ha visto su necesidad). Por ltimo la etapa posibilita la recopilacin de todos los informes obtenidos, para generar el documento final del Anlisis y Gestin de Riesgos, adems de los documentos de presentacin de resultados a los diversos niveles de la Organizacin.
Actividad 1: Identificacin de mecanismos de salvaguarda Tras seleccionar en la etapa anterior las Funciones y Servicios de salvaguarda capaces de mantener los riesgos bajo los umbrales elegidos, esta Actividad procede a identificar y analizar los posibles mecanismos de salvaguarda que materialicen las mencionadas funciones.
Tarea 1: Identificar mecanismos posibles La tarea procede a confeccionar una lista inicial de posibles mecanismos de salvaguarda que materialicen las funciones y servicios de salvaguarda elegidos, parte de dichas funciones y servicios de salvaguarda. stos, habitualmente asociados a impactos y vulnerabilidades de los activos ante las amenazas, permiten identificar un conjunto de mecanismos de salvaguarda posibles. En esta tarea no se tiene en cuenta an el anlisis del coste, efectividad, necesidades de mantenimiento, etc. de los mecanismos posibles para materializar las funciones y servicios de salvaguarda. En esta tarea se recuperan las salvaguardas propuestas para reducir la vulnerabilidad y el impacto de cada par activo-amenaza y se les aaden los mecanismos propuestos.
Activo
Amenaza
Salvaguarda vulnerabilidad Proteccin del equipo en el campo
Mecanismo vulnerabilidad
Salvaguarda impacto
Mecanismo impacto
Robo Pocket PC Ataque fsico Avera Robo PC Ataque fsico. Avera
Medida: portar el equipo en todo momento.
Contratar seguro
Contratar seguro
Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos. Identificacin por usuario y
Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave
Mantenimiento Contratar seguro Mantenimiento y copias de seguridad Contratar seguro Mantenimiento Restaurar copias Contratar seguro
Contratar Servicio Contratar seguro Contratar Servicio y copias de seguridad Contratar seguro Contratar Servicio Volver a generar o pedir una copia de cada documento Contratar seguro
Ataque fsico Impresora Avera Armario en el que se guarden los documentos oficiales impresos Robo (de su interior) Ataque fsico Acceso no permitido. SGBD (Sistema Gestor de Base de Datos)
Acceso al PC mediante contrasea.
Acceso desde fuera del sistema bajo contrasea slo en conocimiento de una persona designada por la organizacin.
Suplantacin de identidad. Aplicacin de captura de datos Introduccin de datos incorrectos.
Identificacin por usuario y contrasea. Definicin de posibles valores para aquellos datos que lo permitan La orden de borrado de datos la emitir la aplicacin de gestin, es decir, depender del destino no del origen. Identificacin por categora de usuario y contrasea. Definicin de posibles valores para aquellos datos que lo permitan No se mostrarn las operaciones para las que el usuario activo no tenga permisos. Identificacin por usuario y contrasea.
Recomendaciones sobre eleccin de contraseas Integridad referencial de la base de datos del Pocket PC
Descarga de datos en destino inapropiado.
No necesario.
Suplantacin de identidad. Aplicacin de gestin de datos Introduccin de datos incorrectos. Borrado de datos. Identidad del usuario Suplantacin de identidad.
Eleccin adecuada contraseas
de
Recomendaciones sobre difusin de contraseas. Integridad referencial de la base de datos del sistema Almacenamiento temporal de datos borrados y solicitud de confirmacin para el borrado definitivo. Recomendaciones sobre eleccin de contraseas
Comprobacin de integridad en la base de datos Papelera reciclaje Eleccin adecuada de de
Activo Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Amenaza
Salvaguarda vulnerabilidad contrasea.
Salvaguarda impacto contraseas Comprobacin de integridad en la base de datos
Mecanismo impacto
Introduccin de datos incorrectos. Suplantacin de identidad. Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso a las instalaciones de la organizacin. Identificacin por categora de usuario y contrasea. Doble control; identificacin de categora e identificacin de usuario.
Integridad referencial de la base de datos del Pocket PC Recomendaciones sobre difusin de contraseas. Recomendaciones sobre eleccin de contraseas Recomendaciones sobre difusin de contraseas.
Eleccin adecuada de contraseas Eleccin adecuada de contraseas
Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea Comprobacin de origen Cierre de instalaciones y armario bajo llave. Restaurar copias
Volver a generar copia de los documentos. Volver a pedir copia de los documentos. La transferencia la dirigir la aplicacin de gestin, es decir, slo la podr llevar a cabo un origen vlido.
Cable punto a punto.
Error en la comunicacin.
Ser necesario alcanzar un estado de sincronizacin (conexin de ambos dispositivos) antes de iniciar la transferencia.
Tratamiento de transaccin.
Un fallo en la transferencia anula todos los cambios introducidos por la misma.
Error en la definicin del modelo de datos.
Definicin del modelo de datos de acuerdo con alguna de las metodologas existentes.
Requerimiento de conocimientos en desarrollo de software para los miembros del equipo de desarrollo.
Relaciones entre datos Acceso no permitido a la base de datos.
de
Identificacin por categora de usuario y contrasea.
Recomendaciones sobre difusin de contraseas
Tarea 2: Estudiar mecanismos implantados Algunos de los mecanismos de salvaguarda identificados por la tarea anterior pueden estar ya implantados en el Dominio en estudio. Esta tarea recupera la informacin obtenida en la recogida de datos del Dominio que identificaba los mecanismos ya implantados y sus caractersticas. Estos mecanismos se agrupan en dos bloques: mecanismos coincidentes con alguno de los contenidos en la lista de mecanismos potenciales confeccionada en la tarea anterior mecanismos no incluidos en dicha lista Los mecanismos incluidos en ambos bloques se analizan segn diversos criterios: su grado de implantacin, los costes tanto de su implantacin inicial como de su mantenimiento su efectividad. Esta tarea no procede puesto que se desarrollar un sistema totalmente nuevo con un nuevo conjunto de activos que precisarn un nuevo conjunto de mecanismos implantados.
Tarea 3: Incorporar restricciones Esta tarea formaliza las restricciones identificadas en las actividades de recogida de informacin de la Etapa 1. Asimismo el Comit Director puede haber modificado el conjunto de restricciones como consecuencia de los resultados de la Etapa 2 de Anlisis de Riesgos. Para incorporar las restricciones al Anlisis y Gestin de Riesgos, se respeta su agrupacin por distintos conceptos. En esta tarea se recoge la misma clasificacin de restricciones en 6 grupos de la Etapa 1: temporales, financieras, tcnicas, sociolgicas, del entorno, legales. De acuerdo con la planificacin del anlisis y gestin de riesgos y el propio anlisis de riesgos no ser necesario incorporar las restricciones expuestas en el enunciado como tales, puesto que las restricciones temporales, financieras y tcnicas son tratadas a nivel general en la planificacin del proyecto debido a la integracin de la seguridad en el desarrollo del proyecto especificada en la planificacin del anlisis y gestin de riesgos. En cuanto a las restricciones legales y del entorno, fueron incorporadas al anlisis y gestin de riesgos respectivamente (cumplimiento de la LORTAD y proteccin de equipos). No cabe asociar ninguna restriccin sociolgica al desarrollo del proyecto.
Actividad 2: Seleccin de mecanismos de salvaguarda Esta Actividad permite identificar y seleccionar los mecanismos a implantar, considerando las restricciones detectadas e incorporadas en la tarea anterior. Los mecanismos identificados y seleccionados provisionalmente se estudian en cuanto a su efectividad reductora del riesgo. Esta Actividad es iterativa, pues se repite tantas veces como sea necesario hasta obtener el conjunto de mecanismos a implantar definitivamente.
Tarea 1: Identificar mecanismos a implantar Se obtiene as un nuevo conjunto de mecanismos que respeta el conjunto de restricciones sin dejar de conseguir la reduccin de los niveles de riesgo al de los umbrales elegidos. Se implantarn todos los mecanismos identificados en la actividad anterior.
Tarea 2: Evaluar el riesgo con los mecanismos elegidos La tarea estudia el poder reductor del riesgo de los mecanismos elegidos, por medio de las funciones y servicios de salvaguarda que aqullos materializan. A continuacin se evala el riesgo tras la identificacin de mecanismos slo en aquellos casos en los que no se consigui situar el nivel de riesgo por debajo del nivel medio.
Activo
Amenaza Robo
Mecanismo vulnerabilidad Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante no Acceso al mediante contrasea. PC
Mecanismo impacto Contratar seguro Mantenimiento y copias de seguridad Acceso desde fuera del sistema bajo contrasea slo en conocimiento de una persona designada por la organizacin. Recomendaciones sobre difusin de contraseas.
Consecuencias Aumento de Confidencialidad Recuperacin de coste Aumento de Disponibilidad Recuperacin de coste
Valoracin previa del riesgo Mximo Alto Alto Alto
Valoracin efectiva del riesgo Alto Bajo Bajo Bajo
PC
Ataque fsico. Avera Acceso permitido.
Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad
Medio
Mnimo
Aumento de Confidencialidad Aumento de Autenticacin
Medio
Bajo
Activo Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD)
Mecanismo vulnerabilidad Identificacin por categora de usuario y contrasea. Doble control; identificacin de categora e identificacin de usuario.
Mecanismo impacto Recomendaciones sobre difusin de contraseas. Recomendaciones sobre eleccin de contraseas Recomendaciones sobre difusin de contraseas. Acceso desde fuera del sistema bajo contrasea slo en conocimiento de una persona designada por la organizacin. Recomendaciones sobre difusin de contraseas
Consecuencias Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad
Valoracin previa del riesgo Medio
Valoracin efectiva del riesgo Bajo
Medio
Bajo
Acceso al mediante contrasea.
PC
Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad Aumento de Disponibilidad
Alto
Bajo
Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad
Medio
Bajo
Como se puede observar, se ha conseguido rebajar hasta un nivel asumible todos los riesgos excepto el riesgo asociado al robo del PC. Resulta muy difcil reducir el nivel de riesgo asociado al robo del PC porque supone una reduccin dramtica de la confidencialidad, lo cual puede derivar en responsabilidades penales (LORTAD). Una posibilidad sera aumentar las medidas preventivas dotando a las instalaciones de un sistema de vigilancia, sin embargo, es preciso tener en cuenta que la contratacin de un servicio de vigilancia supondra un gasto elevado. Teniendo en cuenta las caractersticas de las actividades que llevar a cabo la organizacin (sin nimo de lucro) y la informacin que almacenar (referente al anillamiento de aves) se estima que la motivacin de cometer un delito para acceder a dicha informacin es poco elevada. En conclusin, una vez analizado el coste y la motivacin de materializar la amenaza se estima que no ser necesario aumentar el nivel de proteccin del PC (activo) contra un robo (amenaza).
Tarea 3: Seleccionar mecanismos a implantar Esta tarea marca y se selecciona para la continuacin del proyecto el conjunto de mecanismos obtenido por la tarea anterior como reductor suficiente del riesgo sin dejar de someterse a las restricciones impuestas. Se seleccionan todos los mecanismos propuestos.
Actividad 3: Especificacin de los mecanismos a implantar
Tarea nica: Especificar los mecanismos a implantar La tarea especifica para los mecanismos de salvaguarda seleccionados ciertas caractersticas importantes, como: tipo de mecanismo coste aproximado activos protegidos dependencia de y a otros mecanismos modalidad de implantacin otros. Se realizar la siguiente clasificacin de mecanismos; Mecanismos que acarrean coste econmico directo. Mecanismos de comportamiento. Mecanismos integrados en la funcionalidad del sistema. Mecanismos adicionales. Mecanismos ajenos al sistema. La especificacin es la siguiente: Mecanismos que acarrean coste econmico directo. o Contratar un seguro para Pocket PC, PC, impresora y armario de documentos. La contratacin de un seguro permitir la recuperacin del coste asociado a tener que reponer algn elemento (en caso de robo) o a su reparacin (en caso de ataque fsico). El coste de contratar este seguro ser de 85 . o Contratar un servicio de mantenimiento para Pocket PC, PC e impresora. La contratacin de un servicio de garanta, es decir ms all del periodo estipulado tras la compra de un producto, permitir la recuperacin del coste asociado a la reparacin de cualquier avera. El coste de contratar este servicio de mantenimiento de los equipos ser de 40 / mes . Mecanismos de comportamiento. o Portar el Pocket PC en todo momento en el campo. o Seguir recomendaciones del fabricante para el mantenimiento de Pocket PC, PC e impresora. o Cierre con llave de instalaciones y armario de documentos de la organizacin. o Realizar copias de seguridad de los datos de forma habitual. o Acceso al PC mediante contrasea. o Correcta eleccin y difusin (en su caso) de contraseas. Las contraseas de las categoras para el acceso a la aplicacin de gestin sern conocidas por todos los usuarios pertenecientes a dicha categora, es responsabilidad de stos no hacrsela llegar usuarios de categoras inferiores.
o Uso de un cable (punto a punto) para la transferencia entre Pocket PC y PC. El uso de un cable directo evita el acceso no autorizado a la comunicacin. Mecanismos integrados en la funcionalidad del sistema. o Restaurar copias de documentos impresos. Volver a generar los documentos en la aplicacin de gestin e imprimirlos. o Definir posibles valores cuando los datos lo permitan. Definicin de los denominados datos de apoyo para evitar errores en la introduccin de los mismos. o Integridad referencial de la base de datos del Pocket PC y de la del sistema. Se tendr en cuenta en la definicin del modelo de datos. o Funciones de identificacin de usuario y de categoras para el acceso a las aplicaciones de captura y gestin y a los registros de datos personales. Su integracin como restricciones funcionales se especifica en el Informe de Planificacin de Anlisis y Gestin de Riesgos. o Control de la transferencia de datos por parte de la aplicacin de gestin. La aplicacin de gestin ser la encargada de ordenar el borrado de datos en el Pocket PC una vez completada la transferencia, por lo que depende del subsistema de gestin y no del de captura el borrado de los datos minimizndose el riesgo de descargar los datos en un destino inapropiado. Adems se garantiza que el origen de los datos de apoyo transferidos al Pocket PC sea el apropiado puesto que esta operacin slo la puede realizar la aplicacin de gestin. o Dar a la transferencia de datos tratamiento de transaccin. Si hay algn fallo durante la transferencia se deshacen todos los cambios realizados y ser necesario reiniciarla. Mecanismos adicionales. o Controlar el acceso a la base de datos desde fuera del sistema con contrasea, que slo conocer el responsable que determine la organizacin. De este modo se evita el acceso no controlado a la base de datos, ser responsabilidad de la persona designada cualquier acceso a la base de datos que no se haya realizado desde el sistema de informacin. Mecanismos ajenos al sistema. o Pedir copias de documentos recibidos. Las copias perdidas de documentos oficiales deben ser pedidas de nuevo a los organismo pertinentes atenindose a sus normas.
Actividad 4: Planificacin de la implantacin El objetivo de esta Actividad es realizar un esbozo de planificacin para la implantacin de los mecanismos retenidos en las Actividades anteriores.
Tarea 1: Priorizar mecanismos Esta tarea ordena de manera lgica y bien estructurada los mecanismos retenidos y los encuadra en proyectos potenciales de implantacin, basndose en sus interdependencias y en funcin de las restricciones y los niveles de riesgo aceptados. La clasificacin de los mecanismos dentro de las funciones y servicios de salvaguarda favorece esta ordenacin y priorizacin. No se llevar a cabo planificacin especfica de la implantacin de mecanismos de salvaguarda puesto que la seguridad se integr en el desarrollo del sistema. As, los mecanismo integrados en la funcionalidad del sistema sern implantados conforme avance el desarrollo del sistema, la implantacin de los mecanismos de comportamiento se integrar en las tareas de formacin, los mecanismos ajenos al sistema no precisarn de implantacin y finalmente, los mecanismos de coste econmico (contratacin de un seguro y un servicio de mantenimiento) y los adicionales (acceso a la base de datos desde fuera del sistema bajo contrasea) sern implantados una vez desarrollado el sistema como tareas de paso a produccin.
Tarea 2: Evaluar los recursos necesario La tarea estima y evala la intervencin de recursos, tanto humanos como materiales, que conlleva la implantacin de mecanismos. La clasificacin de los mecanismos por grandes tipos de recursos a movilizar (organizacionales, tcnicos, materiales, financieros, etc.) favorece esta estimacin y evaluacin. La implantacin de los mecanismo seleccionados no conllevar la necesidad de recursos adicionales. Tarea 3: Elaborar cronogramas tentativos Una vez que se han definido las acciones a realizar para la implantacin de mecanismos y su plazo de implantacin, esta tarea las ordena en el tiempo, obteniendo los cronogramas tentativos de implantacin de los mecanismos. La planificacin de la implantacin de mecanismos est integrada en la planificacin general del proyecto, por tanto, no se llevar a cabo esta tarea.
Actividad 5: Integracin de resultados
Tarea nica: Integrar los resultados Esta ltima Actividad recopila los informes producidos en las diversas Etapas y Actividades del proyecto, para confeccionar el "Informe final del Anlisis y Gestin de Riesgos". La tarea tambin realiza los documentos de presentacin de los resultados del proyecto, resultados dirigidos en unos casos a los niveles directivos y en otros a los usuarios afectados por el proyecto de Anlisis y Gestin de Riesgos. Consulte el documento Informe final del Anlisis y Gestin de Riesgos.
Anexo de Documentos MAGERIT

Informe de Planificacin de Anlisis y Gestin de Riesgos....................................... 63 Informe de entrevistas relativo a seguridad................................................................ 66 Informe final del Anlisis y Gestin de Riesgos ........................................................ 69
Informe de Planificacin de Anlisis y Gestin de Riesgos

Objetivo de la Planificacin del Anlisis y Gestin de Riesgos
En primer lugar tenemos un objetivo propio de la planificacin de la seguridad del sistema, integrar todas las tareas relativas a la seguridad en el desarrollo del sistema con el fin de mantener una planificacin y asignacin de tareas, as como unos procedimientos y unos criterios de evaluacin, homogneos para todo el proyecto (salvo en el caso del aseguramiento de la calidad que debe evolucionar en paralelo con el proyecto).
Ventajas de Integrar la Seguridad en el Desarrollo del Sistema

Si conseguimos una identificacin total de las restricciones de seguridad entre las restricciones funcionales estaremos integrando la seguridad en el desarrollo del Sistema, por tanto estaremos cumpliendo el objetivo de esta planificacin de la seguridad del Sistema. La ventaja ms significativa es que al integrar la seguridad en el desarrollo, las tareas, los productos, los procedimientos y el personal de seguridad quedarn tambin integrados entres sus homnimos de desarrollo de modo que la planificacin, la asignacin de tareas, los mtodos de desarrollo y de prueba y los criterios de evaluacin sern los mismos tanto para el desarrollo del Sistema como para la seguridad del mismo dando lugar por tanto a un proyecto mucho ms consistente y homogneo.
Objetivos
Hemos de distinguir dos mbitos distintos para el estudio de la seguridad a lo largo de todo el proyecto; por una parte la seguridad enfocada al propio proceso de desarrollo y al cumplimiento de sus objetivos y por otra la seguridad asociada al sistema de informacin una vez haya sido desarrollado y puesto en funcionamiento. Para el estudio de la seguridad del proceso de desarrollo tomaremos como punto de partida los objetivos del proyecto de desarrollo del propio sistema de informacin (Modelo de negocio). A partir de estos objetivos, en adelante objetivos de desarrollo, iremos generando lo que denominaremos objetivos de seguridad cuyo fin ser garantizar el cumplimiento dichos objetivos de desarrollo. Por tanto, tendremos como objetivo genrico el cumplimiento de todos los objetivos de desarrollo y un objetivo particular por cada uno de estos objetivos de desarrollo dedicado a su cumplimiento (consulte Anlisis del Negocio). Como se puede observar, integramos los objetivos de seguridad en el desarrollo del proyecto asocindolos a los objetivos del propio proyecto, satisfaciendo en parte el objetivo de la planificacin de la seguridad, la integracin. En cuanto a la seguridad del proceso de desarrollo, garantizaremos la correccin de las tareas realizadas mediante el seguimiento de diversas metodologas (por ejemplo, el documento que est leyendo llev a cabo siguiendo la metodologa MAGERIT). Otro aspecto a considerar ser la proteccin de la informacin relativa al proyecto para lo cual se restringir el acceso a las instalaciones de la organizacin de desarrollo, y dentro de las instalaciones se restringir el acceso a cada mquina. La informacin impresa ser guardada en archivos bajo llave. En cuanto a la seguridad del sistema de informacin una vez haya sido desarrollado aadiremos otro objetivo genrico; el diseo un plan de seguridad para el sistema de informacin que garantice su funcionamiento en condiciones seguras en los supuestos que se detallan a continuacin.
Restricciones de Seguridad
Como se extrae de la entrevista SILVEMA 3, las restricciones de seguridad del Sistema de Informacin son el control de acceso tanto al subsistema de captura de datos como al subsistema de gestin de datos, las restricciones propias de las bases de datos (integridad y disponibilidad) y el cifrado de los datos relativos a ejemplares pertenecientes a especies protegidas. Identificaremos cada restriccin de seguridad con una restriccin funcional con el fin de satisfacer el objetivo de esta planificacin de seguridad, la integracin de la seguridad en el proceso de desarrollo.
Identificacin de Restricciones de Seguridad y Restricciones Funcionales

El control de acceso al subsistema de captura de datos se satisface implcitamente al satisfacer la restriccin funcional identificacin, puesto que dicha identificacin no slo se lleva a cabo por motivos de seguridad, sino que es necesario puesto que debemos asignar los datos obtenidos durante una sesin de captura a un anillador en particular. Las restricciones propias de las bases de datos (integridad y disponibilidad) son restricciones que deben cumplir todas las estructuras de almacenamiento, por tanto cuando imponemos como restriccin funcional al Sistema el almacenamiento permanente de la informacin estamos imponiendo implcitamente las restricciones de integridad y disponibilidad, puesto que si una base de datos no proporciona la informacin cuando sta es requerida, o no relaciona los datos de forma consistente no podr satisfacer la restriccin funcional almacenamiento permanente de datos. Por tanto, la satisfaccin de la restriccin funcional implica la satisfaccin de las restricciones de seguridad. Las otras tres restricciones, control de acceso al subsistema de gestin de datos, cifrado de datos de aves protegidas y proteccin de datos personales, no se identifican directamente con ninguna restriccin funcional. Por tanto, necesitamos identificar las restricciones restantes de seguridad con restricciones funcionales. Para el control de acceso al subsistema de gestin de datos crearemos la restriccin funcional administracin de permisos, consistente en una definicin de categoras de usuarios, estas categoras tendrn asociados una serie de permisos (lectura, introduccin de datos y generacin de documentos) de modo que la identificacin no ser a nivel de usuario sino de categora de usuario. Por tanto el usuario deber conocer la contrasea para acceder con una determinada categora y slo podr llevar a cabo aquellas tareas para las que su categora tenga permiso (consulte la entrevista SILVEMA 3). Para el cifrado de datos de aves protegidas definiremos una restriccin funcional homnima de modo que trataremos esta restriccin (que no cambiar en nada) como funcional. Por ltimo, para la proteccin de datos reforzaremos el control de acceso al subsistema de gestin de datos de modo que una vez un usuario accede al sistema con permiso para acceder a datos personales debe pasar otro control de acceso para acceder a un registro concreto.
Satisfaccin del Objetivo de la Planificacin

Una vez conseguida la completa integracin de la seguridad del Sistema de Informacin en su proceso de desarrollo remitimos cualquier consulta sobre planificacin, asignacin de tareas, procesos de desarrollo y prueba y criterios de evaluacin de seguridad a la planificacin, asignacin de tareas, procesos de desarrollo y prueba y criterios de evaluacin generales del proyecto.
Informe de entrevistas relativo a seguridad

Todos los aspectos relativos a la seguridad fueron tratados en la entrevista SILVEMA 3 puede consultar dicha entrevista en el anexo de documentos.
Introduccin
Debido a las caractersticas del proyecto, automatizacin total del sistema, no ser necesario analizar la seguridad requerida en el sistema actual sino que nos centraremos exclusivamente en la seguridad del sistema a desarrollar. De la entrevista se desprende la necesidad de tomar dos medidas de seguridad explcitas, el control de acceso a las aplicaciones y el cifrado de los datos de aves protegidas. Adicionalmente, hemos de considerar dos medidas implcitamente ligadas al sistema por sus propias caractersticas, las medidas propias de una base de datos (asegurar la integridad y la disponibilidad) y el cumplimiento de la ley LORTAD de proteccin de datos puesto que debemos guardar en el sistema, concretamente en el subsistema de gestin de datos, datos personales de los anilladores necesarios para rellenar los documentos oficiales y para administracin propia de SILVEMA.
Medidas de seguridad explcitas

Control de acceso a aplicaciones o Aplicacin de captura de datos Este control ser necesario en primer lugar por una cuestin funcional, es necesario identificar al anillador que realiza las operaciones de captura para cumplimentar posteriormente los documentos oficiales. Adems de la funcionalidad antes descrita esta medida cumplir su cometido habitual, es decir, proteger el subsistema de captura de accesos no permitidos que ofrezcan la posibilidad al intruso de borrar, manipular o copiar informacin almacenada e introducir informacin falsa que invalide los estudios posteriores que se deseen realizar sobre la informacin recabada y que provoque que rellenemos documentos oficiales con datos incorrectos. El control, como es habitual, contar con una identificacin doble (usuario y contrasea) para evitar no slo el acceso de intrusos al sistema, sino tambin el acceso de usuarios del sistema con otra identidad de modo que tengan la posibilidad de actuar de forma negligente sin que la responsabilidad recaiga en ellos sino en el usuario al que estn suplantando. Por tanto, ser responsabilidad del usuario elegir un nombre de usuario y una contrasea que dificulten en la mayor medida posible su suplantacin.
o Aplicacin de captura de datos Este control no ser a nivel de usuario sino de categora de usuario, el objetivo es administrar los permisos, de modo que una categora de usuario tendr permiso nicamente para unas tareas determinadas y aquel usuario que acceda con esa categora no podr realizar otras tareas. Se propone la creacin de tres categoras; la categora anillador con permisos de lectura, escritura, y generacin de documentos oficiales, la categora naturalista con permiso nicamente de lectura, y la categora administrador que no acceder a la aplicacin en s sino a su administracin desde la que podr crear o dar de baja cuentas de usuarios y de categoras as como asignarles permisos a estas ltimas. Aunque se accede por una determinada categora, es necesario llevar un control de cuentas de usuarios individuales para los accesos a la aplicacin de captura de datos. El objetivo es evitar el acceso a la informacin almacenada por parte de personas ajenas a la organizacin, y, una vez realizado el acceso, limitar las tareas que puede realizar el usuario en funcin de los permisos que haya recibido. En este caso no tendremos una informacin directa de quin est accediendo al sistema sino de a qu categora pertenece, por tanto, es responsabilidad de los usuarios de una determinada categora no proporcionar la contrasea a usuarios de diferente categora. Cifrado de datos de aves protegidas Por normativa del anillamiento de aves en Espaa no se deben tomar los datos relativos a la situacin en que fue capturada un ave perteneciente a una especie protegida. Sin embargo, an no tomando dichos datos, su situacin aproximada podra deducirse fcilmente en funcin de la situacin de los dems ejemplares a los que se les haya tomado algn dato ese mismo da por ese mismo anillador, puesto que el territorio que puede abarcar ste en una misma jornada de anillamiento no ser demasiado extenso. Para paliar est debilidad en primer lugar se cifrarn los datos del ejemplar protegido y adems no se dejar constancia de la toma de sus datos, es decir, en el momento en que el anillador termina de tomar datos de ese ejemplar, stos se cifran y se esconden pasando de forma totalmente transparente (sin que quede constancia de ello) a la base de datos del sistema de modo que slo puedan ser consultados por aquellos usuarios que tengan permiso para ello.
Medidas de seguridad implcitas

Seguridad en la base de datos o Integridad Debemos relacionar los datos de forma consistente para generar anlisis y, sobre todo, documentos oficiales correctamente. o Disponibilidad La informacin, en sus diversas formas, debe estar disponible siempre para el usuario si ste posee los permisos oportunos para acceder a la misma. Proteccin de datos personales Siempre que se almacenen datos personales, como es el caso de este sistema en el que se deben almacenar ciertos datos de los anilladores para rellenar los documentos oficiales y para control interno de SILVEMA, es necesario cumplir la LORTAD (Ley de proteccin de datos). Por lo tanto, deberemos proteger los registros de todos los anilladores debidamente.
Informe final del Anlisis y Gestin de Riesgos

Identificacin de Activos en funcin de los objetivos de la organizacin
La primera tarea a desarrollar es la identificacin de activos, es decir, qu hay que proteger. Esta identificacin se llevar a cabo partiendo de los objetivos de la organizacin definidos en el anlisis del negocio que actuarn de filtro delimitando con claridad el alcance del sistema. A continuacin se muestran los activos identificados en cada objetivo. Captura de datos propios del anillamiento en el campo: o Pocket PC. o Aplicacin de captura de datos. o Datos capturados en la sesin. o Datos de apoyo. o Identidad del usuario. o Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Almacenamiento permanente de los datos en un registro histrico: o PC. o SGBD (Sistema Gestor de Bases de Datos). o Datos almacenados (incluidos los de apoyo). o Datos personales. o Documentos oficiales recibidos. o Transferencia de datos desde el Pocket PC hacia el PC. Anlisis de los datos almacenados: o Establecimiento de relaciones entre los datos almacenados. o Aplicacin de gestin de datos. Cumplimentar documentacin oficial: o Documentos oficiales impresos. o Armario en el que se guarden documentos oficiales impresos. Una vez identificados los activos se aaden aquellos activos adicionales que no dependen directamente de ningn objetivo pero que se haya estimado conveniente aadir en alguna entrevista: o Administracin de permisos. (Ver entrevista SILVEMA 3).
Agrupacin de activos
Tras la identificacin se procede a su clasificacin. Siguiendo los siguientes criterios: 1. 2. 3. 4. Entorno. Sistema de Informacin. Informacin. Funcionalidad de la informacin.
El orden de los criterios se corresponde con el orden natural de acceso, en primer lugar el entorno que puede ser fsico o lgico (SGBD), una vez dentro del entorno se accede al sistema de informacin y finalmente dentro del sistema de informacin puede accederse tanto a la informacin almacenada como a las funcionalidades del sistema. 6. Entorno Pocket PC. PC. Impresora. Armario en el que se guarden los documentos oficiales impresos. SGBD (Sistema Gestor de Base de Datos). 7. Sistema de informacin Aplicacin de captura de datos. Aplicacin de gestin de datos. 8. Informacin Captura de datos: Identidad del usuario (necesario para la documentacin oficial). Datos capturados en la presente sesin. Datos de apoyo para esta sesin. Gestin de datos: Datos almacenados (incluidos los de apoyo). Datos personales (L O R T A D). Documentos oficiales impresos para ser enviados. Documentos oficiales recibidos. 9. Funcionalidades de la Organizacin Transferencia de datos de apoyo desde el PC hacia el Pocket PC (para no introducir valores errneos). Transferencia de datos desde Pocket PC hacia PC. Relacin entre los datos (para hacer anlisis, consultas y generar documentos). Administracin de permisos.
Valoracin de Activos
Tras la identificacin y agrupacin de activo se valoran los mismos con el fin de determinar hasta que punto es importante su proteccin. Para la valoracin se utilizar un valor intrnseco del activo (si es cuantificable) y un grado de importancia del activo para cada uno de los subastados de seguridad, finalmente se muestra un resumen por grupo de activos.
Activo Pocket PC PC Impresora Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema Gestor de Base de Datos) Resumen Entorno Nivel Entorno Entorno Entorno Entorno Entorno Valor intrnseco 420 900 250 65 1635 0.45 / udad. 0.45 / udad. Funcionalidades de la organizacin Funcionalidades de la organizacin Autenticacin Mxima Mxima Mxima Mxima Mxima Mxima Muy Alta Valoracin de subastados de seguridad Confidencialidad Integridad Disponibilidad Muy alta Mxima Mxima Mxima Alta Mxima Mxima Mxima Mxima Mxima Muy Alta Mxima Alta Alta Mxima Mxima Mxima Mxima Mxima Mxima Muy Alta Mxima Mxima Mxima Mxima Muy Alta Mxima Mxima Mxima Mxima Mxima Alta Mxima Mxima Mxima Mxima Mxima Alta Alta Alta Mxima Muy Alta
Aplicacin de captura de Sistema de datos Informacin Aplicacin de gestin de Sistema de datos Informacin Resumen Sistema de Informacin InformacinCaptura InformacinDatos capturados esta sesin Captura Datos de apoyo de esta Informacinsesin Captura Resumen Informacin-Captura Identidad del usuario Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Resumen Informacin-Gestin Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos InformacinGestin InformacinGestin InformacinGestin InformacinGestin
Funcionalidades de la organizacin Funcionalidades de Administracin de permisos la organizacin Resumen Funcionalidades de la organizacin
Identificacin de Amenazas
Tras la especificacin de los activos, qu hay que proteger, se identificarn las amenazas que stos tienen asociadas, de qu hay que protegerlo.
Activo
Nivel
Amenaza Robo
Origen Intencin de acceder a los datos o inters por el dispositivo. Intencin de invalidar los datos. Mal uso o infortunio Intencin de acceder a los datos. Intencin de invalidar los datos Mal uso o infortunio Intencin de retrasar la actividad de la organizacin. Mal uso o infortunio Intencin de acceder a la documentacin. Intencin de retrasar la actividad de la organizacin. Intencin de acceder a los datos. datos Intencin de invalidar la actividad de la organizacin Intencin de actuar con impunidad. Intencin de invalidar la actividad de la organizacin, o error Intencin de acceder a los datos y hacer que la organizacin los pierda. Intencin de acceder a informacin para la que no se tiene permiso. Intencin de invalidar la actividad de la organizacin, o error Intencin de invalidar la actividad de la organizacin Intencin de impunidad. actuar con
Pocket PC
Entorno Ataque fsico Avera Robo
PC
Entorno
Ataque fsico. Avera
Capacidad Gravedad muy alta si se accede a datos de especies protegidas. Puede invalidar el trabajo de la jornada. Asumible por el sistema. Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, obligando a recomponer toda la informacin. El dao causado ser asumible por el sistema. Especialmente daino en fechas cercanas al periodo de entrega de documentos Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, obligando a recomponer toda la informacin. Invalida los documentos oficiales. Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Prdida de informacin. Gravedad mxima si se accede a datos personales (LORTAD). Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Invalida los documentos oficiales. Afecta a los propios datos de la sesin puesto que la identidad del usuario es un dato ms. Puede llegar a invalidar todo el trabajo realizado, recuperacin poco probable. Gravedad mxima si se accede a datos personales (LORTAD). Gravedad mxima.
Impresora Armario en el que se guarden los documentos oficiales impresos SGBD (Sistema Gestor de Base de Datos)
Entorno
Ataque fsico Avera Robo (de su interior)
Entorno Ataque fsico Acceso no permitido. Entorno Modificacin de malintencionada.
Suplantacin de identidad. Aplicacin de captura de datos Sistema de Informacin Introduccin incorrectos. de datos en
Descarga de datos destino inapropiado.
Suplantacin de identidad. Aplicacin de gestin de datos Sistema de Informacin Introduccin incorrectos. de datos
Borrado de datos. Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinSuplantacin de identidad.
de
datos
Suplantacin de identidad. Suplantacin de identidad.
Intencin de invalidar la actividad de la organizacin, o error Intencin de acceder a informacin para la que no se tiene permiso. Intencin de acceder a datos
Activo (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Nivel Gestin InformacinGestin InformacinGestin
Amenaza Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.
Origen personales. Intencin de acceder a documentacin. Intencin de retrasar actividad de la organizacin. Intencin de acceder a documentacin. Intencin de retrasar actividad de la organizacin.
Capacidad la la la la Especialmente daino en fechas cercanas al periodo de entrega de documentos Se produce un acceso no deseado a la informacin. Los documentos son fcilmente recuperables. Se produce un acceso no deseado a la informacin.
Intencin de acceder a la informacin.
Intencin de retrasar la actividad de la organizacin o fallo tcnico. Mala aplicacin de metodologa de desarrollo. la
Obliga a repetir la operacin, no especialmente grave. Gravedad mxima si no se detecta a tiempo, puede obligar a rehacer el proyecto. Si bien puede causar un gran dao momentneamente, es recuperable si la definicin del modelo de datos es correcta. Se produce un acceso no deseado a la informacin.
Intencin de invalidar la actividad de la organizacin. Intencin de obtener ms permisos de los estipulados.
Las amenazas no actan en solitario, la materializacin de una amenaza puede implicar la materializacin de otras, a continuacin se muestra un clasificacin de dependencias entre amenazas: Robo del Pocket PC: Puede dar lugar a la materializacin de las siguientes amenazas: o Suplantacin de identidad en el subsistema de captura. o Introduccin de datos incorrectos en el subsistema de captura. Introduccin de datos de apoyo incorrectos. Introduccin de datos incorrectos en el subsistema de gestin. o Descarga de datos en destino inapropiado. Ataque o avera del Pocket PC: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Robo del PC: Puede dar lugar a la materializacin de las siguientes amenazas: o Acceso no permitido a la base de datos. Acceso a datos personales (LORTAD). Modificacin de datos (o sus relaciones) malintencionada. Suplantacin de identidad en el subsistema de gestin. o Suplantacin de identidad en la administracin de permisos. o Suplantacin de identidad en el acceso a datos personales (LORTAD). o Introduccin de datos incorrectos en el subsistema de gestin. o Introduccin de datos incorrectos en el subsistema de captura. o Borrado de datos.
Ataque o avera del PC: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Ataque o avera de la impresora: La materializacin de estas amenazas no desencadena la materializacin de ninguna otra. Ataque del armario en el que se guarden los documentos oficiales: Puede dar lugar a la materializacin de las siguientes amenazas: o Destruccin de documentos oficiales impresos para ser enviados. o Destruccin de documentos oficiales recibidos. Robo (del interior) del armario en el que se guarden los documentos oficiales: Puede dar lugar a la materializacin de las siguientes amenazas: o Robo de documentos oficiales impresos para ser enviados. o Robo de documentos oficiales recibidos. Acceso no permitido a la transferencia de informacin entre los subsistemas de captura y de gestin: Puede dar lugar a la materializacin de las siguientes amenazas: o Error en la comunicacin. o Introduccin de datos incorrectos en el subsistema de gestin. o Introduccin de datos incorrectos en el subsistema de captura. Introduccin de datos de apoyo incorrectos. Introduccin de datos incorrectos en el subsistema de gestin.
Evaluacin del Riesgo asociado a cada Activo

Dadas las caractersticas del sistema (actividad sin nimo de lucro) el dao causado y la posibilidad de que dicho dao se materialice (motivacin subjetiva en la mayora de los casos) son difcilmente cuantificables. Por tanto, a continuacin se muestra un tabla de evaluacin de riesgo en funcin de la evaluacin de impacto y vulnerabilidad.
Vulnerabilidad Media Media-Alta Mnimo Mnimo Bajo Bajo Medio Medio Alto Alto Muy Alto Muy Alto Mximo Mximo
Muy Bajo Bajo Medio Alto Muy Alto Crtico
Muy Baja Mnimo Medio Alto Mximo
Baja Mnimo Bajo Medio Alto Mximo
Media-Baja Bajo Medio Medio Alto Mximo
Alta Mnimo Medio Alto Alto Mximo Mximo
Muy Alta Mnimo Medio Alto Alto Mximo Mximo
Impacto
Como se puede observar el impacto tiene ms peso que la vulnerabilidad puesto que el impacto marca el dao ya materializado en el activo correspondiente. Se establece como umbral de riesgo asumible el riesgo de nivel bajo. Adems de elementos que contribuyen a reforzar el riesgo hay otros elementos que contribuyen a contrarrestarlo, son las salvaguardas. A continuacin se muestran en una tabla las vulnerabilidades asociadas a cada activo y la salvaguarda que se le aplica. Se entender vulnerabilidad intrnseca por la vulnerabilidad del activo respecto a la amenaza antes de aplicar la salvaguarda, vulnerabilidad efectiva ser la vulnerabilidad tras aplicar la salvaguarda y el campo residual informar de posibles salvaguardas adicionales que sern necesarias.
Activo
Nivel
Amenaza
Salvaguarda
Intrnseca Muy baja el entorno el que realiza actividad. Muy baja. en en se la
Vulnerabilidad Efectiva Residual Muy poco probable. Casi nula. Se reduce en gran medida. Se reduce en gran medida. Casi nula. Se reduce en gran medida Casi nula. Se reduce en gran medida
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera Ataque fsico Impresora Entorno Avera
Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento
Muy baja. Muy baja. Muy baja. Media. Muy baja Media.
Activo Armario en el que se guarden los documentos oficiales impresos
Nivel
Amenaza Robo (de interior) Ataque fsico Acceso permitido. no su
Salvaguarda Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos.
Entorno
Intrnseca Muy baja, no existen motivaciones. Muy baja. Muy Alta.
Vulnerabilidad Efectiva Residual Casi nula. Casi nula. Se reduce aunque no lo suficiente. Se reduce en gran medida. Se reduce en gran medida. Se reduce al mnimo. Se reduce al mnimo. Se propone el bloqueo del acceso a base de datos Se propone al usuario la eleccin cuidada de contraseas -
Entorno
Media-Baja.
Media Alta
Introduccin de datos incorrectos. Descarga de datos en destino inapropiado.
Media-Alta
Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas. Se propone una papelera de reciclaje Se propone al usuario la eleccin cuidada de contraseas Se propone al administrador la eleccin cuidada de contraseas, ser responsabilidad de los usuarios no difundir las contraseas. Estudiar otras posibles medidas, es un punto crtico del sistema
Suplantacin de identidad. Aplicacin de gestin de datos Sistema de Informacin Introduccin de datos incorrectos. Borrado de datos. Suplantacin de identidad. Introduccin de datos incorrectos. Suplantacin de identidad.
Media-Baja
Media-Alta Media.
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos
Media
Media Identificacin de usuario (categora) y contrasea Identificacin doble primero por categora, y luego por usuario y contrasea Limitacin de acceso a las instalaciones de la organizacin.
InformacinGestin
Media-Alta
InformacinGestin
Alta
Robo InformacinGestin Destruccin
Media-Alta
Se reduce al mnimo.
Activo Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Nivel
Amenaza Acceso no permitido a la comunicacin.
Salvaguarda Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea
Intrnseca Alta
Vulnerabilidad Efectiva Residual Se reduce totalmente. -
Media
Media-Alta
Muy Alta.
Media-Alta
Seguidamente, se muestran los impactos asociados a cada activo y las salvaguardas que se les aplica:
Activo
Amenaza Robo
Impacto Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 420 Reduccin de Disponibilidad Coste mximo: 420 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste: 900 Reduccin de Disponibilidad Coste mximo: 900 Reduccin Disponibilidad: Coste mximo: 250 Reduccin de Confidencialidad Reduccin de Disponibilidad Coste mximo: 65 Reduccin de Disponibilidad Coste mximo: 65
Salvaguarda Contratar seguro Mantenimiento Contratar seguro Mantenimiento y copias de seguridad Contratar seguro Mantenimiento Restaurar copias Contratar seguro
Consecuencias Recuperacin de coste Ahorro de coste Aumento de Disponibilidad Recuperacin de coste
Pocket PC
Ataque fsico Avera Robo
PC
Ataque fsico. Avera Ataque fsico Ahorro de coste Aumento de Disponibilidad Ahorro de coste Ahorro de coste Aumento de Disponibilidad Aumento de Disponibilidad Aumento de Disponibilidad
Impresora Avera Armario en el que se guarden los documentos oficiales impresos Robo (de su interior) Ataque fsico
Amenaza Acceso no permitido. Modificacin de datos malintencionada. Suplantacin identidad. de
Impacto Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin
Salvaguarda Bloquear acceso a la base de datos Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Comprobacin de destino Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Papelera de reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Eleccin adecuada de contraseas Eleccin adecuada de contraseas Restaurar copias
Consecuencias Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Autenticacin
Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad Aumento de Integridad Aumento de Disponibilidad Aumento de Autenticacin Aumento de Integridad
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC Relaciones entre datos
de
Introduccin de datos incorrectos. Suplantacin identidad. Suplantacin identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. de
Reduccin de Integridad. Reduccin de Confidencialidad Reduccin de Integridad Reduccin de Disponibilidad Reduccin de Autenticacin Reduccin de Confidencialidad Reduccin de Confidencialidad Reduccin de Disponibilidad
Aumento de Integridad Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin
de
Aumento de Disponibilidad
Aumento de Confidencialidad
la
Aumento de Integridad
Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Autenticacin
En funcin de las dos tablas anteriores se evala el riesgo, para ms detalles sobre la obtencin de las valoraciones consulte el desarrollo de MAGERIT:
Activo
Nivel
Amenaza
Salvaguarda vulnerabilidad Proteccin del equipo en el campo Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento su Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos. Identificacin por usuario (categora) y contrasea. Datos de apoyo.
Salvaguarda impacto
Riesgo efectivo
Robo Pocket PC Entorno Ataque fsico Avera Robo PC Entorno Ataque fsico. Avera
Contratar seguro
Mnimo
Mximo Alto Alto
Entorno
Ataque fsico Avera Robo (de interior) Ataque fsico Acceso permitido. no
Mnimo Alto
Entorno
Entorno
Medio
Suplantacin de identidad. Introduccin de datos incorrectos. Descarga de datos en destino inapropiado. Aplicacin de gestin de datos
Mnimo
Suplantacin de identidad. Introduccin de datos incorrectos.
Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos
Medio
Activo
Nivel
Amenaza Borrado datos. de
Salvaguarda vulnerabilidad Comprobacin de permisos.
Salvaguarda impacto Papelera de reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos Eleccin adecuada de contraseas Eleccin adecuada de contraseas
Riesgo efectivo Mnimo Mnimo
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin
InformacinGestin
Medio
Medio
InformacinGestin InformacinGestin
Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea Comprobacin de origen Restaurar copias
Mnimo -
Mnimo
Alto
Medio
Se puede observar que algunos riesgos estn por encima del umbral permitido, a continuacin se procede a su tratamiento.
Tratamiento de riesgos por encima del umbral establecido

Para rebajar el nivel de los riesgos se dar un primer paso la especificacin de los mecanismos de salvaguarda que las implementarn las funciones de salvaguarda identificadas anteriormente:
Activo
Amenaza
Salvaguarda vulnerabilidad Proteccin del equipo en el campo
Salvaguarda impacto
Mecanismo impacto
Robo Pocket PC Ataque fsico Avera Robo PC Ataque fsico. Avera
Medida: portar el equipo en todo momento.
Contratar seguro
Contratar seguro
Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Mantenimiento Limitacin de acceso a las instalaciones de la organizacin Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin por usuario y contrasea. Datos de apoyo Reconocimiento de destino, si el destino no es conocido no se borran los datos.
Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante Cierre de instalaciones bajo llave
Contratar Servicio Contratar seguro Contratar Servicio y copias de seguridad Contratar seguro Contratar Servicio Volver a generar o pedir una copia de cada documento Contratar seguro
Ataque fsico Impresora Avera Armario en el que se guarden los documentos oficiales impresos Robo (de su interior) Ataque fsico Acceso no permitido. SGBD (Sistema Gestor de Base de Datos)
Suplantacin de identidad. Aplicacin de captura de datos Introduccin de datos incorrectos.
Identificacin por usuario y contrasea. Definicin de posibles valores para aquellos datos que lo permitan La orden de borrado de datos la emitir la aplicacin de gestin, es decir, depender del destino no del origen.
Recomendaciones sobre eleccin de contraseas Integridad referencial de la base de datos del Pocket PC
Descarga de datos en destino inapropiado.
No necesario.
Activo
Salvaguarda vulnerabilidad Identificacin por usuario (categora) y contrasea. Datos de apoyo. Comprobacin de permisos.
Mecanismo vulnerabilidad Identificacin por categora de usuario y contrasea. Definicin de posibles valores para aquellos datos que lo permitan No se mostrarn las operaciones para las que el usuario activo no tenga permisos.
Salvaguarda impacto Eleccin adecuada contraseas de
Mecanismo impacto Recomendaciones sobre difusin de contraseas. Integridad referencial de la base de datos del sistema Almacenamiento temporal de datos borrados y solicitud de confirmacin para el borrado definitivo. Recomendaciones sobre eleccin de contraseas Integridad referencial de la base de datos del Pocket PC Recomendaciones sobre difusin de contraseas. Recomendaciones sobre eleccin de contraseas Recomendaciones sobre difusin de contraseas.
Comprobacin de integridad en la base de datos Papelera reciclaje Eleccin adecuada de contraseas Comprobacin de integridad en la base de datos de
Identidad del usuario Datos capturados esta sesin Datos de apoyo de esta sesin Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD) Documentos oficiales impresos para ser enviados Documentos oficiales recibidos Transferencia de datos de apoyo desde el PC hacia el Pocket PC. Transferencia de datos capturados desde el Pocket PC hacia el PC
Identificacin por categora de usuario y contrasea. Doble control; identificacin de categora e identificacin de usuario.
Eleccin adecuada de contraseas Eleccin adecuada de contraseas
Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin. Transferencia por unin fsica. Seales de dispositivos listos, funcionamiento de transaccin (un fallo anula la transferencia entera). Seguimiento de metodologas para la definicin del modelo de datos. Comprobacin de origen Cierre de instalaciones y armario bajo llave. Restaurar copias
Volver a generar copia de los documentos. Volver a pedir copia de los documentos. La transferencia la dirigir la aplicacin de gestin, es decir, slo la podr llevar a cabo un origen vlido.
Cable punto a punto.
Error en la comunicacin.
Ser necesario alcanzar un estado de sincronizacin (conexin de ambos dispositivos) antes de iniciar la transferencia.
Un fallo en la transferencia anula todos los cambios introducidos por la misma.
Error en la definicin del modelo de datos.
Definicin del modelo de datos de acuerdo con alguna de las metodologas existentes.
Requerimiento de conocimientos en desarrollo de software para los miembros del equipo de desarrollo.
Activo
Amenaza
de
Salvaguarda vulnerabilidad Limitacin de acceso al sistema y normas de seguridad (acceso a los datos siempre a travs del sistema). Identificacin de usuario (categora) y contrasea
Salvaguarda impacto
Mecanismo impacto
Recomendaciones sobre difusin de contraseas
El siguiente paso es evaluar el riesgo resultante al combinar los mecanismos de salvaguarda tanto de la vulnerabilidad como del impacto asociados a cada para activoamenaza. Esta tarea se llevar a cabo nicamente para aquellos riesgos por encima del umbral establecido puesto que los que estn por debajo se consideran controlados.
Activo Amenaza Robo PC Ataque fsico. Avera Acceso permitido. SGBD (Sistema Gestor de Base de Datos) no Acceso al mediante contrasea. PC Mecanismo vulnerabilidad Cierre de instalaciones bajo llave Seguir recomendaciones del fabricante Mecanismo impacto Contratar seguro Mantenimiento y copias de seguridad Acceso desde fuera del sistema bajo contrasea slo en conocimiento de una persona designada por la organizacin. Recomendaciones sobre difusin de contraseas. Recomendaciones sobre difusin de contraseas. Recomendaciones sobre eleccin de contraseas Recomendaciones sobre difusin de contraseas. Acceso desde fuera del sistema bajo contrasea slo en conocimiento de una persona designada por la organizacin. Recomendaciones sobre difusin de Consecuencias Aumento de Confidencialidad Recuperacin de coste Aumento de Disponibilidad Recuperacin de coste Valoracin previa del riesgo Mximo Alto Alto Alto Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad Valoracin efectiva del riesgo Alto Bajo Bajo Bajo
Medio
Mnimo
Aplicacin de gestin de datos Datos almacenados (incluidos los de apoyo) Datos personales (LORTAD)
Suplantacin de identidad. Suplantacin de identidad.
Identificacin por categora de usuario y contrasea. Identificacin por categora de usuario y contrasea. Doble control; identificacin de categora e identificacin de usuario.
Aumento de Confidencialidad Aumento de Autenticacin Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad
Medio
Bajo
Medio
Bajo
Medio
Bajo
Acceso al mediante contrasea.
PC
Aumento de Confidencialidad Aumento de Autenticacin Aumento de Integridad Aumento de Disponibilidad Aumento de Confidencialidad Aumento de Integridad
Alto
Bajo
Identificacin por categora de
Medio
Bajo
Activo
Amenaza
Mecanismo vulnerabilidad usuario y contrasea.
Mecanismo impacto contraseas
Consecuencias Aumento de Disponibilidad
Valoracin previa del riesgo
Valoracin efectiva del riesgo
Como se puede observar, se ha conseguido rebajar hasta un nivel asumible todos los riesgos excepto el riesgo asociado al robo del PC. Resulta muy difcil reducir el nivel de riesgo asociado al robo del PC porque supone una reduccin dramtica de la confidencialidad, lo cual puede derivar en responsabilidades penales (LORTAD). Una posibilidad sera aumentar las medidas preventivas dotando a las instalaciones de un sistema de vigilancia, sin embargo, es preciso tener en cuenta que la contratacin de un servicio de vigilancia supondra un gasto elevado. Teniendo en cuenta las caractersticas de las actividades que llevar a cabo la organizacin (sin nimo de lucro) y la informacin que almacenar (referente al anillamiento de aves) se estima que la motivacin de cometer un delito para acceder a dicha informacin es escasa. En conclusin, una vez analizado el coste y la motivacin de materializar la amenaza se estima que no ser necesario aumentar el nivel de proteccin del PC (activo) contra un robo (amenaza).
Implantacin de Mecanismos de Salvaguarda

En primer lugar se agrupan y especifican los mecanismos de salvaguarda: Mecanismos que acarrean coste econmico directo. o Contratar un seguro para Pocket PC, PC, impresora y armario de documentos. La contratacin de un seguro permitir la recuperacin del coste asociado a tener que reponer algn elemento (en caso de robo) o a su reparacin (en caso de ataque fsico). El coste de contratar este seguro ser de 85 . o Contratar un servicio de mantenimiento para Pocket PC, PC e impresora. La contratacin de un servicio de garanta, es decir ms all del periodo estipulado tras la compra de un producto, permitir la recuperacin del coste asociado a la reparacin de cualquier avera. El coste de contratar este servicio de mantenimiento de los equipos ser de 000 . Mecanismos de comportamiento. o Portar el Pocket PC en todo momento en el campo. o Seguir recomendaciones del fabricante para el mantenimiento de Pocket PC, PC e impresora. o Cierre con llave de instalaciones y armario de documentos de la organizacin. o Realizar copias de seguridad de los datos de forma habitual. o Acceso al PC mediante contrasea. o Correcta eleccin y difusin (en su caso) de contraseas. Las contraseas de las categoras para el acceso a la aplicacin de gestin sern conocidas por todos los usuarios pertenecientes a dicha categora, es responsabilidad de stos no hacrsela llegar usuarios de categoras inferiores. o Uso de un cable (punto a punto) para la transferencia entre Pocket PC y PC. El uso de un cable directo evita el acceso no autorizado a la comunicacin. Mecanismos integrados en la funcionalidad del sistema.
o Restaurar copias de documentos impresos. Volver a generar los documentos en la aplicacin de gestin e imprimirlos. o Definir posibles valores cuando los datos lo permitan. Definicin de los denominados datos de apoyo para evitar errores en la introduccin de los mismos. o Integridad referencial de la base de datos del Pocket PC y de la del sistema. Se tendr en cuenta en la definicin del modelo de datos. o Funciones de identificacin de usuario y de categoras para el acceso a las aplicaciones de captura y gestin y a los registros de datos personales. Su integracin como restricciones funcionales se especifica en el Informe de Planificacin de Anlisis y Gestin de Riesgos. o Control de la transferencia de datos por parte de la aplicacin de gestin. La aplicacin de gestin ser la encargada de ordenar el borrado de datos en el Pocket PC una vez completada la transferencia, por lo que depende del subsistema de gestin y no del de captura el borrado de los datos minimizndose el riesgo de descargar los datos en un destino inapropiado. Adems se garantiza que el origen de los datos de apoyo transferidos al Pocket PC sea el apropiado puesto que esta operacin slo la puede realizar la aplicacin de gestin. o Dar a la transferencia de datos tratamiento de transaccin. Si hay algn fallo durante la transferencia se deshacen todos los cambios realizados y ser necesario reiniciarla. Mecanismos adicionales. o Controlar el acceso a la base de datos desde fuera del sistema con contrasea, que slo conocer el responsable que determine la organizacin. De este modo se evita el acceso no controlado a la base de datos, ser responsabilidad de la persona designada cualquier acceso a la base de datos que no se haya realizado desde el sistema de informacin. Mecanismos ajenos al sistema. o Pedir copias de documentos recibidos. Las copias perdidas de documentos oficiales deben ser pedidas de nuevo a los organismo pertinentes atenindose a sus normas.
Y finalmente se define el plan de implantacin: No se llevar a cabo planificacin especfica de la implantacin de mecanismos de salvaguarda puesto que la seguridad se integr en el desarrollo del sistema. As, los mecanismo integrados en la funcionalidad del sistema ser implantados conforme avance el desarrollo del sistema, la implantacin de los mecanismos de comportamiento se integrar en las tareas de formacin, los mecanismos ajenos al sistema no precisarn de implantacin y finalmente, los mecanismos de coste econmico (contratacin de un seguro y un servicio de mantenimiento) y los adicionales (acceso a la base de datos desde fuera del sistema bajo contrasea) sern implantados una vez desarrollado el sistema como tareas de paso a produccin.

Magerit

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Magerit

Uploaded by

Copyright:

Available Formats

MAGERIT: Anlisis y Gestin de riesgos

ETAPA 1: Planificacin del Anlisis y Gestin de Riesgos

ETAPA 2: Anlisis de Riesgos

Planos y distribucin geogrfica pertinentes en materia de riesgos.

Impresora Armario en el que se guarden los documentos oficiales impresos

Disponibilidad Confidencialidad Disponibilidad

Activo SGBD (Sistema Gestor de Base de Datos)

Estado de seguridad Confidencialidad Disponibilidad Integridad Autenticacin Integridad Disponibilidad

Aplicacin de captura de datos

Aplicacin de gestin de datos

InformacinCaptura InformacinCaptura InformacinCaptura InformacinGestin InformacinGestin InformacinGestin InformacinGestin

Integridad Integridad Disponibilidad Confidencialidad

Funcionalidades de la organizacin Funcionalidades de la organizacin

Nivel Entorno Entorno Entorno Entorno Entorno

Autenticacin Mxima Mxima Mxima Mxima Mxima Mxima Muy Alta -

Funcionalidades de la organizacin Funcionalidades de la organizacin

Funcionalidades de la organizacin Funcionalidades de Administracin de permisos la organizacin Resumen Funcionalidades de la organizacin

Activo SGBD (Sistema Gestor de Base de Datos)

Amenaza Acceso no permitido.

Entorno Modificacin de malintencionada.

Descarga de datos destino inapropiado.

Funcionalidades de la organizacin Error en la comunicacin.

Intencin de invalidar la actividad de la organizacin. Intencin de obtener ms permisos de los estipulados.

Actividad 4: Identificacin y Estimacin de VULNERABILIDADES

Intrnseca Muy baja el entorno el que realiza actividad. Muy baja. en en se la

Proteccin del equipo en el campo

Activo Armario en el que se guarden los documentos oficiales impresos

Amenaza Robo (de interior) Ataque fsico Acceso permitido. no su

Intrnseca Muy baja, no existen motivaciones. Muy baja. Muy Alta.

SGBD (Sistema Gestor de Base de Datos)

Modificacin de datos malintencionada. Suplantacin de identidad.

Aplicacin de captura de datos

Introduccin de datos incorrectos. Descarga de datos en destino inapropiado.

InformacinCaptura InformacinCaptura InformacinCaptura

Identificacin por usuario y contrasea.

Se reduce en gran medida

Se reduce en gran medida

Robo InformacinGestin Destruccin

Amenaza Acceso no permitido a la comunicacin.

Vulnerabilidad Efectiva Residual Se reduce totalmente. -

Funcionalidades de la organizacin Error en la comunicacin.

Se reduce su efecto totalmente.

Se reduce todo lo posible.

Acceso no permitido a la base de datos.

Se reduce aunque no lo suficiente.

Se propone el bloqueo del acceso a base de datos

Se reduce en gran medida

Entorno Ataque fsico Avera Robo

Impresora Armario en el que se guarden los documentos oficiales impresos

Aplicacin de captura de datos

Aplicacin de gestin de datos

Suplantacin de identidad. Introduccin incorrectos. de datos

Suplantacin de identidad. Robo Destruccin Robo Destruccin Acceso no permitido a la comunicacin.

Funcionalidades de la organizacin Funcionalidades de la organizacin

Cuantitativas N1, N2 N1, N2 N1, N2, N3 N1, N2 N1 N1 N1

Impresora Armario en el que se guarden los documentos oficiales impresos

Activo SGBD (Sistema Gestor de Base de Datos)

Cuantitativas N2, N3 N2, N3 N2 N2 N2 N2, N3 N2, N3

Consecuencias Cualitativas orgnicas L2 L2 L2 L2 L2 L2

Cualitativas funcionales SC SI, SD SA SI SD SC, SA SI SI, SD

Aplicacin de captura de datos

L2 SI, SA N2 L2 L2 N2, N3 N2, N3 L2 L2 SI SC, SI, SD SA, SC

Muy Alto Muy Alto Crtico Crtico Alto

Medio Medio Bajo Muy Alto