1

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenazas:
A continuacin se presenta un catlogo de amenazas posibles sobre los activos de un
sistema de informacin. Para cada amenaza se presenta un cuadro como el siguiente:
1.- Desastres naturales
Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa o
indirecta.

Amenaza: Fuego
Tipos de activos:
Dimensiones:
Equipos informticos (hardware)
1. disponibilidad
Redes de comunicaciones
2. trazabilidad de los servicios
Soportes de informacin
3. trazabilidad de los datos
Equipamiento auxiliar
Instalaciones
Descripcin:
incendios: posibilidad de que el fuego acabe con recursos del sistema.

Amenaza: Daos por agua

Tipos de activos:
Dimensiones:
Equipos informticos (hardware)
1. disponibilidad
Redes de comunicaciones
2. trazabilidad de los servicios
Soportes de informacin
3. trazabilidad de los datos
Equipamiento auxiliar
Instalaciones
Descripcin:
escapes, fugas, inundaciones: posibilidad de que el agua acabe con los recursos del
sistema.

5.2. [I] De origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo
industrial. Estas amenazas pueden darse de forma accidental o deliberada.
Amenaza: Desastres industriales
Tipos de activos:
Dimensiones:
Equipos informticos (hardware)
1. disponibilidad
Redes de comunicaciones
2. trazabilidad de los servicios
Soportes de informacin
3. trazabilidad de los datos
Equipamiento auxiliar
Instalaciones
Descripcin:
otros desastres debidos a la actividad humana: explosiones, derrumbes, ...contaminacin
qumica, ...sobrecarga elctrica, fluctuaciones elctricas, ... accidentes de trfico, ...
1

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Contaminacin mecnica

Tipos de activos:
Equipos informticos (hardware)
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar

Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos

Descripcin:
vibraciones, polvo, suciedad, ...

Amenaza: Contaminacin electromagntica

Tipos de activos:
Equipos informticos (hardware)
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar

Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos

Descripcin:
interferencias de radio, campos magnticos, luz ultravioleta, ...

Amenaza: Avera de origen fsico o lgico

Tipos de activos:
Aplicaciones
Equipos informticos (hardware)
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar

Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos

Descripcin:
fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de
origen o sobrecargo de la lnea elctrica durante el funcionamiento del sistema.

Amenaza: Corte del suministro elctrico

Tipos de activos:
Equipos informticos (hardware)
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar

Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos

Descripcin:
cese de la fuente de alimentacin de potencia
2

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Condiciones inadecuadas de temperatura y/o humedad

Tipos de activos:
Equipos informticos (hardware)
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar

Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos

Descripcin:
deficiencias en la aclimatacin de los locales, excediendo los mrgenes de trabajo de los
equipos: excesivo calor, excesivo fro, exceso de humedad, ...

Amenaza: Fallo de servicios de comunicaciones

Tipos de activos:
Redes de comunicaciones

Dimensiones:
1. disponibilidad

Descripcin:
cese de la capacidad de transmitir datos de un sitio a otro. Tpicamente se debe a la
destruccin fsica de los medios fsicos de transporte o a la detencin de los centros de
conmutacin, sea por destruccin, detencin o simple incapacidad para atender al trfico
presente.

Amenaza: Interrupcin de otros servicios y suministros esenciales

Tipos de activos:
Equipamiento auxiliar

Dimensiones:
1. disponibilidad

Descripcin:
otros servicios o recursos de los que depende la operacin de los equipos; por ejemplo,
papel para las impresoras, toner,...

Amenaza: Interrupcin de otros servicios y suministros esenciales

Tipos de activos:
Equipamiento auxiliar

Dimensiones:
1. disponibilidad

Descripcin:
otros servicios o recursos de los que depende la operacin de los equipos; por ejemplo,
papel para las impresoras, toner,...

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Errores y fallos no intencionados

Fallos no intencionales causados por las personas.
Amenaza: Errores de los usuarios
Tipos de activos:
Dimensiones:
Servicios
1. Integridad
Datos / informacin
2. Disponibilidad
Aplicaciones (software)
Descripcin:
equivocaciones de las personas cuando usan los servicios, datos, etc.

Amenaza: Errores del administrador

Tipos de activos:
servicios
datos / informacin
aplicaciones (software)
equipos informticos (hardware)
redes de comunicaciones

Dimensiones:
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos

Descripcin:
equivocaciones de personas con responsabilidades de instalacin y operacin

Amenaza: Errores de monitorizacin (log)

Tipos de activos:
Dimensiones:
servicios
trazabilidad del servicio
datos / informacin
trazabilidad de los datos
aplicaciones (software)
Descripcin:
Inadecuado registro de actividades: falta de registros, registros incompletos, registros
incorrectamente fechados, registros incorrectamente atribuidos, ...

Amenaza: Errores de configuracin

Tipos de activos:
servicios
datos / informacin
aplicaciones (software)
equipos informticos (hardware)
redes de comunicaciones

Dimensiones:
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos

Descripcin:
Introduccin de datos de configuracin errneos. Prcticamente todos los activos
dependen de su configuracin y sta de la diligencia del administrador: privilegios de
acceso, flujos de actividades, registro de actividad, encaminamiento, etc.
4

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Deficiencias en la organizacin

Tipos de activos:
Dimensiones:
Personal
Disponibilidad
Descripcin:
cuando no est claro quin tiene que hacer exactamente qu y cundo, incluyendo tomar
medidas sobre los activos o informar a la jerarqua de gestin.Acciones descoordinadas,
errores por omisin, etc.

Amenaza: Difusin de software daino

Tipos de activos:
aplicaciones (software)

Dimensiones:
Disponibilidad
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos

Descripcin:
propagacin inocente de virus, espas (spyware), gusanos, troyanos, bombas lgicas,
etc.

Amenaza: Errores de envo de informacin

Tipos de activos:
aplicaciones (software)
Servicios
Redes de comunicacin

Dimensiones:
integridad
confidencialidad
autenticidad del servicio
trazabilidad del servicio

Descripcin:
Envo de informacin a travs de un sistema o una red usando, accidentalmente, una
ruta Incorrecta que lleve la informacin a donde o por donde no es debido; puede tratarse
de mensajes entre personas, entre procesos o entre unos y otros.
Es particularmente destacable el caso de que el error suponga un error de entrega,
acabando la informacin en manos de quien no se espera.

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Errores de envo de informacin

Tipos de activos:
aplicaciones (software)
Servicios
Redes de comunicacin

Dimensiones:
integridad
confidencialidad
autenticidad del servicio
trazabilidad del servicio

Descripcin:
Envo de informacin a travs de un sistema o una red usando, accidentalmente, una
ruta Incorrecta que lleve la informacin a donde o por donde no es debido; puede tratarse
de mensajes entre personas, entre procesos o entre unos y otros.
Es particularmente destacable el caso de que el error suponga un error de entrega,
acabando la informacin en manos de quien no se espera.

Amenaza: Escapes de informacin

Tipos de activos:
Dimensiones:
aplicaciones (software)
confidencialidad
Datos/ informacin
Redes de comunicacin
Descripcin:
la informacin llega accidentalmente al conocimiento de personas que no deberan tener
conocimiento de ella, sin que la informacin en s misma se vea alterada.

Ataques intencionados
Fallos deliberados causados por las personas

Amenaza: Suplantacin de la identidad del usuario

Tipos de activos:
Dimensiones:
Datos/ informacin
Confidencialidad
Servicio
Integridad
aplicaciones (software)
Autenticidad
Redes de comunicacin
Descripcin:
cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la
Organizacin o por personal contratado temporalmente.

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Abuso de privilegios de acceso

Tipos de activos:
Dimensiones:
Datos/ informacin
Confidencialidad
Servicio
Integridad
aplicaciones (software)
Redes de comunicacin
Equipos
Descripcin:
cada usuario disfruta de un nivel de privilegios para un determinado propsito; cuando un
usuario abusa de su nivel de privilegios para realizar tareas que no son de su
competencia, hay problemas.

Amenaza: Acceso no autorizado

Tipos de activos:
Dimensiones:
servicios
Confidencialidad
datos / informacin
Integridad
aplicaciones (software)
Autenticidad
equipos informticos (hardware)
redes de comunicaciones
soportes de informacin
equipamiento auxiliar
instalaciones
Descripcin:
el atacante consigue acceder a los recursos del sistema sin tener autorizacin para ello,
tpicamente aprovechando un fallo del sistema de identificacin y autorizacin.

Amenaza: Corrupcin de la informacin

Tipos de activos:
datos / informacin

Dimensiones:
Integridad

Descripcin:
degradacin intencional de la informacin, con nimo de obtener un beneficio o causar
un perjuicio.
Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est
en algn soporte informtico, hay amenazas especficas.

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Amenaza: Robo
Tipos de activos:
Dimensiones:
equipos informticos (hardware)
Disponibilidad
redes de comunicaciones
Confidencialidad
soportes de informacin
equipamiento auxiliar
Descripcin:
la sustraccin de equipamiento provoca directamente la carencia de un medio para
prestar los servicios, es decir una indisponibilidad.
El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo de
soportes de informacin los ms habituales.
El robo puede realizarlo personal interno, personas ajenas a la Organizacin o personas
contratadas de forma temporal, lo que establece diferentes grados de facilidad para
acceder al objeto sustrado y diferentes consecuencias.
En el caso de equipos que hospedan datos, adems se puede sufrir una fuga de
informacin

Seguridad informpatica |

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Criterios de Valoracin de archivos:

Para la valoracin de los riesgos, es necesario utilizar escalas que permitan evaluar
cualitativamente el impacto del riesgo a estudiar, para tal fin, se puede utilizar la siguiente
escala:
Valor

Criterio

10

Muy alto

Dao muy grave a la organizacin

7-9

alto

Dao grave

4-6

medio

Dao importante

1-3

bajo

Dao menor

despreciable

irrelevante

Ahora bien, los criterios deben ser evaluados por el equipo de desarrollo en funcin de la
informacin recabada durante el proceso de desarrollo del sistema e incluso durante el
anlisis de riesgos. Sin embargo, y para ayudar a su definicin se anexa una tabla de gua
sobre los criterios ms importantes a evaluar en dicho anlisis.
Valor
10

Criterio

Probablemente cause un dao excepcionalmente serio a la eficacia o

seguridad de la misin operativa o logstica de la organizacin.
Probablemente cause daos excepcionalmente graves a misiones
extremadamente importantes de inteligencia o informacin.
Seguridad de las personas: probablemente suponga gran prdida de
vidas humanas.
Orden pblico: alteracin seria del orden constitucional
Probablemente cause un impacto excepcionalmente grave en las
relaciones internacionales.
Datos clasificados como secretos.

Seguridad informpatica |

10

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Valor
9

Criterio

Valor
8

Probablemente cause una interrupcin excepcionalmente seria de las

actividades propias de la Organizacin con un serio impacto en otras
organizaciones.
Administracin y gestin: probablemente impedira seriamente la
operacin efectiva de la organizacin, pudiendo llegar a su cierre.
Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones ...
con otras organizaciones
con el pblico en general
con otros paises
Probablemente cause un dao serio a la eficacia o seguridad de la
misin operativa o logstica
Intereses comerciales o econmicos
constituye un incumplimiento excepcionalmente grave de las
obligaciones contractuales relativas a la seguridad de la informacin
proporcionada por terceros
Obligaciones legales: probablemente cause un incumplimiento
excepcionalmente grave de una ley o regulacin
Seguridad: probablemente sea causa de un serio incidente de
seguridad o dificulte la investigacin de incidentes serios

Criterio

Seguridad de las personas: probablemente cause dao a la

seguridad o libertad individual (por ejemplo, es probable que llegue a
amenazar la vida de uno o ms individuos)
Impida la investigacin de delitos graves o facilite su comisin
Datos clasificados como confidenciales

10

Seguridad informpatica |

11

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Valor
7

Criterio

Valor
6

Criterio

Valor
5

Informacin personal: probablemente afecte gravemente a un grupo

de individuos y probablemente quebrante seriamente la ley o algn
reglamento
de proteccin de informacin personal
Seguridad de las personas: probablemente cause daos de cierta
consideracin, restringidos a un individuo
Orden pblico: probablemente cause manifestaciones, o presiones
significativas
Datos clasificados como de difusin limitada

Criterio

Valor
4

Probablemente cause una interrupcin seria de las actividades

propias de la Organizacin con un impacto significativo en otras
organizaciones
Administracin y gestin: probablemente impedira la operacin
efectiva de la organizacin
Probablemente causara una publicidad negativa generalizada
Seguridad de las personas: probablemente cause daos de cierta
consideracin a varios individuos
Datos clasificados como confidenciales

Administracin y gestin: probablemente impedira la operacin

efectiva de ms de una parte de la organizacin
Probablemente merme la eficacia o seguridad de la misin operativa
o logstica ms all del mbito local
Datos clasificados como de difusin limitada

Criterio

Informacin personal: probablemente afecte a un grupo de individuos

y quebrante leyes o regulaciones
Seguridad de las personas: probablemente cause daos menores a
varios individuos
Dificulte la investigacin o facilite la comisin de delitos
Datos clasificados como de difusin limitada

11

Seguridad informpatica |

12

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Valor
3

Criterio
Probablemente cause la interrupcin de actividades propias de la

Valor
2

Criterio

Valor
1

Organizacin
Administracin y gestin: probablemente impedira la operacin
efectiva de una parte de la organizacin
Probablemente afecte negativamente a las relaciones internas de la
Organizacin
Probablemente merme la eficacia o seguridad de la misin operativa
o logstica (alcance local)
Probablemente cause algn dao menor a misiones importantes de
inteligencia o informacin
Obligaciones legales: probablemente sea causa de incumplimiento
leve o tcnico de una ley o regulacin
Seguridad: probablemente sea causa de una merma en la seguridad
o dificulte la investigacin de un incidente
Seguridad de las personas: probablemente cause daos menores a
un individuo
Orden pblico: causa de protestas puntuales
Datos clasificados como de difusin limitada

Probablemente cause una prdida menor de la confianza dentro de

la Organizacin
Intereses comerciales o econmicos:
de bajo inters para la competencia
de bajo valor comercial
Informacin personal: pudiera causar molestias a un individuo
Seguridad de las personas: pudiera causar dao menor a varios
individuos
Datos clasificados como sin clasificar

Criterio
Pudiera causar la interrupcin de actividades propias de la Organizacin
Administracin y gestin: pudiera impedir la operacin efectiva de una parte
de la organizacin
Pudiera causar una prdida menor de la confianza dentro de la Organizacin
Pudiera causar algn dao menor a misiones importantes de inteligencia o
informacin
Informacin personal: pudiera causar molestias a un individuo
Obligaciones legales: pudiera causar el incumplimiento leve o tcnico de una
ley o regulacin
Seguridad de las personas: pudiera causar daos menores a un individuo
Orden pblico: pudiera causar protestas puntuales
Datos clasificados como sin clasificar
12

Seguridad informpatica |

13

Material de apoyo para el Anlisis de riesgos en los Proyectos Sociotecnolgicos

Valor
0

Criterio

No afectara a la seguridad de las personas

sera causa de inconveniencias mnimas a las partes afectadas
Supondra prdidas econmicas mnimas
No supondra dao a la reputacin o buena imagen de las personas
u organizaciones

Fuente: MARGERIT V.2 Metodologa de Anlisis y Gestin de Riesgos.

13

Seguridad informpatica |