Riesgos Y Amenazas Auditoria De Sistemas.xlsx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Riesgos Y Amenazas Auditoria De Sistemas.xlsx as PDF for free.
More details
- Words: 4,553
- Pages: 52
RIESGOS, AMENAZAS Y VULNERABILIDADES DE LOS SISTEMAS DE INFORMACION GEOGRAFICA Ángela Dayana Rojas Mora, Duvan Ernesto Castro Bolaños
Programa de Ingeniería de Sistemas, Facultad de Ingeniería, Universidad Católica de Colombia Bogotá D.C., Colombia [email protected] [email protected]
Resumen - El siguiente documento demuestra el análisis y la identificación de los riesgos, amenazas y vulnerabilidades para los sistemas de información geográfica, inicialmente se definirán los términos que componen los sistemas de información geográfica y se determinara cada uno de los pasos para poder realizar el análisis de riesgo, definiendo que es amenaza, riesgo, vulnerabilidad e impacto, se revisara la norma ISO 27001 y ISO 27005, para diseñar las matrices de vulnerabilidades vs amenazas y análisis de riesgo, y así definir un control de riesgo para los sistemas de información geográfica. Al final del documento se determinara que avances han tenido los sistemas de información geográfica en Colombia. Palabras claves: Riesgo, Amenaza, Vulnerabilidad, ISO, GIS, GPS Abstract – The following document shows the analysis and identification of risks, threats and vulnerabilities for geographic information systems. It initially defines the terms that make geographic information systems and determines each of the steps to perform risk analysis, by defining what threat, risk, vulnerability and impact is, ISO 27001 and ISO 27005 standards are taken into account to design matrices vulnerabilities versus threats and risk analysis, and in that way defining risk control for geographic information systems. At the end of the document the development of geographic information systems in Colombia will be determined. Keywords: Risk, Threat, Vulnerability, ISO, GIS, GPS I. INTRODUCCIÓN La investigación que se va a realizar tiene como fin dar a conocer las debilidades que presentan los sistemas de información geográfica (SIG), las amenazas a las que está expuesto y los impactos relativos del riesgo. Los sistemas de información geográfica son muy populares en la actualidad y a su vez de gran importancia en la sociedad, especialmente en los ámbitos donde se requiere el manejo de datos geográficos. Se identificaran las vulnerabilidades, amenazas y riesgos en los sistemas de información geográfica, y se documentara cuáles son los avances de los sistemas de información geográfica en Colombia. II. SISTEMAS DE INFORMACIÓN GEOGRAFICA. Son la integración organizada de hardware, software y datos geográficos diseñada para capturar, almacenar, manipular, analizar y
desplegar en todas sus formas la información geográficamente referenciada con el fin de resolver problemas complejos de planificación y de gestión. Funciona como una base de datos con información geográfica (datos alfanuméricos) que se encuentra asociada por un identificador común a los objetos gráficos de un mapa digital. De esta forma, señalando un objeto se conocen sus atributos e, inversamente, preguntando por un registro de la
OS SISTEMAS DE
Universidad Católica de Colombia
ntificación de los riesgos, amenazas y icialmente se definirán los términos minara cada uno de los pasos para iesgo, vulnerabilidad e impacto, se ices de vulnerabilidades vs amenazas temas de información geográfica. Al istemas de información geográfica en
ification of risks, threats and fines the terms that make geographic risk analysis, by defining what threat, dards are taken into account to design hat way defining risk control for development of geographic
base de datos se puede saber su localización en la cartografía [1]. III. ANÁLISIS DE RIESGOS Se identifican las amenazas, vulnerabilidades y riesgos, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad. Fig. 1 Proceso de gestión de riesgo
A.IMPACTO
Es la consecuencia para un activo de la materialización de una amenaza. B.RIESGOS
Es la posibilidad de que se produzca un impacto determinado a un activo. C.AMENAZAS
Es el evento que puede desencadenar un incidente de la organización, produciendo daños o pérdidas materiales en sus activos. D.VULNERABILIDADES
Es la debilidad de un activo que puede ser explotado por una amenaza para materializar una agresión sobre dicho activos, se clasifica en alta, media y baja E.DETERMINACIÓN DE LA PROBABILIDAD
Se determina la probabilidad que una vulnerabilidad pueda ser explotada por una amenaza, pueden manejar diferentes tipos de clasificación. Se tienen en cuenta los siguientes factores: Fuente de la amenaza y su capacidad Naturaleza de la vulnerabilidad F.ANÁLISIS DE IMPACTO Y FACTOR RIESGO
Se determina el impacto adverso para la organización, como resultado de la explotación por parte de una amenaza de una determinada vulnerabilidad, se pueden considerar los siguientes aspectos: Consecuencias de tipo financiero, es decir pérdidas causadas sobre un activo físico o lógico determinado y las consecuencias que
este activo no funcione, y afecte la operación de la compañía. La importancia crítica de los datos y el sistema (importancia a la organización). Sensibilidad de los datos y el sistema. IV.DISEÑO MATRICES Para realizar el análisis fue necesario detectar cómo funcionan los sistemas de información geográfica y cuáles son sus componentes principales, se definió que los GIS son encargados de digitalizar y almacenar la información que es recolectada por los GPS y transmitida a través de señales por medio satélites o de forma manual; debido a este funcionamiento se concluyó que los GPS son una de las herramientas principales de los GIS, pero presentan vulnerabilidades, riesgos y amenazas diferentes, lo que nos llevó a hacer un análisis de cada uno por separado de la siguiente forma: El análisis que se realizó a GIS, fue con base a la información que manejan, que tipo de seguridad deben de tener por el nivel de confidencialidad en los datos obtenidos. El análisis que se realizado a GPS, fue con base a la información que recolectan, como puede ser capturada y manipulada las señales que transmiten esta información Para determinar el análisis de riesgo se diseñaron 4 matrices divididas en dos grupos, matriz de vulnerabilidades vs amenazas y matriz de análisis de riesgo. V.MATRIZ VULNERABILIDADES VS AMENAZAS Para detectar las amenazas y las vulnerabilidades para cada sistema GIS y GPS se revisó la norma ISO 27001 y 27005.
Indentificación de riesgos Estimación de riesgo Valoración de riesgo
A. MATRIZ VULNERABILIDADES VS AMENAZAS GIS
Durante la revisión y detección de las amenazas y vulnerabilidades que afectan el sistema GIS, se detectaron: Amenazas = 93 Vulnerabilidades = 83 Las siguientes graficas muestran el número de amenazas que afecta cada vulnerabilidad del sistema GIS
Fig. 5 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Hardware GIS Fig. 2 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Comunicaciones GIS
Fig. 6 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Software GIS Fig. 3 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio ambiente e Infraestructura GIS
Fig. 4 Numero de amenazas que afecta cada Vulnerabilidad del grupo Personal GIS
Fig. 7 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Documentos/Datos GIS
B. MATRIZ VULNERABILIDADES VS AMENAZAS GPS
Durante la revisión y detección de las amenazas y vulnerabilidades que afectan el sistema GPS, se detectaron: Amenazas = 64 Vulnerabilidades = 69 Las siguientes graficas muestran el número de amenazas que afecta cada vulnerabilidad del sistema GPS
Fig.8 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio Ambiente e Infraestructura GPS
Fig. 9 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Personal GPS
Fig. 10 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Hardware GPS
Fig. 11 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Software GPS
Fig. 12 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Comunicaciones GPS
VI. MATRIZ ANÁLISIS DE RIESGOS Se diseñara una matriz de análisis de riesgo que analizará el impacto que tendría una probabilidad de amenaza sobre un activo, esta matriz será enfocada a los sistemas de información geográfica y será dividida en dos matrices (matriz análisis de riesgo GIS y matriz análisis de riesgo GPS) En la Tabla 1, se definirán los valores que calificaran la probabilidad de amenaza contra cada activo y la Tabla 2 la magnitud de daño de cada activo contra la amenaza detectada, al multiplicar entre si estos valores se obtendrá un valor automáticamente que nos informara el nivel de impacto que tendría la amenaza sobre el activo identificado, como lo informa el rango de valores de la Tabla 3. TABLA 2 RANGO DE VALORES PROBABILIDAD AMENAZAS TABLA 3 RANGO DE VALORES NIVEL DE IMPACTO Nivel de Impacto
A. MATRIZ ANÁLISIS DE RIESGO GIS
El proceso de identificación de riesgos estuvo determinado por la realización previa de los siguientes pasos: TABLA 1 Rango Valores Magnitud del Daño Baja Mediana Alta Magnitud del daño
1 2 3
Baja Mediana Alta Probabilidad amenaza 1 2 3 Bajo Medio Alto 123456789
Identificación y clasificación de los activos: La identificación de los activos contempla todos los elementos necesarios para mantener estable el SIG. Los activos fueron clasificados en 3 categorías: >Sistemas: Hace referencia a activos de hardware y software que pertenecen y pueden ser afectados en el sistema GIS.
>Personal: Los activos de este grupo hace referencia a labores que realizan personas que pueden ser afectadosS en el sistema GIS. >Datos e Información: Los activos de este grupo son los más delicados y vulnerables en la matriz de riesgos, porque son los que van a almacenar y manejar la información que es obtenida por los GPS y otros medios de información Identificación y clasificación de las amenazas: Las amenazas fueron identificadas y clasificadas en las siguientes clases: >Origen Físico: Estas amenazas están enfocadas a amenazas que provienen de desastres ambientales, degradación o fallas físicas en el sistema GIS.
>Nivel Usuario: Estas amenazas están enfocadas hacia los errores que pueda causar un usuario sobre los activos del sistema en el sistema GIS. >Nivel Hardware: Estas amenazas están enfocadas a diferentes fallas que puedan presentar los componentes de hardware del sistema GIS. >Nivel Datos: Estas amenazas se enfocan en la información y datos del sistema GIS que pueden estar expuestos a un acceso no autorizado, una alteración, entre otros. >Nivel Software: Dentro de esta clase se encuentran amenazas enfocadas a errores de diseño, pruebas e implementación de software del sistema GIS. >Nivel Infraestructura: Dentro de esta clase se encuentran amenazas enfocadas a problemas de organización en la parte de v
d n o r c e o i e a e p e M
infraestructura que puede ocasionar perjuicios al sistema GIS >Políticas: Estas amenazas están enfocadas en la falta de normas y reglas de la organización de las cuales pueden llegar a tener un gran riesgo los activos del sistema GIS >Redes: Estas amenazas están enfocadas a fallas de seguridad en el acceso y transmisión a través de la red del sistema GIS >Acceso: Dentro de esta clase se presentan
amenazas de acceso de personal no autorizado al sistema GIS AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
NIVEL DE
USUARIO
ORIGEN FISICO
gone•
2
1 2 2 2 2 2 2 3 2 2
Programas de comunicación
2 4 2 2 4 4
4 4 4 4 6 4 4 Programas de Produccion de
datos
2 4 2 2 4 4 4 4 4 4 6 4 4
Portatiles
3 6 3 3 6 6 6 6 6 6 9 6 6
Computadoras
3
6 1 3 3 6 6 6 6 6 6 9 6 6 Servidores
3 6 3 3 6 6 6 6 6 6 9 6 6
Cortafuegos
1 2 1 1 2 2 2 2 2 2 3 2 2 Equipos de Red Inalambrica
3 6 3 3 6 6 6
6 6 6 9 6 6 Equipos de red cableada
2 4 2 2 4 4 4 4 4 4 6 4 4
Informatica/soporte Interno
3 6 3 3 6 6 6 6 6 6 9 6 6 Soporte Tecnico Externo
3 6 3
3 6 6 6 6 6 6 9 6 6 Servicio de Limpieza de Planta
2 4 2 2 4 4 4 4 4 4 6 4 4 Servicio de Limpieza Externo
2 4 2 2 4 4 4 4 4 4 6 4 4 Correo electrónico
2 4 2 2 4 4 4 4 4 4 6
4 4 Bases de datos internos
3 6 3 3 6 6 6 6 6 6 9 6 6 Bases de datos externos
2 4 2 2 4 4 4 4 4 4 6 4 4 Página Web interna (Intranet)
2 4 2 2 4 4 4 4 4 4 6 4 4 Respaldos
3 6 3 3 6
6 6 6 6 6 9 6 6
Documentación, etc.)
2 4 2 2 4 4 4 4 4 4 6 4 4
Documentación, etc.)
2 4 2 2 4 4 4 4 4 4 6 4 4 Infraestructura (Planes,
DA,LDAP
3 6 3 3 6 6 6 6 6 6
9 6 6 Informática (Planes,
Sistemas de información no
institucionales
2 4 2 2 4 4 4 4 4 4 6 4 4 Navegación en Internet
3 6 3 3 6 6 6 6 6 6 9 6 6 Sistemas de autenticación
Servicio de tel voz ip para altos
funcionarios
1 2 1 1 2 2 2 2 2 2 3 2 2
Fig. 13 Matriz de Riesgo Gis para Origen Físico y Nivel de Usuario
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
B. MATRIZ ANÁLISIS DE RIESGO GPS
HARDWARE
HARDWARE DATO S SW INFRA.
DATO S
SW
INFRA.
B. MATRIZ ANÁLISIS DE RIESGO GPS
El proceso de identificación de riesgos estuvo determinado por la realización previa de los siguientes pasos: Identificación y clasificación de los activos: La identificación de los activos contempla todos los elementos necesarios para mantener estable los elementos que componen el sistema GPS. Los activos fueron clasificados en 2 categorías: >Personal: En estos activos se determinó todos aquellos elementos que hacen parte del personal que podrían intervenir en el funcionamiento de los GPS y donde las amenazas podrán tener un nivel de impacto. >Sistemas: En estos activos se determinó todos aquellos elementos que hacen parte del correcto funcionamiento de los GPS. Identificación y clasificación de las amenazas: Las amenazas fueron identificadas y clasificadas en las siguientes forma: >Origen Físico: Las amenazas identificadas para este grupo, son aquellas que puedan afectar los activos por elementos de carácter físico ya sea por un evento natural, por degradación o fallas eléctricas (véase >Actos Originados por Criminalidad: Las amenazas identificadas para este grupo son aquellas que pueden afectar los activos por situaciones como actos vandálicos, sabotaje, infiltraciones y ataques de hacker. >Infraestructura: Las amenazas identificadas para este grupo son aquellas que pueden afectar los activos por diferentes tipos de problemas. >Hardware: Las amenazas identificadas para
este grupo son aquellas que afectan los activos por errores, fallas o degradación. >Nivel de Usuario: Las amenazas identificadas para este grupo son aquellas que los activos por mal manejo, falta de capacitación o indiscreción de los usuarios. >Políticas: Las amenazas identificadas en este grupo van asociadas a la mala implementación o administración de seguridad para los activos >Redes: Las amenazas identificadas en este grupo son las que pueden afectar los activos
2 2 2 2 3 222222 2
Programas de comunicación
2 4 4 4 4 6 444444 4 datos
2 4 4 4 4 6 44 44 44 4
Portatiles
3 6 6 6 6 9 666666 6
Computadoras
3 6 6 6 6 9 666666 6
Servidores
3 6 6 6 6 9 666666 6
Cortafuegos
1 2 2 2 2 3 222222 2
Equipos de Red Inalambrica
3 6 6 6 6 9 666666 6
Equipos de red cableada
2 4 4 4 4 6 444444 4
Informatica/soporte Interno
3 6 6 6 6 9 66 66 66 6
Soporte Tecnico Externo
3 6 6 6
6 9 66 66 66 6
Servicio de Limpieza de Planta
2 4 4 4 4 6 44 44 44 4
Servicio de Limpieza Externo
2 4 4 4 4 6 44 44 44 4
Correo electrónico
2 4 4 4 4 6 444444 4
Bases de datos internos
3 6
6 6 6 9 666666 6
Bases de datos externos
2 4 4 4 4 6 444444 4
Página Web interna (Intranet)
2 4 4 4 4 6 444444 4
Respaldos
3 6 6 6 6 9 666666 6 Infraestructura (Planes,
Documentación, etc.)
2 4 4 4 4 6 44
44 44 4 Informática (Planes,
Documentación, etc.)
2 4 4 4 4 6 44 44 44 4 Sistemas de autenticación
DA,LDAP
3 6 6 6 6 9 66 66 66 6 institucionales
2 4 4 4 4 6 44 44 44 4
Navegación en Internet
3 6 6
6 6 9 666666 6 Servicio de tel voz ip para altos
funcionarios
1 2 2 2 2 3 22 22 22 2 Programas de Produccion de
Fig. 14 Matriz Análisis de Riesgo GIS para Hardware, Datos, Software e Infraestructura POLITICAS
REDES
ACCESO
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
insumos) recanisolos de verificación de normadeladbsis datos inadecuado críticos (odificar de datos b orrar rantet )
smisiónde no cifrada dede dato críticos redel (proceso personal
a evc c ete Pdid d dt o rr hdw ll d ft/oió Código Troyano ti p id d c 24 P
3 dc 2
au
2 ON ON ONa NpON ON ON hl 3 3 2 2 2
3
to Ex ec 2 cióóci
ióc Sistemas de información no
tit
x
2 6 id
4 no
4 6 6 4 4 4 6 6
s s Programas de comunicación
n e datos
in
poítica d eg 4 6 6 6 ge
4 es
4
6 6 6 4 4 4 6 6 da
6
Portatiles
3 inudo de 9 la
6 9 9 6 6 urad 6 6 6
9 9 Anii • • •
3 3 1 3 2 3 ític
6 sta
6
Computadoras
9 9 9 6 6
9 9 po
6
Servidores
9 pu
6 9 9 6 6
9 9 ónde2 6 de
2 ex
2
Cortafuegos
3 3
3 2 2 2 3 3 3 s Equipos de Red Inalambrica
oms y al
es
sy ea
m Equipos de red cableada
Informatica/soporte Interno
ón
6 ica
6
9 9 9 6 6 6 9 9 Fa d de nic 46 6 nic
4 mb
4
Programas de Produccion de
6 6 6 4 4 4 6
6
no
9 de
6 al
6 9 9 6 6 6 9 9 a Soporte Tecnico Externo
da
6 de
6
3 9 9 9 6 6 6 9 9 F F Servicio de Limpieza de Planta
F a
F
4
2 6 4 6 6 4 4 4 6 6 F
Servicio de Limpieza Externo
2 6 4 4 6 6 4 4 4 6 6
Correo electrónico
2 6 4 4 6 6 4 4 4 6 6
Bases de datos internos
3 9 6 6 9 9
6 6 6 9 9
Bases de datos externos
2 6 4 4 6 6 4 4 4 6 6
Página Web interna (Intranet)
2 6 4 4 6 6 4 4 4 6 6
Respaldos
3 9 6 6 9 9 6 6 6 9 9 Documentación, etc.)
2 6 4 4 6 6 4 4 4 6 6 Documentación, etc.)
2 6 4 4 6 6 4 4 4 6 6 Sistemas de autenticación
DA,LDAP
3 9 6 6 9 9 6 6 6 9 9 Infraestructura (Planes,
Sistemas de información no
institucionales
2 6 4 4 6
6 4 4 4 6 6
Navegación en Internet
3 9 6 6 9 9 6 6 6 9 9 Informática (Planes,
Servicio de tel voz ip para altos
funcionarios
1 3 2 2 3 3 2 2 2 3 3
Fig. 15 Matriz Análisis de Riesgo GIS para Políticas, Redes y Acceso
en transmisión de datos, redes inalámbricas, redes alámbricas a ser la base para poder mitigar, implementar y controlar los riesgos más impactantes o categorizados como un alto nivel de impacto. Los riesgos de menor impacto no serán analizados, porque su control es más elemental o puede ser innecesario realizarlo. En los cuadros de control de riesgo se determinada el tipo de seguridad afectada.
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
CRIMINALIDAD
INFRA
. ORIGEN FISICO
TABLA 4. TIPO DE SEGURIDAD Tipo de Seguridad Descripción Confidencialidad C D Disponibilidad I Integridad 22122122222332333312
Programas de comunicación
Programas de Produccion de
datos
33 23 33 31 2
VIII. AVANCES DE LOS SISTEMAS DE INFORMACIÓN GEOGRÁFICA EN COLOMBIA Portatiles
Computadoras
Servidores
ACTOS ORIGINADOS POR
Antenas receptoras
Equipos de red cableada
Durante los últimos 10 años ha habido varios avances en los sistemas de información geográfica en Colombia, han sido buenos y malos. Según un estudio de la Universidad de San Buenaventura en Colombia, los comienzos de GIS fueron hacia 1997, se determinó que GIS era costoso, complejo, lo consideraban una “ciencia”, sabían que era útil e indispensable, se importaba desde Estados Unidos y podía ser la cura de varios males en el país. Hacia el año 2000 por diferentes motivos (falta de implementación, capacitación y/o administración) no había grandes avances porque los modelos implementados no corrían, los costos no se compensaban y el sistema tenía muchas limitaciones. Hacia el año 2005 se comenzaron a tener mejores avances y prácticas para Colombia; los costos compensaban, se comenzó a trabajar en la herramienta como una ayuda para planeación y análisis, y aunque tenía limitaciones ya se podía trabajar con ellas. Actualmente GIS en Colombia se ha convertido en una herramienta indispensable porque permite planificar, analizar y ayudar a la
toma de decisiones, sus costos son bastantes inferiores, se puede importar, modificar y vender, y aunque tiene limitaciones es más fácil trabajar con ellas. Informatica/soporte Interno
33 23 33 31 2 Soporte Tecnico Externo
33 23 33 31 2 Servicio de Limpieza Interno
33 23 33 31 2 Servicio de Limpieza Externo
33 2333312
Fig. 16 Matriz Análisis de Riesgo GPS para Origen Físico, Actos Originados por Criminalidad e Infraestructura
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
HARDWARE
NIVEL DE USUARIO
POLITICAS
REDES
a 2 2 2 3 2 2 2 2 3 2 2 2 3 3 2
) 22
la
al Programas de comunicación
gal eg 2 6 al
fs 2
a
3
p
2 p
2 1 2 2 32 22
brecarga elcta (p ct
p
el
( ga
ar
re
6 aci
Electromagneismo 9 9 9 6 6 9 9 9 9 6 6 is
ne
6 4 4 6 ag
om
ctr
El
laci n sc
y
y
f
til
le
ió
ra
6 4 fi
Fala e vent ve
e
Fal
Allanaminto ( l l 6 4 4 6 6 ( nt
mi
na
llal
A
firaió
vi
Perecucón (c v 4 6 6 4 (c
ón
uc
ec
er
P
c nc a
ac
ac I
q
q
o
( j( j
S
sin
oables s p
ed
les
ab
R ld 4 4 2 2 2 2 lnte
2 2 2 12 1 1 1 1 2 2 2 2 2 322 2
d
no
es
li
lo
s
ds tics s
D ctraad)
de
po
da
ar
da
2 tic
2
nt
1 2
no
2
1 as
2 2 3222 pud te
u i
titi da
ar tar
2 am
1 dat de on o de
2
it
2
2 1 tizo a steas nteno st
2
2 3222
Programas de Produccion de
d un nu i
ui
o
c
2 ta
2 d
2
y e sismas heamnta 1
1
2 3222 y
neo
neo ds
o fp
da da
2
s,
2 s,
a
1
2 p
1 iz
2 2 3222 u
p
or
de
od t
c
e s
Fig. 17 Matriz Análisis de Riesgo GPS para Hardware, Nivel de Usuario, P
olíticas Redes y
d 12 12 12 12 2 g
2 2 2 2 d
dnc 21 21 21 21 m 122122122222332333312
12 366366366666996999936
366366366666996999936
366366366666996999936
244244244444664666624
244244244444664666624
366366366666996999936
366366366666996999936
244244244444664666624
244244244444664666624
12 12 12 122122122222 1233122213221223222
33 3699366639663669666
3699366639663669666
3699366639663669666
2466244426442446444
2466244426442446444
3699366639663669666
3699366639663669666
2466244426442446444
2466244426442446444
33 33 33 33 d 22 22 22 22 )
g
i
2 2 d 22 22 22 22 13 13 13 13 13 nfecc
Falta
M
Co
d alta
d Falta
alta d
VII. CONTROL DE RIESGOS n
Equipos de Red Inalambrica
Vehiculos
Satelites
Equipos de Topografia
22 22 22 22 datos
Portatiles
Computadoras
Servidores
Equipos de Red Inalambrica
Vehiculos
Satelites
Equipos de Topografia
Antenas receptoras
Equipos de red cableada
Informatica/soporte Interno
Soporte Tecnico Externo
Servicio de Limpieza Interno
Servicio de Limpieza Externo
1 2 1 2 P
a
) 1 1 1 1 h
2 2 2 2 E
E d alta
alta d
F F
En base a los datos obtenidos en el análisis de riesgo en GIS y GPS, se determina un control de riesgos para cada sistema, este control de riesgo va
IX. REFERENCIAS [1](2012) Sistemas de Información Geográfica website. [Online] Available: http://langleruben.wordpress.com [2]ISO/IEC 27001:2005, Tecnología de la Información – Técnicas de seguridad - Sistemas de gestión de Seguridad de la información – Requerimientos. ACIS. “Análisis y Gestión de Riesgos, Base Fundamental del SGSI [Online] Available: http://www.acis.org.co/fileadmin/Base de Conocimiento/VIII JornadaSeguri dad/17ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf
X. CONCLUSIONES. y' El manejo inadecuado de los recursos en el Sistema de Información Geográfica se presenta en un mayor grado por la falta de capacitación de sensibilización de riesgos, a lo cual se deben definir políticas de seguridad claras para cada uno de los activos y usuarios que hacen uso de ellos. y' Los controles de acceso impuestos a usuarios o sistemas contribuyen en gran medida en la disminución de los riesgos presentados ante los tres pilares de seguridad: confidencialidad, disponibilidad e integridad, la incorporación de estas medidas son eficientes siempre y cuando exista un seguimiento en las tareas de los usuarios y el funcionamiento de los sistemas. y' El masivo uso actual de los sistemas GIS y GPS hace prioritario conocer que tan vulnerables pueden ser estos sistemas. El presente trabajo muestra cómo se puede identificar y valorar los riesgos presentes en los sistemas descritos. Pero más importante aún es cuales pueden ser los controles recomendados con el fin de mitigarlos. y' Con el uso de tecnologías que apoyan los procesos de negocio en las empresas, vienen inherentes riesgos que deben ser identificados, valorados y tratados antes que estos se manifiesten, de no hacerlo se verán expuestos a daños y pérdidas considerables. y' Los avances de los sistemas información geográfica en Colombia demuestra que el uso de sus herramientas se han convertido de gran prioridad para la planificación, análisis y toma de decisiones en el campo ambiental,
territorial, estructural y en seguridad. RECONOCIMIENTO En primer lugar agradecemos a Dios por todas las bendiciones que nos otorgó a lo largo del transcurso del proyecto y de la carrera; a nuestras familias, por brindarnos su incondicional apoyo, por habernos formado con valores, y por las tantas pruebas de amor sin las cuales no hubiera sido posible afrontar este gran reto; de manera especial a las orientaciones del Ingeniero Jorge E. Carrillo, quien estuvo con nosotros de principio a fin en el desarrollo del proyecto, compartiéndonos sus conocimientos en el tema.
Programa de Ingeniería de Sistemas, Facultad de Ingeniería, Universidad Católica de Colombia Bogotá D.C., Colombia [email protected] [email protected]
Resumen - El siguiente documento demuestra el análisis y la identificación de los riesgos, amenazas y vulnerabilidades para los sistemas de información geográfica, inicialmente se definirán los términos que componen los sistemas de información geográfica y se determinara cada uno de los pasos para poder realizar el análisis de riesgo, definiendo que es amenaza, riesgo, vulnerabilidad e impacto, se revisara la norma ISO 27001 y ISO 27005, para diseñar las matrices de vulnerabilidades vs amenazas y análisis de riesgo, y así definir un control de riesgo para los sistemas de información geográfica. Al final del documento se determinara que avances han tenido los sistemas de información geográfica en Colombia. Palabras claves: Riesgo, Amenaza, Vulnerabilidad, ISO, GIS, GPS Abstract – The following document shows the analysis and identification of risks, threats and vulnerabilities for geographic information systems. It initially defines the terms that make geographic information systems and determines each of the steps to perform risk analysis, by defining what threat, risk, vulnerability and impact is, ISO 27001 and ISO 27005 standards are taken into account to design matrices vulnerabilities versus threats and risk analysis, and in that way defining risk control for geographic information systems. At the end of the document the development of geographic information systems in Colombia will be determined. Keywords: Risk, Threat, Vulnerability, ISO, GIS, GPS I. INTRODUCCIÓN La investigación que se va a realizar tiene como fin dar a conocer las debilidades que presentan los sistemas de información geográfica (SIG), las amenazas a las que está expuesto y los impactos relativos del riesgo. Los sistemas de información geográfica son muy populares en la actualidad y a su vez de gran importancia en la sociedad, especialmente en los ámbitos donde se requiere el manejo de datos geográficos. Se identificaran las vulnerabilidades, amenazas y riesgos en los sistemas de información geográfica, y se documentara cuáles son los avances de los sistemas de información geográfica en Colombia. II. SISTEMAS DE INFORMACIÓN GEOGRAFICA. Son la integración organizada de hardware, software y datos geográficos diseñada para capturar, almacenar, manipular, analizar y
desplegar en todas sus formas la información geográficamente referenciada con el fin de resolver problemas complejos de planificación y de gestión. Funciona como una base de datos con información geográfica (datos alfanuméricos) que se encuentra asociada por un identificador común a los objetos gráficos de un mapa digital. De esta forma, señalando un objeto se conocen sus atributos e, inversamente, preguntando por un registro de la
OS SISTEMAS DE
Universidad Católica de Colombia
ntificación de los riesgos, amenazas y icialmente se definirán los términos minara cada uno de los pasos para iesgo, vulnerabilidad e impacto, se ices de vulnerabilidades vs amenazas temas de información geográfica. Al istemas de información geográfica en
ification of risks, threats and fines the terms that make geographic risk analysis, by defining what threat, dards are taken into account to design hat way defining risk control for development of geographic
base de datos se puede saber su localización en la cartografía [1]. III. ANÁLISIS DE RIESGOS Se identifican las amenazas, vulnerabilidades y riesgos, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad. Fig. 1 Proceso de gestión de riesgo
A.IMPACTO
Es la consecuencia para un activo de la materialización de una amenaza. B.RIESGOS
Es la posibilidad de que se produzca un impacto determinado a un activo. C.AMENAZAS
Es el evento que puede desencadenar un incidente de la organización, produciendo daños o pérdidas materiales en sus activos. D.VULNERABILIDADES
Es la debilidad de un activo que puede ser explotado por una amenaza para materializar una agresión sobre dicho activos, se clasifica en alta, media y baja E.DETERMINACIÓN DE LA PROBABILIDAD
Se determina la probabilidad que una vulnerabilidad pueda ser explotada por una amenaza, pueden manejar diferentes tipos de clasificación. Se tienen en cuenta los siguientes factores: Fuente de la amenaza y su capacidad Naturaleza de la vulnerabilidad F.ANÁLISIS DE IMPACTO Y FACTOR RIESGO
Se determina el impacto adverso para la organización, como resultado de la explotación por parte de una amenaza de una determinada vulnerabilidad, se pueden considerar los siguientes aspectos: Consecuencias de tipo financiero, es decir pérdidas causadas sobre un activo físico o lógico determinado y las consecuencias que
este activo no funcione, y afecte la operación de la compañía. La importancia crítica de los datos y el sistema (importancia a la organización). Sensibilidad de los datos y el sistema. IV.DISEÑO MATRICES Para realizar el análisis fue necesario detectar cómo funcionan los sistemas de información geográfica y cuáles son sus componentes principales, se definió que los GIS son encargados de digitalizar y almacenar la información que es recolectada por los GPS y transmitida a través de señales por medio satélites o de forma manual; debido a este funcionamiento se concluyó que los GPS son una de las herramientas principales de los GIS, pero presentan vulnerabilidades, riesgos y amenazas diferentes, lo que nos llevó a hacer un análisis de cada uno por separado de la siguiente forma: El análisis que se realizó a GIS, fue con base a la información que manejan, que tipo de seguridad deben de tener por el nivel de confidencialidad en los datos obtenidos. El análisis que se realizado a GPS, fue con base a la información que recolectan, como puede ser capturada y manipulada las señales que transmiten esta información Para determinar el análisis de riesgo se diseñaron 4 matrices divididas en dos grupos, matriz de vulnerabilidades vs amenazas y matriz de análisis de riesgo. V.MATRIZ VULNERABILIDADES VS AMENAZAS Para detectar las amenazas y las vulnerabilidades para cada sistema GIS y GPS se revisó la norma ISO 27001 y 27005.
Indentificación de riesgos Estimación de riesgo Valoración de riesgo
A. MATRIZ VULNERABILIDADES VS AMENAZAS GIS
Durante la revisión y detección de las amenazas y vulnerabilidades que afectan el sistema GIS, se detectaron: Amenazas = 93 Vulnerabilidades = 83 Las siguientes graficas muestran el número de amenazas que afecta cada vulnerabilidad del sistema GIS
Fig. 5 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Hardware GIS Fig. 2 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Comunicaciones GIS
Fig. 6 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Software GIS Fig. 3 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio ambiente e Infraestructura GIS
Fig. 4 Numero de amenazas que afecta cada Vulnerabilidad del grupo Personal GIS
Fig. 7 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Documentos/Datos GIS
B. MATRIZ VULNERABILIDADES VS AMENAZAS GPS
Durante la revisión y detección de las amenazas y vulnerabilidades que afectan el sistema GPS, se detectaron: Amenazas = 64 Vulnerabilidades = 69 Las siguientes graficas muestran el número de amenazas que afecta cada vulnerabilidad del sistema GPS
Fig.8 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio Ambiente e Infraestructura GPS
Fig. 9 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Personal GPS
Fig. 10 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Hardware GPS
Fig. 11 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Software GPS
Fig. 12 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Comunicaciones GPS
VI. MATRIZ ANÁLISIS DE RIESGOS Se diseñara una matriz de análisis de riesgo que analizará el impacto que tendría una probabilidad de amenaza sobre un activo, esta matriz será enfocada a los sistemas de información geográfica y será dividida en dos matrices (matriz análisis de riesgo GIS y matriz análisis de riesgo GPS) En la Tabla 1, se definirán los valores que calificaran la probabilidad de amenaza contra cada activo y la Tabla 2 la magnitud de daño de cada activo contra la amenaza detectada, al multiplicar entre si estos valores se obtendrá un valor automáticamente que nos informara el nivel de impacto que tendría la amenaza sobre el activo identificado, como lo informa el rango de valores de la Tabla 3. TABLA 2 RANGO DE VALORES PROBABILIDAD AMENAZAS TABLA 3 RANGO DE VALORES NIVEL DE IMPACTO Nivel de Impacto
A. MATRIZ ANÁLISIS DE RIESGO GIS
El proceso de identificación de riesgos estuvo determinado por la realización previa de los siguientes pasos: TABLA 1 Rango Valores Magnitud del Daño Baja Mediana Alta Magnitud del daño
1 2 3
Baja Mediana Alta Probabilidad amenaza 1 2 3 Bajo Medio Alto 123456789
Identificación y clasificación de los activos: La identificación de los activos contempla todos los elementos necesarios para mantener estable el SIG. Los activos fueron clasificados en 3 categorías: >Sistemas: Hace referencia a activos de hardware y software que pertenecen y pueden ser afectados en el sistema GIS.
>Personal: Los activos de este grupo hace referencia a labores que realizan personas que pueden ser afectadosS en el sistema GIS. >Datos e Información: Los activos de este grupo son los más delicados y vulnerables en la matriz de riesgos, porque son los que van a almacenar y manejar la información que es obtenida por los GPS y otros medios de información Identificación y clasificación de las amenazas: Las amenazas fueron identificadas y clasificadas en las siguientes clases: >Origen Físico: Estas amenazas están enfocadas a amenazas que provienen de desastres ambientales, degradación o fallas físicas en el sistema GIS.
>Nivel Usuario: Estas amenazas están enfocadas hacia los errores que pueda causar un usuario sobre los activos del sistema en el sistema GIS. >Nivel Hardware: Estas amenazas están enfocadas a diferentes fallas que puedan presentar los componentes de hardware del sistema GIS. >Nivel Datos: Estas amenazas se enfocan en la información y datos del sistema GIS que pueden estar expuestos a un acceso no autorizado, una alteración, entre otros. >Nivel Software: Dentro de esta clase se encuentran amenazas enfocadas a errores de diseño, pruebas e implementación de software del sistema GIS. >Nivel Infraestructura: Dentro de esta clase se encuentran amenazas enfocadas a problemas de organización en la parte de v
d n o r c e o i e a e p e M
infraestructura que puede ocasionar perjuicios al sistema GIS >Políticas: Estas amenazas están enfocadas en la falta de normas y reglas de la organización de las cuales pueden llegar a tener un gran riesgo los activos del sistema GIS >Redes: Estas amenazas están enfocadas a fallas de seguridad en el acceso y transmisión a través de la red del sistema GIS >Acceso: Dentro de esta clase se presentan
amenazas de acceso de personal no autorizado al sistema GIS AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
NIVEL DE
USUARIO
ORIGEN FISICO
gone•
2
1 2 2 2 2 2 2 3 2 2
Programas de comunicación
2 4 2 2 4 4
4 4 4 4 6 4 4 Programas de Produccion de
datos
2 4 2 2 4 4 4 4 4 4 6 4 4
Portatiles
3 6 3 3 6 6 6 6 6 6 9 6 6
Computadoras
3
6 1 3 3 6 6 6 6 6 6 9 6 6 Servidores
3 6 3 3 6 6 6 6 6 6 9 6 6
Cortafuegos
1 2 1 1 2 2 2 2 2 2 3 2 2 Equipos de Red Inalambrica
3 6 3 3 6 6 6
6 6 6 9 6 6 Equipos de red cableada
2 4 2 2 4 4 4 4 4 4 6 4 4
Informatica/soporte Interno
3 6 3 3 6 6 6 6 6 6 9 6 6 Soporte Tecnico Externo
3 6 3
3 6 6 6 6 6 6 9 6 6 Servicio de Limpieza de Planta
2 4 2 2 4 4 4 4 4 4 6 4 4 Servicio de Limpieza Externo
2 4 2 2 4 4 4 4 4 4 6 4 4 Correo electrónico
2 4 2 2 4 4 4 4 4 4 6
4 4 Bases de datos internos
3 6 3 3 6 6 6 6 6 6 9 6 6 Bases de datos externos
2 4 2 2 4 4 4 4 4 4 6 4 4 Página Web interna (Intranet)
2 4 2 2 4 4 4 4 4 4 6 4 4 Respaldos
3 6 3 3 6
6 6 6 6 6 9 6 6
Documentación, etc.)
2 4 2 2 4 4 4 4 4 4 6 4 4
Documentación, etc.)
2 4 2 2 4 4 4 4 4 4 6 4 4 Infraestructura (Planes,
DA,LDAP
3 6 3 3 6 6 6 6 6 6
9 6 6 Informática (Planes,
Sistemas de información no
institucionales
2 4 2 2 4 4 4 4 4 4 6 4 4 Navegación en Internet
3 6 3 3 6 6 6 6 6 6 9 6 6 Sistemas de autenticación
Servicio de tel voz ip para altos
funcionarios
1 2 1 1 2 2 2 2 2 2 3 2 2
Fig. 13 Matriz de Riesgo Gis para Origen Físico y Nivel de Usuario
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
B. MATRIZ ANÁLISIS DE RIESGO GPS
HARDWARE
HARDWARE DATO S SW INFRA.
DATO S
SW
INFRA.
B. MATRIZ ANÁLISIS DE RIESGO GPS
El proceso de identificación de riesgos estuvo determinado por la realización previa de los siguientes pasos: Identificación y clasificación de los activos: La identificación de los activos contempla todos los elementos necesarios para mantener estable los elementos que componen el sistema GPS. Los activos fueron clasificados en 2 categorías: >Personal: En estos activos se determinó todos aquellos elementos que hacen parte del personal que podrían intervenir en el funcionamiento de los GPS y donde las amenazas podrán tener un nivel de impacto. >Sistemas: En estos activos se determinó todos aquellos elementos que hacen parte del correcto funcionamiento de los GPS. Identificación y clasificación de las amenazas: Las amenazas fueron identificadas y clasificadas en las siguientes forma: >Origen Físico: Las amenazas identificadas para este grupo, son aquellas que puedan afectar los activos por elementos de carácter físico ya sea por un evento natural, por degradación o fallas eléctricas (véase >Actos Originados por Criminalidad: Las amenazas identificadas para este grupo son aquellas que pueden afectar los activos por situaciones como actos vandálicos, sabotaje, infiltraciones y ataques de hacker. >Infraestructura: Las amenazas identificadas para este grupo son aquellas que pueden afectar los activos por diferentes tipos de problemas. >Hardware: Las amenazas identificadas para
este grupo son aquellas que afectan los activos por errores, fallas o degradación. >Nivel de Usuario: Las amenazas identificadas para este grupo son aquellas que los activos por mal manejo, falta de capacitación o indiscreción de los usuarios. >Políticas: Las amenazas identificadas en este grupo van asociadas a la mala implementación o administración de seguridad para los activos >Redes: Las amenazas identificadas en este grupo son las que pueden afectar los activos
2 2 2 2 3 222222 2
Programas de comunicación
2 4 4 4 4 6 444444 4 datos
2 4 4 4 4 6 44 44 44 4
Portatiles
3 6 6 6 6 9 666666 6
Computadoras
3 6 6 6 6 9 666666 6
Servidores
3 6 6 6 6 9 666666 6
Cortafuegos
1 2 2 2 2 3 222222 2
Equipos de Red Inalambrica
3 6 6 6 6 9 666666 6
Equipos de red cableada
2 4 4 4 4 6 444444 4
Informatica/soporte Interno
3 6 6 6 6 9 66 66 66 6
Soporte Tecnico Externo
3 6 6 6
6 9 66 66 66 6
Servicio de Limpieza de Planta
2 4 4 4 4 6 44 44 44 4
Servicio de Limpieza Externo
2 4 4 4 4 6 44 44 44 4
Correo electrónico
2 4 4 4 4 6 444444 4
Bases de datos internos
3 6
6 6 6 9 666666 6
Bases de datos externos
2 4 4 4 4 6 444444 4
Página Web interna (Intranet)
2 4 4 4 4 6 444444 4
Respaldos
3 6 6 6 6 9 666666 6 Infraestructura (Planes,
Documentación, etc.)
2 4 4 4 4 6 44
44 44 4 Informática (Planes,
Documentación, etc.)
2 4 4 4 4 6 44 44 44 4 Sistemas de autenticación
DA,LDAP
3 6 6 6 6 9 66 66 66 6 institucionales
2 4 4 4 4 6 44 44 44 4
Navegación en Internet
3 6 6
6 6 9 666666 6 Servicio de tel voz ip para altos
funcionarios
1 2 2 2 2 3 22 22 22 2 Programas de Produccion de
Fig. 14 Matriz Análisis de Riesgo GIS para Hardware, Datos, Software e Infraestructura POLITICAS
REDES
ACCESO
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
insumos) recanisolos de verificación de normadeladbsis datos inadecuado críticos (odificar de datos b orrar rantet )
smisiónde no cifrada dede dato críticos redel (proceso personal
a evc c ete Pdid d dt o rr hdw ll d ft/oió Código Troyano ti p id d c 24 P
3 dc 2
au
2 ON ON ONa NpON ON ON hl 3 3 2 2 2
3
to Ex ec 2 cióóci
ióc Sistemas de información no
tit
x
2 6 id
4 no
4 6 6 4 4 4 6 6
s s Programas de comunicación
n e datos
in
poítica d eg 4 6 6 6 ge
4 es
4
6 6 6 4 4 4 6 6 da
6
Portatiles
3 inudo de 9 la
6 9 9 6 6 urad 6 6 6
9 9 Anii • • •
3 3 1 3 2 3 ític
6 sta
6
Computadoras
9 9 9 6 6
9 9 po
6
Servidores
9 pu
6 9 9 6 6
9 9 ónde2 6 de
2 ex
2
Cortafuegos
3 3
3 2 2 2 3 3 3 s Equipos de Red Inalambrica
oms y al
es
sy ea
m Equipos de red cableada
Informatica/soporte Interno
ón
6 ica
6
9 9 9 6 6 6 9 9 Fa d de nic 46 6 nic
4 mb
4
Programas de Produccion de
6 6 6 4 4 4 6
6
no
9 de
6 al
6 9 9 6 6 6 9 9 a Soporte Tecnico Externo
da
6 de
6
3 9 9 9 6 6 6 9 9 F F Servicio de Limpieza de Planta
F a
F
4
2 6 4 6 6 4 4 4 6 6 F
Servicio de Limpieza Externo
2 6 4 4 6 6 4 4 4 6 6
Correo electrónico
2 6 4 4 6 6 4 4 4 6 6
Bases de datos internos
3 9 6 6 9 9
6 6 6 9 9
Bases de datos externos
2 6 4 4 6 6 4 4 4 6 6
Página Web interna (Intranet)
2 6 4 4 6 6 4 4 4 6 6
Respaldos
3 9 6 6 9 9 6 6 6 9 9 Documentación, etc.)
2 6 4 4 6 6 4 4 4 6 6 Documentación, etc.)
2 6 4 4 6 6 4 4 4 6 6 Sistemas de autenticación
DA,LDAP
3 9 6 6 9 9 6 6 6 9 9 Infraestructura (Planes,
Sistemas de información no
institucionales
2 6 4 4 6
6 4 4 4 6 6
Navegación en Internet
3 9 6 6 9 9 6 6 6 9 9 Informática (Planes,
Servicio de tel voz ip para altos
funcionarios
1 3 2 2 3 3 2 2 2 3 3
Fig. 15 Matriz Análisis de Riesgo GIS para Políticas, Redes y Acceso
en transmisión de datos, redes inalámbricas, redes alámbricas a ser la base para poder mitigar, implementar y controlar los riesgos más impactantes o categorizados como un alto nivel de impacto. Los riesgos de menor impacto no serán analizados, porque su control es más elemental o puede ser innecesario realizarlo. En los cuadros de control de riesgo se determinada el tipo de seguridad afectada.
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
CRIMINALIDAD
INFRA
. ORIGEN FISICO
TABLA 4. TIPO DE SEGURIDAD Tipo de Seguridad Descripción Confidencialidad C D Disponibilidad I Integridad 22122122222332333312
Programas de comunicación
Programas de Produccion de
datos
33 23 33 31 2
VIII. AVANCES DE LOS SISTEMAS DE INFORMACIÓN GEOGRÁFICA EN COLOMBIA Portatiles
Computadoras
Servidores
ACTOS ORIGINADOS POR
Antenas receptoras
Equipos de red cableada
Durante los últimos 10 años ha habido varios avances en los sistemas de información geográfica en Colombia, han sido buenos y malos. Según un estudio de la Universidad de San Buenaventura en Colombia, los comienzos de GIS fueron hacia 1997, se determinó que GIS era costoso, complejo, lo consideraban una “ciencia”, sabían que era útil e indispensable, se importaba desde Estados Unidos y podía ser la cura de varios males en el país. Hacia el año 2000 por diferentes motivos (falta de implementación, capacitación y/o administración) no había grandes avances porque los modelos implementados no corrían, los costos no se compensaban y el sistema tenía muchas limitaciones. Hacia el año 2005 se comenzaron a tener mejores avances y prácticas para Colombia; los costos compensaban, se comenzó a trabajar en la herramienta como una ayuda para planeación y análisis, y aunque tenía limitaciones ya se podía trabajar con ellas. Actualmente GIS en Colombia se ha convertido en una herramienta indispensable porque permite planificar, analizar y ayudar a la
toma de decisiones, sus costos son bastantes inferiores, se puede importar, modificar y vender, y aunque tiene limitaciones es más fácil trabajar con ellas. Informatica/soporte Interno
33 23 33 31 2 Soporte Tecnico Externo
33 23 33 31 2 Servicio de Limpieza Interno
33 23 33 31 2 Servicio de Limpieza Externo
33 2333312
Fig. 16 Matriz Análisis de Riesgo GPS para Origen Físico, Actos Originados por Criminalidad e Infraestructura
AMENAZAS
- PROBABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
HARDWARE
NIVEL DE USUARIO
POLITICAS
REDES
a 2 2 2 3 2 2 2 2 3 2 2 2 3 3 2
) 22
la
al Programas de comunicación
gal eg 2 6 al
fs 2
a
3
p
2 p
2 1 2 2 32 22
brecarga elcta (p ct
p
el
( ga
ar
re
6 aci
Electromagneismo 9 9 9 6 6 9 9 9 9 6 6 is
ne
6 4 4 6 ag
om
ctr
El
laci n sc
y
y
f
til
le
ió
ra
6 4 fi
Fala e vent ve
e
Fal
Allanaminto ( l l 6 4 4 6 6 ( nt
mi
na
llal
A
firaió
vi
Perecucón (c v 4 6 6 4 (c
ón
uc
ec
er
P
c nc a
ac
ac I
q
q
o
( j( j
S
sin
oables s p
ed
les
ab
R ld 4 4 2 2 2 2 lnte
2 2 2 12 1 1 1 1 2 2 2 2 2 322 2
d
no
es
li
lo
s
ds tics s
D ctraad)
de
po
da
ar
da
2 tic
2
nt
1 2
no
2
1 as
2 2 3222 pud te
u i
titi da
ar tar
2 am
1 dat de on o de
2
it
2
2 1 tizo a steas nteno st
2
2 3222
Programas de Produccion de
d un nu i
ui
o
c
2 ta
2 d
2
y e sismas heamnta 1
1
2 3222 y
neo
neo ds
o fp
da da
2
s,
2 s,
a
1
2 p
1 iz
2 2 3222 u
p
or
de
od t
c
e s
Fig. 17 Matriz Análisis de Riesgo GPS para Hardware, Nivel de Usuario, P
olíticas Redes y
d 12 12 12 12 2 g
2 2 2 2 d
dnc 21 21 21 21 m 122122122222332333312
12 366366366666996999936
366366366666996999936
366366366666996999936
244244244444664666624
244244244444664666624
366366366666996999936
366366366666996999936
244244244444664666624
244244244444664666624
12 12 12 122122122222 1233122213221223222
33 3699366639663669666
3699366639663669666
3699366639663669666
2466244426442446444
2466244426442446444
3699366639663669666
3699366639663669666
2466244426442446444
2466244426442446444
33 33 33 33 d 22 22 22 22 )
g
i
2 2 d 22 22 22 22 13 13 13 13 13 nfecc
Falta
M
Co
d alta
d Falta
alta d
VII. CONTROL DE RIESGOS n
Equipos de Red Inalambrica
Vehiculos
Satelites
Equipos de Topografia
22 22 22 22 datos
Portatiles
Computadoras
Servidores
Equipos de Red Inalambrica
Vehiculos
Satelites
Equipos de Topografia
Antenas receptoras
Equipos de red cableada
Informatica/soporte Interno
Soporte Tecnico Externo
Servicio de Limpieza Interno
Servicio de Limpieza Externo
1 2 1 2 P
a
) 1 1 1 1 h
2 2 2 2 E
E d alta
alta d
F F
En base a los datos obtenidos en el análisis de riesgo en GIS y GPS, se determina un control de riesgos para cada sistema, este control de riesgo va
IX. REFERENCIAS [1](2012) Sistemas de Información Geográfica website. [Online] Available: http://langleruben.wordpress.com [2]ISO/IEC 27001:2005, Tecnología de la Información – Técnicas de seguridad - Sistemas de gestión de Seguridad de la información – Requerimientos. ACIS. “Análisis y Gestión de Riesgos, Base Fundamental del SGSI [Online] Available: http://www.acis.org.co/fileadmin/Base de Conocimiento/VIII JornadaSeguri dad/17ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf
X. CONCLUSIONES. y' El manejo inadecuado de los recursos en el Sistema de Información Geográfica se presenta en un mayor grado por la falta de capacitación de sensibilización de riesgos, a lo cual se deben definir políticas de seguridad claras para cada uno de los activos y usuarios que hacen uso de ellos. y' Los controles de acceso impuestos a usuarios o sistemas contribuyen en gran medida en la disminución de los riesgos presentados ante los tres pilares de seguridad: confidencialidad, disponibilidad e integridad, la incorporación de estas medidas son eficientes siempre y cuando exista un seguimiento en las tareas de los usuarios y el funcionamiento de los sistemas. y' El masivo uso actual de los sistemas GIS y GPS hace prioritario conocer que tan vulnerables pueden ser estos sistemas. El presente trabajo muestra cómo se puede identificar y valorar los riesgos presentes en los sistemas descritos. Pero más importante aún es cuales pueden ser los controles recomendados con el fin de mitigarlos. y' Con el uso de tecnologías que apoyan los procesos de negocio en las empresas, vienen inherentes riesgos que deben ser identificados, valorados y tratados antes que estos se manifiesten, de no hacerlo se verán expuestos a daños y pérdidas considerables. y' Los avances de los sistemas información geográfica en Colombia demuestra que el uso de sus herramientas se han convertido de gran prioridad para la planificación, análisis y toma de decisiones en el campo ambiental,
territorial, estructural y en seguridad. RECONOCIMIENTO En primer lugar agradecemos a Dios por todas las bendiciones que nos otorgó a lo largo del transcurso del proyecto y de la carrera; a nuestras familias, por brindarnos su incondicional apoyo, por habernos formado con valores, y por las tantas pruebas de amor sin las cuales no hubiera sido posible afrontar este gran reto; de manera especial a las orientaciones del Ingeniero Jorge E. Carrillo, quien estuvo con nosotros de principio a fin en el desarrollo del proyecto, compartiéndonos sus conocimientos en el tema.
Related Documents
Riesgos Y Amenazas Auditoria De Sistemas.xlsx
December 2019 10
Anexo 1- Riesgos Y Amenazas (1).docx
December 2019 16
Amenazas
May 2020 13
Auditoria Riesgos - Cmmi - Sg1
May 2020 3
Amenazas Y Oportunidades De Rayton.xlsx
May 2020 9
Amenazas Naturales Y Antropiicas.docx
May 2020 22More Documents from "RayoFierro"
Auditoria De Sistemas Trabajo 1.docx
December 2019 15
Riesgos Y Amenazas Auditoria De Sistemas.xlsx
December 2019 10
Plantilla Entrega Fase 2 Pensamiento De Sistemas.docx
December 2019 19
Actividad 11 Contabilidad.docx
December 2019 14
Actividad 1 Presupuestos.docx
December 2019 9