Caracterización y Valuación de Activos
La importancia de una buena clasificación de los activos de una Empresa ayudan a que sea más
efectiva la gestión de estos. La caracterización y valuación son necesarios para el análisis de riesgos.
Caracterización de Activos
A continuación se realizó una clasificación de los activos de la empresa para obtener un
resultado de los activos más importantes y utilizables, con base en un estudio y recolección de
información para el desarrollo del proyecto. Las tablas 1, 2, 3, 4 categorizan los diferentes
activos:
ACTIVOS DE INFORMACIÓN
DATOS DIGITALES INFORMACION TANGIBLE
INFORMACION INTANGIBLE
APLICACIONES SISTEMAS OPERATIVOS
Bases de datos - Oracle 10G
Backup - Cintas - Archivos
Correo Electrónico Encriptación de claves
- Protocolo SSH
Personal - División de
Sistemas Correo/Postal Fax Compartimiento de seguridad
- Caja fuerte - Llaves de
oficina
- Información - Licencias
OEM - Imagen
Corporativa - Buen
Nombre de la empresa
Propietarias - Sinap - Sth (talento
humano) Adquiridas - Finanzas PLUS - Srf (sistema
recursos físicos)
Código Abierto - Asterisk - Squid Aplicaciones de Escritorio - Office 2003
Basic - Office
2007Basic - Office
Professional 2003
- Office 97 Standard
- Office 2000 Professional
- Office XP Professional
- Office 97 Professional
- Openoffice.org 2.1
- Openoffice.org 1.0
- Openoffice.org 2.3
- Openoffice.org 3.0
- Openoffice.org
- Linux Enterprise 5.2
- CentOS 5.2 - Windows
Server 2008 R.2
- Windows XP - Windows
Vista - IAX
3.1 - Openoffice.org
1.0.1
Tabla Nº 1. Activos de Información
ACTIVOS FÍSICOS TI
SOPORTE DE INFRAESTRUCTURA TI
CONTROLES DE ENTORNO TI
HARDWARE TI
- Cuarto de Telecomunicaciones
- Rack - Oficinas - Cajas fuertes
- Extintores - UPS - Cableado Eléctrico - Aire Acondicionado - Planta de Energía
Servidores - Servidor CLON(VOIP) - Servidor IBM (APLICACIONES) - Servidor CLON (WEB) - Servidor IBM (BD) - Servidor ACER (NOMINA(antigua)) - Servidor HP(SERVER 2008 R2 (PRUEBA)) Tarjetas - DIGIUM(VOZ IP) Switches - 4 Switches d`link 1024D (24 puertos) - 2 Switches d`link 1016D (16 puertos) - 1 adtran express 6500 (conversor de
medios) - 1 switch Netgear PS 516 - 2 switch encore - 1 switch Trendnet - switch 3com Enrutadores - Router Cisco 828 GHDSL
Equipos Terminales - 30 ATA VOZ IP lynsys - Estaciones de trabajo - Portátiles Impresoras - Hewlett-Packard - Epson - Xerox - Lexmark - Dell Cámaras de Monitoreo Teléfonos Lectores códigos de barra Fotocopiadoras Fax Cámaras de video y fotográficas
Tabla Nº 2. Activos Físicos TI
ACTIVOS DE SERVICIOS TI
SERVICIOS DE RED SERVICIOS WEB CONTRATOS DE SOPORTE
- Proxy
- SSH
- VPN
- Apache 2.2.3
- IIS
- Oracle
- Nod 32
- Microsoft
Tabla Nº 3. Activos de Servicios TI
ACTIVOS DE INFORMACIÓN DE PERSONAL
EMPLEADOS DIVISIÓN DE SISTEMAS
- Jefe de sistemas
- Analista programador
- Auxiliar programador
- Operador sistemas
Tabla Nº 4. Activos de Información de Personal
Valuación de Activos
Dentro de la etapa de caracterización del sistema, luego de la identificación y clasificación de los
activos por categorías se realiza la valuación de estos. Esta valuación se hace teniendo como
punto de partida los pirales de la seguridad informativa y para cada uno de ellos se definen
diferentes niveles de cumplimiento como se consigna en la tabla 5. (MUY ALTO (5), ALTO (4),
MEDIO (3), BAJO (2), MUY BAJO (1)) el nivel más alto indicaría que se cumple a cabalidad con un
determinado pilar de la seguridad informática.
PUNTACION PARA LA VALUACION DE ACTIVOS
MUY ALTO 5
ALTO 4
MEDIO 3
BAJO 2
MUY BAJO 1
Tabla Nº 5. Puntuación para la Valuación de Activos
Los Criterios para la valuación de activos observados en la tabla 6 son la confidencialidad,
integridad, disponibilidad.
CRITERIOS PARA LA VALUACIÓN DE ACTIVOS
Confidencialidad Integridad Disponibilidad
- Los componentes del
sistema TI serán
accesibles sólo por
aquellos usuarios
autorizados.
- Los componentes del
sistema TI sólo
pueden ser creados
y modificados por
los usuarios
autorizados.
- Los usuarios deben tener
disponibles todos los
componentes del sistema
TI cuando así lo deseen.
Tabla Nº 6. Criterios para Valuación de Activos
Considerando los criterios de la tabla 6, los niveles de puntuación y la categorización anteriormente
hecha de los activos se realiza la valuación plenamente, donde se obtiene un valor total que sirve
para la escogencia de los activos más importantes dentro de la Empresa. En las tablas 7 al 17 se
encuentra los valores asignados para cada uno de los activo. El criterio para la colocación de los
valores se hizo teniendo en cuenta un primer estudio de afectación de la continuidad del negocio.
VALUACIÓN DE ACTIVOS
ACTIVOS DE INFORMACIÓN
DATOS DIGITALES
Confidencialidad Integridad Disponibilidad Valor de
Activos
Base de datos 5 5 5 15
Backup 5 5 3 13
Correo Electrónico 3 2 1 6
Encriptación de
llaves
3 3 3 9
Tabla Nº7. Valuación de Datos Digitales
INFORMACIÓN TANGIBLE
Confidencialidad Integridad Disponibilidad Valor de
Activos
Personal(empleados) 5 3 4 12
Correo/Postal 4 4 3 13
Fax 3 3 2 8
Compartimiento de
seguridad
5 4 4 13
Tabla Nº 8. Valuación de Información Tangible
INFORMACIÓN INTANGIBLE
Confidencialidad Integridad Disponibilidad Valor de
Activos
Información 5 5 5 15
Licencias 2 1 2 5
Imagen corporativa 1 2 5 8
El buen nombre de 1 2 3 6
la empresa
Tabla Nº 9. Valuación de Información Intangible
APLICACIONES
Confidencialidad Integridad Disponibilidad Valor de
Activos
Propietarias
Sinap 5 5 5 15
Sth 5 5 4 14
Adquiridas
Finanzas Plus 5 5 5 15
Srf 5 5 4 14
Código Abierto
Asterisk 5 5 5 15
Squid 5 5 4 14
Aplicaciones de
Escritorio
2 2 3 7
Tabla 10. Valuación de Aplicaciones
SISTEMAS OPERATIVOS
Confidencialidad Integridad Disponibilidad Valor de
Activos
Linux Enterprise(Base de
datos)
5 5 5 15
Centos (servidor web-
proxy)
5 5 4 14
Centos(Aplicaciones) 5 5 5 15
Centos (Voip) 5 5 4 14
Windows Server 2008
(prueba)
5 5 2 12
Windows XP 3 3 2 8
Windows Vista 3 3 2 8
IAX 5 5 2 12
Tabla Nº 11. Valuación de Sistemas Operativos
ACTIVOS FÍSICOS TI
SOPORTE DE INFRAESTRUCTURA
Confidencialidad Integridad Disponibilidad Valor de
Activos
Cuarto de
telecomunicaciones
5 5 5 15
Rack 3 3 3 9
Oficinas 2 2 3 7
Caja Fuerte 5 2 2 9
Tabla Nº 12. Valuación de Soporte de Infraestructura
CONTROLES ENTORNO TI
Confidencialidad Integridad Disponibilidad Valor de Activos
Extintores 1 1 4 6
UPS 4 5 5 14
Cableado Eléctrico 1 3 4 8
Aire Acondicionado 1 3 4 8
Planta de energía 1 3 4 8 Tabla Nº 13. Valuación de Controles Entorno TI
HARDWARE TI
Confidencialidad Integridad Disponibilidad Valor de Activos
Servidores
Servidor Base de datos 5 5 5 15
Servidor VOIP 5 5 4 14
Servidor Web 5 5 4 14
Servidor de Nomina (antigua) 5 5 3 13
Servidor Windows server 2008 (Prueba)
3 3 3 9
Servidor de Aplicaciones 5 5 5 15
Tarjetas
DIGIUM (Voip) 5 5 3 13
Switches 3 3 3 9
Router Cisco 5 5 4 14
Equipos Terminales
Ata Vo IP lynsys
3 3 2 8
Estaciones de trabajo 2 2 2 6
Portátiles 2 2 2 6
Impresoras 1 1 2 4
Cámaras de monitoreo 5 5 5 15
Lector de Barras 5 5 5 15
Teléfonos 3 2 1 6
Fax 2 1 1 4
Fotocopiadoras 1 1 1 3
Cámaras de video y fotográficas 1 1 1 3
Tabla Nº 14. Valuación de Hardware TI
ACTIVOS DE SERVICIO TI
SERVICIOS DE RED
Confidencialidad Integridad Disponibilidad Valor de
Activos
Proxy 5 5 2 12
VPN 5 5 2 12
SSH 5 5 2 12
Tabla Nº 15. Valuación de Activos de Servicio TI
SERVICIOS WEB
Confidencialidad Integridad Disponibilidad Valor de
Activos
Apache 2.2.3 5 5 4 14
IIS 5 3 2 10
Tabla Nº 16. Valuación de Servicios Web
CONTRATOS DE SOPORTE
Confidencialidad Integridad Disponibilidad Valor de
Activos
Oracle 3 4 3 10
Nod 32 3 4 4 11
Microsoft 3 3 3 9
Tabla Nº 17. Valuación de Contratos de Soporte
Los activos Importantes de acuerdo a la Puntuación dada anteriormente fueron aquellos que
obtuvieron un valor de activos de 15 y 14, siendo este resultado la suma CID (Confidencialidad,
Integridad, Disponibilidad) por cada activo. Después de realizar la valuación se determina que los
siguientes activos son de mayor importancia dentro de la empresa como se estipula en las tabla
18 y 19 .
ACTIVOS DE INFORMACION
DATOS DIGITALES INFORMACION INTANGIBLE
INFORMACION TANGIBLE
APLICACIONES SISTEMAS OPERATIVOS
Base de datos
Personal (empleados)
Información Propietaria Sinap y Sth
Linux Enterprise
Backups Compartimiento de seguridad
Adquirida finanzas plus y Srf
Centos (servidor web-proxy servidor de aplicaciones)
Open Source Asterisk, squid
Centos (VoIP)
Tabla Nº 18. Activos de Información
ACTIVOS FISICOS TI
SOPORTE DE INFRAESTRUCTURA
CONTROLES ENTORNO TI HARDWARE TI
Cuarto de telecomunicaciones
UPS Servidor Base de datos
Router
Servidor VoIP
Servidor Web
Servidor de Aplicaciones
Cámaras de monitoreo
Lector de Barras
Tabla Nº 19. Activos Físicos TI
Valuación de Amenazas Teniendo identificados los activos más importantes se pasa a considerar los criterios de posibles causas potenciales de un incidente no relacionado que pueden ocasionar alguna falla dentro de la Empresa. En la tabla 20 se realizo una categorización de las posibles causas o amenazas.
CRITERIOS PARA LA VALUACION DE LAS AMENAZAS
Amenazas Naturales Amenazas Humanas Amenazas del Entorno
- Terremoto
- Inundaciones
- Tormentas Eléctricas
- Vendavales
- Acceso no autorizado a sistemas
- Explotación de errores (usuario y administrador)
- Ingeniería Social - Phishing - Interceptación de datos - Código malicioso - Abuso de la informática. - Virus
- Fallas eléctricas - Polución - Sustancias químicas - Fugas de líquido - Temperatura - Incendios - Control de humedad - Edificaciones Cercanas - Accidente de tránsito. - Protección de los Equipos en el sitio - Fuentes de Potencia - Seguridad de cableados - Mantenimiento de Equipos - Ingreso no autorizado - Aseguramiento de oficinas, recintos
Y espacios físicos.
- Fallas de equipos Tabla Nº 20. Criterios para La Valuación de las Amenazas
Categorizadas las amenazas , se procede a definir niveles para encontrar los activos más
amenazados, a mayor puntuación el activo puede estar más afectado por una amenaza. La tabla 21
define la puntuación para la valuación de activos con relación a las amenazas.
PUNTACION PARA LA VALUACION DE ACTIVOS
MUY ALTO 5
ALTO 4
MEDIO 3
BAJO 2
MUY BAJO 1
Tabla Nº 21. Puntuación para la Valuación de Amenazas
La utilización de niveles permite identificar y ponderar cuantitativamente los activos con la finalidad
de encontrar cuales pueden ser afectados en mayor medida por las diferentes amenazas presentes
en la empresa SegTec. En las tablas de la 22 a la 32 se obtiene un valor de amenaza, dependiendo de
las amenazas categorizadas (Natural, Humana y de Entorno) con relación a un activo.
VALUACION DE AMENAZAS DE LOS ACTIVOS
ACTIVOS DE INFORMACION
DATOS DIGITALES
Amenaza Natural
Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Base de datos 1 4 3 8
Backup 1 3 4 8
Correo Electrónico 1 3 1 5
Encriptación de llaves
1 2 1 4
Tabla Nº 22. Valuación de Amenazas de Datos Digitales
INFORMACION TANGIBLE
Amenaza
Natural
Amenaza
Humana
Amenaza del
Entorno
Valor de la
Amenaza
Personal(empleados TI) 1 3 1 5
Correo/Postal 1 2 2 5
Fax 1 2 2 5
Compartimiento de
seguridad
1 2 2 5
Tabla Nº 23. Valuación de Amenazas de Información Tangible
INFORMACION INTANGIBLE
Amenaza
Natural
Amenaza
Humana
Amenaza del
Entorno
Valor de la
Amenaza
Información 1 4 1 6
Licencias 1 2 1 4
Imagen corporativa 1 1 1 3
El buen nombre de
la empresa
1 2 1 4
Tabla Nº 24. Valuación de Amenazas de Información Intangible
APLICACIONES
Amenaza Natural Amenaza
Humana
Amenaza del
Entorno
Valor de la
Amenaza
Propietarias
Sinap 1 4 1 6
Sth 1 4 1 6
Adquiridas
Finanzas Plus 1 4 1 6
Srf 1 4 1 6
Código Abierto
Asterisk 1 3 2 6
Squid 1 3 2 6
Aplicaciones de
Escritorio
1 2 1 4
Tabla Nº 25. Valuación de Amenazas de Aplicaciones
SISTEMAS OPERATIVOS
Amenaza Natural
Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Linux Enterprise(Base de
datos)
1 4 2 7
Centos (servidor web-proxy)
1 4 2 7
Centos(Aplicaciones) 1 4 2 7
Centos (Voip) 1 4 2 7
Windows Server 2008 (prueba)
1 2 2 5
Windows XP 1 2 1 4
Windows Vista 1 2 1 4
IAX 1 3 2 6
Tabla Nº 26. Valuación de Amenazas de Sistemas Operativos
ACTIVOS FISICOS TI
SOPORTE DE INFRAESTRUCTURA
Amenaza Natural
Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Cuarto de telecomunicaciones 1 2 3 6
Rack 1 2 3 6
Oficinas 1 3 2 6
Caja Fuerte 1 2 2 5
Tabla Nº 27. Valuación de Amenazas de Soporte de Infraestructura
CONTROLES ENTORNO TI
Amenaza Natural Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Extintores 1 1 1 3
UPS 1 2 2 5
Cableado Eléctrico 1 1 3 5
Cableado de red 1 2 4 6
Aire Acondicionado 1 1 2 4
Planta de energía 1 1 2 4
Tabla Nº 28. Valuación de Amenazas de Controles Entrono TI
HARDWARE TI
Amenaza Natural
Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Servidores
Servidor Base de datos 1 2 2 5
Servidor VOIP 1 2 2 5
Servidor Web 1 2 2 5
Servidor de Nomina (antigua) 1 2 2 5
Servidor Windows server 2008 1 2 2 5
(Prueba)
Servidor de Aplicaciones 1 2 2 5
Tarjetas
DIGIUM (Voip) 1 2 1 4
Switches 1 2 2 5
Router Cisco 1 2 2 5
Equipos Terminales
Ata VOZ IP lynsys 1 1 2 4
Estaciones de trabajo 1 3 2 6
Portátiles 1 2 2 5
Impresoras 1 1 2 4
Cámaras de monitoreo 1 2 2 5
Lector de Barras 1 2 2 5
Teléfonos 1 1 1 3
Fax 1 1 1 3
Fotocopiadoras 1 1 2 4
Cámaras de video y fotográficas 1 1 1 3
Tabla Nº 29. Valuación de Amenazas del Hardware TI
ACTIVOS DE SERVICIO TI
SERVICIOS DE RED
Amenaza Natural
Amenaza Humana
Amenaza del Entorno
Valor de la Amenaza
Proxy 1 3 2 6
SSH 1 3 1 5
Tabla Nº 30. Valuación de Amenazas de Servicios de Red
SERVICIOS WEB
Amenaza
Natural
Amenaza
Humana
Amenaza del
Entorno
Valor de la
Amenaza
Apache 2.2.3 1 4 2 8
IIS 1 2 1 4
Tabla Nº 31. Valuación de Amenazas de Servicios Web
CONTRATOS DE SOPORTE
Amenaza
Natural
Amenaza
Humana
Amenaza del
Entorno
Valor de la
Amenaza
Oracle 1 2 1 4
Nod 32 1 2 1 4
Microsoft 1 2 1 4
Tabla Nº 32. Valuación de Amenazas de Controles de Soporte
Una vez realizada la valuación de amenazas se identifican los activos que se encuentran amenazados
actualmente en la Empresa.
Activos más Amenazados según la puntación de valuación
En la tabla 33 se obtienen las amenazas de acuerdo a un estudio previo realizado en la Empresa
sobre los activos dependiendo del tipo de Amenaza.
Tabla Nº 33. Descripción de los Activos Amenazados
Probabilidades de amenazas de la Empresa
Las probabilidades de las amenazas determinan si un ataque es inminente que podrían causar
perjuicio de disponibilidad, confidencialidad, integridad y autenticidad de la información empresarial.
Los criterios para la probabilidad de amenaza se definen en la tabla 34, clasificados en 4 niveles
ALTA, MEDIA, BAJA, MUY BAJA.
ALTA La realización del ataque es inminente. No existen condiciones internas y
externas que impidan el desarrollo del ataque.
MEDIA Existen condiciones que hacen poco probable un ataque en el corto plazo
pero que no son suficientes para evitarlo en el largo plazo.
BAJA Existen condiciones que hacen muy lejana la posibilidad del ataque.
MUY BAJA No existen condiciones que impliquen riesgo/ataque.
Tabla Nº 34. Criterios para probabilidad de Amenaza
Los criterios de la probabilidad de Amenazas anteriormente descritos y estudios previos realizados
en la Empresa como la recolección de información permitieron identificar el nivel de probabilidad de
una amenaza.
Activos Tipo de Amenazas Amenaza
Base de Datos Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising). - Errores del programador por falta de capacitación
en el área.
Backup Amenaza del entorno - Ingreso físico no autorizado por terceras personas - No se encuentran en un sitio confiable - No existen copias externas custodiadas
Información Amenaza Humana - Información impresa no está segura y controlada - Acceso físico no Autorizado por terceras personas
Aplicaciones propietarias y adquiridas
Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising)
Aplicaciones de Código Abierto
Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising)
Sistemas operativos Linux Amenaza humana - Errores de seguridad, por mala administración.
Cuarto de telecomunicaciones
Amenaza Entorno - Control de humedad - Polución
Oficinas Amenaza humana - Acceso no autorizado físico
Cableado de red Amenaza de entorno - Falta de cumplimiento de la normatividad de cableado estructurado
Estaciones de trabajo Amenaza humana - Ingeniería Social
Rack Amenaza Entorno - Falta de cumplimiento de la normatividad de cableado estructurado
Servidor Apache Amenaza humana - Spoofing Web - Errores de seguridad
En la tabla 35 y 36 se utilizan las divisiones de la columna Probabilidad de Amenaza, marcando con
una “X” la opción que se consideró aplicable a la empresa dependiendo de los tipos de amenazas
identificadas en su respectivo análisis.
TIPO DE AMENAZA PROBABILIDAD DE AMENAZA
AMENAZA HUMANA ALTA MEDIA BAJA MUY BAJA Acceso no autorizado por Ingeniería Social y Phising (BASE DE DATOS)
X
Errores del programador por falta de capacitación en el área (BASE DE DATOS)
X
Información impresa no está segura y controlada (INFORMACION)
X
Acceso físico no Autorizado por terceras personas (INFORMACION)
X
Acceso no autorizado por Ingeniería Social y Phising (APLICACIONES PROPIETARIAS Y ADQUIRIDAS, OPEN SOURCE)
X
Errores de seguridad por mala Administracion (S.O LINUX)
X
Ingeniería social (ESTACIONES DE TRABAJO) X
Spoofing Web (SERVIDOR APACHE) X
Errores de seguridad (SERVIDOR APACHE) X
Acceso no autorizado físico (OFICINAS) X
Tabla Nº 35. Probabilidad de Amenazas Humanas
AMENAZA DE ENTORNO ALTA MEDIA BAJA MUY BAJA
Ingreso físico no autorizado por terceras
personas (BACKUP)
X
No se encuentran en un sitio confiable (BACKUP) X
No existe copias externas custodiadas (BACKUP) X
Control de humedad (CUARTO DE
TELECOMUNICACIONES)
X
Polución (CUARTO DE TELECOMUNICACIONES) X
Falta de cumplimiento de la normatividad de
cableado estructurado (RACK)
X
Falta de cumplimiento de la normatividad de
cableado estructurado (CABLEADO DE RED)
X
Tabla Nº 36. Probabilidad de Amenazas de Entornos
Identificación de Vulnerabilidades
Las debilidades pueden ocasionar que una amenaza cause daños a un activo y se afecte el normal
funcionamiento de la Empresa por este motivo se procedió a la identificación de las vulnerabilidades
para ello se consideraron tres áreas que determina la metodología SP 800-30:
Administración
Operacional
Técnica
En las tablas de la 37 a la 39 se describen las vulnerabilidades asociadas en las áreas de
administración, operacional y técnica con relación a una serie de criterios establecidos por la
metodología SP800-30. Además para cada uno de los activos más críticos (servidores) se identifican
las vulnerabilidades como se indica en las tablas 40 a la 43.
Criterios de la Área de Administración de Sistemas
Criterios Vulnerabilidades Asociadas
Asignación de responsabilidades
La asignación de responsables de los activos del área de sistemas no está muy bien definida.
Revisión periódica de controles de seguridad.
La existencia de controles de seguridad que protejan los activos es escasa.
Continuidad
No se maneja una política clara y específica para la continuidad del negocio. Actividades relacionadas con los controles de cambios en las aplicaciones críticas es susceptible a mejoras.
Evaluación de Riesgos Algunos riesgos sobre los activos más críticos de la empresa no están plenamente identificados y documentados.
Seguridad y capacitación técnica
No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad.
No se manejan roles para la gestión de vulnerabilidades
No hay exigencia continua de identificación en lugar visible para personas que ingresan al área. No existen procedimientos formales para llevar acabo procesos capacitación bien estructurada. Es mínimo el control en cumplimiento de normas después de una capacitación ya que no existen personas encargadas de verificar los controles.
Plan de seguridad del sistema
Claramente no se tiene definido un plan de seguridad del sistema, aunque se realizan algunas actividades en lo relacionado a seguridad.
El manejo de aplicaciones está más enfocado a lo funcional y no se tienen controles adecuados de seguridad.
No se maneja una política clara de registro y des-registro de los usuarios en el sistema.
Explícitamente no se posee documentación en cuanto a criterios de confidencialidad y criticidad de las aplicaciones.
Sistemas de autorización y re-autorización EL manejo de claves secretas por parte de los usuarios se realiza de manera informal.
Falta de procedimiento formal para la revisión de los accesos a los sistemas para mirar usuarios y permisos asignados.
Tabla Nº 37. Vulnerabilidades del Área de Administración de sistemas
Seguridad Operacional
Criterios Vulnerabilidades asociadas
Controles para garantizar la calidad de
suministro de energía
Falta etiquetado de tableros e identificación
de circuitos que alimentan las ups
Medios de acceso y eliminación de dato Proceso formal de eliminación de datos no se
tiene.
La eliminación de datos digitales no se realiza
con herramientas adecuadas.
Los medios de acceso al cuarto de
comunicaciones es susceptible a mejoras)
Control de contaminantes transportados por
el aire
Las paredes del cuarto de equipos falta un
adecuando tratamiento.
Facilidad de protección (Sala de
computadores, Data center, oficinas)
Los actividades relacionadas con la seguridad
física son susceptible de mejora para el
control de acceso a la dependencia, cuarto de
equipos y manejo de activos presentes en
esta.
Control de humedad No se maneja un mecanismo de control de
humedad
Tabla Nº 38. Vulnerabilidades del Área Seguridad Operacional
Criterios en el Área de Seguridad Técnica
Criterios Vulnerabilidades asociadas
Comunicaciones (Interconexión se sistemas, Enrutadores).
No se puede determinar adecuadamente las rutas y espacios horizontales utilizados.
Falta etiquetado de cableado horizontal.
Falta de etiquetas adecuados de equipos activos y servidores.
Existencia de derivaciones en cableado horizontal.
No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observación de algunas oficinas se sobrepasa la distancia máxima.
No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack.
El medio de trasporte de cable se encuentra deteriorado
Cableado de red y eléctrico junto en algunos sitios.
Equipos activos dentro de cuarto de comunicaciones no están aterrizados.
La distribución dentro de rack no es la adecuada.
No se tiene una canal de respaldo con ISP en caso de fallo de canal principal.
El manejo de métodos criptogramas dentro de la organización es susceptible a mejoras.
Criptografía Control de acceso discrecional
En algunos servidores Linux no se maneja archivos para el control de longitud contraseñas, tiempos de expiración y cambios de estas.
Las falta documentación formal para la gestión de identificadores de usuarios únicos (ID´s).
Sistema de auditoria
Muchos de los servidores tienen instalados servicios innecesarios
No se maneja un endurecimiento de servidores apropiado en los servidores (Hardening).
Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras
Se permite conexión por ssh a root directamente.
Sistemas de antivirus y detección de rootkit es escasa
Equipos de control de acceso como firewall no se tienen
No se cuenta con equipos de segmentación de redes (Switch Gestionables o VPN).
Documentos formales para registro de ingreso de personas al área no se tiene.
Identificación y autenticación La gestión de logs para control de accesos no está muy bien automatizada.
Herramientas de monitoreo para gestión de equipos conectados a determinado servicio no se tiene implementado.
No se manejan controles de autenticación para el ingreso al sitio de procesamiento de información (tarjetas de control con códigos etc).
Para el ingreso al área de sistemas no se exige portar documento de identificación en un lugar visible a personal ajeno a esta.
Detección de intrusiones Mecanismos de detección de intrusiones como IDS e IPS no se manejan.
Tabla Nº 39. Vulnerabilidades del área Técnica
Tabla Nº 40. Vulnerabilidades del servidor de Aplicaciones
Criterios en el Área de Servidor de Aplicaciones
Servidor de Aplicaciones Vulnerabilidades
Se utiliza VNC para la administración de el servidor.
En la referente a software de servidor se tiene instalado software innecesario como el servidor X11
Los banners de los servicios instalados falta modificarlos adecuadamente.
Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras.
Se permite autenticación al servidor como root por medio de ssh
No hay un plan de contingencia establecido a nivel de Hw para este servidor.
No se tienen herramientas de monitoreo de logs automatizadas para este servidor.
Explícitamente de se tiene asignado una persona responsable de este servidor.
Es susceptible de mejora tener una política definida de control de cambios.
EL php instalado el servidor esta propenso a muchos ataques
El software para samba esta propenso a ataques de ganancia de privilegios.
Se tienen debilidades a nivel de ssh (hijacking).
El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.)
No se tiene un documento de registro de incidentes y de soluciones de estos.
No se tiene plenamente identificado cables de red ni el cableado eléctrico para el servidor.
No se maneja software de chequeo de integridad
Herramienta de monitorio para este servidor no se tiene.
CRITERIOS DEL SERVIDOR WEB Y PROXY
Servidor Web y Proxy Vulnerabilidades
El hardening utilizado en el servidor es
susceptible de mejoras
Backup para este servidor no se maneja
Se tiene instalado software innecesario en
este servidor.
El manejo de banner es susceptible a
mejoramiento para los servicios instalados.
Se utiliza vnc para administración remota de
este servidor.
Existen varios puertos abiertos innecesarios
en este servidor.
Apache esta propenso a ataques por no estar
actualizado.
El servicio de samba esta propenso a ataques.
El servidor posee versión de ssh no
actualizada.
No se posee una adecuado control de cambios
para este servidor.
El servicio de Dns instalado no se encuentra
actualizado.
No se tiene plenamente identificado los
cables, puntos red y el cableado eléctrico
para el servidor.
Tabla Nº 41. Vulnerabilidades del servidor Web y Proxy
CRITERIOS DEL SERVIDOR ASTERISK
Servidor Asterisk Vulnerabilidades
La configuración del SO en los aspectos de seguridad es susceptible a mejoras
Los banner de los servicios instalados son susceptible a mejoras
No se manejan restauraciones de periódicas de los respaldos ( backup) para el servidor , ni respaldos (backup) externos o fuera de sitio.
No se maneja software de integridad de archivos en el servidor.
No se tienen implementadas herramientas de monitorio de logs.
No tiene garantizado que el servidor posea las ultimas actualizaciones.
No se tienen instalados herramientas de protección contra rootkit.
No se tiene plenamente identificado los cables eléctricos y puntos de red para el servidor.
La versión de ssh no se encuentra actualizada.
Se tienen habilitados servicios innecesarios en este servidor como (smtp).
La versión se apache puede ser propensa ataques de injection por comandos.
Mysql para la base de datos no se encuentra actualizada.
La versión de php instalada en el servidor no está actualizada.
Tabla Nº 42. Vulnerabilidades del servidor Asterisk
CRITERIOS DEL SERVIDOR DE BASE DE DATOS (ORACLE)
Servidor Oracle Vulnerabilidades asociadas
El manejo de cambio de contraseñas por defecto durante la instalación es susceptible a mejoras
La base de datos esta propensa a ganancia de privilegios por accesibilidad de diccionario.
La información de los parámetros para conexión remota es susceptible a mejoras.
La aplicación de Oracle es susceptible a mejoras en lo que se refiere a proceso de autenticación remota.
Los parches para la base de datos no están actualizados.
La versión de ssh presente en el servidor no está actualizada.
No se posee explicita mente una documento formal de consignación de errores y fallas
No se tiene dentro del servidor programas de chequeo de integridad para gestión de archivos del S.O
No se maneja adecuadamente las gestión de contraseñas en la relacionado al tiempo para cambio de estas.
El manejo de banners para el S.O del servidor es susceptible de mejoras
Herramientas para automatización de logs para este servidor es escasa.
El hardening en el servidor es susceptible de mejoras.
Las diferentes conexiones de red y eléctricas que tiene el servidor no están plenamente etiquetadas.
Tabla Nº 43. Vulnerabilidades de Servidor de Base de Datos
Probabilidad de Vulnerabilidades
Dentro de la empresa existen una serie de vulnerabilidades que pueden ser explotadas por las
amenazas por lo tanto se hace necesario definir criterios que permitan determinar el nivel de
probabilidad de las vulnerabilidades; tres niveles son definidos con este fin como se observa en la
tabla 44.
Tabla Nº 44. Nivel de Probabilidad de Vulnerabilidades
En la tabla 45 se asocia la vulnerabilidad y su probabilidad de acuerdo a los tres niveles anteriores.
Vulnerabilidad Alta Media Baja
La asignación de responsables de los activos del área de sistemas no está definida.
X
La existencia de controles de seguridad que protejan los activos es escasa.
X
No se maneja una política clara y específica para la continuidad del negocio.
X
Actividades relacionadas con los controles de cambios en la aplicaciones críticas es susceptible a mejoras.
X
Algunos riesgos sobre los activos más críticos de la empresa no están plenamente identificados y documentados.
X
No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad.
X
No se manejan roles para la gestión de vulnerabilidades X
No hay exigencia continua de identificación en lugar visible para personas que ingresan al área.
X
No existen procedimientos formales para llevar acabo procesos capacitación bien estructurada.
X
Es mínimo el control en cumplimiento de normas después de una capacitación ya que no existen personas encargadas de verificar los controles.
X
Claramente no se tiene definido un plan de seguridad del sistema, se realizan algunas actividades en lo relacionado a seguridad
X
EL manejo de aplicaciones esta mas enfocado a lo funcional y no se tienen controles adecuados de seguridad.
X
Nivel de Probabilidad Definición de Probabilidad
Alta El threat-source es altamente motivado y suficientemente capaz, y los controles para evitar la vulnerabilidad de ser ejercidas son ineficaces
Media El threat-source es motivado y capaz, pero los controles están en el lugar que pueden impedir el ejercicio exitoso de la vulnerabilidad.
Baja El threat-source carece de motivación o capacidad, o los controles existen para prevenir, o al menos obstaculicen de manera significativa la vulnerabilidad de ser ejercida.
No se maneja una política clara de registro y des-registro de los usuarios en sistema
X
Explicitamente no se posee documentación en cuanto a criterios de confidencialidad y criticidad de las aplicaciones
X
EL manejo de claves secretas por parte de los usuarios se realiza de manera informal.
X
Falta de procedimiento formal para la revisión de los accesos a los sistemas para mirar usuarios y permisos asignados.
X
Falta marquillado de tableros e identificación de circuitos que alimentan las ups
X
Proceso formal de eliminación de datos no se tiene. La eliminación de datos digitales no se realiza con herramientas adecuadas
X
Los medios de acceso al cuarto de comunicaciones es susceptible a mejoras)
X
Las paredes del cuarto de equipos falta un adecuando tratamiento.
X
Los actividades relacionadas con la seguridad física son susceptible de mejora para el control de acceso a la dependencia, cuarto de equipos y manejo de activos presentes .
X
NO se maneja un mecanismo de control de humedad X
No se puede determinar adecuadamente las rutas y espacios horizontales utilizados en el cableado de red.
X
Falta etiquetado de cableado horizontal. X
Falta de etiquetas adecuados de equipos activos y servidores. X
Existencia de derivaciones en cableado horizontal. X
No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observación de algunas oficinas se sobrepasa la distancia máxima.
X
No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack.
X
El medio de trasporte de cable se encuentra deteriorado X
Cableado de red y eléctrico junto en algunos sitios. X
Equipos activos dentro de cuarto de comunicaciones no están aterrizados.
X
Las distribución dentro de rack no es la adecuada. X
No se tiene una canal de backup con Isp en caso de fallo de canal principal.
X
El manejo de métodos criptogramas dentro de la organización es susceptible a mejoras.
X
El algunos servidores Linux no se maneja archivos para manejo de longitud de contraseñas, tiempos de espiración de contraseñas y cambios de contraseñas.
X
Las gestión de ID's unicos falta documentación. X
Muchos de los servidores tienen instalados servicios innecesarios X
No se maneja un hardening apropiado en los servidores. X
Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras
X
Se permite conexión por ssh a root directamente. X
Sistemas de antivirus y detección de rootkit es escasa X
Equipos de control de acceso como firewall no se tienen X
No se cuenta con equipos de segmentación de redes (Switch Gestionables).
X
Documentos formales para registro de ingreso de personas al área no se tiene.
X
La gestion de logs para gestión de accesos esta muy bien automatizada.
X
Herramientas de monitoreo para gestión de equipos conectados a determinado servicio no se tiene implementado.
X
No se manejan controles de autenticación para en sitio de procesamiento de información (tarjetas de control con códigos etc).
X
Para el ingreso al área de sistemas no se exige portar documento en un lugar visible para el personal que ingresa ajeno al área.
X
Mecanismos de detección de intrusiones como IDS e IPS no se manejan.
X
Un diagrama logico de conexión de equipos no se tiene X
Falta un adecuado marquillado de cada uno de los dispositivos ATA
X
Tabla Nº 45. Probabilidad de Vulnerabilidades Generales
Anteriormente se menciona que los servidores y su información son los activos más críticos de la
empresa SegTec motivo por el cual una clasificación por niveles de la probabilidad de las
vulnerabilidades se hace necesaria.
Clasificación de la probabilidad de las vulnerabilidades para servidores
En las tablas 46 a la 49 se determinará las diferentes vulnerabilidades encontradas en los diferentes
servidores.
Servidor de Aplicaciones
Vulnerabilidad Alta Media Baja
Se utiliza VNC para la administración de el servidor. X
En la referente a software de servidor se tiene instalado software innecesario ie servidor X11
X
Los banners de los servicios instalados falta codificarlos X
adecuadamente.
Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras.
X
Se permite autenticación al servidor como root por medio de ssh
X
El plan de contingencia establecido para este servidor es susceptible de mejoras.
X
No se tienen herramientas de monitoreo de logs automatizadas para este servidor.
X
Explicitamente de se tiene asignado una persona responsable de este servidor.
X
Es susceptible de mejora tener una política definida de control de cambios.
X
EL php instalado el servidor esta propenso a muchos ataques X
El software para samba esta propenso a ataques de ganacia de privilegios.
X
Se tienen debilidades a nivel de ssh (hijacking). X
El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.)
X
No se tiene un documento de incidentes y ni de soluciones X
No se tiene plenamente identificado cables de red ni el cableado eléctrico para el servidor
X
No se maneja software de chequeo de integridad X
Herramienta de monitorio para este servidor no se tiene. X
Tabla Nº 46. Probabilidad de Vulnerabilidades del Servidor de Aplicaciones
Servidor Web y Proxy
Vulnerabilidad Alta Media Baja
El hardening utilizado en el servidor es susceptible de mejoras X
Backup para este servidor no se maneja X
Se tiene instalado software innecesario en este servidor. X
El manejo de banner es susceptible a mejoramiento para los servicios instalados.
X
Se utiliza vnc para administración remota de este servidor. X
Existen varios puertos abiertos en este servidor innecesarios. X
Apache esta propenso a ataques por no estar actualización X
El servicio de samba esta propenso a ataques. X
El servidor posee versión de ssh no actualizada. X
No se posee un adecuado control de cambios para este servidor. X
El servicio de Dns instalado no se encuentra actualizado. X
No se tiene plenamente identificado los cables, los puntos red ni el cableado eléctrico para el servidor.
X
Tabla Nº 47. Probabilidad de Vulnerabilidades del Servidor de WEB Y PROXY
Servidor Asterisk
Vulnerabilidad Alta Media Baja
La configuración del SO en los aspectos de seguridad es susceptible a mejoras
X
Los banner de los servicios instalados son susceptible a mejoras X
No se manejan restauraciones de periódicas de los backup para el servidor ni backup externos o fuera de sitio.
X
No se maneja software de integridad de archivos en el servidor X
No se tienen implementadas herramientas de monitorio de logs X
No se tienen implementadas herramientas de monitorio de logs X
No tiene garantizado que el servidor posea las ultimas actualizaciones. X
No se tienen instalados herramientas de protección contra rootkit. X
No se tiene plenamente identificado los cables eléctricos y puntos de red para el servidor.
X
La versión de ssh no se encuentra actualizada. X
e tienen habilitados servicios innecesarios en este servidor(smtp) xxx X
La verion se apache puede ser propensa ataques de injection por comandos.
X
Mysql para la base de datos no se encuentra actualizada. X
No se posee una adecuado control de cambios para este servidor. X
La versión de php instalada en el servidor no esta actualizada. X
Tabla Nº 48. Probabilidad de Vulnerabilidades del Servidor de Asterisk
Servidor de Base de Datos (Oracle)
Vulnerabilidad Alta Media Baja
El manejo de cambio de contraseñas por defecto durante la instalacion
es susceptible a mejoras
X
La base de datos esta propensa a ganancia de privilegios por
accesibilidad de diccionario.
X
La información de los parámetros para conexión remota es susceptible
a mejoras.
X
El aplicación de oracle es susceptible a mejoras en lo que se refiere a
proceso de autenticación remota.
X
Los parches para la base de datos no están actualizados. X
La versión de ssh presente en el servidor no esta actualizada X
No se posee explicita mente una documento formal de consignación de
errores y fallas
X
No se tiene dentro del servidor programas de chequeo de integridad
para gestión de archivos del S.O
X
No se maneja adecuadamente las gestión de contraseñas en la
relacionado al tiempo para cambio de estas.
X
El manejo de banners para el s.o del servidor es susceptible de mejoras X
Herramientas para automatización de logs para este servidor es escasa X
El hardenig en el servidor es susceptible de mejoras. X
Las diferentes conexiones de red y eléctricas que tiene el servidor no
están plenamente maquilladas
X
Politica de control de cambios no se tiene plenamente definida. X
Tabla Nº 49. Probabilidad de Vulnerabilidades del Servidor de Base Datos (Oracle)
Análisis de Impacto
En el análisis de riesgos para la determinación de los impactos negativos derivados de la
materialización de una amenaza es necesario medir las consecuencias que afectan la integridad,
confidencialidad y disponibilidad.
Los criterios tomados para el análisis de impacto se encuentran a continuación:
- Se pierde la información/conocimiento,
- Terceros podrían tener acceso a la información/conocimiento,
- La información ha sido manipulada o está incompleta,
- La información/conocimiento o persona no está disponible,
Tabla Nº 50. Escala de Impactos
Hay dudas acerca de la legitimidad de la fuente de la información.
En este análisis de impactos se considera la siguientes escalas descritas en la tabla 50:
Para esta clasificación se tuvo en cuenta los principios de la seguridad informática y la magnitud de daño que sufre los activos, que corresponden a la realidad de la empresa, como consecuencia de un impacto causado por un ataque exitoso como se observa en la tabla 51.
Activos Amenazados Principios de la Seguridad Informática Impacto
Confidencialidad Integridad Disponibilidad Alto Medio Bajo Muy Bajo
Base de Datos X X X X
Backup X X X X
Información X X X X
Aplicaciones propietarias y adquiridas
X X X X
Aplicaciones de Código Abierto
X X X X
Sistemas operativos Linux X X X X
Cuarto de telecomunicaciones
X X X X
Oficinas X X
Cableado de red X X
Estaciones de trabajo X
Rack X X
Servidor Apache X X X X
Tabla Nº51. Impactos en los Activos
Análisis de riesgos
El riesgo es el efecto negativo cuando se produce un impacto sobre un activo, teniendo en cuenta
tanto la probabilidad de la amenaza y el impacto de esta. Una efectiva administración de riesgos se
necesita para evaluar y mitigar los riesgos identificados en la empresa.
Dentro de este ámbito la Probabilidad de Amenaza e Impacto de las amenazas están considerados
por medio de los siguientes niveles o escalas:
1 = Muy baja
2 = Baja
3 = Mediana
4 = Alta
El Riesgo, se calcula como el producto de la multiplicación Probabilidad de Amenaza por el Impacto
de la amenaza, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes
colores.
Bajo Riesgo = 6 – 9 (Azul)
MUY BAJO No causa ningún tipo de impacto o daño a la organización.
BAJO Causa daño aislado, que no perjudica a ningún componente de la organización.
MEDIO Provoca la desarticulación de un componente de la organización. Si no se atiende a tiempo, a largo plazo puede provocar la desarticulación de la organización.
ALTO En el corto plazo desmoviliza o desarticula a la organización.
Medio Riesgo = 10-12 (Verde)
Alto Riesgo = 13– 16 (Naranja)
En la tabla 52 se especifican el impacto, la probabilidad de amenaza con relación a los activos mas
amenazados de la empresa SegTec.
Tabla Nº 52. Análisis de Riesgos
ANALISIS DE RIESGOS
IMPACTO PROBABILIDAD DE AMENAZA (alto=4, medio=3, bajo=2, muy bajo=1)
HUMANA ENTORNO
ESC
ALA
P
AR
A I
MP
AC
TO (
alto
=4, m
edio
=3,
baj
o=2
, mu
y b
ajo
=1)
Acc
eso
no
au
tori
zad
o p
or
Inge
nie
ría
Soci
al y
Ph
isin
g (B
ASE
DE
DA
TOS)
Erro
res
del
pro
gram
ado
r p
or
falt
a d
e ca
pac
itac
ión
en e
l áre
a (B
ASE
DE
DA
TOS)
Info
rmac
ión
imp
resa
no
est
á se
gura
y c
on
tro
lad
a
(IN
FOR
MA
CIO
N)
Acc
eso
fís
ico
no
Au
tori
zad
o p
or
terc
eras
per
son
as
(IN
FOR
MA
CIO
N)
Acc
eso
no
au
tori
zad
o p
or
Inge
nie
ría
Soci
al y
Ph
isin
g (A
PLI
CA
CIO
NES
PR
OP
IETA
RIA
S Y
AD
QU
IRID
AS,
CO
DIG
O A
BIE
RTO
)
Erro
res
de
segu
rid
ad p
or
mal
a a
dm
inis
trac
ión
(S.
O
LIN
UX
)
Inge
nie
ría
soci
al (
ESTA
CIO
NES
DE
TR
AB
AJO
)
Spo
ofi
ng
Web
(SE
RV
IDO
R A
PA
CH
E)
Erro
res
de
segu
rid
ad (
SER
VID
OR
AP
AC
HE)
Acc
eso
no
au
tori
zad
o f
ísic
o (
OFI
CIN
AS)
Ingr
eso
fís
ico
no
au
tori
zad
o p
or
terc
eras
per
son
as
(BA
CK
UP
)
No
se
encu
entr
an e
n u
n s
itio
co
nfi
able
(B
AC
KU
P)
No
exi
sen
co
pia
s ex
tern
as c
ust
od
iad
as (
BA
CK
UP
)
Co
ntr
ol d
e h
um
edad
(C
UA
RTO
DE
TELE
CO
MU
NIC
AC
ION
ES)
Po
luci
ón
(C
UA
RTO
DE
TELE
CO
MU
NIC
AC
ION
ES)
Falt
a d
e cu
mp
limie
nto
de
la n
orm
ativ
idad
de
cab
lead
o e
stru
ctu
rad
o (
RA
CK
)
Falt
a d
e cu
mp
limie
nto
de
la n
orm
ativ
idad
de
cab
lead
o e
stru
ctu
rad
o (
CA
BLE
AD
O D
E R
ED)
4 4 3 3 4 4 4 4 4 4 3 4 4 4 3 4 4
Base de Datos 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Backup 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8
Información 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Aplicaciones propietarias y adquiridas 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Aplicaciones de Código Abierto 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8
Sistemas operativos Linux 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Cuarto de telecomunicaciones 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Oficinas 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8
Cableado de red 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Estaciones de trabajo 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Rack 3 12 12 9 9 12 12 12 12 12 12 9 12 12 12 9 12 12
Servidor Apache 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16
Top Related