Tecnologa y Conocimiento ISSN: 1690-7515 Depsito legal pp 200402ZU1624 Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 1 Ingeniero en Computacin. Magster en Ingeniera de Sistemas. Especialista en telecomunicaciones. Profesora con categora de Agregada en la Universidad Simn Bolvar. Venezuela. Correo electrnico: vfreitas@usb.ve Recibido: 26-06-08 Aceptado: 17-11-08 Cmo citar el artculo (Normas APA): De Freitas, V. (2009). Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bo- lvar. Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento, 6 (1), 43-55 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas 1 Resumen Este trabajo se propone conocer las fortalezas y debilidades a las que pudieran estar sometidos los activos de informacin que estn en custodia en la Direccin de Servicios Telemticos (DST) de la Universidad Simn Bolvar ubicada en Caracas, Venezuela, con el fn de sugerir estrategias que minimicen la ocurrencia de posibles amenazas que en la mayora de los casos explotan las vulnerabilidades organizacionales. Basado en una metodologa de estudio de caso, este estudio permiti recoger informacin detallada usando una variedad de sistemas de recoleccin de da- tos, como entrevistas semi-estructuradas, estructuradas y en profundidad, revisin bibliogrfca y arqueo de fuentes. Igualmente, se realizaron visitas a las instalaciones de la direccin evaluada y se revisaron aspectos de seguridad fsica previstos en las Normas ISO-27001:2007. Se concluye que cada uno de los elementos en custodia de la DST es de suma importancia para la Universidad Simn Bolvar, por lo que se sugiere la aplicacin de algunos controles establecidos en las normas ISO, para cada uno de dichos activos. Palabras clave: ISO-27001:2007, seguridad de la informacin, anlisis y evaluacin de riesgo, activos de informacin 44 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas Analysis and Risk Assessment of Information: Case Study Universidad Simon Bolivar Abstract Nowadays, organizations, with all their technological advances and complex information processes, face many threats that, in most cases, exploit their vulnerabilities. The Simn Bolvar University, located in Caracas, doesnt escape from this reality. The objective of this work is knowing the strengths and weaknesses to which they may be subject information assets that are in custody at the Directorate of Telematics Services (DST) of the Simn Bolvar University, in order to suggest strategies to minimize the occurrence of possible events. This methodology uses a case study that allows you to gather detailed information with a variety of systems for collecting data for a given period. Among the data collection methods are used semi-structured, structured and in-depth review of the literature and archaeological sources. Similarly, visits were made to the facilities and reviewed aspects of physical security under the ISO-27001: 2007. The conclusion is that each element in the custody of the DST is of paramount importance to the University, are thus suggested implementing some controls in the ISO, for each of those assets. Key words: ISO-27001:2007, Information Security, Analysis and Assessment of Risks, Asset Information Introduccin El avance tecnolgico ha trado consigo un reto mayor para quienes se dedican al combate de programa con caractersticas maliciosas, la difu- sin de nuevas tcnicas y metodologas de ataques y amenazas informticas cada vez ms sofsticadas y efcaces. No es un secreto la cantidad de recursos que invierten las organizaciones para evitar intru- siones y manipulaciones que pongan en riesgo, desde la integridad de la data hasta las operacio- nes propias de la entidad. Hoy en da, las organizaciones son ms dependientes de sus redes informticas y un pro- blema que las afecte, por pequeo que sea, puede llegar a comprometer la continuidad de las ope- raciones, situacin que inevitablemente se traduce en prdida econmica, retraso en las operaciones y crisis de confanza por parte de los usuarios. Aunado a lo anterior se encuentra la ausen- cia de una adecuada poltica de seguridad de las redes. Este es un problema que est presente por el slo hecho de subestimarse las fallas que a ni- vel interno se producen, considerando sobre todo que la propia complejidad de la red es una difcul- tad para la deteccin y correccin de mltiples y variados problemas de seguridad que van siendo detectados. Para Sema Goup (2006), el objeto o prop- sito de la seguridad de la informacin consiste en mantener la continuidad de los procesos organiza- cionales que soportan los activos a resguardar. As 45 Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 mismo se intenta minimizar el costo global de la ejecucin de dichos procesos como las prdidas de los recursos asignados a su funcionamiento. De all que sea necesario que los responsa- bles de la seguridad de la informacin en las orga- nizaciones, tomen conciencia de su papel y deban contrastar los riesgos a los que estn sometida sus activos. La evaluacin, anlisis y tratamiento del riesgo permiten llevar el nivel de riesgo de los ac- tivos de la organizacin a valores aceptables (Pes- solani, 2007). Los problemas asociados a la seguridad en redes alcanzan a todo tipo de organizacin. En par- ticular, a las universidades que manejan grandes volmenes de informacin que por su variedad e importancia la hacen blanco de posibles ataques. En estas instituciones, adems se forman perso- nas con habilidades que, mal dirigidas, pueden representar una amenaza todava mayor. La expe- riencia nos demuestra que la Universidad Simn Bolvar no escapa de esta realidad. La universidad Simn Bolvar es una insti- tucin pblica de educacin superior, ubicada en Caracas, Estado Miranda, Venezuela. Cuenta ac- tualmente con una poblacin estudiantil de aproxi- madamente 6789 estudiantes de pre y postgrado, con 424 profesores de planta y 848 empleados. La Direccin de Servicios Telemticos (DST) es el ente que resguarda o tiene a su cus- todia los servidores de las distintas instancias que manejan dichos volmenes de datos. Es decir, tie- nen a su custodia los servidores de la Direccin de Administracin y Control de Estudios (DACE), los servidores de Finanzas, los servidores de Nmina, los servidores la Direccin de Ingeniera e Infor- macin (DII), los servidores de correo, los Servi- dores de DNS, Pgina Web (Sede del Litoral), los servidores de Internet e Intranet. Como se puede observar todos estos activos son de suma impor- tancia para el desenvolvimiento de sus operacio- nes. De all su importancia de analizar y evaluar los riesgos a los cuales stos pueden estar someti- dos, para de esa manera poder gestionarlos y mi- nimizar sus posibles efectos. Metodologa utilizada Este estudio se plantea como la continua- cin de un trabajo el cual buscaba evaluar la segu- ridad de la informacin a la luz de los controles de la ISO 17799:2005 (De Freitas, 2007). En el presente artculo, se busca evaluar los riesgos a los cuales pueden estar sometidos los ac- tivos de informacin que se encuentran en custo- dia en la DST. El desarrollo del mismo se llev a cabo tres fases: la primera consisti en una inves- tigacin documental; la segunda en una investiga- cin de campo y la tercera la conform el anlisis, evaluacin y tratamiento del riesgo de los activos en custodia de la DST. Siempre en el contexto de un estudio de caso. Es una investigacin documental ya que permite el estudio de problemas con el propsito de ampliar y profundizar el conocimiento de su naturaleza, con apoyo, principalmente, en traba- jos previos, informacin y datos divulgados por medios impresos, audiovisuales o electrnicos [UPEL, p.15]. 46 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas Es una investigacin de campo porque en ella se comienza haciendo un anlisis sistemtico de los problemas con el propsito de describirlos, interpretarlos, entender su naturaleza y factores constituyentes, explicar sus posibles causas y efec- tos, y/o predecir su ocurrencia, haciendo uso de los mtodos caractersticos de cualquiera de los paradigmas o enfoques de investigacin conocidos o en desarrollo [UPEL, p. 14]. La poblacin estuvo conformada por el per- sonal que labora en la DST. Se llev a cabo el levantamiento de infor- macin a travs de entrevistas en profundidad semi-estructuradas, se aplicaron cuestionarios y se realizaron visitas guiadas a las instalaciones. Una vez obtenido los datos e informacin de los diferentes entes involucrados y corroborado con la visita a las distintas instalaciones de la Uni- versidad Simn Bolvar, se procedi a la revisin, anlisis e interpretacin de los mismos. Para ello se emplearon mtricas cuantitativas, pero en la mayora se realiz usando la mtrica cualitativa. Evaluacin del Riesgo Conocer el riesgo a los que estn someti- dos los activos es imprescindible para poder ges- tionarlos, y por ello han surgido una multitud de guas informales, aproximaciones metdicas y he- rramientas de soporte las cuales buscan objetivar el anlisis para saber cun seguros (o inseguros) estn dichos activos y no llamarse a engao (MA- GERIT, 2005). El riesgo es defnido como la probabilidad que una amenaza pueda explotar una vulnerabili- dad en particular (Peltier, 2001). Entre las mltiples metodologas y estnda- res que han surgido para manejar la seguridad se pueden mencionar: ISO 27001:2005, SEE_CMM, Cobit, ITIL, ISM3, entre otros. Sin embargo, se requiere incorporar los cambios necesarios para que se ajusten a los requerimientos particulares de cada empresa. En los actuales momentos la norma ISO 27001:2007, presenta un compendio que propor- ciona una base comn para la elaboracin de re- glas, un mtodo de gestin efcaz de la seguridad y permite establecer informes de confanza en las transacciones y las relaciones entre empresas. La norma ha sido publicada en dos partes: ISO/IEC 27002:2007: Cdigo de buenas prc- ticas para la Gestin de la seguridad de la infor- macin; ISO/IEC 27001:2007 - BS 7799 Parte 2: Especi- fcaciones relativas a la gestin de la seguridad de la informacin. Lo relacionado con la gestin del riesgo es una parte esencial del ISO 27001:2007. En el Anexo A de esta norma se propone una tabla deta- llada de los controles (Alexander, 2007), controles que deben ser seleccionados en base a los resulta- dos de la evaluacin del riesgo y a las decisiones tomadas concernientes al tratamiento de dicho riesgo. La gestin del riesgo, generalmente, con- templa el clculo del riesgo, la apreciacin de su 47 Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 impacto en el negocio y la probabilidad de ocu- rrencia (Hiles, 2004). Luego se derivan pasos para reducir la frecuencia a un nivel considerado acep- table. Si la empresa no conoce sobre el riesgo que corren sus activos de informacin, difcilmente llegar a estar preparada para evitar su posible ocurrencia, de all la importancia de conocerlo y crear controles para disminuir o eliminar su posi- ble ocurrencia. La ISO 27001:2007 recomienda para llevar a cabo una gestin de riesgo, que se defna primero el alcance del estndar en la empresa, y con base en ello, identifcar todos los activos de informa- cin. Los activos de informacin deben ser tasa- dos para identifcar su impacto en la organizacin. Luego se debe realizar un anlisis para determinar qu activos estn bajo riesgo. Es en ese momento que se deben tomar decisiones en relacin a qu riesgos aceptar la organizacin y qu controles sern implantados para mitigar el riesgo (Alberts y Dorofee, 2003). A la gerencia le corresponde revi- sar los controles implantados a intervalos de tiem- po regular para asegurar su adecuacin y efcacia. Se le exige a la gerencia que controle los niveles de riesgos aceptados y el estado del riesgo residual (que es el riesgo que queda despus del tratamien- to del riesgo). El objetivo fnal de la evaluacin de riesgos es realizar un clculo de las amenazas a los activos de informacin, con vistas a seleccionar los con- troles ISO 27002:2007 o ISO 17799:2005 adecua- dos para mitigar ese riesgo. Despus de revisar los diferentes mtodos, metodologas y herramientas existentes, se propo- ne el esquema que se puede observar en la Figura 1 para llevar a cabo el mencionado anlisis y eva- luar su riesgo. Figura 1 Esquema del Anlisis y Evaluacin de Riesgo Fuente: Elaboracin propia Defnicin del Alcance Identifcacin de Activos Tasacin de Activos Probabilidad de Ocurrencia Identifcacin de Vulnerabilidades Posible Explotacin de Vulnerabilidades Estimado del Valor de los Activos de Riesgo Probabilidad de Ocurrencia del Riesgo Valoracin del Riesgo de los Activos Revisin de Controles de Seguridad Existentes Identifcacin de Nuevos Controles de Seguridad Poltica y Procedimientos Anlisis de Riesgo Evaluacin del Riesgo Tratamiento de Riesgo Identifcacin de Amenazas Grado de Aseguramiento Implementacin y Reduccin del Riesgo Aceptacin de Riesgo (Riesgo Residual) 48 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas Desarrollo del trabajo Anlisis de riesgo. El objetivo del an- lisis de riesgo es identifcar los riesgos basados en la identifcacin de los activos, de sus amenazas y vulnerabilidades (Alexander, 2007, p. 53). a) Defnicin del alcance del modelo: el pri- mer paso que se sigui de acuerdo a la metodolo- ga propuesta fue defnir el alcance de esta evalua- cin de riesgo. El alcance de esta investigacin son los activos que estn en custodia de la Direccin de Servicios Telemticos (DST), de la Universidad Simn Bolvar, Caracas, Venezuela. La DST es la encargada de los servicios de comunicacin de voz y datos, del apoyo tcnico en informtica no especializada y de la adminis- tracin de los servicios de misin esencial de la Universidad. Esta unidad para el logro de sus ob- jetivos cuenta con cuatro departamentos, que se encargan de brindar el apoyo y soporte necesarios: Departamento de Atencin al Usuario, Departa- mento de Tecnologa Informtica, Departamento de Servicios de Red y Departamento de Servicios Telefnicos. b) Identifcacin de activos: una vez defni- do el alcance se procedi a identifcar los activos. Se identifcaron 8 activos de informacin vitales (ver Tabla 1). Entre los activos de informacin, segn la clasifcacin de la ISO 17799:2005, se en- cuentran: Activos de informacin (datos, de manuales de usuario, entre otros) Documentos en papel (contratos) Activos de software (aplicacin, software de sis- temas, entre otros) Activos fsicos (computadoras, servidores, me- dios magnticos, enrutadores, entre otros) Personal (estudiantes, clientes, empleados, en- tre otros) Imagen de la compaa y reputacin Servicios (comunicaciones, entre otros) c) Tasacin de activos: una vez que se es- tableci el alcance y se identifcaron los activos pertenecientes a una entidad en particular, se pro- cedi a la tasacin de dichos activos (esto con la fnalidad de poder identifcar posteriormente la proteccin apropiada a los activos, ya que es ne- cesario tasar su valor en trminos de importancia a la gestin tanto acadmica como administrativa de la Universidad Simn Bolvar, o dadas ciertas oportunidades determinar su valor potencial). La tasacin de activos es un factor muy im- portante en la evaluacin del riesgo. La tasacin es la asignacin apropiada en trminos de la impor- tancia que ste tenga para la empresa. Para ello se deber aplicar una escala de valor a los activos y de esa manera poder relacionarlos apropiada (Al- berts y Dorofee, 2003). En este caso (activos en custodia de la DST), se tas su impacto con relacin a su confdenciali- dad, integridad y disponibilidad. Se estableci uti- lizar la escala cualitativa de: Alto, Mediano y Bajo. d) Identifcacin de amenazas: una vez realizada la tasacin, se efectu la identifcacin de amenazas. 49 Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 Una amenaza es la existencia de algn mecanismo, que activado, permite explotar una vulnerabilidad. Una amenaza para poder causar dao a un activo debe estar asociada a una vulne- rabilidad en el sistema, aplicacin o servicio. Un incidente es cuando coinciden una vulnerabilidad y una amenaza afectando el funcionamiento de la organizacin (Hiles, 2004; Barnes, 2001), es de- cir, es la concrecin de una amenaza. Se realizaron reuniones con las personas encargadas de estos activos, con la fnalidad de ex- plorar las principales amenazas por cada activo de informacin. e) Probabilidad de ocurrencia de las ame- nazas: el siguiente paso fue establecer la posibili- dad de ocurrencia de amenazas y el impacto eco- nmico que pudiese ocasionar en la organizacin. La probabilidad de ocurrencia de una amenaza es el nmero de probables incidentes que pudiese su- frir un activo expuesto a una amenaza sin ningn tipo de contramedida para defenderlo. Es importante sealar, que no todas las amenazas tienen la misma probabilidad de ocu- rrencia. Existen amenazas cuya frecuencia es baja y otras que son altas. Para ello, tambin se utiliz la escala cuali- tativa de Alta, Media o Baja probabilidad de ocu- rrencia. f) Identifcacin de vulnerabilidades: una vulnerabilidad es un error que representa un pro- blema potencial, es decir, es una condicin de de- bilidad, que le permite a una amenaza producir un dao en la organizacin. En esta fase de la investigacin se realiza- ron reuniones con los encargados de los activos, estableciendo por cada amenaza las posibles vul- nerabilidades relacionadas con cada activo de in- formacin. g) Posible explotacin de vulnerabilidades: una amenaza para poder causar algn tipo de dao a un activo, tendra que explotar la vulnerabilidad del sistema, aplicacin o servicio. Las vulnerabili- dades son condiciones que pueden permitir que las amenazas las exploten y causen dao. Se llev a cabo reuniones con los encarga- dos de los activos de informacin de la DST con la fnalidad de obtener su realimentacin respecto a las posibles explotaciones que pudiera tener cada amenaza relacionada con los activos. La evaluacin incluy la identifcacin de debilidades en el ambiente fsico, organizacional, procedimientos, gestin, administracin, hard- ware, software o en equipos de comunicacin, que podran ser explotados por una fuente de amena- zas para causarle dao a un activo en particular. Una vez identifcada las distintas vulnerabi- lidades por cada amenaza, se debe hallar el grado en que la amenaza puede explotar cada vulnerabi- lidad. Se produjo un listado de aquellas vulnerabi- lidades consideradas importantes. Evaluacin de riesgo El proceso de evaluacin del riesgo permi- te a una organizacin alcanzar los requerimien- tos del estndar. Este proceso ayuda a cualquier organizacin que desee establecer un Sistema de 50 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas Gestin de la Seguridad de la Informacin (SGSI) en concordancia con la clusula 4.2.1 de la nor- ma. La evaluacin de riesgo es el proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de importancia del riesgo. El objetivo de esta evaluacin es la de iden- tifcar y evaluar los riesgos. Los riesgos son calcu- lados por una combinacin de valores de activos y niveles de requerimientos de seguridad. El riesgo se evala contemplando tres ele- mentos bsicos: Estimado del valor de los activos de riesgo Probabilidad de ocurrencia del riesgo Valoracin del riesgo de los activos a) Estimado del valor de los activos de riesgos: este punto es fundamental para evaluar el riesgo. El objetivo es determinar el dao eco- nmico que el riesgo pudiera causar a los activos evaluados. Esto se llev a cabo dndole un valor monetario a cada activo de acuerdo al valor de re- ferencia en el mercado y de su importancia para la Universidad. Se estableci un estimado del valor de los activos con los integrantes de la DST. b) Probabilidad de ocurrencia del riesgo: se llev a cabo reuniones con el jefe del Departa- mento de Servicios de Red con el fn de visualizar por cada activo sus impactos, amenazas y posibili- dad de ocurrencia, as como las vulnerabilidades y su posibilidad de ser explotadas, determinndose la posibilidad de ocurrencia del riesgo por cada ac- tivo de informacin perteneciente a la DST. c) Valoracin del riesgo de los activos: por ltimo, se llev a cabo la valoracin del riesgo de los activos. Para el clculo del campo total, se dio un va- lor numrico de de 5 para el trmino Alto, 4 para el trmino Medio y 3 para el Bajo. El valor del campo total se obtiene de la suma de los campos posi- ble Explotacin de Vulnerabilidad, ms el campo Valor Activo ms el campo Posible Ocurrencia dividido entre tres, el valor obtenido se retorna al trmino cualitativo. Siguiendo la metodologa, se concluye que todos los activos de informacin que se encuen- tran en la DST son activos de informacin consi- derados de Alto riesgo, con los cuales habra que identifcar (tomando en cuenta el Anexo A de las normas ISO 27001:2007 o de la ISO 17799:2005) sus respectivos controles. En la Tabla 1 se puede observar el vacia- do del anlisis y evaluacin de riesgo realizado. La gestin de riesgo permitir evaluar un plan de se- guridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que sea aceptado por la direccin (Sema Group, 2006). Tratamiento de riesgo El tratamiento de riesgo se defne, como el conjunto de decisiones tomadas con cada activo de informacin. El ISO/IEC Guide 73:2002, lo conceptualiza como el proceso de seleccin e im- plementacin de medidas para modifcar el ries- go. Las medidas de tratamiento del riesgo pue- den contemplar acciones como: evitar, optimizar, transferir o retener el riesgo. 51 Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 Tabla 1 Realizacin del Anlisis y Evaluacin de Riesgo Servidores de DACE Servidores de Nmina Servidores de la DII Servidores de Finanzas Servidores de DNS, Pgina Web (Sede del Litoral) Servidores de Correo Servicios de Intranet Servicios de Internet Activos Amenazas Probabilidad Ocurrencia Vulnerabilidad Posible Explotacin de Vulnerabilidad Valor Activo Posible Ocurrencia Total Riesgo Tasacin Confdencialidad Integridad Disponibilidad Total A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A B A B B A B B A B B A B B A B B A B B A B B A B B A B B A B B A B B A B B A B M A B B A B M A B A A A A A A A A B B B B B M B M M M M M M A M A -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Hackers -Virus y/o progra- mas maliciosos -Seguridad Fsica -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada -Software desactualizado o mal confgurado -Software desactualizado o mal confgurado -Falla exceda la capacidad instalada Leyenda: Alto (A), Mediano (M), Bajo (B) 52 Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas De acuerdo a lo establecido en la clusula 4.2.1 (g), se deben seleccionar objetivos de control y controles apropiados del Anexo A del estndar ISO 27001:2007 o de la ISO 27002:2007 y la se- leccin se debe justifcar sobre la base de las con- clusiones de la evaluacin del riesgo y tratamiento del riesgo. En el caso de los activos pertenecientes a la DST y en custodias por estos, una vez efectuado el anlisis y evaluacin del riesgo, se propuso mitigar los riesgos encontrados en los activos de informa- cin: a) Servidores de correo y b) Servicios de In- ternet. El criterio establecido para aplicar los con- troles apropiados del anexo A sobre estos activos fue el resultado de ALTO RIESGO en la evaluacin del riesgo realizada. Los activos de informacin: c) Servidores de DACE, d) Servidores de Nmina, e) Servidores de la DII, f) Servidores de Finanzas, g) Servidores de DNS, h) Pgina Web (Sede del Li- toral), e i) Servidores Intranet se le consider un riesgo aceptable, por ser evaluado como un riesgo MEDIO y visualizarlo compatible con las polticas de la organizacin. Enunciado de aplicabilidad: se pue- de observar en la Tabla 2, a nivel de ilustracin, un enunciado de aplicabilidad como producto del anlisis y evaluacin del riesgo efectuado a los Ser- vidores de Correo e Internet. Tabla 2 Enunciado de aplicabilidad Activo de Informacin Servidores de DACE Servidores de Nmina Justifcacin Proporcionar direccionalidad en la seguridad de informacin Minimizar errores humanos en la seguridad de informacin Capacitacin del usuario Minimizar los incidentes de seguridad y aprender de ellos Evitar el acceso fsico no autorizado Evitar la prdida de activos e interrupcin del servicio Evitar la prdida de activos y contaminacin de software malicioso Controlar el acceso a la informacin Crear responsabilidades en el usuario Crear conciencia acerca del uso de contraseas Evitar el acceso no autorizado a la computadora Inclusin de Seguridad de la informacin en el proceso de gestin de la continuidad de las operaciones Evaluar el riesgo Implantar planes para mantener y recuperar las operaciones Proporcionar direccionalidad en la seguridad de informacin Minimizar errores humanos en la seguridad de informacin Capacitacin del usuario 53 Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55 Tabla 2 Enunciado de aplicabilidad (Continuacin) Activo de Informacin Servicios de Internet Servicios de Intranet Justifcacin Minimizar los incidentes de seguridad y aprender de ellos Evitar el acceso fsico no autorizado Evitar la prdida de activos e interrupcin del servicio Evitar la prdida de activos y contaminacin de software malicioso Controlar el acceso a la informacin Crear responsabilidades en el usuario Crear conciencia acerca del uso de contraseas Evitar el acceso no autorizado a la computadora Inclusin de Seguridad de la informacin en el proceso de gestin de la continuidad de las operaciones Evaluar el riesgo Implantar planes para mantener y recuperar las operaciones Proporcionar direccionalidad en la seguridad de informacin Minimizar errores humanos en la seguridad de informacin Capacitacin del usuario Minimizar los incidentes de seguridad y aprender de ellos Evitar el acceso fsico no autorizado Evitar la prdida de activos e interrupcin del servicio Evitar la prdida de activos y contaminacin de software malicioso Controlar el acceso a la informacin Crear responsabilidades en el usuario Concientizar acerca del uso de contraseas Evitar el acceso no autorizado a la computadora Proporcionar direccionalidad en la seguridad de informacin Minimizar errores humanos en la seguridad de informacin Capacitacin del usuario Minimizar los incidentes de seguridad y aprender de ellos Evitar el acceso fsico no autorizado Evitar la prdida de activos e interrupcin del servicio Evitar la prdida de activos y contaminacin de software malicioso Controlar el acceso a la informacin Crear responsabilidades en el usuario Concientizar acerca del uso de contraseas Evitar el acceso no autorizado a la computadora 54 Conclusiones Entre las principales conclusiones que se pueden obtener de esta investigacin, se encuen- tran: El objetivo de la evaluacin de riesgo es identifcar y ponderar los riesgos a los cuales los sistemas de informacin, sus activos o servicios estn expuestos, con la fnalidad de identifcar y seleccionar los controles apropiados. Como se pudo observar, en los casos de los servidores de Correo e Internet, la evaluacin del riesgo esta basada en los valores de los activos y en los niveles de los requerimientos de seguridad, considerando la existencia de los controles actua- les. La DST debe promover el establecimiento, implantacin, operacin, monitoreo, manteni- miento y mejoramiento de ISO 27001:2007 en la Universidad Simn Bolvar. El encargado de la DST est en conocimien- to de la importancia que tienen los activos adscri- tos a su dependencia, por lo que pone un esfuerzo por preservarlos. Los activos que estn bajo la custodia en la DST, pertenecen a instancias que manejan datos crticos para la Universidad, de all la importancia de preservarlos. Para escogencia de los controles se debe justifcan con base a las conclusiones obtenidas del anlisis, evaluacin y tratamiento del riesgo a los cuales se someten los activos de informacin. Existen muchos mtodos para el clculo de riesgos de activos de informacin, pero se debe es- coger el que ms se adapte a las caractersticas de la empresa. Bibliografa Alberts, C. y Dorofee, A. (2003). Managing Informa- tion Security Risk. Pearson Education. Boston. Alexander, A. (2007). Diseo de un Sistema de Ges- tin de Seguridad de Informacin. ptica ISO 27001:2005. Alfaomega Colombiana S.A. Co- lombia. Barnes, J. (2001). A Guide to Business Continuity Planning. Wiley. London. De Freitas, V. (2007). La Universidad Simn Bolvar a la Luz de los Controles de Seguridad de la ISO-17799/27001. Ponencia presentada en el IV Congreso Iberoamericano de Seguridad de la Informacin. Mar del Plata. Argentina. Pp 277- 296. Hiles, A. (2004) Business Continuity Best Practices. Rothsein Associates. Inc. ISO/IEC Guide 73:2002. Risk management - Vocabu- lary - Guidelines for use in standards. ISO/IEC ISO 17799:2005. (2005). Information Technology - Security Techniques - Information Security Management Systems Requirements Specifcation. Recuperado el 15 de Julio del 2008 en http://17799.com ISO/IEC ISO 27001:2007. (2007). Information Technology - Security Techniques - Information Security Management Systems Requirements Specifcation. Recuperado el 9 de marzo de 2008 en http://iso27000.es Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar Vidalina De Freitas 55 Peltier, T. (2001). Information Security Risk Analysis. Auerbach. London. Pessolani, P. (2007). Evaluacin de Riesgo en las Tecnologas de Informacin y Comunicaciones orientada a Organismos Pblicos. Ponencia presentada en el IV Congreso Iberoamericano de Seguridad de la Informacin. Mar del Plata. Argentina. Pp. 245-259. Sema Group (2006). MAP-Magerit Versin 2, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Secretara del Consejo Superior de Administracin Electrnica. Ministerio de Administraciones Pblicas. Madrid. Espaa. UPEL Universidad Pedaggica Experimental Liberta- dor. (2003). Manual de Trabajos de Grado de Especializacin y Maestra y Tesis Doctorales. Fedupel. Caracas. Venezuela. Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento Ao 6: No. 1, Enero-Abril 2009, pp. 43-55