Asignatura Asignatur a
Datos del de l alumno
Análisis de Riesgos Legales
Fecha
Apellidos: Salguero Cruz Cr uz 12-06-2017 Nombre: Antonio
Acc t i v i d a d e s A Trabajo: Gestión del riesgo en una organización Introducción
Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una organización
de
forma
automatizada,
utilizando
para
ello
la
plataforma
GESCONSULTOR.
Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el acceso a un proyecto de GESCONSULTOR en una instancia Cloud.
Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR. Modelo de la organización: Arquitectura empresarial Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la arquitectura empresarial de un ayuntamiento local. Para modelar la organización, la plataforma GESCONSULTOR ha sido pionera en la utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado 'formal', funcionalidad funcionalidad que utilizaremos en el desarrollo de esta práctica. Además, Además , contaremos contarem os con otra ventaja, que será la posibilidad posibilid ad de diseñar el modelo de forma 100% gráfica.
TEMA 1 – Actividades
Asignatura Asignatur a Análisis de Riesgos Legales
Datos del de l alumno
Fecha
Apellidos: Salguero Cruz Cr uz 12-06-2017 Nombre: Antonio
Este modelo de arquitectura empresarial puede incluir, incluir, conforme a las mejores prácticas internacionales internacionales (ver TOGAF 1), una descripción de la organización por capas: Capa de negocio: negocio : entre otros, una descripción de los servicios de negocio prestados por la compañía o productos comercializados, los procesos de negocio mediante los que se organización presta esos servicios o genera esos productos, así como las partes que contribuyen a la ejecución de esos procesos (roles de negocio, actores de negocio — personas u organizaciones —). Capa de aplicación: aplicación : los sistemas de información de la compañía, detallando los servicios automatizados que prestan esos sistemas de información (similar a 'funcionalidades' 'funcionalidades' individuales o conjuntos de funcionalidades funcionalidades – 'módulos' disponibles para los usuarios). Capa de tecnología: tecnología : entre otros, los elementos de la infraestructura de informática/computación y comunicaciones que constituyen esos sistemas de información utilizados por la compañía. La plataforma GESCONSULTOR utilizada permite modelar de forma detallada conceptos de uso habitual como los siguientes:
o
Servicios software, software, que son prestados en una IP y Puerto, como, por ejemplo, un servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o
Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de datos – como un clúster MySQL compuesto de tres servicios MySQL que corren sobre tres máquinas físicas o virtuales distintas -).
o
Máquinas físicas o virtuales, generalizándolas en el concepto de host , que tendrá una dirección IP de red asociada, que puede contener servicios software publicados a través de una IP y puerto TCP/UDP.
o
Infraestructura de virtualización, como hipervisores (como VMWare vFabric o Microsoft Hyper-V), granjas de virtualización, virtualización, etc.
o
Infraestructura hardware, hardware, sobre la que correrán los host físicos físicos o la infraestructura infraestructura de virtualización. virtualización.
o
Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas (bridges) bridges) de los que unen redes lógicas ( routers). routers).
o
Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN) como físicas (Ethernet, WiFi, Punto a Punto, etc.).
1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf TOGAF 9.1 – Documentación oficial: https://www2. https://www2.opengroup.or opengroup.org/ogsys/cata g/ogsys/catalog/q091 log/q091
TEMA 1 – Actividades
Asignatura Asignatur a
Datos del de l alumno
Análisis de Riesgos Legales
Fecha
Apellidos: Salguero Cruz Cr uz 12-06-2017 Nombre: Antonio
Con carácter transversal, se pueden definir también ubicaciones, ubicaciones, que permitirán geo-posicionar especialmente los activos físicos, aunque se permite ubicar geográficamente cualquier tipo de activo en general.
También es posible definir grupos grupos que incluirán uno o varios activos activos y que permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar el impacto de un determinado evento sobre evento sobre cada activo individual en caso de que sea similar.
Modelo inicial facilitado
Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:
Tramitación expedientes ! #$
Tramitación expedientes ! #$
! #$ ! #$
! #$ ! #$ ! #$
2 Funcionarios
Expedientes en papel
Técnico informático
! #$
! #$
Correo electrónico
! #$
Conexión a Internet
Almace Alma cena nami mien ento to en red local
Alma Al mace cena nami mien ento to remoto
Aplicación tramitación exp.
! #$ ! #$
! #$
! #$
! #$
Sala de servidores ! #$
! #$
Oficina
TEMA 1 – Actividades
Responsable de la oficina
Asignatura Asignatur a
Datos del de l alumno
Análisis de Riesgos Legales
Fecha
Apellidos: Salguero Cruz Cr uz 12-06-2017 Nombre: Antonio
En el mismo encontrarás los siguientes activos:
Servicios de negocio: •
Prestados a usuarios externos o
•
Tramitación Tramitación de expedientes
Prestados a usuarios internos o
Correo electrónico
•
1 Servidor – Elementos auxiliares
•
Red de área local (LAN) Firewall
Almacenamiento Almacenamie nto remoto
•
o
Almacenamiento Almacenamie nto en red local l ocal
Instalaciones
Conexión a Internet
Servicios subcontratados
Información de los expedientes
Aplicación para pa ra la tramitación d e expedientes
Como
puedes
•
Oficina
•
Sala de Equipos (Data Center).
Personal
Software •
4 PCs
Equipamiento de comunicaciones
Datos •
•
o
o
•
Hardware
•
Un responsable de la oficina.
•
Dos funcionarios. funcionarios.
•
Un informático externo a tiempo parcial.
apreciar
en
el
esquema
anterior,
tan
importante
es
identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las relaciones entre los activos.
Estas relaciones entre Activos serán las que permiten determinar:
1. Cómo se propagará la criticidad —o criticidad —o valor— del activo a todos aquellos que requiere para el desarrollo de sus funciones (recorriendo (recorriendo las relaciones «hacia abajo», desde el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias «inferiores», «inferiores», directas o indirectas). 2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones »hacia arriba», desde el activo done se ha materializado el evento hacia sus dependencias «superiores»). «superiores»).
Sobre estos activos que han sido identificados podremos, posteriormente, identificar escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
TEMA 1 – Actividades
Asignatura Asignatur a Análisis de Riesgos Legales
Datos del de l alumno
Fecha
Apellidos: Salguero Cruz Cr uz 12-06-2017 Nombre: Antonio
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos, para considerar si son aceptables o inaceptables para la organización).
Qué debes hacer: desarrollo del trabajo
PARTE 1: Completando el m odelo de Arquitectura Empresarial
El objetivo de la primera parte del trabajo es:
o
Completar el modelo de arquitectura empresarial con un mínimo de (se valorará positivamente que el modelo incorpore hasta 20 nuevos activos):
–
Dos nuevos activos en la capa de negocio.
–
Tres nuevos activos en la capa de aplicación.
–
Cinco nuevos activos en la capa de tecnología.
Entrega:
Para entregar la actividad deberás adjuntar un documento en formato PDF (preferiblemente) (preferiblemente) o Word que contenga capturas y una explicación:
–
Del razonamiento seguido para añadir los activos que hayas determinado.
–
La criticidad que has definido explícitamente. explícitamente.
–
Así como c omo las relaciones relac iones (como mínimo las creadas cre adas entre los nuevos añadidos añadido s y los ya existentes).
PARTE 2: Realizando la apreciación y tratamiento del riesgo
El objetivo de la segunda parte del trabajo es:
o
Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:
a. Identificar al menos diez escenarios de riesgo (se valorará positivamente la identificación de hasta veinte escenarios de riesgo).
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
b. Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se materialicen las consecuencias apreciadas). c. Documentar los criterios de aceptación del riesgo que se han considerado:
i. Nivel máximo de riesgo considerado directamente como aceptable. ii. Nivel mínimo de riesgo considerado directamente como inaceptable. iii. Indicar criterios de evaluación adicionales que se hayan considerado:
1. Cisnes negros (probabilidad muy escasa pero consecuencias muy elevadas). 2. Otros criterios de negocio (por ejemplo, pérdidas estimadas superiores a un importe, pérdida de vidas humanas, protestas de la ciudadanía, etc.).
d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del riesgo que definamos (clasificándolos en aceptables e inaceptables. Se valorará negativamente que haya riesgos en la franja de tolerables — aquellos que se encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable).
e. Tratar TODOS los riesgos considerados com o inaceptables:
i. Definiendo para los mismos al menos cinco acciones de tratamiento del riesgo (proyectos o tareas). ii. Asociando, en cada acción de tratamiento, los controles de iso 27002:2013 a considerar.
Entrega:
Para entregar la actividad adjunta el documento en formato PDF (preferiblemente) o Word que contenga el contenido de la parte 1, más el contenido de la parte 2 detallado en el punto anterior.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
1. Modelado visual 2. Razonamiento seguido para añadir los siguientes activos: 4. Razonamiento de la criticidad definida explícitamente 5.
Razonamiento de las relaciones creadas
a) Relaciones que incluyen al Servicio de Sistema de información – Correo Electrónico """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" " #$ b) Relaciones que incluyen al Servicio de Negocio - Tramitación de expedientes electrónicos """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" #% c) Relaciones que incluyen al Servicio de Negocio - Tramitación expedientes papel """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" ## d) Relaciones que incluyen al Servicio de Negocio - Almacenamiento remoto """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" #& e) Relaciones que incluyen al Servicio de Sistema de Información Almacenamiento en red local """""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" #' f) Relaciones que incluyen al Servicio de Negocio – Conexión a Internet " #(
6. Identificación de los escenarios de riesgo 7. Análisis de los escenarios de riesgo 8. Documentar los criterios de aceptación del riesgo que se han considerado 9. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del riesgo que se definan (clasificándolos en aceptables – inaceptables) 10.
Tratar todos los riesgos considerados como inaceptables
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
TEMA 1 – Actividades
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Información Instrucción expedientes aplicación: información que utiliza el servicio de tramitación de expedientes electrónicos.
•
Tramitación de expedientes electrónicos: servicio para la tramitación de los expedientes, de forma electrónica.
•
Base de Datos: sistema para almacenar la información personal.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno Apellidos: Salguero Cruz
12-06-2017 Nombre: Antonio
Servidores virtualizados: conjunto de servidores virtualizados para dar servicio de email, aplicaciones web y de base de datos.
•
Fecha
NAS: sistema de almacenamiento utilizado en la red local.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
SAI: sistema de alimentación ininterrumpida que consiga mantener en funcionamiento los sistemas esenciales, de cara a ofrecer los servicios que se han establecido.
•
Firewall: sistema de protección de la red, para prevenir posibles intrusiones en la red local del Ayuntamiento.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Datos personales remotos: información que se encuentra depositada en el dispositivo físico de almacenamiento remoto.
•
Almacenamiento remoto: servicio que provee de almacenamiento remoto al Ayuntamiento.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
•
Router: hardware necesario para poder realizar conexión a Internet.
•
Red local: red que conecta todos los equipos que trabajan en el Ayuntamiento.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
4 puestos de trabajo: ordenadores que utilizan los 2 funcionarios, el responsable de la oficina y el técnico informático, para realizar correctamente su trabajo.
•
Información personal emails: información de la que hace uso el servicio de correo electrónico.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Correo electrónico: servicio que provee del correo electrónico en el Ayuntamiento.
•
Información técnica: información que utiliza y de la que dispone el técnico informático para la realiazción de su trabajo.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Servicio de asistencia técnica: servicio que desempeña el técnico informático para el correcto funcionamiento de los sistemas.
•
Expedientes: Información de la que hace uso el servicio de negocio de tramitación de expedientes.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Datos de los expedientes (expedientes en papel): información que reside en los expedientes almacenados en papel.
•
Tramitación expedientes papel: servicio de negocio que se encarga de la tramitación de los expedientes en formato papel (no electrónico).
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
•
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Conexión a Internet: servicio que provee de conexión a Internet al Ayuntamiento.
•
Datos de conexión: datos de los que se hace uso en la conexión a Internet del Ayuntamiento.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
TEMA 1 – Actividades
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Tabla de valoración
CONTRACTUAL
SIN VALORAR
MU Y BAJO
No especificado en el
Muy
BAJO leve
Leve
MEDIO vulneraci n Vulneraci n
MUY ALTO
Grave vulneraci n Vulneraci n muy grave o
contrato (o no hay vulneración de lo
de lo establecido en
moderada de lo
de lo establecido en
total de lo establecido en el
contrato)
el contrato
establecido en el
el contrato
contrato
establecido en el contrato
REGULATORIO
ALTO
No especificado en
contrato
Muy
leve
ninguna
norma vulneración
sectorial
una
de
norma
Leve de
vulneración una
Moderada
o
norma vulneración
sectorial
de
grado medio de
sectorial
una
Grave vulneración Vulneración muy grave de de
una
norma
una norma sectorial
sectorial
norma
sectorial ESTATUTARIO
No especificado en
Muy
leve
los estatutos
vulneración de lo
tipificada
establecido
estatutos
en
Infracción
leve en
los estatutos
los
Infracción leve o
Infracción
grave
tipificada
de
los
estatutos, atendiendo
grave en
los
Infracción
muy
grave
tipificada en los estatutos
estatutos al
perjuicio provocado LEGAL
No especificado en
Infracción
Infracción
Infracción
Delito tipificado en
Delito,
una norma legal
administrativa
administrativa
administrativa
el Código Penal
tipificado en el Código Penal
TEMA 1 – Actividades
con
agravantes,
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
leve
(recogida,
grave
(recogida,
muy
por ejemplo, en
por ejemplo, en la
(recogida,
la LOPD)
LOPD)
ejemplo,
grave por en
la
LOPD) NEGOCIO
No afecta al negocio Afecta en absoluto
de Afecta
una Afecta en grado Afecta
manera muy leve
manera
al
funcionamiento del
funcionamiento
servicio
funcionamiento
servicio prestado (o
del
del
interrupción
prestado
servicio
prestado
(o
interrupción menor minutos)
TEMA 1 – Actividades
de
a
leve
!
al
30
minutos y < 1 hora)
medio
al
servicio
interrupción
grave,
una Afecta de una forma muy al
grave, o interrumpiendo por
prestado
un largo período de tiempo
(o interrupción ! 3
(! a 1 día), el servicio
(o horas y menor a 1 !
hora y < 3 horas) 30
forma
de
1 día)
prestado
Asignatura
Datos del alumno
Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
12-06-2017 Nombre: Antonio
Con respecto a la disponibilidad en el caso de la Información de Negocio, no se valora la disponibilidad de la información, sino la de los activos que hacen uso de ella (es por ello por lo que en dichos activos la disponibilidad no se encuentra valorada). Los activos han sido valorados, en cada una de las dimensiones, conforme a la tabla reflajada más arriba (pues es válida para cada una de las dimensiones: confidencialidad, integridad y disponibilidad) •
Información de Negocio – Expedientes : o
o
•
Confidencialidad !
Estatutario: alto
!
Legal: medio
!
Negocio: bajo
Integridad !
Estatutario: muy alto
!
Legal: medio
!
Negocio: muy alto
Servicio de Negocio – Tramitación expedientes o
Disponibilidad !
Negocio: muy alto
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
•
12-06-2017 Nombre: Antonio
Base de Datos – Base de Datos o
o
o
Confidelcialidad !
Legal: medio
!
Negocio: muy alto
Integridad !
Legal: medio
!
Negocio: muy alto
Disponibilidad !
•
Fecha
Negocio: muy alto
Información de Negocio – Información Instrucción expedientes aplicación o
o
Confidencialidad !
Estatutario: alto
!
Legal: medio
!
Negocio: bajo
Integridad
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
•
12-06-2017 Nombre: Antonio
!
Estatutario: muy alto
!
Legal: medio
!
Negocio: alto
Servicio de Negocio – Tramitación de expedientes electrónicos o
•
Fecha
Disponibilidad !
Legal: bajo
!
Negocio: muy alto
Información de Negocio – Información Técnica o
Confidencialidad !
Contractual: muy alto
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
o
•
•
12-06-2017 Nombre: Antonio
!
Legal: muy alto
!
Negocio: bajo
Integridad !
Contractual: muy alto
!
Legal: muy alto
!
Negocio: alto
Servicio de Negocio – Servicio Asistencia Técnica o
Disponibilidad !
Contractual: alto
!
Legal: muy bajo
!
Negocio: alto
Información de Negocio – Datos de los expedientes o
Fecha
Confidencialidad !
Estatutario: alto
!
Legal: medio
!
Negocio: bajo
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
o
•
12-06-2017 Nombre: Antonio
Integridad !
Estatutario: muy alto
!
Legal: medio
!
Negocio: alto
Servicio de Negocio – Tramitación expedientes papel o
Disponibilidad !
•
Fecha
Negocio: medio
Información de Negocio – Información personal emails o
o
Confidencialidad !
Estatutario: alto
!
Legal: medio
!
Negocio: bajo
Integridad !
Estatutario: alto
!
Legal: medio
!
Negocio: alto
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
•
•
12-06-2017 Nombre: Antonio
Servicio de Negocio – Servicio de correo electrónico o
Disponibilidad !
Estatutario: alto
!
Negocio: alto
Información de Negocio – Datos personales remotos o
o
Fecha
Confidencialidad !
Contractual: muy alto
!
Legal: medio
!
Negocio: alto
Integridad !
Contractual: muy alto
!
Legal: medio
!
Negocio: muy alto
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
•
•
12-06-2017 Nombre: Antonio
Servicio de Negocio – Almacenamiento remoto o
Disponibilidad !
Contractual: muy alto
!
Legal: bajo
!
Negocio: alto
Información de Negocio – Datos de conexión o
o
Fecha
Confidencialidad !
Contractual: alto
!
Legal: alto
!
Negocio: bajo
Integridad !
Contractual: alto
!
Legal: alto
!
Negocio: muy alto
TEMA 1 – Actividades
Asignatura
Datos del alumno
Apellidos: Salguero Cruz
Análisis de Riesgos Legales
•
12-06-2017 Nombre: Antonio
Servicio de Negocio – Conexión a Internet o
Fecha
Disponibilidad !
Contractual: muy alto
!
Legal: muy bajo
!
Negocio: muy alto
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
5.
Se pueden observar las siguientes relaciones. El Servicio de Sistema de Información hereda su criticidad de la Información personal emails (confidencialidad e integridad) y del Servicio de Negocio de correo electrónico. A su vez, la criticidad se irá heredando hacia abajo a los Servidores virtuales (siendo uno de ellos el de correo electrónico). A su vez, la criticidad se heredará a la Red local, de la que hace uso el Servidor virtual, y a la Sala de servidores, donde se encuentra físicamente el Servidor Virtualizado. Del mismo modo, tanto el firewall (usado en la red local para protegerse) como el router (utilizado para poder realizar conexiones a Internet desde la propia red local), heredan la criticidad de la Red local. Éstos a su vez propagan su criticidad a la Sala de servidores, lugar donde se hallan físicamente. El SAI hereda la criticidad de la Sala de servidores, que será una TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
composición de las criticidades más restrictivas que vaya heredando (el SAI es tan crítico como lo que deba proteger, y en este caso será tan crítico como cualquier elemento que proteja en el lugar donde se encuentra. Es decir, será tan crítico como la Sala de servidores, que a su vez será tan crítica como los sistemas que se hallan ubicados allí). Pero, el Servicio de Sistema de Información de correo electrónico, no sólo hereda del Servicio de Negocio de correo electrónico, sino que también heredará la criticidad del Proceso de Negocio tramitación de expedientes. Como se ha explicado con el SAI, la criticidad heredada se compondrá de los valores más restrictivos heredados.
Por encima de todos se encuentra la Información de Negocio de Instrucción expedientes aplicación. Aquí se valora la confidencialidad y la integridad, que se heredará a los activos que están por debajo en el diagrama. Está relacionada con el Servicio de Negocio de Tramitación de expedientes electrónicos, del cual se valora la disponibilidad, que también se heredará (junto a la confidencialidad y la integridad de la información) al resto de activos relacionados que se encuentran por debajo. El Servicio de Negocio se relaciona por debajo con: 2 Funcionarios (los cuales utilizan el servicio), el Responsable de la oficina (que también utiliza el servicio), la Aplicación de TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
tramitación de expedientes (que es el software utilizado, también por el público, para la tramitación de los expedientes) y la Base de Datos (información, por ejemplo del padrón, que será utilizada por el servicio). Todos ellos heredan la criticidad del Servicio de Negocio. Un caso especial es el de la Base de Datos, la cual hereda la criticidad del Servicio de Negocio, pero también ha sido valorada individualmente debido a su especialidad. De este modo, los valores heredados por la Base de Datos serán una composición de la criticidad más alta de entre sus valores propios y los heredados del Servicio. Los 4 puestos de trabajo están relacionados con los 2 Funcionarios y con el Responsable de la oficina, de los cuales heredará la criticidad. Los Servidores virtualizados se relacionan con la Base de Datos y con la aplicación de tramitación de expedientes. La criticidad de los servidores será un compuesto entre los valores más restrictivos de ambos activos, de los cuales hereda. Tanto los puestos de trabajo, como los Servidores virtualizados, se relacionan con la red local, que heredará igualmente la criticidad compuesta de ambos activos (siempre prevalece el valor más restrictivo). A su vez, igual que en el apartado anterior, tanto el firewall como el router se relacionan con la red local, y heredarán su criticidad (que ya viene siendo heredara, con alguna modificación si hay alguna valoración más restrictiva, desde la Información de Negocio). Finalmente tenemos la sala de servidores, que se relaciona con el firewall y el router y con los servidores virtualizados, todos ellos activos que se ubican en dicha sala. Al igual que en apartado anterior, el SAI se relaciona, y hereda, de la Sala de servidores.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Por encima de todos los activos tenemos la información utilizada para la Tramitación de expedientes en papel la cual se relaciona con el servicio de negocio de Tramitación de expedientes papel (de la información se valora la confidencialidad y la integridad, que pasarán heredadas al servicio de negocio). Del servicio de negocio se valora la disponibilidad. El servicio de negocio se relaciona con los 2 Funcionarios (que realizarán los trámites en papel), el Responsable de la oficina (que también realizará trámites) y con Expedientes en papel (que es el archivo físico donde se hallan ubicados estos expedientes). Todos ellos heredarán la criticidad del servicio de negocio (que, a su vez, por estar relacionado, la hereda de la Información de Negocio). Los 4 puestos de trabajo se relacionan con los 2 funcionarios y con el responsable de la oficina, puesto que son utilizados por ellos para realizar los expedientes (escribirlos e imprimirlos), y heredarán la criticidad de los mismos. La oficina se relaciona con los 2 Funcionarios, el Responsable de la oficina y los Expedientes en papel, puesto que es su lugar de trabajo o ubicación. La oficina será tan TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
crítica como lo sean los activos que contiene. Así que su criticidad es la heredada por estos 3 activos anteriores. Se ha optado por no relacionar los 4 puestos de trabajo con la Oficina, porque estos puestos podrían ser móviles, es decir, no tendrían por qué encontrarse siempre ubicados en la oficina. La red local se relaciona con los 4 puestos de trabajo. No se ha relacionado la red local con la oficina porque, vistas las relaciones anteriores, la criticidad heredada es la de los usuarios. El único elemento diferenciador, del que puede heredar en el caso de la oficina, es el archivo de expedientes de papel, pero su criticidad no es relevante para la de una red local. Las relaciones de la red local con el firewall y el router, de éstos con la Sala de servidores y de ésta con el SAI, son exactamente las mismas que en los apartados anteriores.
Los Datos personales remotos (la información, de la que se valora la confidencialidad y la integridad) se relacionan con el Servicio de Negocio de Almacenamiento remoto (del que se valora la disponibilidad, y que hereda del anterior la confidencialidad y la integridad). El Servicio de Negocio se relaciona con el Servicio de Sistema de TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Información de Almacenamiento remoto, al que deja en herencia su criticidad. A su vez, este Servicio de Sistema de Información se relaciona con el router, del cual hace uso para poder ser accesible y al que también traslada su criticidad. El router, al estar ubicado en la Sala de servidores, se relaciona con ésta, y ésta a su vez se relaciona con el SAI, de igual forma que en los apartados anteriores.
El Servicio de Sistema de Información de almacenamiento en red local se relaciona con el NAS, que es el soporte físico que utiliza. De este modo el NAS hereda su criticidad. A su vez el NAS se relaciona con la red local, de la cual hace uso, y con la Sala de servidores, lugar en el que se encuentra ubicado el NAS. A esos 2 activos traspasará su criticidad. La relación de la red local con el firewall y el router, así como la de éstos con la sala de servidores y la de ésta con el SAI, es la misma que en los apartados anteriores.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
En lo alto de la cadena tenemos la Información de Negocio, que son los datos de conexión a Internet (de los que se valora su confidencialidad y su integridad). Éste activo se relaciona con el Servicio de Negocio de conexión a Internet, al cual traspasa esa criticidad. Del propio Servicio de Negocio se valora la disponibilidad. El servicio de negocio se relaciona con el Servicio de Sistema de Información, heredando éste la criticidad. El Servicio de Sistema de Información se relaciona con el router, del cual hace uso para poder llevar a cabo la conexión, heredando éste la criticidad. La relación del router con la Sala de servidores y de ésta con el SAI, son las mismas que en los apartados anteriores.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
A continuación, se muestran los escenarios de riesgo identificados:
A continuación, se muestran las vulnerabilidades y los controles aplicados a cada uno de los escenarios de riesgo identificados:
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
2 funcionarios
4 puestos de trabajo
TEMA 1 – Actividades
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Asignatura Análisis de Riesgos Legales
Datos del alumno
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Base de datos – Abuso de privilegios de acceso
Base de datos – Manipulación de los registros de actividad
TEMA 1 – Actividades
Fecha
Asignatura Análisis de Riesgos Legales
Datos del alumno
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
NAS – Errores de configuración
NAS – Manipulación de hardware
TEMA 1 – Actividades
Fecha
Asignatura Análisis de Riesgos Legales
Datos del alumno
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
NAS – Robo de equipos
Responsable de la oficina
TEMA 1 – Actividades
Fecha
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Sala de servidores
Servicio de correo electrónico – Interceptación de información
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Servicio de correo electrónico – Re-encaminamiento de mensajes
Servicio de correo electrónico – S uplantación de identidad del usuario
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Servicio de correo electrónico – Uso no previsto
Tramitación de expedientes – Destrucción de la información
TEMA 1 – Actividades
Fecha
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Tramitación de expedientes – Errores de los usuarios
Tramitación de expedientes – Introducción de falsa información
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Tramitación de expedientes – Saturación de los recursos software
A la hora de analizar los diferentes escenarios de riesgo, la postura que se tendrá es la de la “opción más probable”, por ser ésta la más equilibrada de las opciones
disponibles. Está claro que, de este modo quizá pueda producirse un incidente que no ha sido tenido en cuenta lo suficiente. La opción de elegir “la peor opción” garantiza que siempre se selecciona la probabilidad de que cuando ocurra algo, ocurra de la peor forma posible, de forma que cualquier escenario de riesgo será tenido muy en cuenta. Quizá esto fuera de aplicación en servicios críticos, pero, aun así, se debería restringir mucho su aplicación puesto que se pueden destinar recursos de la organización que, normalmente no serán necesarios por estar sobredimensionados, y que podrían ser aplicados en otros lugares.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Al haber elegido una postura intermedia a la hora de analizar los diferentes escenarios de riesgo identificados, se opta por seleccionar los siguientes valores:
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
-
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Nivel máximo de riesgo considerado directamente como aceptable " 3: al haberse analizado los escenarios de riesgo con la postura ya indicada, se
selecciona un nivel bastante bajo para determinar qué nivel de riesgo es el máximo que se va a tomar como directamente aceptable. -
Nivel mínimo de riesgo considerado directamente como inaceptable "
5: al igual que en caso anterior, se selecciona este nivel, relativamente bajo,
para dar como inaceptable un determinado escenario de riesgo, por la postura seleccionada. Debido a la elección de dicha postura, los valores obtenidos son menores que si se hubiera elegido “el peor de los casos”, con lo que, al obtener valores más bajos, el nivel de riesgo inaceptable debe ser también más bajo. De este modo, se filtrarán correctamente todos los escenarios de riesgo definidos. -
Indicar criterios de evaluación adicionales que se hayan considerado: se han tenido en cuenta los siguientes criterios adicionales de evaluación: o
Cisnes negros: cuando la probabilidad de un hecho es muy baja, y el
impacto resulta alto o muy alto. Son hechos que no se suelen producir casi nunca, pero que, cuando tienen lugar, conllevan un gran impacto. o
Hechos poco, o muy poco, probables, que suponen un gran impacto en el servicio que se presta por el Ayuntamiento.
Por estos dos motivos, se ha procedido a la modificación de la matriz de evaluación, contemplando dichos eventos.
De este modo, todos los hechos que tengan un impacto “muy alto” tendrán un nivel 8, independientemente de su probabilidad; y los que tengan un impacto “alto” tendrán un nivel 7, también independientemente de su probabilidad.
En un principio, según los criterios establecidos anteriormente, la evaluación quedaría de la siguiente forma TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Como se puede observar, hay 5 escenarios de riesgo que se quedarían en la zona de “tolerables”, pero hay que decidir si se estiman como “aceptables” o como “inaceptables”. De este modo, en función del nivel de riesgo asignado, y de los controles establecidos anteriormente, la evaluación completa quedaría de esta manera
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Se ha estimado que, en función de los controles establecidos, los escenarios de riesgo “NAS – Errores y fallos no intencionados: Errores de configuración”, “Servicio de correo electrónico – Ataques deliberados: uso no previsto” y “2 funcionarios – Ataques deliberados: indisponibilidad del personal” pasen a ser “aceptables”. Como se ha dicho, esto es así por los controles establecidos y las
consecuencias reales se estiman que pudieran provocar (no sólo se ha tenido en cuenta el nivel numérico asignado) Con respecto a los escenarios de riesgo “Servicio de correo electrónico – Ataques deliberados: suplantación de la identidad del usuario” y “Tramitación de
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
expedientes – Errores y fallos no intencionados: errores de los usuarios” , se
ha estimado que deben pasar a “inaceptables”, por las posibles consecuencias que pueden conllevar, aún efectuando los diversos controles previstos para los mismos.
En este apartado, se va a proceder al tratamiento de los riesgos que han sido catalogados como inaceptables, con los tratamientos aplicados a cada uno de ellos e introducir los nuevos valores de probabilidad, confidencialidad, integridad y disponibilidad que se les calcula, tras la aplicación de los tratamientos seleccionados. De este modo, el riesgo que queda (residual), también variará respecto del inicial calculado. 4 puestos de trabajo – robo de equipos
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
NAS – Robo de equipos
Sala de servidores – Ataque destructivo
TEMA 1 – Actividades
Fecha
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Servicio de correo electrónico – Suplantación de la identidad del usuario
Tramitación de expedientes – Destrucción de la información
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Salguero Cruz 12-06-2017 Nombre: Antonio
Tramitación de expedientes – Errores de los usuarios
Tramitación de expedientes – Introducción de falsa información
TEMA 1 – Actividades