riesgos, amenazas y vulnerabilidades de …...base de datos se puede saber su localización en la...

RIESGOS, AMENAZAS Y

VULNERABILIDADES DE LOS SISTEMAS DE

INFORMACION GEOGRAFICA Ángela Dayana Rojas Mora, Duvan Ernesto Castro Bolaños

Programa de Ingeniería de Sistemas, Facultad de Ingeniería, Universidad Católica de Colombia Bogotá D.C., Colombia

[email protected]

[email protected]

Resumen - El siguiente documento demuestra el análisis y la identificación de los riesgos, amenazas y

vulnerabilidades para los sistemas de información geográfica, inicialmente se definirán los términos

que componen los sistemas de información geográfica y se determinara cada uno de los pasos para

poder realizar el análisis de riesgo, definiendo que es amenaza, riesgo, vulnerabilidad e impacto, se

revisara la norma ISO 27001 y ISO 27005, para diseñar las matrices de vulnerabilidades vs amenazas

y análisis de riesgo, y así definir un control de riesgo para los sistemas de información geográfica. Al

final del documento se determinara que avances han tenido los sistemas de información geográfica en

Colombia.

Palabras claves: Riesgo, Amenaza, Vulnerabilidad, ISO, GIS, GPS

Abstract – The following document shows the analysis and identification of risks, threats and

vulnerabilities for geographic information systems. It initially defines the terms that make geographic

information systems and determines each of the steps to perform risk analysis, by defining what threat,

risk, vulnerability and impact is, ISO 27001 and ISO 27005 standards are taken into account to design

matrices vulnerabilities versus threats and risk analysis, and in that way defining risk control for

geographic information systems. At the end of the document the development of geographic

information systems in Colombia will be determined.

Keywords: Risk, Threat, Vulnerability, ISO, GIS, GPS

I. INTRODUCCIÓN

La investigación que se va a realizar tiene como fin

dar a conocer las debilidades que presentan los

sistemas de información geográfica (SIG), las

amenazas a las que está expuesto y los impactos

relativos del riesgo. Los sistemas de información

geográfica son muy populares en la actualidad y a

su vez de gran importancia en la sociedad,

especialmente en los ámbitos donde se requiere el

manejo de datos geográficos. Se identificaran las

vulnerabilidades, amenazas y riesgos en los

sistemas de información geográfica, y se

documentara cuáles son los avances de los sistemas

de información geográfica en Colombia.

II. SISTEMAS DE INFORMACIÓN

GEOGRAFICA.

Son la integración organizada de hardware,

software y datos geográficos diseñada para

capturar, almacenar, manipular, analizar y

desplegar en todas sus formas la información

geográficamente referenciada con el fin de resolver

problemas complejos de planificación y de gestión.

Funciona como una base de datos con información

geográfica (datos alfanuméricos) que se encuentra

asociada por un identificador común a los objetos

gráficos de un mapa digital. De esta forma,

señalando un objeto se conocen sus atributos e,

inversamente, preguntando por un registro de la

base de datos se puede saber su localización en la

cartografía [1].

III. ANÁLISIS DE RIESGOS

Se identifican las amenazas, vulnerabilidades y

riesgos, sobre la plataforma tecnológica de una

organización, con el fin de generar un plan de

implementación de los controles que aseguren un

ambiente informático seguro, bajo los criterios de

disponibilidad, confidencialidad e integridad.

Fig. 1 Proceso de gestión de riesgo

A. IMPACTO

Es la consecuencia para un activo de la

materialización de una amenaza.

B. RIESGOS

Es la posibilidad de que se produzca un impacto

determinado a un activo.

C. AMENAZAS

Es el evento que puede desencadenar un incidente

de la organización, produciendo daños o pérdidas

materiales en sus activos.

D. VULNERABILIDADES

Es la debilidad de un activo que puede ser

explotado por una amenaza para materializar una

agresión sobre dicho activos, se clasifica en alta,

media y baja

E. DETERMINACIÓN DE LA PROBABILIDAD

Se determina la probabilidad que una

vulnerabilidad pueda ser explotada por una

amenaza, pueden manejar diferentes tipos de

clasificación. Se tienen en cuenta los siguientes

factores:

Fuente de la amenaza y su capacidad

Naturaleza de la vulnerabilidad

F. ANÁLISIS DE IMPACTO Y FACTOR RIESGO

Se determina el impacto adverso para la

organización, como resultado de la explotación por

parte de una amenaza de una determinada

vulnerabilidad, se pueden considerar los siguientes

aspectos:

Consecuencias de tipo financiero, es decir

pérdidas causadas sobre un activo físico o

lógico determinado y las consecuencias que

este activo no funcione, y afecte la operación

de la compañía.

La importancia crítica de los datos y el sistema

(importancia a la organización).

Sensibilidad de los datos y el sistema.

IV. DISEÑO MATRICES

Para realizar el análisis fue necesario detectar cómo

funcionan los sistemas de información geográfica y

cuáles son sus componentes principales, se definió

que los GIS son encargados de digitalizar y

almacenar la información que es recolectada por los

GPS y transmitida a través de señales por medio

satélites o de forma manual; debido a este

funcionamiento se concluyó que los GPS son una

de las herramientas principales de los GIS, pero

presentan vulnerabilidades, riesgos y amenazas

diferentes, lo que nos llevó a hacer un análisis de

cada uno por separado de la siguiente forma:

El análisis que se realizó a GIS, fue con base a

la información que manejan, que tipo de

seguridad deben de tener por el nivel de

confidencialidad en los datos obtenidos.

El análisis que se realizado a GPS, fue con base

a la información que recolectan, como puede

ser capturada y manipulada las señales que

transmiten esta información

Para determinar el análisis de riesgo se diseñaron 4

matrices divididas en dos grupos, matriz de

vulnerabilidades vs amenazas y matriz de análisis

de riesgo.

V. MATRIZ VULNERABILIDADES VS

AMENAZAS

Para detectar las amenazas y las vulnerabilidades

para cada sistema GIS y GPS se revisó la norma

ISO 27001 y 27005.

Indentificación de riesgos

Estimación de riesgo

Valoración de riesgo

A. MATRIZ VULNERABILIDADES VS AMENAZAS GIS

Durante la revisión y detección de las amenazas y

vulnerabilidades que afectan el sistema GIS, se

detectaron:

Amenazas = 93

Vulnerabilidades = 83

Las siguientes graficas muestran el número de

amenazas que afecta cada vulnerabilidad del

sistema GIS

Fig. 2 Numero de amenazas que afecta cada Vulnerabilidad del Grupo

Comunicaciones GIS


Medio ambiente e Infraestructura GIS

Fig. 4 Numero de amenazas que afecta cada Vulnerabilidad del grupo

Personal GIS


Hardware GIS


Software GIS


Documentos/Datos GIS

B. MATRIZ VULNERABILIDADES VS AMENAZAS GPS

Durante la revisión y detección de las amenazas y

vulnerabilidades que afectan el sistema GPS, se

detectaron:

Amenazas = 64

Vulnerabilidades = 69

Las siguientes graficas muestran el número de

amenazas que afecta cada vulnerabilidad del

sistema GPS

Fig.8 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio

Ambiente e Infraestructura GPS


Personal GPS


Hardware GPS


Software GPS


Comunicaciones GPS

VI. MATRIZ ANÁLISIS DE RIESGOS

Se diseñara una matriz de análisis de riesgo que

analizará el impacto que tendría una probabilidad

de amenaza sobre un activo, esta matriz será

enfocada a los sistemas de información geográfica y

será dividida en dos matrices (matriz análisis de

riesgo GIS y matriz análisis de riesgo GPS)

En la Tabla 1, se definirán los valores que

calificaran la probabilidad de amenaza contra cada

activo y la Tabla 2 la magnitud de daño de cada

activo contra la amenaza detectada, al multiplicar

entre si estos valores se obtendrá un valor

automáticamente que nos informara el nivel de

impacto que tendría la amenaza sobre el activo

identificado, como lo informa el rango de valores

de la Tabla 3.

TABLA 1

Rango Valores Magnitud del Daño

Baja Mediana Alta

Magnitud del daño 1 2 3

TABLA 2 RANGO DE VALORES PROBABILIDAD AMENAZAS

Baja Mediana Alta

Probabilidad amenaza 1 2 3

TABLA 3

RANGO DE VALORES NIVEL DE IMPACTO

Bajo Medio Alto

Nivel de Impacto 1 2 3 4 5 6 7 8 9

A. MATRIZ ANÁLISIS DE RIESGO GIS

El proceso de identificación de riesgos estuvo

determinado por la realización previa de los

siguientes pasos:

Identificación y clasificación de los activos: La

identificación de los activos contempla todos

los elementos necesarios para mantener estable

el SIG. Los activos fueron clasificados en 3

categorías:

Sistemas: Hace referencia a activos de

hardware y software que pertenecen y

pueden ser afectados en el sistema GIS.

Personal: Los activos de este grupo hace

referencia a labores que realizan personas

que pueden ser afectados en el sistema GIS.

Datos e Información: Los activos de este

grupo son los más delicados y vulnerables

en la matriz de riesgos, porque son los que

van a almacenar y manejar la información

que es obtenida por los GPS y otros medios

de información

Identificación y clasificación de las amenazas:

Las amenazas fueron identificadas y

clasificadas en las siguientes clases:

Origen Físico: Estas amenazas están

enfocadas a amenazas que provienen de

desastres ambientales, degradación o fallas

físicas en el sistema GIS.

Nivel Usuario: Estas amenazas están

enfocadas hacia los errores que pueda causar

un usuario sobre los activos del sistema en

el sistema GIS.

Nivel Hardware: Estas amenazas están

enfocadas a diferentes fallas que puedan

presentar los componentes de hardware del

sistema GIS.

Nivel Datos: Estas amenazas se enfocan en

la información y datos del sistema GIS que

pueden estar expuestos a un acceso no

autorizado, una alteración, entre otros.

Nivel Software: Dentro de esta clase se

encuentran amenazas enfocadas a errores de

diseño, pruebas e implementación de

software del sistema GIS.

Nivel Infraestructura: Dentro de esta clase

se encuentran amenazas enfocadas a

problemas de organización en la parte de

infraestructura que puede ocasionar

perjuicios al sistema GIS

Políticas: Estas amenazas están enfocadas

en la falta de normas y reglas de la

organización de las cuales pueden llegar a

tener un gran riesgo los activos del sistema

GIS

Redes: Estas amenazas están enfocadas a

fallas de seguridad en el acceso y

transmisión a través de la red del sistema

GIS

Acceso: Dentro de esta clase se presentan

amenazas de acceso de personal no

autorizado al sistema GIS

Fig. 13 Matriz de Riesgo Gis para Origen Físico y Nivel de Usuario

O RIGEN FISICONIVEL DE

USUARIO

AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)

MA

TR

IZ D

E R

IESG

O G

IS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

Ince

nd

io

Inu

nd

ació

n /

des

lav

e

Sis

mo

Po

lvo

Fal

ta d

e v

enti

laci

ón

Ele

ctro

mag

net

ism

o

So

bre

carg

a el

éctr

ica

Fal

la d

e co

rrie

nte

(ap

ago

nes

)

Fal

la d

e si

stem

a /

Dañ

o d

isco

du

ro

Fal

ta d

e in

du

cció

n,

cap

acit

ació

n y

sen

sib

iliz

ació

n s

ob

re

ries

go

s

Mal

man

ejo

de

sist

emas

y h

erra

mie

nta

s

Per

did

a d

e d

ato

s p

or

erro

r d

e u

suar

io

2 1 1 2 2 2 2 2 2 3 2 2

Programas de comunicación 2 4 2 2 4 4 4 4 4 4 6 4 4

Programas de Produccion de

datos2 4 2 2 4 4 4 4 4 4 6 4 4

Portatiles 3 6 3 3 6 6 6 6 6 6 9 6 6

Computadoras 3 6 3 3 6 6 6 6 6 6 9 6 6

Servidores 3 6 3 3 6 6 6 6 6 6 9 6 6

Cortafuegos 1 2 1 1 2 2 2 2 2 2 3 2 2

Equipos de Red Inalambrica 3 6 3 3 6 6 6 6 6 6 9 6 6

Equipos de red cableada 2 4 2 2 4 4 4 4 4 4 6 4 4

Informatica/soporte Interno 3 6 3 3 6 6 6 6 6 6 9 6 6

Soporte Tecnico Externo 3 6 3 3 6 6 6 6 6 6 9 6 6

Servicio de Limpieza de Planta 2 4 2 2 4 4 4 4 4 4 6 4 4

Servicio de Limpieza Externo 2 4 2 2 4 4 4 4 4 4 6 4 4

Correo electrónico 2 4 2 2 4 4 4 4 4 4 6 4 4

Bases de datos internos 3 6 3 3 6 6 6 6 6 6 9 6 6

Bases de datos externos 2 4 2 2 4 4 4 4 4 4 6 4 4

Página Web interna (Intranet) 2 4 2 2 4 4 4 4 4 4 6 4 4

Respaldos 3 6 3 3 6 6 6 6 6 6 9 6 6

Infraestructura (Planes,

Documentación, etc.)2 4 2 2 4 4 4 4 4 4 6 4 4

Informática (Planes,


Sistemas de autenticación

DA,LDAP3 6 3 3 6 6 6 6 6 6 9 6 6

Sistemas de información no

institucionales2 4 2 2 4 4 4 4 4 4 6 4 4

Navegación en Internet 3 6 3 3 6 6 6 6 6 6 9 6 6

Servicio de tel voz ip para altos

funcionarios1 2 1 1 2 2 2 2 2 2 3 2 2

O RIGEN FISICONIVEL DE

USUARIO

MA

TR

IZ D

E R

IESG

O G

IS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

SIS

TE

MA

SP

ER

SO

NA

LD

AT

OS

E I

NF

OR

MA

CIÓ

N

Fig. 14 Matriz Análisis de Riesgo GIS para Hardware, Datos, Software e

Infraestructura

Fig. 15 Matriz Análisis de Riesgo GIS para Políticas, Redes y Acceso

B. MATRIZ ANÁLISIS DE RIESGO GPS

El proceso de identificación de riesgos estuvo

determinado por la realización previa de los

siguientes pasos:

Identificación y clasificación de los activos: La

identificación de los activos contempla todos

los elementos necesarios para mantener estable

los elementos que componen el sistema GPS.

Los activos fueron clasificados en 2 categorías:

Personal: En estos activos se determinó

todos aquellos elementos que hacen parte

del personal que podrían intervenir en el

funcionamiento de los GPS y donde las

amenazas podrán tener un nivel de impacto.

Sistemas: En estos activos se determinó

todos aquellos elementos que hacen parte

del correcto funcionamiento de los GPS.

Identificación y clasificación de las amenazas:

Las amenazas fueron identificadas y

clasificadas en las siguientes forma:

Origen Físico: Las amenazas identificadas

para este grupo, son aquellas que puedan

afectar los activos por elementos de

carácter físico ya sea por un evento natural,

por degradación o fallas eléctricas (véase

Actos Originados por Criminalidad: Las

amenazas identificadas para este grupo son

aquellas que pueden afectar los activos por

situaciones como actos vandálicos,

sabotaje, infiltraciones y ataques de hacker.

Infraestructura: Las amenazas identificadas

para este grupo son aquellas que pueden

afectar los activos por diferentes tipos de

problemas.

Hardware: Las amenazas identificadas para

este grupo son aquellas que afectan los

activos por errores, fallas o degradación.

Nivel de Usuario: Las amenazas

identificadas para este grupo son aquellas

que los activos por mal manejo, falta de

capacitación o indiscreción de los usuarios.

Políticas: Las amenazas identificadas en

este grupo van asociadas a la mala

implementación o administración de

seguridad para los activos

Redes: Las amenazas identificadas en este

grupo son las que pueden afectar los activos

INFRA.SW


MA

TR

IZ D

E RIE

SGO

GIS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

DATO SHARDWARE

Infe

cció

n d

e si

stem

as a

tra

vés

de

un

idad

es p

ort

able

s si

n

esca

neo

Ex

po

sici

ón

o e

xtr

avío

de

equ

ipo

, u

nid

ades

de

alm

acen

amie

nto

, et

c

Per

did

a d

e d

ato

s p

or

erro

r h

ard

war

e

Fal

ta d

e m

ante

nim

ien

to f

ísic

o (

pro

ceso

, re

pu

esto

s e

insu

mo

s)

Man

ejo

in

adec

uad

o d

e d

ato

s cr

ític

os

(co

dif

icar

, b

orr

ar,

etc.

)

Tra

nsm

isió

n n

o c

ifra

da

de

dat

os

crít

ico

s

Fal

ta d

e ac

tual

izac

ión

de

soft

war

e (p

roce

so y

rec

urs

os)

Có

dig

o T

roy

ano

Vir

us

Fal

la d

e so

ftw

are/

corr

pci

ón

Dep

end

enci

a a

serv

icio

téc

nic

o e

xte

rno

Red

cab

lead

a ex

pu

esta

par

a el

acc

eso

no

au

tori

zad

o

2 2 2 2 3 2 2 2 2 2 2 2

Programas de comunicación 2 4 4 4 4 6 4 4 4 4 4 4 4


datos2 4 4 4 4 6 4 4 4 4 4 4 4

Portatiles 3 6 6 6 6 9 6 6 6 6 6 6 6

Computadoras 3 6 6 6 6 9 6 6 6 6 6 6 6

Servidores 3 6 6 6 6 9 6 6 6 6 6 6 6

Cortafuegos 1 2 2 2 2 3 2 2 2 2 2 2 2

Equipos de Red Inalambrica 3 6 6 6 6 9 6 6 6 6 6 6 6

Equipos de red cableada 2 4 4 4 4 6 4 4 4 4 4 4 4

Informatica/soporte Interno 3 6 6 6 6 9 6 6 6 6 6 6 6

Soporte Tecnico Externo 3 6 6 6 6 9 6 6 6 6 6 6 6

Servicio de Limpieza de Planta 2 4 4 4 4 6 4 4 4 4 4 4 4

Servicio de Limpieza Externo 2 4 4 4 4 6 4 4 4 4 4 4 4

Correo electrónico 2 4 4 4 4 6 4 4 4 4 4 4 4

Bases de datos internos 3 6 6 6 6 9 6 6 6 6 6 6 6

Bases de datos externos 2 4 4 4 4 6 4 4 4 4 4 4 4

Página Web interna (Intranet) 2 4 4 4 4 6 4 4 4 4 4 4 4

Respaldos 3 6 6 6 6 9 6 6 6 6 6 6 6






DA,LDAP3 6 6 6 6 9 6 6 6 6 6 6 6


institucionales2 4 4 4 4 6 4 4 4 4 4 4 4

Navegación en Internet 3 6 6 6 6 9 6 6 6 6 6 6 6


funcionarios1 2 2 2 2 3 2 2 2 2 2 2 2

INFRA.SW

MA

TR

IZ D

E RIE

SGO

GIS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

DATO SHARDWARES

IST

EM

AS

PE

RS

ON

AL

DA

TO

S E

IN

FO

RM

AC

IÓN

REDES ACCESOPO LITICAS


MA

TR

IZ D

E RIE

SGO

GIS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

Fal

ta d

e n

orm

as y

reg

las

clar

as (

no

in

stit

uci

on

aliz

ar e

l

estu

dio

de

los

ries

go

s)

Fal

ta d

e m

ecan

ism

os

de

ver

ific

ació

n d

e n

orm

as y

reg

las

/

An

ális

is i

nad

ecu

ado

de

dat

os

de

con

tro

l

Au

sen

cia

de

do

cum

enta

ció

n

Fal

ta d

e d

efin

ició

n d

e p

erfi

l, p

riv

ileg

ios

y r

estr

icci

on

es

del

per

son

al

Fal

ta d

e d

efin

ició

n d

e p

olí

tica

de

seg

uri

dad

co

rpo

rati

va

Red

in

alám

bri

ca e

xp

ues

ta a

l ac

ceso

no

au

tori

zad

o

Acc

eso

ele

ctró

nic

o n

o a

uto

riza

do

a s

iste

mas

ex

tern

os

Acc

eso

ele

ctró

nic

o n

o a

uto

riza

do

a s

iste

mas

in

tern

os

Man

ejo

in

adec

uad

o d

e co

ntr

aseñ

as (

inse

gu

ras,

no

cam

bia

r, c

om

par

tid

as,

BD

cen

tral

izad

a)

Co

mp

arti

r co

ntr

aseñ

as o

per

mis

os

a te

rcer

os

no

auto

riza

do

s

3 2 2 3 3 2 2 2 3 3

Programas de comunicación 2 6 4 4 6 6 4 4 4 6 6


datos2 6 4 4 6 6 4 4 4 6 6

Portatiles 3 9 6 6 9 9 6 6 6 9 9

Computadoras 3 9 6 6 9 9 6 6 6 9 9

Servidores 3 9 6 6 9 9 6 6 6 9 9

Cortafuegos 1 3 2 2 3 3 2 2 2 3 3

Equipos de Red Inalambrica 3 9 6 6 9 9 6 6 6 9 9

Equipos de red cableada 2 6 4 4 6 6 4 4 4 6 6

Informatica/soporte Interno 3 9 6 6 9 9 6 6 6 9 9

Soporte Tecnico Externo 3 9 6 6 9 9 6 6 6 9 9

Servicio de Limpieza de Planta 2 6 4 4 6 6 4 4 4 6 6

Servicio de Limpieza Externo 2 6 4 4 6 6 4 4 4 6 6

Correo electrónico 2 6 4 4 6 6 4 4 4 6 6

Bases de datos internos 3 9 6 6 9 9 6 6 6 9 9

Bases de datos externos 2 6 4 4 6 6 4 4 4 6 6

Página Web interna (Intranet) 2 6 4 4 6 6 4 4 4 6 6

Respaldos 3 9 6 6 9 9 6 6 6 9 9


Documentación, etc.)2 6 4 4 6 6 4 4 4 6 6


Documentación, etc.)2 6 4 4 6 6 4 4 4 6 6


DA,LDAP3 9 6 6 9 9 6 6 6 9 9


institucionales2 6 4 4 6 6 4 4 4 6 6

Navegación en Internet 3 9 6 6 9 9 6 6 6 9 9


funcionarios1 3 2 2 3 3 2 2 2 3 3

REDES ACCESOPO LITICAS

MA

TR

IZ D

E RIE

SGO

GIS

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

SIS

TE

MA

SP

ER

SO

NA

LD

AT

OS

E I

NF

OR

MA

CIÓ

N

en transmisión de datos, redes inalámbricas,

redes alámbricas

Fig. 16 Matriz Análisis de Riesgo GPS para Origen Físico, Actos Originados

por Criminalidad e Infraestructura

Fig. 17 Matriz Análisis de Riesgo GPS para Hardware, Nivel de Usuario,

Políticas y Redes

VII. CONTROL DE RIESGOS

En base a los datos obtenidos en el análisis de

riesgo en GIS y GPS, se determina un control de

riesgos para cada sistema, este control de riesgo va

a ser la base para poder mitigar, implementar y

controlar los riesgos más impactantes o

categorizados como un alto nivel de impacto. Los

riesgos de menor impacto no serán analizados,

porque su control es más elemental o puede ser

innecesario realizarlo. En los cuadros de control de

riesgo se determinada el tipo de seguridad afectada.

TABLA 4.

TIPO DE SEGURIDAD

Tipo de Seguridad Descripción

C Confidencialidad

D Disponibilidad

I Integridad

VIII. AVANCES DE LOS SISTEMAS DE

INFORMACIÓN GEOGRÁFICA EN

COLOMBIA

Durante los últimos 10 años ha habido varios

avances en los sistemas de información geográfica

en Colombia, han sido buenos y malos. Según un

estudio de la Universidad de San Buenaventura en

Colombia, los comienzos de GIS fueron hacia 1997,

se determinó que GIS era costoso, complejo, lo

consideraban una “ciencia”, sabían que era útil e

indispensable, se importaba desde Estados Unidos y

podía ser la cura de varios males en el país. Hacia el

año 2000 por diferentes motivos (falta de

implementación, capacitación y/o administración)

no había grandes avances porque los modelos

implementados no corrían, los costos no se

compensaban y el sistema tenía muchas

limitaciones. Hacia el año 2005 se comenzaron a

tener mejores avances y prácticas para Colombia;

los costos compensaban, se comenzó a trabajar en

la herramienta como una ayuda para planeación y

análisis, y aunque tenía limitaciones ya se podía

trabajar con ellas. Actualmente GIS en Colombia se

ha convertido en una herramienta indispensable

porque permite planificar, analizar y ayudar a la

toma de decisiones, sus costos son bastantes

inferiores, se puede importar, modificar y vender, y

aunque tiene limitaciones es más fácil trabajar con

ellas.

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

ACTO S O RIGINADO S PO R

CRIMINALIDAD

MATRIZ

DE R

IESGO

GPS

INFRA

.O RIGEN FISICO


Incen

dio

Inu

nd

ació

n /

desl

av

e

Sis

mo

Po

lvo

Falt

a d

e v

en

tila

ció

n

Ele

ctr

om

ag

neti

smo

So

bre

carg

a e

léctr

ica

Fall

a d

e c

orr

ien

te (

ap

ag

on

es)

Fall

a d

e s

iste

ma /

Dañ

o d

isco

du

ro

All

an

am

ien

to (

ileg

al,

leg

al)

Pers

ecu

ció

n (

civ

il,

fisc

al,

pen

al)

Sab

ota

je (

ata

qu

e f

ísic

o y

ele

ctr

ón

ico

)

Ro

bo

/ H

urt

o (

físi

co

)

Dañ

os

po

r v

an

dali

smo

Ro

bo

/ H

urt

o d

e i

nfo

rmació

n e

lectr

ón

ica

Intr

usi

ón

a R

ed

in

tern

a

Infi

ltra

ció

n

Vir

us

/ E

jecu

ció

n n

o a

uto

rizad

o d

e p

rog

ram

as

Dep

en

den

cia

a s

erv

icio

técn

ico

ex

tern

o

Red

cab

lead

a e

xp

uest

a p

ara

el

acceso

no

au

tori

zad

o

2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

Programas de comunicación 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2


datos1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

Portatiles 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6

Computadoras 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6

Servidores 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6

Equipos de Red Inalambrica 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4

Vehiculos 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4

Satelites 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6

Equipos de Topografia 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6

Antenas receptoras 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4

Equipos de red cableada 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4

Informatica/soporte Interno 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

Soporte Tecnico Externo 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

Servicio de Limpieza Interno 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

Servicio de Limpieza Externo 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

ACTO S O RIGINADO S PO R

CRIMINALIDAD

MATRIZ

DE R

IESGO

GPS

SIS

TE

MA

SP

ER

SO

NA

L

INFRA

.O RIGEN FISICO


AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

NIVEL DE USUARIO REDES

MATRIZ

DE R

IESG

O G

PS

HARDWARE PO LITICAS

Infe

cció

n d

e s

iste

mas

a t

rav

és

de u

nid

ad

es

po

rtab

les

sin

esc

an

eo

Ex

po

sició

n o

ex

trav

ío d

e e

qu

ipo

, u

nid

ad

es

de

Perd

ida d

e d

ato

s p

or

err

or

hard

ware

Falt

a d

e m

an

ten

imie

nto

fís

ico

(p

roceso

, re

pu

est

os

e

insu

mo

s)

Man

ejo

in

ad

ecu

ad

o d

e c

on

trase

ñas

(in

seg

ura

s, n

o

cam

bia

r, c

om

part

idas,

BD

cen

trali

zad

a)

Co

mp

art

ir c

on

trase

ñas

o p

erm

iso

s a t

erc

ero

s n

o

Falt

a d

e i

nd

ucció

n,

cap

acit

ació

n y

sen

sib

iliz

ació

n s

ob

re

riesg

os

Mal

man

ejo

de s

iste

mas

y h

err

am

ien

tas

Perd

ida d

e d

ato

s p

or

err

or

de u

suari

o

Falt

a d

e n

orm

as

y r

eg

las

cla

ras

(no

in

stit

ucio

nali

zar

el

est

ud

io d

e l

os

riesg

os)

Falt

a d

e m

ecan

ism

os

de v

eri

ficació

n d

e n

orm

as

y r

eg

las

/ A

náli

sis

inad

ecu

ad

o d

e d

ato

s d

e c

on

tro

l

Au

sen

cia

de d

ocu

men

tació

n

Falt

a d

e d

efi

nic

ión

de p

erf

il,

pri

vil

eg

ios

y r

est

riccio

nes

del

pers

on

al

Falt

a d

e d

efi

nic

ión

de p

olí

tica d

e s

eg

uri

dad

co

rpo

rati

va

Tra

nsm

isió

n n

o c

ifra

da d

e d

ato

s crí

tico

s

Red

in

alá

mb

rica e

xp

uest

a a

l acceso

no

au

tori

zad

o

Acceso

ele

ctr

ón

ico

no

au

tori

zad

o a

sis

tem

as

ex

tern

os

Acceso

ele

ctr

ón

ico

no

au

tori

zad

o a

sis

tem

as

inte

rno

s

2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

Programas de comunicación 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2


datos1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

Portatiles 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6

Computadoras 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6

Servidores 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6

Equipos de Red Inalambrica 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4

Vehiculos 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4

Satelites 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6

Equipos de Topografia 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6

Antenas receptoras 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4

Equipos de red cableada 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4

Informatica/soporte Interno 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

Soporte Tecnico Externo 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

Servicio de Limpieza Interno 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

Servicio de Limpieza Externo 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2

AC

TIV

OS

- M

AG

NIT

UD

DE

L D

AÑ

O (

BA

JA

= 1

) (M

ED

IAN

A =

2)

(AL

TA

= 3

)

NIVEL DE USUARIO REDES

MATRIZ

DE R

IESG

O G

PS

SIS

TE

MA

SP

ER

SO

NA

L

HARDWARE PO LITICAS

IX. REFERENCIAS

[1] (2012) Sistemas de Información Geográfica website. [Online] Available: http://langleruben.wordpress.com

[2] ISO/IEC 27001:2005, Tecnología de la Información – Técnicas de seguridad - Sistemas de gestión de Seguridad de la información –

Requerimientos. ACIS. “Análisis y Gestión de Riesgos, Base Fundamental del

SGSI [Online] Available:

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguri

dad/17-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf

X. CONCLUSIONES.

El manejo inadecuado de los recursos en el

Sistema de Información Geográfica se presenta

en un mayor grado por la falta de capacitación

de sensibilización de riesgos, a lo cual se deben

definir políticas de seguridad claras para cada

uno de los activos y usuarios que hacen uso de

ellos.

Los controles de acceso impuestos a usuarios o

sistemas contribuyen en gran medida en la

disminución de los riesgos presentados ante los

tres pilares de seguridad: confidencialidad,

disponibilidad e integridad, la incorporación de

estas medidas son eficientes siempre y cuando

exista un seguimiento en las tareas de los

usuarios y el funcionamiento de los sistemas.

El masivo uso actual de los sistemas GIS y

GPS hace prioritario conocer que tan

vulnerables pueden ser estos sistemas. El

presente trabajo muestra cómo se puede

identificar y valorar los riesgos presentes en los

sistemas descritos. Pero más importante aún es

cuales pueden ser los controles recomendados

con el fin de mitigarlos.

Con el uso de tecnologías que apoyan los

procesos de negocio en las empresas, vienen

inherentes riesgos que deben ser identificados,

valorados y tratados antes que estos se

manifiesten, de no hacerlo se verán expuestos a

daños y pérdidas considerables.

Los avances de los sistemas información

geográfica en Colombia demuestra que el uso

de sus herramientas se han convertido de gran

prioridad para la planificación, análisis y toma

de decisiones en el campo ambiental,

territorial, estructural y en seguridad.

RECONOCIMIENTO

En primer lugar agradecemos a Dios por todas las

bendiciones que nos otorgó a lo largo del transcurso

del proyecto y de la carrera; a nuestras familias, por

brindarnos su incondicional apoyo, por habernos

formado con valores, y por las tantas pruebas de

amor sin las cuales no hubiera sido posible afrontar

este gran reto; de manera especial a las

orientaciones del Ingeniero Jorge E. Carrillo, quien

estuvo con nosotros de principio a fin en el

desarrollo del proyecto, compartiéndonos sus

conocimientos en el tema.

http://langleruben.wordpress.com/

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/17-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf



riesgos, amenazas y vulnerabilidades de …...base de datos se puede saber su localización en la...

Documents