El avance tecnológico ha traído consigo un reto mayor para quienes se dedican al combate de programa con características maliciosas, la difusión de nuevas técnicas y metodologías de ataques y amenazas informáticas cada vez más sofisticadas y eficaces. No es un secreto la cantidad de recursos que invierten las organizaciones para evitar intrusiones y manipulaciones que pongan en riesgo, desde la integridad de la data hasta las operaciones propias de la entidad.

Hoy en día, las organizaciones son más dependientes de sus redes informáticas y un problema que las afecte, por pequeño que sea, puede llegar a comprometer la continuidad de las operaciones, situación que inevitablemente se traduce en pérdida económica, retraso en las operaciones y crisis de confianza por parte de los usuarios.

Aunado a lo anterior se encuentra la ausencia de una adecuada política de seguridad de las redes. Este es un problema que está presente por el sólo hecho de subestimarse las fallas que a nivel interno se producen, considerando sobre todo que la propia complejidad de la red es una dificultad para la detección y corrección de múltiples y variados problemas de seguridad que van siendo detectados.

Para Sema Goup (2006), el objeto o propósito de la seguridad de la información consiste en mantener la continuidad de los procesos organizacionales que soportan los activos a resguardar. Así

mismo se intenta minimizar el costo global de la ejecución de dichos procesos como las pérdidas de los recursos asignados a su funcionamiento.

De allí que sea necesario que los responsables de la seguridad de la información en las organizaciones, tomen conciencia de su papel y deban contrastar los riesgos a los que están sometida sus activos. La evaluación, análisis y tratamiento del riesgo permiten llevar el nivel de riesgo de los activos de la organización a valores aceptables (Pessolani, 2007).

Los problemas asociados a la seguridad en redes alcanzan a todo tipo de organización. En particular, a las universidades que manejan grandes volúmenes de información que por su variedad e importancia la hacen blanco de posibles ataques. En estas instituciones, además se forman personas con habilidades que, mal dirigidas, pueden representar una amenaza todavía mayor. La experiencia nos demuestra que la Universidad Simón Bolívar no escapa de esta realidad.

La universidad Simón Bolívar es una institución pública de educación superior, ubicada en Caracas, Estado Miranda, Venezuela. Cuenta actualmente con una población estudiantil de aproximadamente 6789 estudiantes de pre y postgrado, con 424 profesores de planta y 848 empleados.

La Dirección de Servicios Telemáticos (DST) es el ente que resguarda o tiene a su custodia los servidores de las distintas instancias que manejan dichos volúmenes de datos. Es decir, tienen a su custodia los servidores de la Dirección de Administración y Control de Estudios (DACE), los servidores de Finanzas, los servidores de Nómina, los servidores la Dirección de Ingeniería e Información (DII), los servidores de correo, los Servidores de DNS, Página Web (Sede del Litoral), los servidores de Internet e Intranet. Como se puede observar todos estos activos son de suma importancia para el desenvolvimiento de sus operaciones.

De allí su importancia de analizar y evaluar los riesgos a los cuales éstos pueden estar sometidos, para de esa manera poder gestionarlos y minimizar sus posibles efectos.

Este estudio se plantea como la continuación de un trabajo el cual buscaba evaluar la seguridad de la información a la luz de los controles de la ISO 17799:2005 (De Freitas, 2007).

En el presente artículo, se busca evaluar los riesgos a los cuales pueden estar sometidos los activos de información que se encuentran en custodia en la DST. El desarrollo del mismo se llevó a cabo tres fases: la primera consistió en una investigación documental; la segunda en una investigación de campo y la tercera la conformó el análisis, evaluación y tratamiento del riesgo de los activos en custodia de la DST. Siempre en el contexto de un estudio de caso.

Es una investigación documental ya que permite el estudio de problemas con el propósito de ampliar y profundizar el conocimiento de su naturaleza, con apoyo, principalmente, en trabajos previos, información y datos divulgados por medios impresos, audiovisuales o electrónicos [UPEL, p.15].

Es una investigación de campo porque en ella se comienza haciendo un análisis sistemático de los problemas con el propósito de describirlos, interpretarlos, entender su naturaleza y factores constituyentes, explicar sus posibles causas y efectos, y/o predecir su ocurrencia, haciendo uso de los métodos característicos de cualquiera de los paradigmas o enfoques de investigación conocidos o en desarrollo [UPEL, p. 14].

La población estuvo conformada por el personal que labora en la DST.

Se llevó a cabo el levantamiento de información a través de entrevistas en profundidad semi-estructuradas, se aplicaron cuestionarios y se realizaron visitas guiadas a las instalaciones.

Una vez obtenido los datos e información de los diferentes entes involucrados y corroborado con la visita a las distintas instalaciones de la Universidad Simón Bolívar, se procedió a la revisión, análisis e interpretación de los mismos. Para ello se emplearon métricas cuantitativas, pero en la mayoría se realizó usando la métrica cualitativa.

Conocer el riesgo a los que están sometidos los activos es imprescindible para poder gestionarlos, y por ello han surgido una multitud de guías informales, aproximaciones metódicas y herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están dichos activos y no llamarse a engaño (MAGERIT, 2005).

El riesgo es definido como la probabilidad que una amenaza pueda explotar una vulnerabilidad en particular (Peltier, 2001).

Entre las múltiples metodologías y estándares que han surgido para manejar la seguridad se pueden mencionar: ISO 27001:2005, SEE_CMM, Cobit, ITIL, ISM3, entre otros. Sin embargo, se requiere incorporar los cambios necesarios para que se ajusten a los requerimientos particulares de cada empresa.

En los actuales momentos la norma ISO 27001:2007, presenta un compendio que proporciona una base común para la elaboración de reglas, un método de gestión eficaz de la seguridad y permite establecer informes de confianza en las transacciones y las relaciones entre empresas.

La norma ha sido publicada en dos partes:

Lo relacionado con la gestión del riesgo es una parte esencial del ISO 27001:2007. En el Anexo A de esta norma se propone una tabla detallada de los controles (Alexander, 2007), controles que deben ser seleccionados en base a los resultados de la evaluación del riesgo y a las decisiones tomadas concernientes al tratamiento de dicho riesgo.

La gestión del riesgo, generalmente, contempla el cálculo del riesgo, la apreciación de su impacto en el negocio y la probabilidad de ocurrencia (Hiles, 2004). Luego se derivan pasos para reducir la frecuencia a un nivel considerado aceptable.

Si la empresa no conoce sobre el riesgo que corren sus activos de información, difícilmente llegará a estar preparada para evitar su posible ocurrencia, de allí la importancia de conocerlo y crear controles para disminuir o eliminar su posible ocurrencia.

La ISO 27001:2007 recomienda para llevar a cabo una gestión de riesgo, que se defina primero el alcance del estándar en la empresa, y con base en ello, identificar todos los activos de información. Los activos de información deben ser tasados para identificar su impacto en la organización. Luego se debe realizar un análisis para determinar qué activos están bajo riesgo. Es en ese momento que se deben tomar decisiones en relación a qué riesgos aceptará la organización y qué controles serán implantados para mitigar el riesgo (Alberts y Dorofee, 2003). A la gerencia le corresponde revisar los controles implantados a intervalos de tiempo regular para asegurar su adecuación y eficacia. Se le exige a la gerencia que controle los niveles de riesgos aceptados y el estado del riesgo residual (que es el riesgo que queda después del tratamiento del riesgo).

El objetivo final de la evaluación de riesgos es realizar un cálculo de las amenazas a los activos de información, con vistas a seleccionar los controles ISO 27002:2007 o ISO 17799:2005 adecuados para mitigar ese riesgo.

Después de revisar los diferentes métodos, metodologías y herramientas existentes, se propone el esquema que se puede observar en la Figura 1 para llevar a cabo el mencionado análisis y evaluar su riesgo.

Análisis de riesgo. El objetivo del análisis de riesgo es identificar los riesgos basados en la identificación de los activos, de sus amenazas y vulnerabilidades (Alexander, 2007, p. 53).

a) Definición del alcance del modelo: el primer paso que se siguió de acuerdo a la metodología propuesta fue definir el alcance de esta evaluación de riesgo. El alcance de esta investigación son los activos que están en custodia de la Dirección de Servicios Telemáticos (DST), de la Universidad Simón Bolívar, Caracas, Venezuela.

La DST es la encargada de los servicios de comunicación de voz y datos, del apoyo técnico en informática no especializada y de la administración de los servicios de misión esencial de la Universidad. Esta unidad para el logro de sus objetivos cuenta con cuatro departamentos, que se encargan de brindar el apoyo y soporte necesarios: Departamento de Atención al Usuario, Departamento de Tecnología Informática, Departamento de Servicios de Red y Departamento de Servicios Telefónicos.

b) Identificación de activos: una vez definido el alcance se procedió a identificar los activos. Se identificaron 8 activos de información vitales (ver Tabla 1). Entre los activos de información, según la clasificación de la ISO 17799:2005, se encuentran:

● Activos de información (datos, de manuales de usuario, entre otros)

● Documentos en papel (contratos)

● Activos de software (aplicación, software de sistemas, entre otros)

● Activos físicos (computadoras, servidores, medios magnéticos, enrutadores, entre otros)

● Personal (estudiantes, clientes, empleados, entre otros)

● Imagen de la compañía y reputación

● Servicios (comunicaciones, entre otros)

El proceso de evaluación del riesgo permite a una organización alcanzar los requerimientos del estándar. Este proceso ayuda a cualquier organización que desee establecer un Sistema de

Gestión de la Seguridad de la Información (SGSI) en concordancia con la cláusula 4.2.1 de la norma.

La evaluación de riesgo es el proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de importancia del riesgo.

El objetivo de esta evaluación es la de identificar y evaluar los riesgos. Los riesgos son calculados por una combinación de valores de activos y niveles de requerimientos de seguridad.

El riesgo se evalúa contemplando tres elementos básicos:

Estimado del valor de los activos de riesgo Probabilidad de ocurrencia del riesgo Valoración del riesgo de los activos

a) Estimado del valor de los activos de riesgos: este punto es fundamental para evaluar el riesgo. El objetivo es determinar el daño económico que el riesgo pudiera causar a los activos evaluados. Esto se llevó a cabo dándole un valor monetario a cada activo de acuerdo al valor de referencia en el mercado y de su importancia para la Universidad. Se estableció un estimado del valor de los activos con los integrantes de la DST.

b) Probabilidad de ocurrencia del riesgo: se llevó a cabo reuniones con el jefe del Departamento de Servicios de Red con el fin de visualizar por cada activo sus impactos, amenazas y posibilidad de ocurrencia, así como las vulnerabilidades y su posibilidad de ser explotadas, determinándose la posibilidad de ocurrencia del riesgo por cada activo de información perteneciente a la DST.

c) Valoración del riesgo de los activos: por último, se llevó a cabo la valoración del riesgo de los activos.

Para el cálculo del campo total, se dio un valor numérico de de 5 para el término Alto, 4 para el término Medio y 3 para el Bajo. El valor del campo total se obtiene de la suma de los campos "posible Explotación de Vulnerabilidad", más el campo "Valor Activo" más el campo "Posible Ocurrencia" dividido entre tres, el valor obtenido se retorna al término cualitativo.

Siguiendo la metodología, se concluye que todos los activos de información que se encuentran en la DST son activos de información considerados de Alto riesgo, con los cuales habría que identificar (tomando en cuenta el Anexo A de las normas ISO 27001:2007 o de la ISO 17799:2005) sus respectivos controles.

En la Tabla 1 se puede observar el vaciado del análisis y evaluación de riesgo realizado. La gestión de riesgo permitirá evaluar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que sea aceptado por la dirección (Sema Group, 2006).

El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con cada activo de información. El ISO/IEC Guide 73:2002, lo conceptualiza "como el proceso de selección e implementación de medidas para modificar el riesgo". Las medidas de tratamiento del riesgo pueden contemplar acciones como: evitar, optimizar, transferir o retener el riesgo.

De acuerdo a lo establecido en la cláusula 4.2.1 (g), se deben seleccionar objetivos de control y controles apropiados del Anexo A del estándar ISO 27001:2007 o de la ISO 27002:2007 y la selección se debe justificar sobre la base de las conclusiones de la evaluación del riesgo y tratamiento del riesgo.

En el caso de los activos pertenecientes a la DST y en custodias por estos, una vez efectuado el análisis y evaluación del riesgo, se propuso mitigar los riesgos encontrados en los activos de información: a) Servidores de correo y b) Servicios de Internet. El criterio establecido para aplicar los controles apropiados del anexo A sobre estos activos fue el resultado de ALTO RIESGO en la evaluación del riesgo realizada. Los activos de información: c) Servidores de DACE, d) Servidores de Nómina, e) Servidores de la DII, f) Servidores de Finanzas, g) Servidores de DNS, h) Página Web (Sede del Litoral), e i) Servidores Intranet se le consideró un riesgo aceptable, por ser evaluado como un riesgo MEDIO y visualizarlo compatible con las políticas de la organización.

Enunciado de aplicabilidad: se puede observar en la Tabla 2, a nivel de ilustración, un enunciado de aplicabilidad como producto del análisis y evaluación del riesgo efectuado a los Servidores de Correo e Internet.

Entre las principales conclusiones que se pueden obtener de esta investigación, se encuentran:

El objetivo de la evaluación de riesgo es identificar y ponderar los riesgos a los cuales los sistemas de información, sus activos o servicios están expuestos, con la finalidad de identificar y seleccionar los controles apropiados.

Como se pudo observar, en los casos de los servidores de Correo e Internet, la evaluación del riesgo esta basada en los valores de los activos y en los niveles de los requerimientos de seguridad, considerando la existencia de los controles actuales.

La DST debe promover el establecimiento, implantación, operación, monitoreo, mantenimiento y mejoramiento de ISO 27001:2007 en la Universidad Simón Bolívar.

El encargado de la DST está en conocimiento de la importancia que tienen los activos adscritos a su dependencia, por lo que pone un esfuerzo por preservarlos.

Los activos que están bajo la custodia en la DST, pertenecen a instancias que manejan datos críticos para la Universidad, de allí la importancia de preservarlos.

Para escogencia de los controles se debe justifican con base a las conclusiones obtenidas del análisis, evaluación y tratamiento del riesgo a los cuales se someten los activos de información.

Existen muchos métodos para el cálculo de riesgos de activos de información, pero se debe escoger el que más se adapte a las características de la empresa.