ANLISIS DE RIESGO RESPECTO A LA SEGURIDAD

INFORMTICA DE UNA ORGANIZACIN

CORRESPONDIENTE AL SECTOR PBLICO
El objetivo de ste trabajo es mostrar la manera de llevar a cabo un anlisis del riesgo respecto a la
seguridad informtica, de un Organismo correspondiente al sector pblico, que puede adaptarse a
cualquier organizacin.
Para efectuar el anlisis del riesgo de una organizacin es necesario:
1. Evaluar la normativa vigente.
. !a organizacin de un comit de seguridad.
". #n relevamiento de los sistemas informticos, clasificndolos, armando una planilla con el nivel de
riesgo e importancia que poseen.
$. %eterminar que contingencias pueden surgir a travs del contrato con terceros contratados.
&. Evaluacin del riesgo a travs de la confeccin de'
a. #na tabla de amenazas.
b. #na tabla de vulnerabilidades ( probabilidad de ocurrencia ( impacto
c. #na tabla de controles.
d. #na tabla de riesgos
). *eunin del comit de seguridad a fin de decidir respecto a las modificaciones propuestas por las
distintas gerencias + sub gerencias.
El Organismo dependiente de la ,dministracin -blica .acional se compone de'
( #na %ireccin /eneral, a cargo de un %irector.
( %os gerencias.
( 0eis subgerencias.
.o poseen, 1asta el momento, como casi toda la ,dministracin -blica .acional, una pol2tica de
seguridad de la informacin formalizada, sino que 1an aplicado medidas tendientes a asegurar la
informacin durante los ltimos a3os, + estn tratando de cumplir la nueva normativa vigente.
1. DESCRIPCIN DE LA NR!A"I#A #I$EN"E'
.ormativa vigente en cuanto a la 0eguridad 4nformtica, para la ,dministracin -blica ,rgentina, es
la siguiente'
( %ecisin ,dministrativa ))5677$ 8 -ol2tica de 0eguridad de la 4nformacin9 de la :efatura de
/abinete de ;inistros del (1(77$ '
, travs de la misma se establece que los organismos del 0ector -blico .acional integrados por'
( !a ,dministracin .acional, conformada por la ,dministracin <entral + los Organismos
%escentralizados, comprendiendo en estos ltimos a las 4nstituciones de 0eguridad 0ocial.
( !as Empresas + 0ociedades del Estado que abarcan a las Empresas del Estado, las 0ociedades del
Estado, las 0ociedades ,nnimas con -articipacin Estatal ;a+oritaria, las 0ociedades de Econom2a
;i=ta + todas aquellas otras organizaciones empresariales donde el Estado nacional tenga participacin
ma+oritaria en el capital o en la formacin de las decisiones societarias.
( !os Entes -blicos e=cluidos e=presamente de la ,dministracin .acional, que abarca a cualquier
organizacin estatal no empresarial, con autarqu2a financiera, personalidad jur2dica + patrimonio
propio, donde el Estado nacional tenga el control ma+oritario del patrimonio o de la formacin de las
decisiones, inclu+endo aquellas entidades pblicas no estatales donde el Estado nacional tenga el
control de las decisiones.
( !os >ondos >iduciarios integrados total o ma+oritariamente con bienes +6o fondos del Estado
nacional.
%ebern dictar o bien adecuar sus pol2ticas de seguridad de la informacin conforme a la -ol2tica de
0eguridad ;odelo a dictarse, dentro del plazo de 1?7 d2as.
@ue las m=imas autoridades de los organismos debern conformar en sus mbitos un <omit de
0eguridad de la 4nformacin integrado por representantes de las %irecciones .acionales o /enerales o
equivalentes del organismo, el cual ser coordinado por el 0ubsecretario o su equivalente en cada rea
;inisterial o 0ecretar2a de la -residencia de la .acin o por el funcionario designado por las m=imas
autoridades de cada organismo descentralizado, que tenga a su cargo las reas de apo+o.
!as funciones del <omit de 0eguridad de la 4nformacin, sern las siguientes'
1. *evisar + proponer a la m=ima autoridad del organismo para su aprobacin, la -ol2tica + las
responsabilidades generales en materia de seguridad de la informacin.
. ;onitorear cambios significativos en los riesgos que afectan a los recursos de informacin frente a
las amenazas ms importantes.
". Aomar conocimiento + supervisar la investigacin + el monitoreo de los incidentes relativos a la
seguridad.
$. ,probar las principales iniciativas para incrementar la seguridad de la informacin.
&. ,cordar + aprobar metodolog2as + procesos espec2ficos relativos a la seguridad de la informacin.
). /arantizar que la seguridad sea parte del proceso de planificacin de la informacin.
B. Evaluar + coordinar la implementacin de controles espec2ficos de seguridad de la informacin para
nuevos sistemas o servicios.
?. -romover la difusin + apo+o, a la seguridad de la informacin dentro del Organismo.
5. <oordinar el proceso de administracin de la continuidad de la operatoria de los sistemas de
tratamiento de informacin del Organismo frente a interrupciones imprevistas.
,dems las m=imas autoridades de los organismos, debern asignar las funciones relativas a la
seguridad de sus sistemas de informacin a un funcionario de su planta dentro del plazo de 1?7 d2as
de aprobada la -ol2tica de 0eguridad ;odelo, + la asignacin de funciones relativas a la seguridad
informtica + la integracin del <omit de 0eguridad de la 4nformacin, no deber implicar
erogaciones presupuestarias adicionales.
*esolucin $&677&, de la 0ubsecretaria de /estin -blica, del $ de junio del 77&, a travs de la
cual se faculta al %irector .acional de la Oficina .acional de Aecnolog2as de 4nformacin a aprobar la
-ol2tica de 0eguridad de la 4nformacin ;odelo + dictar las normas aclaratorias + complementarias que
requiera la aplicacin de la %ecisin ,dministrativa ))5677$.
%isposicin )677&, de la Oficina .acional de Aecnolog2as de la 4nformacin 8O.A49, del " de agosto
del 77&, a travs de la cual se aprueba la C-ol2tica de 0eguridad de la 4nformacin ;odeloC que como
,ne=o 4 forma parte de la presente %isposicin, + que se encuentra publicada en la direccin de
4nternet 1ttp'66DDD.sgp.gov.ar6sitio6-04E;odelo(v1E77&7B.pdf , + que servir como base para la
elaboracin de las pol2ticas de seguridad a dictarse por cada organismo alcanzado por la %ecisin
,dministrativa ))5677$.
Este modelo debe ser interpretado como un compendio de mejores prcticas en materia de seguridad
de la informacin para las entidades, pblicas + adaptada a la realidad + recursos de cada organismo,
+ las funciones a las que 1ace alusin la -ol2tica de 0eguridad ;odelo debern ser asignadas de
acuerdo a las particularidades + operatoria de cada organismo, siendo que dic1a asignacin deber
realizarse evitndose la duplicacin de tareas + asegurando la segregacin de funciones incompatibles
siempre que sea posible, o bien mediante la implementacin de controles para mitigar dic1o riesgo.
%& R$ANI'ACIN DE (N C!I") DE SE$(RIDAD'
-or lo cual + para dar cumplimiento a la -ol2tica de 0eguridad se 1a conformado un <omit de
0eguridad con representantes de las gerencias, 8 ,dministrativa + de -restaciones9 las )
subgerencias 8 <ontable6 4mpositiva F %e personal F de 0istemas F de <ompras9 8 %e prestaciones F
%e atencin a los ciudadanos9( , el director general, siendo designado el %irector /eneral del
Organismo coordinador general de dic1o comit, como indica la normativa.
1ra. *eunin del <omit de 0eguridad F Aemas tratados'
( *elevancia del comit, funciones que va a cumplimentar, notificacin al personal del Organismo
respecto al mismo, 8 que queda a cargo del 0ub (/erente de -ersonal9 acta correspondiente, fec1a de
la nueva reunin.
( 0eguridad de la informacin, para que sirve, que urgencia tiene su implementacin.
( ,nlisis de la normativa vigente para la ,dministracin -blica .acional respecto a la 0eguridad
4nformtica.
( 4mplementacin de un rea dentro de la estructura organizacional del Organismo, que proteja los
activos de informacin, de manera tal que administre + controle la seguridad sobre el acceso lgico +
f2sico de sus distintos ambientes tecnolgicos + recursos de informacin.
( *ecursos disponibles 1umanos + econmicos para efectuar dic1a implementacin.
( Evaluacin del estado en que se encuentra el Organismo respecto a las pol2ticas de seguridad, con
que documentacin cuentan + quienes se van a 1acer cargo de dic1a evaluacin.
( Evaluacin del riesgo posible por la tercerizacin con una empresa por la provisin + mantenimiento
8 remoto + on(site9 de los enlaces G,., + por el 1osteo de la pgina GEH del Organismo, que cuenta
con un sistema on(line de registro donde se almacena informacin personal de los ciudadanos. !a base
de datos que almacena la informacin tambin se arc1iva en los equipos del proveedor. ;odificaciones
a efectuar en el contrato vigente.
( ,cuerdos, trminos + condiciones de confidencialidad de los datos, para todo el personal propio +
contratados por los terceristas.
( 0e decide la divisin por temas entre los ) gerentes + sub(gerentes, + una nueva reunin de
urgencia en "7 d2as.
*& RELE#A!IEN" DE LS SIS"E!AS IN+R!A"ICS&
!a sub gerencia de sistemas ordena el relevamiento + la clasificacin de los sistemas informticos, con
el armado de una planilla con el nivel de riesgo e importancia que poseen'
El Organismo cuenta con un sistema propio, denominado -*E0A,<4O.E0' dise3ado por el personal de
sistemas del mismo para las prestaciones que realiza + la informacin personal de los ciudadanos + de
trmites que stos realizan en el organismo, esto se encuentra integrado en una base de datos nica,
modulada, a la que los ciudadanos acceden a travs de la pgina GEH del organismo, que se
encuentra tercerizada a travs de un proveedor de 1osting, + el personal del Organismo encargado del
rea de prestaciones.
,dems cuenta con un sistema <ontable impositivo, de personal + proveedores, denominado
<E.A*,!' al que tienen acceso el personal del organismo, a travs de perfiles + autorizaciones, que
fue dise3ado por el sector de sistemas del ;inisterio del que el Organismo depende, + adaptado por el
personal de sistemas del Organismo a las necesidades del mismo.
.o se encuentran integradas las bases de datos de los dos sistemas, + utilizan una interface dise3ada
a tal efecto cuando necesitan actualizar informacin de una base de datos a otra, como ser los
usuarios del sistema.
El personal de un rea no tiene posibilidades de acceder al rea no correspondiente, e=cepto, a nivel
sub(gerencial + gerencial, el director, + el personal de sistemas, con el que cuenta el Organismo.
,ustificaciones:
!a evaluacin de los sistemas se efecta dndoles valores de 7 a &, a <onfidencialidad F 4ntegridad +
%isponibilidad, calculando la <riticidad de no contar con dic1o sistema por determinado tiempo
8llmese minutos, 1oras o d2as9.
1. !a informacin contable F impositiva del Organismo, debe ser pblica, + puede estar en
conocimiento de los ciudadanos, + del personal del organismo, lo que no significa que cualquier usuario
tenga acceso al sistema para efectuar modificaciones al mismo. %ebe mantenerse completa, + la
disponibilidad es relativa, +a que no se producir2a un gran impacto en el Organismo por dejar de contar
por unas 1oras sin el sistema contable(impositivo, por eso la criticidad es media.
. !a informacin del personal del Organismo debe ser confidencial, en cumplimiento adems de la
normativa respecto a la misma, debe mantenerse completa, + la disponibilidad es relativa, +a que no
se producir2a un gran impacto en el Organismo por dejar de contar por unas 1oras sin el sistema de
personal, e=cepto cuando se efectan las liquidaciones del mismo, por eso la criticidad es media.
". !a informacin respecto a los usuarios de todos los sistemas del Organismo debe ser confidencial,
integra + debe estar disponible para que todos los usuarios tengan acceso diariamente a los sistemas
para los sistemas a los que estn autorizados a acceder, por lo cual el nivel de criticidad es ,lto.
$. !a informacin respecto a los proveedores, debe ser confidencial e integra, porque si personas no
autorizadas tienen acceso a la misma, las licitaciones podr2an ser dirigidas indebidamente, pero el nivel
de disponibilidad es medio, +a que se puede estar sin sistema por unas 1oras.
&. !a informacin del sistema de prestaciones, es altamente confidencial, +a que contiene la base de
datos de los ciudadanos que acceden al sistema, debe mantenerse la e=actitud + totalidad de la
informacin + debe estar disponible en todo momento, por lo cual el grado de criticidad es ,lto.
). El manual de procedimientos operativos del organismo, es de acceso pblico, debe estar 2ntegro, +
si no se encuentra disponible en forma permanente , no trae conflictos graves, por lo cual la criticidad
es Haja.
B. !a pgina GEH institucional, se utiliza para brindar informacin a los ciudadanos, respecto a las
prestaciones a las que pueden acceder + para que comiencen las tramitaciones, pedido de informes,
reserva de nmeros + seguimiento de trmites, por lo cual el nivel de confidencialidad de la pgina es
innecesario 8 la confidencialidad se encuentra en el sistema de prestaciones9, debe estar con la
informacin correcta + disponible para su uso, pero no tiene un grado de criticidad grande, por lo cual
es ;edia.
?. !os logs de auditoria, son medianamente confidenciales, +a que pocos si accedieran a los mismos,
podr2an leerlos + comprenderlos, deben mantenerse completos + disponibles, para el caso de eventos,
por lo cual tiene un nivel de criticidad ;edio.
5. !as cintas de bacI ups, son confidenciales, deben mantenerse completas + disponibles, para el caso
de eventos, por lo cual tiene un nivel de criticidad ;edio.
17. J por ltimo, el servidor de mails del personal del organismo, debe ser confidencial + contener la
totalidad de la informacin, + debe estar disponible en forma permanente, +a que el organismo se
comunica interna + e=ternamente en la actualidad a travs de este medio, por lo cual la criticidad es
,lta.
-& CN"IN$ENCIAS .(E P(EDAN S(R$IR PR EL CN"RA" CN
"ERCERS'
0e determina que el contrato con la empresa, deber contener las siguientes clusulas'
a. #na clusula de confidencialidad, respecto a la informacin del Organismo + de los <iudadanos a la
que acceda el proveedor del servicio + sus empleados, que deber continuarse una vez finalizado el
contrato con el Organismo + si ste no se renovara.
b. *especto a las pol2ticas de seguridad de la informacin del Organismo, para cuando estn dictadas,
conocimiento + cumplimiento de las mismas, para la empresa + su personal a cargo, en los aspectos
que le sean aplicables.
c. *especto a la calidad del servicio, determinar claramente las pautas con que deben contar los
proveedores del mismo, respecto a los enlaces provistos como para el mantenimiento del sitio GEH del
Organismo.
d. -autas para el tratamiento de incidentes de seguridad, que va a estar detallado en el manual de
pol2ticas de seguridad.
e. E=istencia de planes de contingencia ante interrupciones de los servicios.
f. ;antenimiento de la pgina GEH.
g. -ropiedad intelectual del Organismo sobre el sitio GEH 1osteado por el proveedor.
1. %efiniciones relacionadas con la proteccin + el tratamiento de los datos ubicados en la base de
datos.
i. @ue el Organismo pueda verificar los controles e=istentes a los accesos f2sicos de las instalaciones
del proveedor, donde se ubican los equipos que prestan el servicio de 1osting del sitio GEH del
Organismo, por parte de los empleados del proveedor.
j. -autas de administracin + de control de acceso lgico implementadas en el equipamiento de
comunicaciones que 1ostea el sitio GEH del Organismo.
I. ;edidas de seguridad, como ser ,ntivirus, >ireDall, control de acceso, etc., implementadas en el
equipamiento que 1ostea el sitio GEH del Organismo.
l. <riterios de monitoreo + control de los servicios prestados.
m. *esponsabilidades relativas a la instalacin + mantenimiento del 1ardDare, softDare + los servicios,
relativos al sitio GEH del Organismo.
/&E#AL(ACIN DEL RIES$:
"A0LA DE A!ENA'AS
E#AL(ACIN DEL RIES$:
"A0LA DE #(LNERA0ILIDADES 1 PR0A0ILIDAD C(RRENCIA 1 I!PAC"
"A0LA DE CN"RLES
"A0LA DE RIES$S :

2& RE(NIN DEL C!I") DE SE$(RIDAD 1 !DI+ICACINES
DE"ER!INADAS 3 ,(S"I+ICACIN DE LAS !IS!AS:
El comit entiende que la informacin es un recurso que, como el resto de los activos, tiene valor para
el Organismo + por consiguiente debe ser debidamente protegida, de una amplia gama de amenazas,
+ a fin de garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de da3o +
asegurar el eficiente cumplimiento de los objetivos del Organismo.
Aal como se especifica en el modelo -04E;odelo(v1E77&7B, de la Oficina .acional de Aecnolog2a de la
4nformacin, el comit entiende que seguridad de la informacin se entiende como la preservacin de
las siguientes caracter2sticas'
( <onfidencialidad, de manera tal que se garantice que la informacin sea accesible solo a aquellas
personas autorizadas a tener acceso a la misma.
( 4ntegridad, a fin de salvaguardar la e=actitud + totalidad de la informacin + loos mtodos de
procesamiento.
( %isponibilidad, para garantizar que los usuarios autorizados tengan acceso a la informacin + a los
recursos relacionados con la misma, toda vez que lo requieran.
( ,utenticidad, a fin de asegurar la validez de la informacin en tiempo, forma + distribucin,
garantizando el origen de la informacin, validando el emisor para evitar suplantacin de identidades.
( ,ceptacin de que todos los eventos de un sistema deben poder ser registrados a fin de su control
posterior, por medio de la auditoria correspondiente.
( -roteccin a la duplicacin, de manera tal que una transaccin solo se realiza una vez, a menos que
se especifique lo contrario, de forma de impedir que se grabe una transaccin para luego reproducirla,
con el objeto de simular mltiples peticiones del mismo remitente original.
( .o repudio, respecto a informacin que la organizacin 1a+a enviado o recibido de terceros, evitando
que stos aleguen que no la enviaron o no la recibieron.
( !egalidad, respecto al cumplimiento por parte del Organismo de las le+es, normas, reglamentaciones
o disposiciones vigentes.
( <onfiabilidad de la informacin generada para sustentar la toma de decisiones + la ejecucin de las
misiones + funciones.
*esoluciones respecto a los temas tratados en la reunin anterior'
1. 0e decide efectuar el desarrollo de -ol2ticas de 0eguridad de la 4nformacin, a travs de un
conjunto de reglas que formarn parte de las -ol2ticas de 0eguridad de la 4nformacin a fin de proteger
al Organismo de una amplia gama de amenazas, + a fin de garantizar la continuidad de los sistemas de
informacin, minimizar los riesgos de da3o + asegurar el eficiente cumplimiento de los objetivos del
Organismo.
. 0e decide mantener la -ol2tica de 0eguridad del Organismo actualizada, a efectos de asegurar su
vigencia + nivel de eficacia.
". 0e decide la creacin de la 0ub (gerencia de 0eguridad 4nformtica del Organismo, que estar a
cargo del actual :efe de 0istemas ,dministrativos, quien ser nombrado por la resolucin
correspondiente, se le otorgarn " personas dentro de los recursos disponibles del sector de sistemas
del Organismo, +a que por la %ecisin ,dministrativa )55677$, no se puede incrementar el
presupuesto disponible.
$. 0e decide la implementacin en forma urgente de medidas tendientes a disminuir los riesgos
determinados segn las distintas tablas efectuadas + llevar adelante la implementacin de un nuevo
contrato con el proveedor de 1osting, a fin de que la seguridad de la pgina GEH del Organismo que
es cr2tica, se vea solucionada.
&. 0e va a completar la licitacin de un entorno alternativo para el procesamiento de los sistemas en
caso de falla de los mismos.
). 0e decide adems verificar el riesgo real de incendios e inundaciones, que afecten a los sistemas de
informacin + su procesamiento.
CNSIDERACINES +INALES:
Efectuar el anlisis del riesgo que tiene una organizacin respecto de la seguridad informtica no es
una tarea sencilla, pero deber2a llevarse a cabo para prevenir eventos que afecten la seguridad de la
empresa de que se trate, en el caso ejemplo una organizacin estatal, pero adaptable a cualquier
organizacin.
Es preferible anticiparse a sucesos que afecten a la seguridad informtica antes de que ocurra algn
1ec1o que afecte el normal desempe3o de los sistemas de las organizaciones + que impliquen dejar de
operar por algn tiempo que significan costos muc1o ma+ores que los que se necesitan para efectuar
ste anlisis.
4mplementar un comit de seguridad, en la organizacin, contar con un sector de seguridad
informtica acorde con el nivel de la organizacin de que se trate, si bien a3os atrs no parec2a
necesario, 1o+ es imprescindible.
%ebemos tomar conciencia de que ninguna empresa funciona en la actualidad sin sistemas
informticos, + que los mismos deben contar con las medidas de seguridad apropiadas, para su buen
funcionamiento.