riesgos, amenazas y vulnerabilidades de …...base de datos se puede saber su localización en la...
TRANSCRIPT
RIESGOS, AMENAZAS Y
VULNERABILIDADES DE LOS SISTEMAS DE
INFORMACION GEOGRAFICA Ángela Dayana Rojas Mora, Duvan Ernesto Castro Bolaños
Programa de Ingeniería de Sistemas, Facultad de Ingeniería, Universidad Católica de Colombia Bogotá D.C., Colombia
Resumen - El siguiente documento demuestra el análisis y la identificación de los riesgos, amenazas y
vulnerabilidades para los sistemas de información geográfica, inicialmente se definirán los términos
que componen los sistemas de información geográfica y se determinara cada uno de los pasos para
poder realizar el análisis de riesgo, definiendo que es amenaza, riesgo, vulnerabilidad e impacto, se
revisara la norma ISO 27001 y ISO 27005, para diseñar las matrices de vulnerabilidades vs amenazas
y análisis de riesgo, y así definir un control de riesgo para los sistemas de información geográfica. Al
final del documento se determinara que avances han tenido los sistemas de información geográfica en
Colombia.
Palabras claves: Riesgo, Amenaza, Vulnerabilidad, ISO, GIS, GPS
Abstract – The following document shows the analysis and identification of risks, threats and
vulnerabilities for geographic information systems. It initially defines the terms that make geographic
information systems and determines each of the steps to perform risk analysis, by defining what threat,
risk, vulnerability and impact is, ISO 27001 and ISO 27005 standards are taken into account to design
matrices vulnerabilities versus threats and risk analysis, and in that way defining risk control for
geographic information systems. At the end of the document the development of geographic
information systems in Colombia will be determined.
Keywords: Risk, Threat, Vulnerability, ISO, GIS, GPS
I. INTRODUCCIÓN
La investigación que se va a realizar tiene como fin
dar a conocer las debilidades que presentan los
sistemas de información geográfica (SIG), las
amenazas a las que está expuesto y los impactos
relativos del riesgo. Los sistemas de información
geográfica son muy populares en la actualidad y a
su vez de gran importancia en la sociedad,
especialmente en los ámbitos donde se requiere el
manejo de datos geográficos. Se identificaran las
vulnerabilidades, amenazas y riesgos en los
sistemas de información geográfica, y se
documentara cuáles son los avances de los sistemas
de información geográfica en Colombia.
II. SISTEMAS DE INFORMACIÓN
GEOGRAFICA.
Son la integración organizada de hardware,
software y datos geográficos diseñada para
capturar, almacenar, manipular, analizar y
desplegar en todas sus formas la información
geográficamente referenciada con el fin de resolver
problemas complejos de planificación y de gestión.
Funciona como una base de datos con información
geográfica (datos alfanuméricos) que se encuentra
asociada por un identificador común a los objetos
gráficos de un mapa digital. De esta forma,
señalando un objeto se conocen sus atributos e,
inversamente, preguntando por un registro de la
base de datos se puede saber su localización en la
cartografía [1].
III. ANÁLISIS DE RIESGOS
Se identifican las amenazas, vulnerabilidades y
riesgos, sobre la plataforma tecnológica de una
organización, con el fin de generar un plan de
implementación de los controles que aseguren un
ambiente informático seguro, bajo los criterios de
disponibilidad, confidencialidad e integridad.
Fig. 1 Proceso de gestión de riesgo
A. IMPACTO
Es la consecuencia para un activo de la
materialización de una amenaza.
B. RIESGOS
Es la posibilidad de que se produzca un impacto
determinado a un activo.
C. AMENAZAS
Es el evento que puede desencadenar un incidente
de la organización, produciendo daños o pérdidas
materiales en sus activos.
D. VULNERABILIDADES
Es la debilidad de un activo que puede ser
explotado por una amenaza para materializar una
agresión sobre dicho activos, se clasifica en alta,
media y baja
E. DETERMINACIÓN DE LA PROBABILIDAD
Se determina la probabilidad que una
vulnerabilidad pueda ser explotada por una
amenaza, pueden manejar diferentes tipos de
clasificación. Se tienen en cuenta los siguientes
factores:
Fuente de la amenaza y su capacidad
Naturaleza de la vulnerabilidad
F. ANÁLISIS DE IMPACTO Y FACTOR RIESGO
Se determina el impacto adverso para la
organización, como resultado de la explotación por
parte de una amenaza de una determinada
vulnerabilidad, se pueden considerar los siguientes
aspectos:
Consecuencias de tipo financiero, es decir
pérdidas causadas sobre un activo físico o
lógico determinado y las consecuencias que
este activo no funcione, y afecte la operación
de la compañía.
La importancia crítica de los datos y el sistema
(importancia a la organización).
Sensibilidad de los datos y el sistema.
IV. DISEÑO MATRICES
Para realizar el análisis fue necesario detectar cómo
funcionan los sistemas de información geográfica y
cuáles son sus componentes principales, se definió
que los GIS son encargados de digitalizar y
almacenar la información que es recolectada por los
GPS y transmitida a través de señales por medio
satélites o de forma manual; debido a este
funcionamiento se concluyó que los GPS son una
de las herramientas principales de los GIS, pero
presentan vulnerabilidades, riesgos y amenazas
diferentes, lo que nos llevó a hacer un análisis de
cada uno por separado de la siguiente forma:
El análisis que se realizó a GIS, fue con base a
la información que manejan, que tipo de
seguridad deben de tener por el nivel de
confidencialidad en los datos obtenidos.
El análisis que se realizado a GPS, fue con base
a la información que recolectan, como puede
ser capturada y manipulada las señales que
transmiten esta información
Para determinar el análisis de riesgo se diseñaron 4
matrices divididas en dos grupos, matriz de
vulnerabilidades vs amenazas y matriz de análisis
de riesgo.
V. MATRIZ VULNERABILIDADES VS
AMENAZAS
Para detectar las amenazas y las vulnerabilidades
para cada sistema GIS y GPS se revisó la norma
ISO 27001 y 27005.
Indentificación de riesgos
Estimación de riesgo
Valoración de riesgo
A. MATRIZ VULNERABILIDADES VS AMENAZAS GIS
Durante la revisión y detección de las amenazas y
vulnerabilidades que afectan el sistema GIS, se
detectaron:
Amenazas = 93
Vulnerabilidades = 83
Las siguientes graficas muestran el número de
amenazas que afecta cada vulnerabilidad del
sistema GIS
Fig. 2 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Comunicaciones GIS
Fig. 3 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Medio ambiente e Infraestructura GIS
Fig. 4 Numero de amenazas que afecta cada Vulnerabilidad del grupo
Personal GIS
Fig. 5 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Hardware GIS
Fig. 6 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Software GIS
Fig. 7 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Documentos/Datos GIS
B. MATRIZ VULNERABILIDADES VS AMENAZAS GPS
Durante la revisión y detección de las amenazas y
vulnerabilidades que afectan el sistema GPS, se
detectaron:
Amenazas = 64
Vulnerabilidades = 69
Las siguientes graficas muestran el número de
amenazas que afecta cada vulnerabilidad del
sistema GPS
Fig.8 Numero de amenazas que afecta cada Vulnerabilidad del Grupo Medio
Ambiente e Infraestructura GPS
Fig. 9 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Personal GPS
Fig. 10 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Hardware GPS
Fig. 11 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Software GPS
Fig. 12 Numero de amenazas que afecta cada Vulnerabilidad del Grupo
Comunicaciones GPS
VI. MATRIZ ANÁLISIS DE RIESGOS
Se diseñara una matriz de análisis de riesgo que
analizará el impacto que tendría una probabilidad
de amenaza sobre un activo, esta matriz será
enfocada a los sistemas de información geográfica y
será dividida en dos matrices (matriz análisis de
riesgo GIS y matriz análisis de riesgo GPS)
En la Tabla 1, se definirán los valores que
calificaran la probabilidad de amenaza contra cada
activo y la Tabla 2 la magnitud de daño de cada
activo contra la amenaza detectada, al multiplicar
entre si estos valores se obtendrá un valor
automáticamente que nos informara el nivel de
impacto que tendría la amenaza sobre el activo
identificado, como lo informa el rango de valores
de la Tabla 3.
TABLA 1
Rango Valores Magnitud del Daño
Baja Mediana Alta
Magnitud del daño 1 2 3
TABLA 2 RANGO DE VALORES PROBABILIDAD AMENAZAS
Baja Mediana Alta
Probabilidad amenaza 1 2 3
TABLA 3
RANGO DE VALORES NIVEL DE IMPACTO
Bajo Medio Alto
Nivel de Impacto 1 2 3 4 5 6 7 8 9
A. MATRIZ ANÁLISIS DE RIESGO GIS
El proceso de identificación de riesgos estuvo
determinado por la realización previa de los
siguientes pasos:
Identificación y clasificación de los activos: La
identificación de los activos contempla todos
los elementos necesarios para mantener estable
el SIG. Los activos fueron clasificados en 3
categorías:
Sistemas: Hace referencia a activos de
hardware y software que pertenecen y
pueden ser afectados en el sistema GIS.
Personal: Los activos de este grupo hace
referencia a labores que realizan personas
que pueden ser afectados en el sistema GIS.
Datos e Información: Los activos de este
grupo son los más delicados y vulnerables
en la matriz de riesgos, porque son los que
van a almacenar y manejar la información
que es obtenida por los GPS y otros medios
de información
Identificación y clasificación de las amenazas:
Las amenazas fueron identificadas y
clasificadas en las siguientes clases:
Origen Físico: Estas amenazas están
enfocadas a amenazas que provienen de
desastres ambientales, degradación o fallas
físicas en el sistema GIS.
Nivel Usuario: Estas amenazas están
enfocadas hacia los errores que pueda causar
un usuario sobre los activos del sistema en
el sistema GIS.
Nivel Hardware: Estas amenazas están
enfocadas a diferentes fallas que puedan
presentar los componentes de hardware del
sistema GIS.
Nivel Datos: Estas amenazas se enfocan en
la información y datos del sistema GIS que
pueden estar expuestos a un acceso no
autorizado, una alteración, entre otros.
Nivel Software: Dentro de esta clase se
encuentran amenazas enfocadas a errores de
diseño, pruebas e implementación de
software del sistema GIS.
Nivel Infraestructura: Dentro de esta clase
se encuentran amenazas enfocadas a
problemas de organización en la parte de
infraestructura que puede ocasionar
perjuicios al sistema GIS
Políticas: Estas amenazas están enfocadas
en la falta de normas y reglas de la
organización de las cuales pueden llegar a
tener un gran riesgo los activos del sistema
GIS
Redes: Estas amenazas están enfocadas a
fallas de seguridad en el acceso y
transmisión a través de la red del sistema
GIS
Acceso: Dentro de esta clase se presentan
amenazas de acceso de personal no
autorizado al sistema GIS
Fig. 13 Matriz de Riesgo Gis para Origen Físico y Nivel de Usuario
O RIGEN FISICONIVEL DE
USUARIO
AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
MA
TR
IZ D
E R
IESG
O G
IS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
Ince
nd
io
Inu
nd
ació
n /
des
lav
e
Sis
mo
Po
lvo
Fal
ta d
e v
enti
laci
ón
Ele
ctro
mag
net
ism
o
So
bre
carg
a el
éctr
ica
Fal
la d
e co
rrie
nte
(ap
ago
nes
)
Fal
la d
e si
stem
a /
Dañ
o d
isco
du
ro
Fal
ta d
e in
du
cció
n,
cap
acit
ació
n y
sen
sib
iliz
ació
n s
ob
re
ries
go
s
Mal
man
ejo
de
sist
emas
y h
erra
mie
nta
s
Per
did
a d
e d
ato
s p
or
erro
r d
e u
suar
io
2 1 1 2 2 2 2 2 2 3 2 2
Programas de comunicación 2 4 2 2 4 4 4 4 4 4 6 4 4
Programas de Produccion de
datos2 4 2 2 4 4 4 4 4 4 6 4 4
Portatiles 3 6 3 3 6 6 6 6 6 6 9 6 6
Computadoras 3 6 3 3 6 6 6 6 6 6 9 6 6
Servidores 3 6 3 3 6 6 6 6 6 6 9 6 6
Cortafuegos 1 2 1 1 2 2 2 2 2 2 3 2 2
Equipos de Red Inalambrica 3 6 3 3 6 6 6 6 6 6 9 6 6
Equipos de red cableada 2 4 2 2 4 4 4 4 4 4 6 4 4
Informatica/soporte Interno 3 6 3 3 6 6 6 6 6 6 9 6 6
Soporte Tecnico Externo 3 6 3 3 6 6 6 6 6 6 9 6 6
Servicio de Limpieza de Planta 2 4 2 2 4 4 4 4 4 4 6 4 4
Servicio de Limpieza Externo 2 4 2 2 4 4 4 4 4 4 6 4 4
Correo electrónico 2 4 2 2 4 4 4 4 4 4 6 4 4
Bases de datos internos 3 6 3 3 6 6 6 6 6 6 9 6 6
Bases de datos externos 2 4 2 2 4 4 4 4 4 4 6 4 4
Página Web interna (Intranet) 2 4 2 2 4 4 4 4 4 4 6 4 4
Respaldos 3 6 3 3 6 6 6 6 6 6 9 6 6
Infraestructura (Planes,
Documentación, etc.)2 4 2 2 4 4 4 4 4 4 6 4 4
Informática (Planes,
Documentación, etc.)2 4 2 2 4 4 4 4 4 4 6 4 4
Sistemas de autenticación
DA,LDAP3 6 3 3 6 6 6 6 6 6 9 6 6
Sistemas de información no
institucionales2 4 2 2 4 4 4 4 4 4 6 4 4
Navegación en Internet 3 6 3 3 6 6 6 6 6 6 9 6 6
Servicio de tel voz ip para altos
funcionarios1 2 1 1 2 2 2 2 2 2 3 2 2
O RIGEN FISICONIVEL DE
USUARIO
MA
TR
IZ D
E R
IESG
O G
IS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
SIS
TE
MA
SP
ER
SO
NA
LD
AT
OS
E I
NF
OR
MA
CIÓ
N
Fig. 14 Matriz Análisis de Riesgo GIS para Hardware, Datos, Software e
Infraestructura
Fig. 15 Matriz Análisis de Riesgo GIS para Políticas, Redes y Acceso
B. MATRIZ ANÁLISIS DE RIESGO GPS
El proceso de identificación de riesgos estuvo
determinado por la realización previa de los
siguientes pasos:
Identificación y clasificación de los activos: La
identificación de los activos contempla todos
los elementos necesarios para mantener estable
los elementos que componen el sistema GPS.
Los activos fueron clasificados en 2 categorías:
Personal: En estos activos se determinó
todos aquellos elementos que hacen parte
del personal que podrían intervenir en el
funcionamiento de los GPS y donde las
amenazas podrán tener un nivel de impacto.
Sistemas: En estos activos se determinó
todos aquellos elementos que hacen parte
del correcto funcionamiento de los GPS.
Identificación y clasificación de las amenazas:
Las amenazas fueron identificadas y
clasificadas en las siguientes forma:
Origen Físico: Las amenazas identificadas
para este grupo, son aquellas que puedan
afectar los activos por elementos de
carácter físico ya sea por un evento natural,
por degradación o fallas eléctricas (véase
Actos Originados por Criminalidad: Las
amenazas identificadas para este grupo son
aquellas que pueden afectar los activos por
situaciones como actos vandálicos,
sabotaje, infiltraciones y ataques de hacker.
Infraestructura: Las amenazas identificadas
para este grupo son aquellas que pueden
afectar los activos por diferentes tipos de
problemas.
Hardware: Las amenazas identificadas para
este grupo son aquellas que afectan los
activos por errores, fallas o degradación.
Nivel de Usuario: Las amenazas
identificadas para este grupo son aquellas
que los activos por mal manejo, falta de
capacitación o indiscreción de los usuarios.
Políticas: Las amenazas identificadas en
este grupo van asociadas a la mala
implementación o administración de
seguridad para los activos
Redes: Las amenazas identificadas en este
grupo son las que pueden afectar los activos
INFRA.SW
AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
MA
TR
IZ D
E RIE
SGO
GIS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
DATO SHARDWARE
Infe
cció
n d
e si
stem
as a
tra
vés
de
un
idad
es p
ort
able
s si
n
esca
neo
Ex
po
sici
ón
o e
xtr
avío
de
equ
ipo
, u
nid
ades
de
alm
acen
amie
nto
, et
c
Per
did
a d
e d
ato
s p
or
erro
r h
ard
war
e
Fal
ta d
e m
ante
nim
ien
to f
ísic
o (
pro
ceso
, re
pu
esto
s e
insu
mo
s)
Man
ejo
in
adec
uad
o d
e d
ato
s cr
ític
os
(co
dif
icar
, b
orr
ar,
etc.
)
Tra
nsm
isió
n n
o c
ifra
da
de
dat
os
crít
ico
s
Fal
ta d
e ac
tual
izac
ión
de
soft
war
e (p
roce
so y
rec
urs
os)
Có
dig
o T
roy
ano
Vir
us
Fal
la d
e so
ftw
are/
corr
pci
ón
Dep
end
enci
a a
serv
icio
téc
nic
o e
xte
rno
Red
cab
lead
a ex
pu
esta
par
a el
acc
eso
no
au
tori
zad
o
2 2 2 2 3 2 2 2 2 2 2 2
Programas de comunicación 2 4 4 4 4 6 4 4 4 4 4 4 4
Programas de Produccion de
datos2 4 4 4 4 6 4 4 4 4 4 4 4
Portatiles 3 6 6 6 6 9 6 6 6 6 6 6 6
Computadoras 3 6 6 6 6 9 6 6 6 6 6 6 6
Servidores 3 6 6 6 6 9 6 6 6 6 6 6 6
Cortafuegos 1 2 2 2 2 3 2 2 2 2 2 2 2
Equipos de Red Inalambrica 3 6 6 6 6 9 6 6 6 6 6 6 6
Equipos de red cableada 2 4 4 4 4 6 4 4 4 4 4 4 4
Informatica/soporte Interno 3 6 6 6 6 9 6 6 6 6 6 6 6
Soporte Tecnico Externo 3 6 6 6 6 9 6 6 6 6 6 6 6
Servicio de Limpieza de Planta 2 4 4 4 4 6 4 4 4 4 4 4 4
Servicio de Limpieza Externo 2 4 4 4 4 6 4 4 4 4 4 4 4
Correo electrónico 2 4 4 4 4 6 4 4 4 4 4 4 4
Bases de datos internos 3 6 6 6 6 9 6 6 6 6 6 6 6
Bases de datos externos 2 4 4 4 4 6 4 4 4 4 4 4 4
Página Web interna (Intranet) 2 4 4 4 4 6 4 4 4 4 4 4 4
Respaldos 3 6 6 6 6 9 6 6 6 6 6 6 6
Infraestructura (Planes,
Documentación, etc.)2 4 4 4 4 6 4 4 4 4 4 4 4
Informática (Planes,
Documentación, etc.)2 4 4 4 4 6 4 4 4 4 4 4 4
Sistemas de autenticación
DA,LDAP3 6 6 6 6 9 6 6 6 6 6 6 6
Sistemas de información no
institucionales2 4 4 4 4 6 4 4 4 4 4 4 4
Navegación en Internet 3 6 6 6 6 9 6 6 6 6 6 6 6
Servicio de tel voz ip para altos
funcionarios1 2 2 2 2 3 2 2 2 2 2 2 2
INFRA.SW
MA
TR
IZ D
E RIE
SGO
GIS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
DATO SHARDWARES
IST
EM
AS
PE
RS
ON
AL
DA
TO
S E
IN
FO
RM
AC
IÓN
REDES ACCESOPO LITICAS
AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
MA
TR
IZ D
E RIE
SGO
GIS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
Fal
ta d
e n
orm
as y
reg
las
clar
as (
no
in
stit
uci
on
aliz
ar e
l
estu
dio
de
los
ries
go
s)
Fal
ta d
e m
ecan
ism
os
de
ver
ific
ació
n d
e n
orm
as y
reg
las
/
An
ális
is i
nad
ecu
ado
de
dat
os
de
con
tro
l
Au
sen
cia
de
do
cum
enta
ció
n
Fal
ta d
e d
efin
ició
n d
e p
erfi
l, p
riv
ileg
ios
y r
estr
icci
on
es
del
per
son
al
Fal
ta d
e d
efin
ició
n d
e p
olí
tica
de
seg
uri
dad
co
rpo
rati
va
Red
in
alám
bri
ca e
xp
ues
ta a
l ac
ceso
no
au
tori
zad
o
Acc
eso
ele
ctró
nic
o n
o a
uto
riza
do
a s
iste
mas
ex
tern
os
Acc
eso
ele
ctró
nic
o n
o a
uto
riza
do
a s
iste
mas
in
tern
os
Man
ejo
in
adec
uad
o d
e co
ntr
aseñ
as (
inse
gu
ras,
no
cam
bia
r, c
om
par
tid
as,
BD
cen
tral
izad
a)
Co
mp
arti
r co
ntr
aseñ
as o
per
mis
os
a te
rcer
os
no
auto
riza
do
s
3 2 2 3 3 2 2 2 3 3
Programas de comunicación 2 6 4 4 6 6 4 4 4 6 6
Programas de Produccion de
datos2 6 4 4 6 6 4 4 4 6 6
Portatiles 3 9 6 6 9 9 6 6 6 9 9
Computadoras 3 9 6 6 9 9 6 6 6 9 9
Servidores 3 9 6 6 9 9 6 6 6 9 9
Cortafuegos 1 3 2 2 3 3 2 2 2 3 3
Equipos de Red Inalambrica 3 9 6 6 9 9 6 6 6 9 9
Equipos de red cableada 2 6 4 4 6 6 4 4 4 6 6
Informatica/soporte Interno 3 9 6 6 9 9 6 6 6 9 9
Soporte Tecnico Externo 3 9 6 6 9 9 6 6 6 9 9
Servicio de Limpieza de Planta 2 6 4 4 6 6 4 4 4 6 6
Servicio de Limpieza Externo 2 6 4 4 6 6 4 4 4 6 6
Correo electrónico 2 6 4 4 6 6 4 4 4 6 6
Bases de datos internos 3 9 6 6 9 9 6 6 6 9 9
Bases de datos externos 2 6 4 4 6 6 4 4 4 6 6
Página Web interna (Intranet) 2 6 4 4 6 6 4 4 4 6 6
Respaldos 3 9 6 6 9 9 6 6 6 9 9
Infraestructura (Planes,
Documentación, etc.)2 6 4 4 6 6 4 4 4 6 6
Informática (Planes,
Documentación, etc.)2 6 4 4 6 6 4 4 4 6 6
Sistemas de autenticación
DA,LDAP3 9 6 6 9 9 6 6 6 9 9
Sistemas de información no
institucionales2 6 4 4 6 6 4 4 4 6 6
Navegación en Internet 3 9 6 6 9 9 6 6 6 9 9
Servicio de tel voz ip para altos
funcionarios1 3 2 2 3 3 2 2 2 3 3
REDES ACCESOPO LITICAS
MA
TR
IZ D
E RIE
SGO
GIS
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
SIS
TE
MA
SP
ER
SO
NA
LD
AT
OS
E I
NF
OR
MA
CIÓ
N
en transmisión de datos, redes inalámbricas,
redes alámbricas
Fig. 16 Matriz Análisis de Riesgo GPS para Origen Físico, Actos Originados
por Criminalidad e Infraestructura
Fig. 17 Matriz Análisis de Riesgo GPS para Hardware, Nivel de Usuario,
Políticas y Redes
VII. CONTROL DE RIESGOS
En base a los datos obtenidos en el análisis de
riesgo en GIS y GPS, se determina un control de
riesgos para cada sistema, este control de riesgo va
a ser la base para poder mitigar, implementar y
controlar los riesgos más impactantes o
categorizados como un alto nivel de impacto. Los
riesgos de menor impacto no serán analizados,
porque su control es más elemental o puede ser
innecesario realizarlo. En los cuadros de control de
riesgo se determinada el tipo de seguridad afectada.
TABLA 4.
TIPO DE SEGURIDAD
Tipo de Seguridad Descripción
C Confidencialidad
D Disponibilidad
I Integridad
VIII. AVANCES DE LOS SISTEMAS DE
INFORMACIÓN GEOGRÁFICA EN
COLOMBIA
Durante los últimos 10 años ha habido varios
avances en los sistemas de información geográfica
en Colombia, han sido buenos y malos. Según un
estudio de la Universidad de San Buenaventura en
Colombia, los comienzos de GIS fueron hacia 1997,
se determinó que GIS era costoso, complejo, lo
consideraban una “ciencia”, sabían que era útil e
indispensable, se importaba desde Estados Unidos y
podía ser la cura de varios males en el país. Hacia el
año 2000 por diferentes motivos (falta de
implementación, capacitación y/o administración)
no había grandes avances porque los modelos
implementados no corrían, los costos no se
compensaban y el sistema tenía muchas
limitaciones. Hacia el año 2005 se comenzaron a
tener mejores avances y prácticas para Colombia;
los costos compensaban, se comenzó a trabajar en
la herramienta como una ayuda para planeación y
análisis, y aunque tenía limitaciones ya se podía
trabajar con ellas. Actualmente GIS en Colombia se
ha convertido en una herramienta indispensable
porque permite planificar, analizar y ayudar a la
toma de decisiones, sus costos son bastantes
inferiores, se puede importar, modificar y vender, y
aunque tiene limitaciones es más fácil trabajar con
ellas.
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
ACTO S O RIGINADO S PO R
CRIMINALIDAD
MATRIZ
DE R
IESGO
GPS
INFRA
.O RIGEN FISICO
AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
Incen
dio
Inu
nd
ació
n /
desl
av
e
Sis
mo
Po
lvo
Falt
a d
e v
en
tila
ció
n
Ele
ctr
om
ag
neti
smo
So
bre
carg
a e
léctr
ica
Fall
a d
e c
orr
ien
te (
ap
ag
on
es)
Fall
a d
e s
iste
ma /
Dañ
o d
isco
du
ro
All
an
am
ien
to (
ileg
al,
leg
al)
Pers
ecu
ció
n (
civ
il,
fisc
al,
pen
al)
Sab
ota
je (
ata
qu
e f
ísic
o y
ele
ctr
ón
ico
)
Ro
bo
/ H
urt
o (
físi
co
)
Dañ
os
po
r v
an
dali
smo
Ro
bo
/ H
urt
o d
e i
nfo
rmació
n e
lectr
ón
ica
Intr
usi
ón
a R
ed
in
tern
a
Infi
ltra
ció
n
Vir
us
/ E
jecu
ció
n n
o a
uto
rizad
o d
e p
rog
ram
as
Dep
en
den
cia
a s
erv
icio
técn
ico
ex
tern
o
Red
cab
lead
a e
xp
uest
a p
ara
el
acceso
no
au
tori
zad
o
2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Programas de comunicación 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Programas de Produccion de
datos1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Portatiles 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6
Computadoras 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6
Servidores 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6
Equipos de Red Inalambrica 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4
Vehiculos 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4
Satelites 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6
Equipos de Topografia 3 6 6 3 6 6 3 6 6 6 6 6 9 9 6 9 9 9 9 3 6
Antenas receptoras 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4
Equipos de red cableada 2 4 4 2 4 4 2 4 4 4 4 4 6 6 4 6 6 6 6 2 4
Informatica/soporte Interno 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Soporte Tecnico Externo 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Servicio de Limpieza Interno 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
Servicio de Limpieza Externo 1 2 2 1 2 2 1 2 2 2 2 2 3 3 2 3 3 3 3 1 2
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
ACTO S O RIGINADO S PO R
CRIMINALIDAD
MATRIZ
DE R
IESGO
GPS
SIS
TE
MA
SP
ER
SO
NA
L
INFRA
.O RIGEN FISICO
AMENAZAS - PRO BABILIDAD DE AMENAZA (BAJA = 1) (MEDIANA = 2) (ALTA = 3)
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
NIVEL DE USUARIO REDES
MATRIZ
DE R
IESG
O G
PS
HARDWARE PO LITICAS
Infe
cció
n d
e s
iste
mas
a t
rav
és
de u
nid
ad
es
po
rtab
les
sin
esc
an
eo
Ex
po
sició
n o
ex
trav
ío d
e e
qu
ipo
, u
nid
ad
es
de
Perd
ida d
e d
ato
s p
or
err
or
hard
ware
Falt
a d
e m
an
ten
imie
nto
fís
ico
(p
roceso
, re
pu
est
os
e
insu
mo
s)
Man
ejo
in
ad
ecu
ad
o d
e c
on
trase
ñas
(in
seg
ura
s, n
o
cam
bia
r, c
om
part
idas,
BD
cen
trali
zad
a)
Co
mp
art
ir c
on
trase
ñas
o p
erm
iso
s a t
erc
ero
s n
o
Falt
a d
e i
nd
ucció
n,
cap
acit
ació
n y
sen
sib
iliz
ació
n s
ob
re
riesg
os
Mal
man
ejo
de s
iste
mas
y h
err
am
ien
tas
Perd
ida d
e d
ato
s p
or
err
or
de u
suari
o
Falt
a d
e n
orm
as
y r
eg
las
cla
ras
(no
in
stit
ucio
nali
zar
el
est
ud
io d
e l
os
riesg
os)
Falt
a d
e m
ecan
ism
os
de v
eri
ficació
n d
e n
orm
as
y r
eg
las
/ A
náli
sis
inad
ecu
ad
o d
e d
ato
s d
e c
on
tro
l
Au
sen
cia
de d
ocu
men
tació
n
Falt
a d
e d
efi
nic
ión
de p
erf
il,
pri
vil
eg
ios
y r
est
riccio
nes
del
pers
on
al
Falt
a d
e d
efi
nic
ión
de p
olí
tica d
e s
eg
uri
dad
co
rpo
rati
va
Tra
nsm
isió
n n
o c
ifra
da d
e d
ato
s crí
tico
s
Red
in
alá
mb
rica e
xp
uest
a a
l acceso
no
au
tori
zad
o
Acceso
ele
ctr
ón
ico
no
au
tori
zad
o a
sis
tem
as
ex
tern
os
Acceso
ele
ctr
ón
ico
no
au
tori
zad
o a
sis
tem
as
inte
rno
s
2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Programas de comunicación 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Programas de Produccion de
datos1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Portatiles 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6
Computadoras 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6
Servidores 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6
Equipos de Red Inalambrica 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4
Vehiculos 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4
Satelites 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6
Equipos de Topografia 3 6 9 9 3 6 6 6 3 9 6 6 3 6 6 9 6 6 6
Antenas receptoras 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4
Equipos de red cableada 2 4 6 6 2 4 4 4 2 6 4 4 2 4 4 6 4 4 4
Informatica/soporte Interno 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Soporte Tecnico Externo 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Servicio de Limpieza Interno 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
Servicio de Limpieza Externo 1 2 3 3 1 2 2 2 1 3 2 2 1 2 2 3 2 2 2
AC
TIV
OS
- M
AG
NIT
UD
DE
L D
AÑ
O (
BA
JA
= 1
) (M
ED
IAN
A =
2)
(AL
TA
= 3
)
NIVEL DE USUARIO REDES
MATRIZ
DE R
IESG
O G
PS
SIS
TE
MA
SP
ER
SO
NA
L
HARDWARE PO LITICAS
IX. REFERENCIAS
[1] (2012) Sistemas de Información Geográfica website. [Online] Available: http://langleruben.wordpress.com
[2] ISO/IEC 27001:2005, Tecnología de la Información – Técnicas de seguridad - Sistemas de gestión de Seguridad de la información –
Requerimientos. ACIS. “Análisis y Gestión de Riesgos, Base Fundamental del
SGSI [Online] Available:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguri
dad/17-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf
X. CONCLUSIONES.
El manejo inadecuado de los recursos en el
Sistema de Información Geográfica se presenta
en un mayor grado por la falta de capacitación
de sensibilización de riesgos, a lo cual se deben
definir políticas de seguridad claras para cada
uno de los activos y usuarios que hacen uso de
ellos.
Los controles de acceso impuestos a usuarios o
sistemas contribuyen en gran medida en la
disminución de los riesgos presentados ante los
tres pilares de seguridad: confidencialidad,
disponibilidad e integridad, la incorporación de
estas medidas son eficientes siempre y cuando
exista un seguimiento en las tareas de los
usuarios y el funcionamiento de los sistemas.
El masivo uso actual de los sistemas GIS y
GPS hace prioritario conocer que tan
vulnerables pueden ser estos sistemas. El
presente trabajo muestra cómo se puede
identificar y valorar los riesgos presentes en los
sistemas descritos. Pero más importante aún es
cuales pueden ser los controles recomendados
con el fin de mitigarlos.
Con el uso de tecnologías que apoyan los
procesos de negocio en las empresas, vienen
inherentes riesgos que deben ser identificados,
valorados y tratados antes que estos se
manifiesten, de no hacerlo se verán expuestos a
daños y pérdidas considerables.
Los avances de los sistemas información
geográfica en Colombia demuestra que el uso
de sus herramientas se han convertido de gran
prioridad para la planificación, análisis y toma
de decisiones en el campo ambiental,
territorial, estructural y en seguridad.
RECONOCIMIENTO
En primer lugar agradecemos a Dios por todas las
bendiciones que nos otorgó a lo largo del transcurso
del proyecto y de la carrera; a nuestras familias, por
brindarnos su incondicional apoyo, por habernos
formado con valores, y por las tantas pruebas de
amor sin las cuales no hubiera sido posible afrontar
este gran reto; de manera especial a las
orientaciones del Ingeniero Jorge E. Carrillo, quien
estuvo con nosotros de principio a fin en el
desarrollo del proyecto, compartiéndonos sus
conocimientos en el tema.