Asignatura Datos del alumno Fecha

Apellidos:
Análisis de Riesgos
Legales
Nombre:

Actividades

Caso práctico: Gestión del riesgo en una organización. Parte I

Introducción

Esta actividad está organizada en dos partes puntuables. En el Tema 1 desarrollaremos

las tareas que debes llevar a cabo para la Parte I del caso, y en el Tema 2, la parte
correspondiente a la Parte II del caso.

Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una

organización de forma automatizada, utilizando para ello la plataforma SANDAS G.R.C.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el

acceso a un proyecto de SANDAS G.R.C. en una instancia Cloud.

Si todavía no has recibido la URL de acceso o tus credenciales tras la primera clase en la
que se explica la práctica, por favor, contacta con tu tutor.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Para modelar la organización, la plataforma SANDAS G.R.C. ha sido pionera en la

utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

1
TOGAF 9.1 – Guía de Bolsillo: [Link]
TOGAF 9.1 – Documentación oficial: [Link]

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

» Capa de negocio: entre otros, una descripción de los servicios de negocio

prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).

» Capa de aplicación: los sistemas de información de la compañía, detallando los

servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).

» Capa de tecnología: entre otros, los elementos de la infraestructura de

informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma SANDAS G.R.C utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP [Link], puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

» Con carácter transversal, se pueden definir también ubicaciones, que permitirán

geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

» También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo de ejemplo

A continuación, exponemos, simplemente a modo de ejemplo, un modelado parcial de

arquitectura empresarial basado en un ayuntamiento pequeño para poder explicar
mejor el objeto de la primera parte.

Puedes utilizarlo como referencia, incluso reproducirlo, pero te recomendamos que

empieces desde cero un modelo sobre una organización que te resulte cercana (tu
propia empresa o administración pública, la de un cliente, etc.) para que ello te ayude a
razonar mejor sobre la criticidad y el riesgo.

El diseño visual del modelo de arquitectura empresarial sería el siguiente:

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

Tramitación
expedientes

0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.

2 Expedientes 0 h. Técnico Responsable

Funcionarios en papel informático de la oficina

0 h. 0 h.

Correo Conexión a Almacenamiento Almacenamiento Aplicación

electrónico Internet en red local remoto tramitación exp.
0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores
0 h. 0 h.

Oficina

En este hemos considerado tener en cuenta los siguientes activos:

» Información de negocio
 Información de los expedientes
» Servicios de negocio:
 Prestados a usuarios externos
o Tramitación de expedientes
 Prestados a usuarios internos
o Correo electrónico
o Almacenamiento remoto
o Almacenamiento en red local
o Conexión a Internet
 Servicios subcontratados
» Software
 Aplicación para la tramitación de expedientes

» Hardware
 4 PCs
 1 Servidor – Elementos auxiliares
» Equipamiento de comunicaciones

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

 Red de área local (LAN)

 Firewall
» Instalaciones
 Oficina
 Sala de Equipos (Data Center).
» Personal
 Un responsable de la oficina.
 Dos funcionarios.
 Un informático externo a tiempo parcial.

Como puedes apreciar en el esquema anterior, tan importante es

identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).

2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad

o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
«hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,
para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 1: Crear un modelo de arquitectura empresarial

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

o Crear un nuevo modelo desde cero, en una nueva vista de arquitectura, que
refleje cómo es una organización con la que estés más familiarizado. Se valorará
positivamente que el modelo incorpore hasta 20 activos.

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y además:

o Una explicación del razonamiento seguido para la elección de los activos que
hayas considerado.
o Tres matrices de valoración, para Confidencialidad, Integridad y
Disponibilidad, particularizando criterios de valoración para cada
combinación de nivel de impacto y criterio de impacto que consideres tiene
sentido.
o Una justificación, en términos de las matrices anteriores, de la criticidad que
has definido explícitamente en los activos que has valorado con una
explicación de las relaciones (como mínimo las creadas entre los nuevos
añadidos y los ya existentes).

Entrega la actividad adjuntando el documento en formato PDF (preferiblemente) o

Word que contenga el contenido de la parte 1.

Las explicaciones deben ser claras y concisas, apoyándose en capturas de pantalla

hechas por ti «manualmente» para contextualizar la explicación, no debiendo
superar la práctica las 20 páginas de contenido en esta parte, incluyendo capturas
como referencia (si las superas ligeramente no es problema, pero intenta no hacerlo
para controlar la extensión).

Por ello, la memoria completa incluyendo la parte 1 y parte 2 no debería superar las
40 páginas de extensión.

TEMA 1 – Actividades © Universidad Internacional de La Rioja (UNIR)