FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

Facultad de Ingenierías Y Ciencias Básicas

Análisis de riesgos informáticos

Actividad Evaluativa (Eje 4) - “Nos Rajamos”

Presentada por:

Nicolás Gonzales Avila

Sebastián Felipe Espitia Arguelles

Alexandra Marieleen Velasquez

BOGOTÁ – COLOMBIA
 Tabla de contenido
INTRODUCCION..................................................................................................................................3
OBJETIVOS..........................................................................................................................................4
CONTENIDO........................................................................................................................................1
Análisis del alcance del sistema de Gestión...................................................................................1
Recomendaciones:.........................................................................................................................1
1. Control de acceso...................................................................................................................1
2. Control de cambios:...............................................................................................................2
3. Gestión de continuidad y disponibilidad................................................................................4
Modelo propuesto.........................................................................................................................5
CONCLUSIONES..................................................................................................................................6
BIBLIOGRAFIA.....................................................................................................................................7
 INTRODUCCION

En la actualidad a nivel corporativo disponemos de diferentes procesos que

forman parte del Análisis de Riesgos informáticos, los cuales tienen un papel de
alta relevancia para una organización que quiera una reducción significativa en las
probabilidades de que nuevas amenazas tengan un impacto crucial y contundente
en los sistemas de información que necesitan defensas y protección tales como
bases de datos o incluso un software integral de procesos, y un sinfín de datos y
herramientas que no consideramos críticas dentro de los procesos corporativos.
Es necesario tener en cuenta que cualquier sistema basado en software y
hardware está expuesto a diversas problemáticas, amenazas e incidencias que
podemos mitigar, prevenir y solucionar. Estas incidencias sirven para
retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de
componentes críticos, producto de grandes desastres como incendios,
terremotos, sabotaje, etc. O por fallas técnicas como errores humanos, virus
informático, etc. que producen daño físico y/o lógico irreparable.

Para la mitigación de los distintos riesgos, amenazas y vulnerabilidades que tiene

un sistema han sido desarrollados diversos estándares internacionales y
regulaciones que definen los principios básicos en algunos casos, y aspectos
de control detallados en otros, para lograr una efectiva gestión de la
seguridad de la información. Los cuales abarcan desde conceptos tan globales
como el planteo estratégico de la seguridad de la información hasta cuestiones
operativas.

La elaboración de distintos modelos para el análisis, evaluación y gestión de

riesgos es sumamente importante para cualquier organización que se preocupe
por el óptimo desempeño de las políticas de seguridad de la información, ya que
permitirán identificar y franquear las diversas amenazas presentes de la mejor
forma posible, para así exponer al mínimo los sistemas de información.
 OBJETIVOS

1. Analizar e identificar el alcance del sistema de gestión de la información

propuesto.
2. Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos
en la organización XYZ.
 CONTENIDO

Análisis del alcance del sistema de Gestión

Recomendaciones:

1. Control de acceso
El análisis y la implementación de modelos de autenticación son importantes para evitar
intromisiones no deseadas, así como la administración de credenciales y permisos por parte del
administrador del sistema. Los métodos de autenticación que están presentes son:

- inicio de sesión tradicional: Consiste en un login y contraseña configurado y

asignado por el owner del sistema.

- Doble factor de autenticación con SMS: consiste en el envio de un mensaje de texto

con un código solicitado para iniciar la sesión, este código será enviado al número de
móvil registrado con el usuario en el sistema de información.

- URL de autenticación: Sirve como identificador único que se logea en la mayor parte de
las ocasiones con el directorio activo que esta sincronizado con el sistema de información.
 - Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio de sesión
único.

2. Control de cambios:
Este control de cambios le va a permitir al sistema tener seguridad sobre el impacto que va a
generar cualquier actualización o mutación que se presente en el transcurso de la operación y de
esta forma evitar un impacto de gran magnitud en su integridad y funcionamiento.

El proceso de control de cambios proporciona procedimientos formales para: registrar

solicitudes de cambio; analizar la información del por qué es requerido el cambio, el
impacto que tendrá al autorizar, rechazar o modificar dicha solicitud.

El registro de cambios se llevará a cabo por cualquier persona involucrada en el proyecto,

desde los clientes hasta los desarrolladores, en cualquier punto del ciclo del software, e
incluir una solución propuesta, prioridad e impacto, el cual debe ser analizado,
aprobado y rastreado formalmente. Una solicitud de cambio puede originarse, por ejemplo, a
partir de un defecto en el producto de software, de una petición de mejora o de un cambio a un
requerimiento y será validado y ejecutado teniendo en cuenta un formato como el siguiente:
Código: Empre
FM- Procedimiento de control de cambiós sa
02 XYZ

NOMBRE CARGO FIRMA FECHA

Jefe sistema
Elaboró gestión de calidad
Jefe de sistemas
Coordinador IT
Revisó Director de proyecto
Director de sistemas
Director de proyecto
Aprob Gerente general
ó

PROCEDIMIENTO
Generalida Responsa
es ble

INFORMACION O SOLICITUD DE CAMBIO

Informació Responsa
n ble

INFORMACION O SOLICITUD DE CAMBIO

Informació Responsa
n ble

DIVULGACIÓN
Informació Responsa
n ble

IMPLEMENTACIÓN
Informació Responsa
n ble

VERIFICACION DE LOS CAMBIOS

IMPLEMENTADOS
Informació Responsa
n ble
CAMBIOS EN DOCUMENTACION
Informació Responsa
n ble
Fecha de ejecución Responsa
ble
 3. Gestión de continuidad y disponibilidad:

- Realización de backups automatizados con herramientas como xopero, o respaldo

claro cloud:

- Implementación de políticas de seguridad de la

información. Implementación de tecnologías tipo clúster.

 ACTIVOS DESCRIPCIÓN VALOR SEGURIDAD DE LA INFORMACIÓN RESPONSABLE
CONFIDENCI INTEGRIDA DISPONIB
AL D LE
Estructur Se encuentran en esta $23’000.000 4.1 3.1 4 Líder de área y supervisor.
a Hardware y Software. cop .
informáti 3
ca
Redes Especializada $25’000.000 4.6 4.0 5 Líder de área y supervisor.
cop
de en dispositivos de
comunicación Red.
Respaldos de la Aseguran $100’000.000 5 5 4 Líder de área y supervisor.
información información en caso cop .
de pérdida. 3
Instalación Correcta instalación $21’000.000 4.5 2.2 4 CEO y supervisor
de la planta física. cop .
de planta física 5
Planta La columna $12’786.000 4.1 3.5 3 CEO y líderes de área
vertebral de la cop .
de organización. 2
trabajadores
Modelo Propuesto

Tabla 1. Tabla de activos

Fuente: Propia

IMPACTO VALOR
Crítico 5
Alto De 4.0 a 4.9
Medio De 2.5 a 3.9
 Bajo De 0 a 2.4
Tabla 2. Indicadores de impacto
Fuente: Referente de pensamiento
 ACTIVOS DETSaCbRlaIP3.CTIaÓbNla de AMENAZ CONSECUENCIA
iVdeUnLtiNficEaRciAónBdIeLlIrDieAsg A
Do
Fuente Propia
: Estructura Computadores, programas, Daños físicos, Hardware y software Virus, equipos Procesos defectuosos
informática antivirus e internet. programas desactualizado, acceso obsoletos que no y pérdida de
corruptos. a portales dañinos. cumplen los funcionalidad lógica.
estándares.
Redes de Switch, Router, Firewall, Daños físicos, Falta de actualización,
Hackers, pérdida de Falta de
comunicación servidor. acceso no exceso de puertos datos, desactualización disponibilidad de la
autorizado. activos. y robo de información. organización.
Respaldos de Documentación, bases de Pérdida y/o Falta de Robo,
un pérdida y Confidencialidad e
la datos. manipulación de cronograma manipulación de la
de integridad
información información. información.
creación de copias de comprometida.
seguridad.
Instalación de Redes eléctricas y de Daños físicos y Instalación defectuosa, Apagones reiterados, Disponibilidad
planta física VUcLoNmEunRiAca pé
FUENTE D E A rd id a maAteMriEalNoAZpA fallos de afectada debido a
c io n es
B I L ID A D . MENAZ de A ersonal no
Portal de acceso Usuarioscomunicacinióanc.tivos, ópCtimonofi.dencialidad comprcomeutnidicaa,
ccióarne,nociraieesngoasiginntaercmióintencias. deficiente y permisos administrador de BD de los roles
de los empl ealédcotsri,croo.bo de información de las
Planta demaOl apseirganraiodso,s. Inbcoasrreescdtae Procesos mal
superviisnoerfeics,az.Capacitación a s i gn a c i ón E x c e
da t o s d e l a com p a ñ í a . s o de
presión a un
trabajadores Falgtaerdeentefoyrmlíadceiróens dye/oáreFaa. lta dedaetfeinciceinótne.por laásreap,olíticas o por el
parte deDreescpoonnoscaibmiliednatdoesdey dinecosrergeucrtoidadejeycultoasdos
capacitación de los de RR. HH. Al manejo de tomcoanstrdoeleasccpiaornaesr.etomar macacnieojnoedseflroesntreieasgl orsie.
sgopqeruseonsael inadecuado.
empleados. empleados. presente.
Utilización de Instalación de aplicaciones Procesos defectuosos debido a aplicaciones muy
aplicaciones obsoletas no certificadas, defectuosas antiguas o con virus, Servicios fuera de los estándares
no confiables. o maliciosas. actuales por los que se rige un SGSI.
Vulnerabilidades por el Polvo, humedad, exceso de Daños a los equipos de la infraestructura de Red debido
ambiente o daños del temperatura, fuentes a corrosión u oxidación, o corto circuitos debido a
 entorno. eléctricas expuestas. elementos eléctricos no aislados.
Generación Falta conocimiento La seguridad de la información no estaría garantizada
de protocolos a debido a que no hay un modelo establecido.
de políticas de seguir.
seguridad tardías.
Tabla 4. Tabla vulnerabilidades y amenazas
Fuente: Propia

PROBABILIDA IMPAC
D TO
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrófico(5)
Nivel 1 Improbable y daño mínimo: Improbable y daño Improbable y Improbable y daño Improbable y daño colosal:
Generación de políticas bajo: Diseño de daño alto: Asumir Evaluación de la
para políticas moderado: Postulación como vulnerabilidad y mitigación.
evitar aparición. de de riesgo
mitigación del daño. medidas de contención. aceptable y hacer políticas.
Nivel 2 Ocasional y daño mínimo: Ocasional y daño Ocasional y daño Ocasional y daño Ocasional y daño colosal:
Manejo de políticas bajo: moderado: alto: desarrollo de controles para
para evitar el Implementación de Exposición de medidas de Asumir como situaciones excepcionales.
riesgo. medidas de mitigación del mitigación. riesgo
daño. aceptable con controles.
Nivel 3 Probable y daño mínimo: Probable y daño Probable y daño Probable y daño Probable y daño
Diseño de controles bajo: Proponer moderado: alto: colosal:
para medidas Implementación Generación de políticas de Análisis para el manejo de
mitigación del daño. de control para la mitigación. una amenaza.
mitigación del daño. de
protocolos de control.
Nivel 4 Frecuente y daño mínimo: Frecuente y daño Frecuente y daño Frecuente y daño Frecuente y daño ocasional:
bajo: moderado: alto:
 Estudio para descubrir la Análisis a vulnerabilidades Revisión de Prevenir Revisión al modelo
flaqueza y evitarla. y políticas de mitigación. amenazas de incidentes
presentadas y mitigación. actividades repetitivas y de seguridad.
políticas.
Nivel 5 Recurrente y daño mínimo: Recurrente y daño Recurrente y daño Recurrente y daño Recurrente y daño colosal:
Análisis de la bajo: Estudio a la moderado: Examen de alto: reestructuración del
vulnerabilidad amenaza y vulnerabilidades postulación de políticas modelo
para evitarla. exposición de políticas. y mitigación de amenazas. para de seguridad de
la mayoría de información.
circunstancias.
Tabla 5. Tabla de probabilidad e impacto
Fuente: Propia

DIMENSIÓN DEL RIESGO VALOR ACCIONES

Extremo ≥ 10 Implementar SGSI con políticas y controles
de seguridad de la información.
Alto De 7.5 a 9.9 Estudio del incidente y postulación del
caso para sus resolución por el área
pertinente.
Moderado De 5.0 a 7.4 Desarrollo de políticas para mitigar el daño
generado y reducirlo.
Menor De 4.0 a 4.9 Por medio de medidas de prevención y
contención reducir la dimensión del daño.
Bajo De 0 a 3.9 Auditorio a novedades de amenazas para
evitarlas en lo mayor posible.
Tabla 6. Tabla dimensiones del riesgo
Fuente: Referente de pensamiento

TIPO RIESGO MEDIDAS

Extremo Asumir el riesgo y mitigar: Se asume el riesgo y se generan
políticas para evitar daños a futuro.
Alto Asumir el riesgo y mitigar: Se asume el riesgo y se generan
políticas para mitigar daños a futuro.
Moderado Mitigar: Exponer políticas para evitar el riesgo y generar
 protocolos para acciones.
Menor Evitar y mitigar: Proponer una simulación donde se cubran
posibles vulnerabilidades y políticas de mitigación.
Bajo Evitar: Mediante análisis y simulación exponer situaciones
de riesgo para evitarlas.
Tabla 7. Tabla dimensiones del riesgo
Fuente: Referente de pensamiento
 CONCLUSIONES

1. Toda compañía debe tener políticas de seguridad de la información.

2. Las tecnologías de gestión de backups deben estar a la vanguardia y
deben ser automatizadas, pues los ciber criminales siempre van a buscar
brechas por donde atacar.
3. Fortalecer los sistemas de acceso y maximizar las restricciones a usuarios
y colaboradores de la comunidad es fundamental para garantizar el
funcionamiento seguro e integral de un sistema de información.
4. La auditoría de un sistema de información es rigurosa y necesaria para
encontrar falencias y solucionar brechas que parecen invisibles.
 BIBLIOGRAFIA

- Referente de pensamiento Eje IV Analisis de riesgos informáticos (FUAA)

- Esetla.com
- xopero.com
- Derrien, Y. (1994). Técnicas de la auditoría informática. Marcombo.
- Castello, R. J. (2006). Auditoría en entornos informáticos. Recuperado
de http://econ. unicen. edu. ar.
- Soler Ramos, J., Staking, K., Ayuso Calle, A., Beato, P., Botín OShea, E., &
Escrig Meliá, M. (1999). Gestión de riesgos financieros: un enfoque práctico para
países latinoamericanos. Banco Interamericano de Desarrollo–BID.
- López, P. A. (2010). Seguridad informática. Editex.
- Urbina, G. B. (2016). Introducción a la seguridad informática. Grupo editorial
PATRIA.