Please enable JavaScript.
Coggle requires JavaScript to display documents.
Catalogo de elementos de MAGERIT - Coggle Diagram
Catalogo de elementos de MAGERIT
Tipos de Activos
Relacion de tipos
[S] Servicios
Función que satisface una necesidad de los usuarios (del servicio)
[D] Datos / Información
Elementos de información que representan el
conocimiento que se tiene de algo
[SW] Aplicaciones (Software)
Tareas que han sido automatizadas para su desempeño por un equipo informático.
[HW] Equipos Informáticos (Hardware)
Bienes materiales, físicos, destinados a soportar directa o indirectamente los servicios que presta la organización
[COM] Redes de comunicaciones
Incluyendo tanto instalaciones dedicadas como servicios de comunicaciones contratados a terceros
[SI] Soportes de información
Se consideran dispositivos físicos que permiten almacenar información de forma permanente
[AUX] Equipamiento Auxiliar
Se consideran otros equipos que sirven de soporte a los sistemas de información
[L] Instalaciones
Entran los lugares donde se hospedan los sistemas de información y comunicaciones.
[P] Personal
Aparecen las personas relacionadas con los sistemas de información.
Datos de carácter personal
Nivel básico
Información concerniente a personas físicas identificadas o identificables
Nivel medio
Datos de carácter personal relativos a la comisión de infracciones administrativas o penales
Nivel alto
Datos de carácter personal relativos a ideología, religión, creencias, origen racial, salud o vida sexual
Datos clasificados
Ley de secretos oficiales
Regula los procedimientos y medidas necesarias para la protección de las “materias clasificadas”
Secreto (Très secret UE / EU Top Secret)
Información cuya divulgación no
autorizada pueda causar un perjuicio grave
Reservado (Secret UE)
Información divulgación no
autorizada pueda suponer un perjuicio grave
Confidencial (Confidentiel UE)
Difusión limitada (Restreint UE)
Información y al material cuya divulgación no autorizada
pueda resultar desventajosa
Sintaxis XML
Permite publicar periódicamente actualizaciones de los tipos antes descritos.
Referencias
Numerosas fuentes que identifican activos dentro del ámbito de las tecnologías de la información y las comunicaciones
Amenazas
[N] Desastres naturales
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta.
[N.1] Fuego
Incendios: posibilidad de que el fuego acabe con recursos del sistema
[N.2] Daños por agua
Inundaciones: posibilidad de que el agua acabe con recursos del sistema
[N.*] Desastres naturales
Otros incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, etc
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial.
[I.1] Fuego
incendio: posibilidad de que el fuego acabe con los recursos del sistema
[I.2] Daños por agua
Escapes, fugas, inundaciones: posibilidad de que el agua acabe con los recursos del sistema
[I.*] Desastres industriales
Otros desastres debidos a la actividad humana: explosiones, derrumbes, contaminación química, etc.
[I.3] Contaminación mecánica
:
Vibraciones, polvo, sucieda, etc
.
[I.4] Contaminación electromagnética
Interferencias de radio, campos magnéticos, luz ultravioleta
[I.5] Avería de origen físico o lógico
Fallos en los equipos y/o fallos en los programas
[I.6] Corte del suministro eléctrico
cese de la alimentación de potencia
[I.7] Condiciones inadecuadas de temperatura y/o humedad
Deficiencias en la aclimatación de los locales
[I.8] Fallo de servicios de comunicación
Cese de la capacidad de transmitir datos de un sitio a otro
[I.9] Interrupción de otros servicios y suministros esenciales
Otros servicios o recursos de los que depende la operación de los equipos
[I.10] Degradación de los soportes de almacenamiento de la información
Como consecuencia del paso del tiempo
[I.11] Emanaciones electromagnéticas
hecho de poner vía radio datos internos a disposición de terceros
[E] Errores y fallos no intencionados
Fallos no intencionales causados por las personas.
[E.1] Errores de los usuarios
Equivocaciones de las personas cuando usan los servicios, datos
[E.2] Errores del administrad
Equivocaciones de personas con responsabilidades de instalación y operación
[E.3] Errores de monitorización (log)
Inadecuado registro de actividades: falta de registros, registros incompletos, etc
[E.4] Errores de configuración
Introducción de datos de configuración erróneos
[E.7] Deficiencias en la organización
Cuando no está claro quién tiene que hacer exactamente qué y cuando
[E.8] Difusión de software dañino
Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas
[E.9] Errores de [re-]encaminamiento
Envío de información a través de un sistema o una red usando, accidentalmente, una ruta incorrecta
[E.10] Errores de secuencia
Alteración accidental del orden de los mensajes transmitidos
[E.14] Escapes de información
La información llega accidentalmente al conocimiento de personas que no deberían
[E.15] Alteración de la información
Alteración accidental de la información
[E.16] Introducción de información incorrecta
Inserción accidental de información incorrecta
[E.17] Degradación de la información
Degradación accidental de la información
[E.18] Destrucción de información
Pérdida accidental de información
[E.19] Divulgación de información
Revelación por indiscreción.
[E.20] Vulnerabilidades de los programas (software)
Defectos en el código que dan pie a una operación defectuosa sin intencion
(E.21] Errores de mantenimiento / actualización de programas (software)
Defectos en los procedimientos o controles de actualización del código
[E.23] Errores de mantenimiento / actualización de equipos (hardware)
Defectos en los procedimientos o controles de actualización de los equipos
[E.24] Caída del sistema por agotamiento de recursos
La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
[E.28] Indisponibilidad del personal
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden público, guerra
bacteriológica, etc
[A] Ataques intencionados
Fallos deliberados causados por las personas.
[A.4] Manipulación de la configuración
prácticamente todos los activos dependen de su configuracion
[A.5] Suplantación de la identidad del usuario
Cuando un atacante consigue hacerse pasar por un usuario autorizado
[A.6] Abuso de privilegios de acceso
Cada usuario disfruta de un nivel de privilegios para un determinado propósito
[A.7] Uso no previsto
Utilización de los recursos del sistema para fines no previstos
[A.8] Difusión de software dañino
Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc
[A.9] [Re-]encaminamiento de mensajes
Envío de información a un destino incorrecto a través de un sistema o una red
[A.10] Alteración de secuencia
Alteración del orden de los mensajes transmitidos
[A.11] Acceso no autorizado
El atacante consigue acceder a los recursos del sistema sin tener autorizacion
[A.12] Análisis de trafico
Capaz de extraer conclusiones a partir del análisis del origen
[A. 13] Repudio
Negación a posteriori de actuaciones o compromisos adquiridos en el pasado
[A.14] Interceptación de información (escucha)
:
el atacante llega a tener acceso a información que no le corresponde
.
[A.15] Modificación de la informacion
Alteración intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio
[A.16] Introducción de falsa información
Inserción interesada de información falsa, con ánimo de obtener un beneficio o causar un perjuicio
[A.17] Corrupción de la información
Degradación intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio
[A.18] Destrucción la información
Eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuicio.
[A.19] Divulgación de información
Revelación de información.
[A.22] Manipulación de programa
Alteración intencionada del funcionamiento de los programas
[A.24] Denegación de servicio
La carencia de recursos suficientes provoca la caída del sistema
[A.25] Robo
La sustracción de equipamiento provoca directamente la carencia de un medio para prestar los servicios
[A.26] Ataque destructivo
Vandalismo, terrorismo, acción militar, etc
[A.27] Ocupación enemiga
Cuando los locales han sido invadidos y se carece de control sobre los propios medios de trabajo
[A.28] Indisponibilidad del personal
Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de accesos
[A.29] Extorsión
Presión que, mediante amenazas, se ejerce sobre alguien para obligarle a obrar en determinado sentido
[A.30] Ingeniería social
Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero.
Correlacion de errores y ataques
Errores y amenazas constituyen frecuentemente las dos caras de la misma moneda: algo que le puede pasar a los activos sin animosidad o deliberadamente.
Amenazas que sólo pueden ser errores, nunca ataques deliberado
Amenazas que nunca son errores: siempre son ataques deliberado
Amenazas que pueden producirse tanto por error como deliberadamente
Amenazas por tipo de activos
[S] Servicios
Pueden materializarse sobre los activos de tipo [S], con consecuencias para la seguridad del sistema de información.
[D] Datos / Información
Pueden materializarse sobre los activos de tipo [D], con consecuencias para la seguridad del sistema de información.
[SW] Aplicaciones (Software)
Pueden materializarse sobre los activos de tipo [SW], con consecuencias para la seguridad del sistema de información.
[HW] Equipos informaticos (hardware)
Pueden materializarse sobre los activos de tipo [HW], con consecuencias para la seguridad del sistema de información.
[COM] Redes de comunicaciones
Pueden materializarse sobre los activos de tipo [COM], con consecuencias para la seguridad del sistema de información.
[SI] Soportes de información
Pueden materializarse sobre los activos de tipo [SI], con consecuencias para la seguridad del sistema de información.
[AUX] Equipamiento auxiliar
Pueden materializarse sobre los activos de tipo [AUX], con consecuencias para la seguridad del sistema de información.
[L] Instalaciones
pueden materializarse sobre los activos de tipo [L], con consecuencias para la seguridad del sistema de información.
[P] Personal
Pueden materializarse sobre los activos de tipo [P], con consecuencias para la seguridad del sistema de información.
Disponibilidad
Pueden materializarse sobre diferentes tipos de activos, con consecuencias para la disponibilidad del sistema de información.
Sintaxis XML
Los amenazas cabe esperar que evolucionen en el tiempo para adaptarse a la evolución tecnológica.
Referencias
Existen numerosas fuentes que catalogan amenazas dentro del ámbito de las tecnologías de la
información y las comunicaciones.