Amador Donado, Siler PDF

Universidad Internacional de La Rioja
Máster universitario en Seguridad Informática
Gestión del riesgo

con base en
ISO27005 adaptan-
do OCTAVE-S
Trabajo Fin de Máster
presentado por: Amador Donado, Siler
Director/a: Martínez Herraíz, José Javier
Ciudad: Popayán, Colombia

Fecha: 14 de Diciembre de 2014
Máster universitario en seguridad informática
Siler Amador Donado
D.N.I 72.168.640
Tabla de contenido
Tabla de contenido ............................................................................................................. 2
Resumen ............................................................................................................................ 7
Abstract .............................................................................................................................. 7
Resumen de la estructura del documento en capítulos ...................................................... 7
1 Introducción ................................................................................................................. 9
1.1 Contexto ............................................................................................................. 9
1.2 Planteamiento del Problema ............................................................................. 10
1.3 Objetivos .......................................................................................................... 12
1.3.1 Objetivo general ................................................................................... 12
1.3.2 Objetivos específicos ........................................................................... 12
1.3.3 Metodología para el cumplimiento de los objetivos ............................ 12
2 Marco teórico y estado del arte .................................................................................. 13
2.1 Marco Teórico .................................................................................................. 13
2.1.1 Impacto ................................................................................................. 13
2.1.2 Valor de impacto .................................................................................. 13
2.1.3 Criterios de evaluación de impacto ...................................................... 13
2.1.4 Activos ................................................................................................. 13
2.1.5 Prácticas de seguridad .......................................................................... 13
2.1.6 Vulnerabilidades organizacionales....................................................... 13
2.1.7 Catálogo de prácticas ........................................................................... 14
2.1.8 Prácticas estratégicas ............................................................................ 14
2.1.9 Prácticas operacionales ........................................................................ 14
2.1.10 Estado de la luz de parada .................................................................... 14
2.1.11 Activos críticos..................................................................................... 14
2.1.12 Requisitos de seguridad........................................................................ 14
2.1.13 Confidencialidad .................................................................................. 14
2
Gestión del riesgo con base en ISO27005 adaptando OCTAVE-S
Siler Amador Donado
D.N.I 72.168.640
2.1.14 Integridad ............................................................................................. 15

2.1.15 Disponibilidad ...................................................................................... 15
2.1.16 Amenaza............................................................................................... 15
2.1.17 Perfil Amenaza ..................................................................................... 15
2.1.18 Perfil genérico amenaza ....................................................................... 15
2.1.19 Las rutas de acceso de red .................................................................... 15
2.1.20 Sistema De Intereses ............................................................................ 15
2.1.21 Clases principales de componentes ...................................................... 16
2.1.22 Los puntos de acceso ............................................................................ 16
2.1.23 Acceso al sistema por la gente ............................................................. 16
2.1.24 Puntos de acceso Intermedio ................................................................ 16
2.1.25 Lugares de almacenamiento de datos ................................................... 16
2.1.26 Riesgo 16
2.1.27 Probabilidad ......................................................................................... 17
2.1.28 Valor de probabilidad ........................................................................... 17
2.1.29 Criterios de evaluación de la probabilidad ........................................... 17
2.1.30 El tiempo entre eventos ........................................................................ 18
2.1.31 Frecuencia anualizada .......................................................................... 18
2.1.32 Estrategia de Protección ....................................................................... 19
2.1.33 Característica ........................................................................................ 19
2.1.34 Enfoque 19
2.1.35 Tarea 19
2.1.36 Áreas de Práctica de Seguridad ............................................................ 19
2.1.37 Enfoque Mitigación .............................................................................. 19
2.1.38 Aceptar 19
2.1.39 Mitigar 19
3
Siler Amador Donado
D.N.I 72.168.640
2.1.40 Aplazar 20
2.1.41 Área de Mitigación ............................................................................... 20
2.1.42 Plan de mitigación del riesgo ............................................................... 20
2.2 Estado del Arte ................................................................................................. 20
2.2.1 Gestión del riesgo ................................................................................. 20
2.2.2 Implantación de un SGSI ..................................................................... 21
2.2.3 Metodologías de análisis y gestión de riesgos. .................................... 22
2.2.4 Conclusiones del estado del arte .......................................................... 24
3 Caso De Estudio ........................................................................................................ 25
3.1 Definición del calendario de admisión ............................................................. 25
3.2 Justificación del servicio de aplicación de la prueba ....................................... 26
3.3 Inscripciones .................................................................................................... 27
3.4 Alistamiento para la aplicación de la prueba ................................................... 28
3.5 Aplicación de la prueba .................................................................................... 30
3.6 Evaluación de la prueba ................................................................................... 32
3.7 Admisiones....................................................................................................... 35
4 Metodología de análisis y gestión del riesgo OCTAVE-S ........................................ 38
4.1 Fase 1. Construir perfiles de amenazas basadas en los activos del caso de
estudio .............................................................................................................. 39
4.2 Fase 2. Identificar las vulnerabilidades de la infraestructura con respecto al
caso de estudio ................................................................................................. 39
4.3 Fase 3. Desarrollo de Estrategia y Planes de Seguridad .................................. 40
5 Aplicación de las fases de OCTAVE-S al caso de estudio contrastándola con las
directrices de la norma ISO/IEC 27005 ..................................................................... 41
5.1 Criterios de Evaluación de Impacto (Paso 1) ................................................... 41
5.2 Identificación de Activos (Paso 2) ................................................................... 43
5.3 Procedimientos de Seguridad (Pasos 3 y 4) ..................................................... 46
5.4 Selección de Activos Críticos (Paso 5) ............................................................ 65
4
Siler Amador Donado
D.N.I 72.168.640
5.5 Activos Críticos de Información, Sistemas, Aplicaciones, y Personas (Pasos 6,

7, 8, 9, 10, y 11) ............................................................................................... 66
5.6 Perfil de riesgo de Información – Perfil de riesgo básico (Paso 12) ................ 74
5.7 Perfil de riesgo de Información - Contexto de la amenaza (Pasos 13, 14, 15) 78
5.8 Perfil de riesgo de Información - Áreas de preocupación (Paso 16)................ 82
5.9 Rutas de acceso a la Red (Pasos 17 y 18) ........................................................ 82
5.10 Revisión de la infraestructura (Pasos 19, 20, y 21) .......................................... 84
5.11 Perfil de riesgo de Información - Impacto potencial de amenazas (Paso 22) .. 87
5.12 Criterios de Evaluación de Probabilidad (paso 23) .......................................... 95
5.13 Perfil de riesgo de Información - Probabilidad de ocurrencia de amenazas
(Paso 24) .......................................................................................................... 96
5.14 Matriz para valuación de activos y análisis de Riesgos. ................................ 107
5.15 Estrategia de Protección del procedimiento Evaluación de la Prueba (paso 25)
112
5.16 Perfil de riesgo de Información - Selección de áreas de mitigación (Pasos 26 y
27) 117
5.17 Plan de Mitigación del procedimiento Evaluación de la Prueba (paso 28).... 117
5.18 Resultado de los Controles y Porcentaje de Reducción del Riesgo (paso 29) 137
6 Conclusiones, recomendaciones y trabajos futuros ................................................. 141
6.1 Conclusiones .................................................................................................. 141
6.2 Recomendaciones ........................................................................................... 142
6.3 Trabajos Futuros ............................................................................................ 142
6.4 Beneficios ....................................................................................................... 143
7 Bibliografía y webgrafía .......................................................................................... 144
8 Anexo A ................................................................................................................... 146
8.1 Metodología para cumplimiento de los objetivos .......................................... 146
5
Siler Amador Donado
D.N.I 72.168.640
6
Siler Amador Donado
D.N.I 72.168.640
Resumen
Este documento presenta la aplicación de la metodología OCTAVE-S para el

análisis y gestión del riesgo en la seguridad de la información, adaptada al caso
de estudio1. El objetivo general es gestionar el riesgo en la seguridad de la
información con base en la norma ISO/IEC 27005 de 2011, propo-
niendo una adaptación de la metodología OCTAVE-S al caso de
estudio. Además se incluye la estructura del proceso y el procedimiento escogi-
do como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se
muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con
la metodología adaptada.
Palabras Clave: Gestión del riesgo, SGSI, Riesgo de seguridad de la informa-

ción, amenaza, impacto, ISO/IEC 27005, Metodología de las Elipses,
Metodología OCTAVE-S.
Abstract
This paper presents the application of OCTAVE-S methodology for the analysis
and management of risk in information security adapted to the process Registra-
tion and Admissions, Division of Registration and Academic Admission Control
(DARCA) at the University of Cauca; following the directives of ISO / IEC 27005:
2011. The overall objective is to manage risk in information security
based on ISO / IEC Standard 27005, 2011, proposing an adaptation of
the OCTAVE-S methodology to the case study. Also the structure of the
process is included, and the method chosen as a case study to implement risk
treatment. Finally, the results and conclusions of the risk management method-
ology is adapted.
Keywords: Risk management, ISMS, Risk information security, threat, impact,
ISO/IEC 27005, Ellipses Methodology, Methodology OCTAVE-S.
Resumen de la estructura del documento en capítulos
1
Proceso Inscripciones y Admisiones de DARCA (División de Admisión Registro y Control
Académico) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC
27005:2011
7
Siler Amador Donado
D.N.I 72.168.640
Capítulo 1: Se realiza una introducción a la temática teniendo en cuenta el

contexto, luego se aborda el planteamiento del problema y finalmente se esta-
blecen los objetivos generales y específicos.
Capítulo 2: Se realiza el marco teórico de la temática y luego se aborda el
estado del arte de la gestión, implantación y metodologías de análisis de riesgo.
Capítulo 3: Se realiza el diseño del diagrama de flujo de información del proce-
so de inscripciones y admisiones, luego se aborda la definición del calendario,
justificación del servicio, inscripciones, alistamiento, aplicación y evaluación de
la prueba y admisiones.
Capítulo 4: Se realiza un desarrollo en profundidad de las 3 fases de la metodo-
logía de análisis y gestión del riesgo OCTAVE-S.
Capítulo 5: Se realiza un contraste de las 3 fases de la metodología de análisis y
gestión del riesgo OCTAVE-S y la Norma ISO 27005.
Capítulo 6: Se realizan las conclusiones, beneficios, recomendaciones y se
proponen trabajos futuros.
8
Siler Amador Donado
D.N.I 72.168.640
1 Introducción
1.1 Contexto
En la actualidad, las empresas manejan la información referente a sus procesos
de negocio de forma física y digital. Dicha información, independiente de su
medio de almacenamiento y transmisión, es un recurso vital para el éxito y la
continuidad del servicio en cualquier organización, ya que de ella depende la
toma de decisiones y el conocimiento interno de la empresa.
Debe tenerse en cuenta que un sistema de información no necesariamente está
asociado a un sistema informático. Un sistema de información pueden ser
personas, materiales, objetivos, actividades, etc., aunque también tecnologías de
la información y de comunicación. Es por esto que la gestión del riesgo en la
seguridad de la información debe considerar aspectos tanto físicos como lógicos
para lograr un adecuado tratamiento del riesgo.
La gestión del riesgo en la seguridad de la información implica inversión de
tiempo, esfuerzo y otros recursos con los que una pequeña organización no suele
disponer, siendo esta una de las razones por las que no suelen ejecutar La
gestión del riesgo como una prioridad.
Las organizaciones que conocen el valor de sus activos de información y desean
invertir en gestionar su riesgo, suelen acogerse a las normas de la familia ISO
27000, en especial la norma ISO 27005. Dicha norma contiene las direc-
trices que se deben realizar para llevar a cabo el proceso de gestión
del riesgo, pero no cómo se debe realizar; es por esto que se hace
necesario definir y seguir una metodología que se adapte al entorno o
contexto a abarcar, es aquí donde una organización toma la decisión más
importante en el proceso de gestión del riesgo, ya que elegir la metodología
inadecuada traerá como resultado ineficiencia y por lo tanto mayor costo y
esfuerzo para lograr el objetivo, que consiste en administrar el riesgo de manera
eficiente y económica de lo que costaría recuperarse de un incidente de seguri-
dad.
Los riesgos de seguridad de información deben ser considerados en el contexto
del negocio, y las interrelaciones con otras funciones del negocio, tales como
recursos humanos, desarrollo, producción, operaciones, administración, TI,
finanzas, etcétera y los clientes deben ser identificados para lograr una imagen
global y completa de estos riesgos.
Cada organización tiene una misión y visión y para llevarlas a cabo, las organiza-
ciones utilizan las TIC para automatizar sus procesos o información y deben
tener en cuenta que la gestión del riesgo informático es muy importante para la
optimización de sus procesos y procedimientos administrativos.
9
Siler Amador Donado
D.N.I 72.168.640
Uno de los objetivos principales de la administración del riesgo de la informa-

ción debe ser “procurar que la organización logre llevar a cabo su misión” no
solamente proteger sus activos de información. El riesgo es la forma en que
impacta negativamente una vulnerabilidad, considerando su probabilidad y la
importancia de ocurrencia. Por lo que fácilmente podemos deducir que la ges-
tión de riesgos es un proceso cíclico de identificación, evaluación y toma de
decisiones que busca reducir el riesgo a un nivel aceptable.
Por todo esto se vuelve indispensable que la metodología de análisis de riesgos
que se escoja cumpla las necesidades de la organización y se logre adaptar a sus
limitaciones.
Teniendo en cuenta las consideraciones mencionadas anteriormente, este docu-
mento aborda una propuesta del cómo llevar a cabo la gestión del riesgo en la
seguridad de la información según la norma ISO/IEC 27005:2011, proponiendo
una adaptación de la metodología OCTAVE-S para ser aplicada al caso de estu-
dio, con el fin de minimizar el riesgo actual de dicho proceso.
1.2 Planteamiento del Problema

Al estudiarse las metodologías de análisis de riesgos de seguridad de la informa-
ción existentes por parte de la organización, surge la duda de cuál de todas es la
adecuada y que se pueda aplicar fácilmente a los procesos y procedimientos de la
organización. Las organizaciones en su mayoría como la de nuestro caso de
estudio, no conocen el valor de sus activos de información y mucho menos de los
riesgos de seguridad de la información a los que se enfrentan diariamente. Esto
es debido a que no llevan a cabo una gestión adecuada del riesgo, es decir no se
realizan actividades de manera periódica como:
1. Identificar las amenazas
2. Identificar las vulnerabilidades
3. Revisar los controles actuales
4. Calcular el nivel de exposición al riesgo
5. Determinar escenarios de amenazas
Los riesgos pueden existir tanto en el exterior como en el interior de la organiza-

ción, atentando contra la seguridad de los activos de información de la misma;
por ello, se ve la necesidad de analizarlos, evaluarlos y tratarlos adecuadamente.
Es ahí donde las normas ISO/IEC (International Organization for Standarization
/ International Electrotechnical Commission) 27001:2005, 27002:2005 y
27005:2011, sirven de modelo para conocer y gestionar el riesgo mediante la
implantación de un SGSI2.
2
Sistema de Gestión de la Seguridad de la Información
10
Siler Amador Donado
D.N.I 72.168.640
En cuanto a la necesidad de gestión de riesgos de los activos de información del

caso de estudio, se identifica la necesidad de implantar un SGSI, que está en-
marcado dentro del proyecto llamado: “Implantación y certificación del
Sistema de Gestión de Seguridad de la Información – SGSI de la
Universidad del Cauca”, teniendo en cuenta la norma ISO/IEC 27001:2005
[1], del cual se han desarrollado dos proyectos más, a saber: “Sistema de alertas
de seguridad informática para los servicios críticos de la división de tecnolo-
gías de la información y la comunicación”, y “Controles inteligentes sobre el
SGSI3”, con el propósito de llegar a la implantación, certificación y desarrollar un
SGSI.
Para el desarrollo del SGSI se requiere llevar a cabo la etapa PLAN del ciclo
Deming la gestión del riesgo de la información; para esto, la organización debe
tener en cuenta los procesos críticos, con el objetivo de gestionar la seguridad de
los activos de información a través de su evaluación, tratamiento y aceptación
del riesgo, considerando la confidencialidad, integridad y disponibilidad.
El proceso crítico tomado como caso de estudio en este TFM es “Inscripciones y
Admisiones” de la División de Admisiones, Registro y Control Académico
(DARCA), en el cual se gestionará el riesgo, aplicando como modelo la norma
ISO/IEC 27005 de 2011 [2]. Esta norma proporciona directrices para la gestión
del riesgo en la seguridad de la información en una organización, dando soporte
particular a los requisitos de un SGSI de acuerdo con la norma ISO/IEC 27001.
Sin embargo, esta norma no brinda ninguna metodología específica para la
gestión del riesgo en la seguridad de la información. Corresponde a la orga-
nización definir su metodología para la gestión del riesgo, dependiendo
por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del
sector industrial.
Por lo tanto, se hizo necesario examinar las metodologías de análisis y gestión de
riesgos de mayor importancia y aceptación a nivel mundial, siguiendo los estu-
dios y recomendaciones presentes en los documentos [10], [11], [21], [24];
llegando a la conclusión que la metodología OCTAVE-S es la que mejor se acopla
al caso de estudio del TFM.
De lo anterior surge la siguiente pregunta:
¿Es posible adaptar la metodología OCTAVE-S al caso de estudio, para la gestión
del riesgo en la seguridad de la información, cumpliendo las directrices de la
norma ISO/IEC 27005 de 2011?
3
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XIII_JornadaSeguridad/Articulo2
DesarrollodecontrolesparaelSGSI_Unicaucaaplicandotecnicasdeinteligenciaartificial.pdf
11
Siler Amador Donado
D.N.I 72.168.640
1.3 Objetivos
1.3.1 Objetivo general

Gestionar el riesgo en la seguridad de la información con base en la norma
ISO/IEC 27005 de 2011, proponiendo una adaptación de la metodología
OCTAVE-S al caso de estudio.
1.3.2 Objetivos específicos

1. Definir el alcance del caso de estudio aplicando la Metodología de las Elipses4 al
Proceso de Inscripciones y Admisiones en DARCA e identificar los subprocesos y
dependencias con otros procesos de la Universidad del Cauca y su interacción con
entidades externas.
2. Adaptar la metodología de análisis y gestión del riesgo OCTAVE-S al caso de estudio
cumpliendo con las directrices de la norma ISO/IEC 27005.
3. Efectuar la gestión del riesgo al caso de estudio con base en la adaptación de la
metodología de análisis y gestión del riesgo OCTAVE-S.
1.3.3 Metodología para el cumplimiento de los objetivos

En el diagrama de flujo se describe los pasos realizados para el cumplimiento de
los objetivos planteados para el desarrollo de este TFM. El diagrama se encuen-
tra en el Anexo A.
4
Es un método que permite identificar los distintos tipos de activos de información existentes
dentro del alcance del modelo.
12
Siler Amador Donado
D.N.I 72.168.640
2 Marco teórico y estado del arte
2.1 Marco Teórico
2.1.1 Impacto
El efecto de una amenaza sobre la misión de la organización y los objetivos de
negocio.
2.1.2 Valor de impacto

Una medida cualitativa del impacto de un riesgo específico para la organización
(alta, media o baja).
2.1.3 Criterios de evaluación de impacto

Un conjunto de medidas cualitativas contra el cual se evalúa el efecto de cada
riesgo en la misión de la organización y los objetivos de negocio. Criterios de
evaluación de impacto definen rangos de impacto alto, medio y bajo para una
organización.
2.1.4 Activos
Algo de valor para la empresa. Activos de tecnología de la información son la
combinación de los activos físicos y lógicos y se agrupan en clases específicas
(información, sistemas, servicios y aplicaciones, personas).
Categorías de activos:
1. Información: documentado (en papel o electrónicos) de datos o la propiedad intelec-
tual utilizada para cumplir con la misión de una organización.
2. Sistemas: una combinación de la información, el software y los activos de hardware
que procesan y almacenan información. Cualquier servidor, cliente o servidor puede
ser considerado un sistema.
3. Servicios y aplicaciones: aplicaciones y servicios de software (sistemas operativos,
aplicaciones de bases de datos, software de red, aplicaciones de oficina, aplicaciones
a medida, etc.) que procesan, almacenan o transmiten información.
4. Personas: las personas en una organización y que poseen habilidades únicas, el
conocimiento y la experiencia que son difíciles de reemplazar.
2.1.5 Prácticas de seguridad

Acciones que ayudan a iniciar, implementar y mantener la seguridad dentro de
una empresa.
2.1.6 Vulnerabilidades organizacionales

Debilidades en la política o en la práctica organizacional que pueden resultar en
acciones no autorizadas.
13
Siler Amador Donado
D.N.I 72.168.640
2.1.7 Catálogo de prácticas

Una colección de buenas prácticas estratégicas y operativas de seguridad que
una organización puede utilizar para gestionar su seguridad.
2.1.8 Prácticas estratégicas

Prácticas de seguridad que se centran en cuestiones de organización a nivel de
políticas. Estos incluyen problemas relacionados con la empresa, así como
cuestiones que requieren los planes y la participación de toda la organización.
2.1.9 Prácticas operacionales

Prácticas de seguridad que se centran en cuestiones relacionadas con la tecnolo-
gía. Estos incluyen problemas relacionados con la forma en la gente usa,
interactuar con, y proteger la tecnología sobre una base del día a día.
2.1.10 Estado de la luz de parada

Lo bien que una organización está llevando a cabo en un área de práctica de
seguridad. Los siguientes colores son asignados a un área basada en el rendi-
miento percibido en esa zona:
1. Verde: La organización está llevando a cabo las prácticas de seguridad en el área
muy bien; no hay necesidad real para la mejora.
2. Amarillo: La organización está llevando a cabo las prácticas de seguridad en cierta
medida; hay espacio para la mejora.
3. Rojo: La organización no está realizando las prácticas de seguridad en la zona; existe
un amplio margen de mejora.
2.1.11 Activos críticos

De los activos más importantes para una organización. La organización va a
sufrir un gran impacto negativo si:
1. Un activo crítico se da a conocer a las personas no autorizadas
2. Un activo crítico es modificado sin autorización
3. Un activo crítico se pierde o destruye
4. Acceso a un activo crítico se interrumpe
2.1.12 Requisitos de seguridad

Declaraciones que describen las cualidades de los activos relacionados con la
información que son importantes para una organización. Requisitos de seguri-
dad típicas son la confidencialidad, integridad y disponibilidad.
2.1.13 Confidencialidad
La necesidad de mantener información confidencial, sensible o personal privado
e inaccesible a cualquier persona que no esté autorizada a verlo.
14
Siler Amador Donado
D.N.I 72.168.640
2.1.14 Integridad
La autenticidad, precisión y exhaustividad de un activo.
2.1.15 Disponibilidad
Cuándo o con qué frecuencia debe estar presente o lista para su uso de un activo.
2.1.16 Amenaza
Una indicación de un posible evento indeseable. Una amenaza se refiere a una
situación en la que una persona puede hacer algo indeseable (un atacante inicia
un ataque de denegación de servicio contra el servidor de correo electrónico de
una organización) o un fenómeno natural podría causar un resultado no deseado
(un incendio que altere la información del hardware de tecnología de la organi-
zación).
Las amenazas se representan mediante las siguientes propiedades:
1. Activos - algo de valor para la empresa.
2. El acceso - cómo se accede al mismo por un actor (acceso a la red, el acceso físico).
El acceso sólo se aplica a los actores humanos.
3. Actor - quién o qué puede violar los requisitos de seguridad (confidencialidad,
integridad, disponibilidad) de un activo
4. Motivo - la intención del actor (por ejemplo, deliberada o accidental). Motivo se
aplica sólo a los actores humanos.
5. Resultado - el resultado inmediato (divulgación, modificación, destrucción, pérdida,
interrupción) de violar los requisitos de seguridad de un activo.
2.1.17 Perfil Amenaza

Una forma estructurada de la presentación de una serie de amenazas a un activo
crítico. Amenazas en el perfil se agrupan de acuerdo a la fuente de la amenaza.
2.1.18 Perfil genérico amenaza

Un catálogo de amenazas que contiene una variedad de todas las posibles ame-
nazas que se consideran. El perfil genérico amenaza es un punto de partida para
crear un perfil de amenaza única para cada activo crítico.
2.1.19 Las rutas de acceso de red

Formas en que los sistemas, dispositivos, información o servicios se pueden
acceder a través de la red de una organización.
2.1.20 Sistema De Intereses

El sistema o sistemas que están más estrechamente ligada a un activo crítico, por
ejemplo:
1. El sistema en el que el activo "reside"
2. El sistema donde va a ir para obtener una copia "oficial" del activo
15
Siler Amador Donado
D.N.I 72.168.640
3. El sistema que ofrece a los usuarios legítimos el acceso a un activo crítico

4. El sistema que le da un acceso al actor de amenaza a un activo crítico
2.1.21 Clases principales de componentes

Categorías de dispositivos y redes que se utilizan para acceder a un sistema de
interés. Estos dispositivos y redes son parte de o en relación con un sistema de
interés. Cuando los usuarios legítimos accedan a un activo crítico, acceden a
componentes de esas clases. Actores de amenazas también acceden a componen-
tes de esas clases cuando los actores se dirigen deliberadamente a un activo
crítico.
2.1.22 Los puntos de acceso

Interfaces que, directa o indirectamente, permiten el acceso a un sistema de
interés. Estas interfaces se agrupan de acuerdo a las siguientes categorías:
1. Los componentes del sistema de interés
2. El acceso al sistema por personas
3. Puntos de acceso intermedio
4. Otras interfaces y los lugares de almacenamiento de datos
5. Otros sistemas
2.1.23 Acceso al sistema por la gente

Los tipos de componentes que la gente (por ejemplo, los usuarios, los atacantes)
utilizan para acceder a un sistema de interés. Estos componentes constituyen los
puntos de acceso que pueden originar internamente o externamente a los siste-
mas y redes de una organización.
2.1.24 Puntos de acceso Intermedio

Redes que se utilizan para transmitir información y las aplicaciones del sistema
de interés para las personas.
2.1.25 Lugares de almacenamiento de datos

Otros tipos de componentes que se utilizan para almacenar información crítica o
proporcionar servicios de apoyo a los datos relacionados con un sistema de
interés (por ejemplo, dispositivos de almacenamiento utilizados para respaldar
la información almacenada en un sistema de interés).
2.1.26 Riesgo
La posibilidad de sufrir daños o pérdidas. El riesgo se refiere a una situación en
la que una persona puede hacer algo indeseable o un fenómeno natural podría
causar un resultado indeseable, lo que resulta en un impacto negativo o conse-
cuencia. Un riesgo se compone de:
16
Siler Amador Donado
D.N.I 72.168.640
 Un evento
 Una Incertidumbre
 Una consecuencia
En seguridad de la información, el evento básico es una amenaza.

La incertidumbre se manifiesta en gran parte de la información recopilada
durante la evaluación OCTAVE-S. Hay incertidumbre en torno a si se producirá
una amenaza y si la organización está suficientemente protegido contra el actor
amenaza. La incertidumbre se representa a menudo usando la probabilidad de
ocurrencia o probabilidad.
La consecuencia que importa en última instancia en el riesgo de seguridad de la
información es el impacto resultante en la organización debido a una amenaza.
Impacto describe cómo una organización puede verse afectada según los siguien-
tes resultados de amenaza:
 Divulgación de un activo crítico
 Modificación de un activo crítico
 Pérdida / destrucción de un activo crítico
 Interrupción de un activo crítico
Los resultados mencionados anteriormente están directamente relacionados con

los activos; ellos describen el efecto de las amenazas sobre los activos. El impacto
se centra en la organización; es el enlace directo a la misión y los objetivos de
negocio de la organización.
2.1.27 Probabilidad
Es un método por el cual se obtiene la frecuencia de un acontecimiento determi-
nado.
2.1.28 Valor de probabilidad

Es la frecuencia medida de forma cualitativa (alta, media o baja) y cuantitativa
(3, 2, 1) del aprovechamiento de la vulnerabilidad por parte de la amenaza.
2.1.29 Criterios de evaluación de la probabilidad

Un conjunto de medidas cualitativas utilizadas para estimar la probabilidad de
ocurrencia de una amenaza. Los Criterios de evaluación de la probabilidad
17
Siler Amador Donado
D.N.I 72.168.640
definen los rangos de frecuencia de alta, media y baja probabilidad; indican con
qué frecuencia se producen amenazas durante un período de tiempo común.
2.1.30 El tiempo entre eventos

Una estimación de qué tan frecuente podría ocurrir un evento (por ejemplo, cada
semana, una vez cada dos años).
2.1.31 Frecuencia anualizada

La probabilidad proyectada de ocurrencia de una amenaza en un año determi-
nado.
En OCTAVE-S, los valores de probabilidad se definen por un conjunto de crite-
rios de evaluación que se clasifican de acuerdo a la frecuencia de ocurrencia. Los
criterios de evaluación de probabilidad definen un conjunto estándar de defini-
ciones de valores de probabilidad. Estos criterios definen las medidas de alto,
medio y bajo de probabilidades de amenaza.
Las medidas de probabilidad se definen teniendo en cuenta un rango de frecuen-
cias (es decir, la probabilidad de ocurrencia de una amenaza en un año
determinado):
 Diario
 Semanal
 Mensual
 4 veces al año
 2 veces al año
 Una vez al año
 Una vez cada 2 años
Un riesgo se compone de:

 Un evento
 Incertidumbre
 Una consecuencia
La incertidumbre se manifiesta en gran parte de la información recopilada

durante la evaluación. Hay incertidumbre en torno a si se producirá una amena-
za y si la organización está suficientemente protegido contra el actor amenaza.
La incertidumbre se representa a menudo usando la probabilidad de ocurrencia
o probabilidad.
18
Siler Amador Donado
D.N.I 72.168.640
2.1.32 Estrategia de Protección

Define la estrategia general empleada por una organización para permitir,
iniciar, implementar y mantener su seguridad interna. Se estructura en función
de las áreas de práctica de seguridad.
2.1.33 Característica
Una cualidad o atributo de una zona de prácticas de seguridad. Cada zona de
prácticas de seguridad comprende múltiples características.
2.1.34 Enfoque
La manera en que una organización se ocupa de una característica de una zona
de prácticas de seguridad.
2.1.35 Tarea
Una actividad que debe ser completado como parte de una zona de prácticas de
seguridad operacional.
2.1.36 Áreas de Práctica de Seguridad

Grupos de prácticas que son estratégicas u operativas. Las áreas estratégicas de
práctica de seguridad suelen ser amplios y tienden a afectar todos los riesgos a
todos los activos críticos por igual (por ejemplo, la documentación de un conjun-
to de políticas de seguridad para la organización). Las áreas operacionales de
práctica de seguridad se centran en las tareas del día a día y pueden ser dirigidos
a mitigar riesgos específicos de los activos específicos (por ejemplo, la compro-
bación de un sistema específico para cuentas por defecto).
2.1.37 Enfoque Mitigación

Cómo una organización tiene la intención de abordar un riesgo. Una organiza-
ción tiene las siguientes opciones para cada riesgo: aceptar, mitigar o retrasar.
2.1.38 Aceptar
Una decisión tomada durante el análisis de riesgo a tomar como decisión ningu-
na medida de control para hacer frente a un riesgo y aceptar las consecuencias si
ocurre el riesgo. Los riesgos que se aceptan generalmente tienen un bajo impacto
en una organización.
2.1.39 Mitigar
Una decisión tomada durante el análisis de riesgos para hacer frente a un riesgo
mediante la implementación de actividades diseñadas para contrarrestar la
amenaza subyacente. Los riesgos que se mitigan suelen tener un alto impacto en
una organización.
19
Siler Amador Donado
D.N.I 72.168.640
2.1.40 Aplazar
Una situación en la que el riesgo ni ha sido aceptado ni mitigado. El impacto en
la organización, debido al riesgo diferido está por encima de un umbral mínimo,
pero no tan grande como para ser una prioridad inmediata. Riesgos diferidos se
observaron y reevaluados en algún momento futuro.
2.1.41 Área de Mitigación

Una zona de prácticas de seguridad que está designado para ser mejorada con el
fin de mitigar uno o más de los riesgos de seguridad de una organización.
2.1.42 Plan de mitigación del riesgo

Un plan que tiene por objeto reducir los riesgos a un activo crítico. Los planes de
mitigación de riesgos tienden a incorporar actividades o medidas, destinadas a
contrarrestar las amenazas a esos activos.
2.2 Estado del Arte

Basados en el Modelo para la Investigación Documental propuesto en [3], se
presentan documentos que involucran el análisis y gestión del riesgo en un SGSI,
teniendo en cuenta la norma ISO 27001, ISO 27005, y algunas actividades
adicionales que fortalecen dicho sistema. Estos documentos se muestran clasifi-
cados en tres grupos según su objeto de estudio: gestión del riesgo, implantación
de un SGSI, y metodologías de análisis y gestión de riesgos.
2.2.1 Gestión del riesgo

En [4], se argumenta que uno de los problemas más importantes con el estado
actual de la gestión de riesgos de la información es la falta de nomenclatura
establecida. Términos como "amenaza", "impacto", e incluso "riesgo" pueden
llevar a diferentes perspectivas y significados. Debido a esto, el autor realiza una
conciliación de términos en una taxonomía y ontología común, para que una vez
comprendidos se proceda a revisar la norma ISO/IEC 27005.
Además, en [5], [6], [7], se presentan conceptos y definiciones referentes a la
gestión del riesgo de TI5, así como los principales pasos en un análisis de riesgos
de TI. Además exponen las regulaciones y normas que tratan el riesgo junto con
las principales metodologías de análisis. De forma similar, en [8] se realiza una
conceptualización de actividades concernientes al análisis del riesgo y las estra-
tegias de respuesta para diferentes tipos de riesgos.
Por otra parte, en [9] se presenta una visión general del proceso descrito en la
norma ISO/IEC 27005:2008, proponiendo el uso de estándares de seguridad
para cumplir con las directrices de dicha norma, lo cual facilita el desarrollo de
5 Tecnologías de la información
20
Siler Amador Donado
D.N.I 72.168.640
metodologías para la gestión de riesgos a través de la combinación de patrones y

actividades que se especifican en ISO/IEC 27005. Para esto, los patrones están
asociados a las actividades de la norma. Dicha asociación puede facilitar el
proceso de desarrollo de la misma, aportando mayores garantías al uso de las
mejores prácticas.
En [10], se tiene como objetivo analizar los riesgos y vulnerabilidades existentes
dentro de la red de datos de la Escuela Politécnica Nacional. Para ello, realizan
un análisis de las Metodologías para el análisis de riesgos y vulnerabilidades de
TI más representativas. Entre ellas se analizaron Cobit, varios estándares NIST,
OCTAVE-S, y por ultimo OCTAVE; siendo esta última la herramienta sobre la
cual se fundamentó la elaboración del proyecto. Finalmente se formulan conclu-
siones y recomendaciones referentes a la aplicación de OCTAVE en el
cumplimiento de su objetivo, resaltando la perfecta aplicabilidad que tuvo dicha
metodología.
Adicionalmente, en [11] se realiza un análisis de riesgos informáticos y la elabo-
ración de un plan de contingencia siguiendo la metodología OCTAVE, que fue
seleccionada para su proyecto luego de evaluar las principales metodologías
para el análisis y gestión del riesgo. Además, el autor da a conocer recomenda-
ciones para proyectos futuros en los que se pueda adaptar la metodología de
análisis y gestión de riesgos OCTAVE.
Por otro lado, en [12] se realiza un plan de seguridad de la información para un
caso simulado, planteando una metodología para dicho plan, así como los resul-
tados de las diferentes fases de recolección y análisis de información. El estudio
define criterios para identificación, caracterización y tipificación de activos,
útiles para el presente TFM. Similarmente, en [13] se estudian diferentes enfo-
ques de estándares desarrollados para gestionar la seguridad de la información.
Se analizan diferentes métodos conocidos de análisis y gestión de riesgos, algu-
nos de ellos promovidos por gobiernos y/o industria de países de vanguardia y
trayectoria reconocida en la seguridad de la información que han tenido gran
aceptación. Adicionalmente se presenta una metodología que busca integrar lo
mejor de cada uno de los enfoques estudiados. Finalmente se analiza la aplica-
ción de la metodología a un caso de estudio, analizando las particularidades de
éste último.
2.2.2 Implantación de un SGSI

En [14], se muestran etapas en las que se define de manera general el proceso de
implantación y certificación de un Sistema de Gestión de Seguridad de la Infor-
mación, indicando el uso de metodologías para el análisis, gestión de riesgos, e
identificación de activos de información. De igual modo, en [15] se presenta el
desarrollo de un marco conceptual y metodológico para la etapa de estableci-
21
Siler Amador Donado
D.N.I 72.168.640
miento de un SGSI bajo la perspectiva de las prácticas sugeridas por el estándar

ISO 27001:2005. El estándar exige como punto de partida para establecer el
SGSI que la empresa: “defina el alcance del SGSI en términos de las característi-
cas del negocio, la organización, su ubicación, activos y tecnología” (ISO, 2005).
Para cumplir con lo anterior, el autor usa la Metodología de las Elipses propues-
ta en [16] como herramienta de identificación de los componentes de cada
proceso y las interacciones con otros procesos en la organización y con entidades
externas a la empresa.
Por otra parte, en [17] se muestra un estudio completo para el establecimiento de
un SGSI en un sistema de información, tomando como caso de estudio el Siste-
ma Administrativo Integrado (SAI) de la Universidad Nacional Experimental
Politécnica Antonio José de Sucre (UNEXPO), en el cual expresan los beneficios
al implantar un SGSI. Además por medio de las fases de Diagnóstico y factibili-
dad formulan las necesidades que pueden existir en un ente universitario.
Para determinar el alcance del SGSI e identificar interfaces, interdependencias
con áreas y procesos de UNEXPO, se plantea el uso de la Metodología de las
Elipses propuesto en [16], Por lo anterior, este estudio es de gran importancia
para el presente TFM, ya que se usó la Metodología de las Elipses y funcionó
exitosamente en el SGSI de aquella Universidad, además, el caso de estudio se
encuentra clasificado en el sector educativo, que es el mismo sector donde se
sitúa la Universidad del Cauca.
Adicionalmente, en [18] se muestra un caso real en la Banca Latinoamericana.
Se detallan los pasos metodológicos seguidos para identificar el alcance para
establecer el estándar ISO 27001:2005 en el proceso de “cuentas corrientes”,
recomendando utilizar el Método de las elipses para visualizar con mucha preci-
sión los distintos subprocesos que componen el alcance del modelo, e identificar
los activos de información existentes en dicho alcance. Por lo anterior aplicamos
el método de las elipses para definir el alcance en nuestro caso de estudio.
2.2.3 Metodologías de análisis y gestión de riesgos.

En [19], el autor muestra qué tipo de estándares y normas se deben considerar
para llevar a cabo un análisis de riesgos; además, explica cómo articular y utili-
zar una metodología en el proceso de gobernabilidad de Tecnologías de la
Información. Además, el documento da una pauta de cómo realizar el tratamien-
to del riesgo teniendo en cuenta los cuatro enfoques tradicionales que la norma
ISO 27005 da al respecto: establecer controles, aceptar el riesgo, eliminar el
riesgo, y trasladar el riesgo.
En [20], se presenta una metodología para gestionar riesgos tecnológicos cuya
base son los estándares ISO 31000 e ISO/IEC 27005. Además incluye recomen-
daciones y buenas prácticas de otros estándares y guías internacionales para
22
Siler Amador Donado
D.N.I 72.168.640
manejo de riesgos, seguridad y gestión de servicios. La metodología se desarrolla

para riesgo tecnológico dado que el aumento en el uso de tecnologías de la
información posibilita puntos de quiebre o fisuras en aspectos de seguridad con
respecto a su utilización, por ello se presenta una forma de aseguramiento y
control sobre la infraestructura (nivel físico), los sistemas de información (nivel
lógico) y las medidas organizacionales (factor humano) desde la perspectiva
tecnológica.
Por otra parte, en [21] el autor propone como eje central una descripción deta-
llada de trece metodologías que sirven como guía para el análisis de riesgos. El
documento presenta tablas comparativas de dichas metodologías, teniendo en
cuenta veintiocho criterios principales para evaluar sus componentes y caracte-
rísticas.
Análogamente, en [11] se realiza un estudio comparativo de las principales
metodologías para el análisis de riesgos, así como también se realiza un estudio
comparativo de las metodologías para la elaboración de un plan de contingencia,
con el fin de seleccionar la más apropiada para llevar a cabo la gestión del riesgo
en la empresa eléctrica Quito S.A. Como conclusión los autores probaron que la
metodología OCTAVE es la más adecuada para realizar proyectos como el de su
caso de estudio. De igual forma, presenta una visión de dicha metodología,
describiendo el desarrollo con sus tres fases de trabajo, características, y casos de
éxito a nivel internacional, sugiriendo que dicha metodología es un buen com-
plemento para implementar metodologías como ITIL o COBIT.
De forma similar, en [22] se presentan los resultados obtenidos tras realizar una
revisión sistemática de metodologías y modelos para el análisis de riesgos, que
tengan en cuenta riesgos jerárquicos y asociativos para Pequeñas y Medianas
Organizaciones (PYMES). Asimismo, en [7] se realiza una propuesta metodoló-
gica para llevar a cabo una auditoría soportada en el análisis de riesgos que los
autores consideran susceptible de ser utilizada en PYMES.
Dentro de este contexto, en [23] se plantea como objetivo mejorar la Gestión de
la Seguridad de los Sistemas de Información y Comunicaciones de la Adminis-
tración Pública Federal. Reúne conceptos de la gestión de riesgos y presenta un
estudio comparativo de las principales metodologías y herramientas de análisis y
gestión de riesgos existentes en el mundo, sirviendo como un instrumento de
evaluación que puede ser utilizado en la elección de la metodología a ser aplicada
por los organismos de la Administración Pública Federal. Los resultados de este
documento son un inventario de herramientas, metodologías y cuadros compa-
rativos que destacan algunas de sus cualidades y beneficios. El estudio de estas
normas, metodologías y herramientas demuestra una tendencia a la convergen-
cia y la integración entre ellas.
23
Siler Amador Donado
D.N.I 72.168.640
De forma similar, en [24] se tiene como objetivo general aplicar la norma

OCTAVE-S en la empresa Pirámide Digital para realizar una evaluación del
manejo de riesgo en seguridad informática. El autor realiza un cuadro compara-
tivo entre OCTAVE-S, ISO 17799 y COBIT 4.1, con la descripción de esa tabla se
justifica el porqué de la elección de OCTAVE-S para realizar el análisis de riesgos
en la organización.
En [25], se presentan ejemplos de hojas de cálculo con los perfiles de riesgo y la
documentación que se obtiene al aplicar las tres fases de OCTAVE. El autor
justifica la elección de dicha metodología debido a la gran capacidad de configu-
ración que ésta permite. Finalmente confirma que los resultados obtenidos del
análisis fueron eficaces, comprensibles y utilizables.
2.2.4 Conclusiones del estado del arte

Los documentos presentados en el estado del arte conforman la base para llevar
a cabo la propuesta de este TFM, ya que sirven como guía en la definición de las
actividades de gestión de riesgos de acuerdo con la norma ISO/IEC 27005.
Además muestran la aplicación de metodologías para el análisis y gestión de
riesgos que han sido modificadas e implementadas en el contexto de diferentes
organizaciones.
Siguiendo los estudios y recomendaciones presentes en [10], [11], [21], [24], se
concluye que la metodología OCTAVE-S es la adecuada para aplicar al caso
de estudio.
Los documentos [15], [17], [18], justifican que la Metodología de las Elipses
propuesta en [16], es la más apropiada para llevar a cabo la definición del alcan-
ce de un SGSI. Por lo tanto, será aplicada para tal fin en el presente TFM.
Se debe tener en cuenta que la etapa de plan según la norma ISO/IEC 27001,
permite el establecimiento de un SGSI, la cual da la pauta de la estructura de
este y sirve para el desarrollo de la ISO/IEC 27005 que es la aplicada en este
TFM.
24
Siler Amador Donado
D.N.I 72.168.640
3 Caso De Estudio6
Lo primero que se realizó fue la recolección de información referente al proceso
Inscripciones y Admisiones. Luego se procedió a crear la documentación del
mismo debido a que no existía de manera detallada, obteniendo siete procedi-
mientos, los cuales son los siguientes:
1. Definición del calendario de admisión
2. Justificación del servicio de aplicación de la prueba
3. Inscripciones
4. Alistamiento para la aplicación de la prueba
5. Aplicación de la prueba
6. Evaluación de la prueba
7. Admisiones
Cada procedimiento cuenta con una serie de actividades las cuales se deben
llevar a cabo para cumplir sus objetivos. A continuación se dará una descripción
de las actividades de cada procedimiento:
3.1 Definición del calendario de admisión

Las actividades de este procedimiento son las siguientes:
1. Estudiar el calendario académico: Se hace con base en las fechas institu-
cionales y se verifica que no exista ningún cruce de actividades o cese de
actividades.
2. Realizar el cronograma de admisiones propuesto por DARCA: DARCA
define cuales son las fechas del cronograma de admisiones, teniendo en cuenta
los tiempos de cada proceso. Los procesos cambian de acuerdo a lo implementa-
do.
3. Enviar al Vicerrector académico el cronograma propuesto en Admi-
siones: Se envía el cronograma vía correo electrónico con una comunicación
sencilla. Además, debe quedar definido antes del día en que se realiza la reunión
de consejo académico.
4. Enviar al Consejo Académico la propuesta para la aprobación: El vice-
rrector Académico propone el calendario ante el Consejo Académico para su
aprobación.
5. Aprobar el calendario de admisiones: El consejo académico en sesión
aprueba el calendario propuesto.
6
Proceso Inscripciones y Admisiones, de la División de Admisión Registro y Control Académico
(DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011
25
Siler Amador Donado
D.N.I 72.168.640
Ilustración 1. Definición del Calendario de Admisión
3.2 Justificación del servicio de aplicación de la prueba

1. Elaborar el certificado de conveniencia y oportunidad: La división de
admisiones elabora el certificado y lo adjunta en la carpeta del convenio para que
la oficina jurídica realice el estudio de la propuesta.
2. Solicitar certificado de viabilidad técnica al Vicerrector académico:
Se envía físicamente un oficio al vicerrector académico solicitando la viabilidad
técnica.
3. Solicitar certificado de viabilidad financiera: Se envía físicamente un ofi-
cio al Jefe de oficina de planeación solicitando la viabilidad financiera.
26
Siler Amador Donado
D.N.I 72.168.640
4. Solicitar certificado de conveniencia administrativa: Se envía físicamen-

te un oficio al Vicerrector Administrativo solicitando el certificado de
conveniencia administrativa.
5. Solicitar el certificado de disponibilidad presupuestal (CDP): Se envía
físicamente un oficio al Vicerrector Administrativo solicitando el certificado de
disponibilidad presupuestal. Después del visto bueno por parte del Vicerrector,
se entrega a la oficina financiera.
Ilustración 2. Justificación del Servicio de Aplicación de la Prueba
3.3 Inscripciones
1. Configurar costos de inscripción: Ajustar la base de liquidación para la ge-
neración de los archivos de inscripción.
2. Configurar los programas a ofertar: Consejo académico expide un acuerdo
con los programas a ofertar y sus respectivos cupos.
3. Alistar la plataforma SIMCA: Desplegar en la web la plataforma de inscrip-
ciones.
4. Abrir inscripciones: La plataforma queda disponible para las inscripciones.
5. Cerrar inscripciones: La plataforma deja de estar disponible para inscripcio-
nes.
27
Siler Amador Donado
D.N.I 72.168.640
Ilustración 3. Inscripciones
3.4 Alistamiento para la aplicación de la prueba

1. Consolidar la base de inscripción para la aplicación de prueba: Se con-
fronta el número de inscripciones frente al número de personas inscritas.
2. Verificar capacidad instalada y condiciones de infraestructura para
la aplicación de la prueba: Se solicita a cada facultad el número de salones y
capacidad en cada uno de ellos. Luego se realiza una visita para verificar el esta-
do de cada salón.
28
Siler Amador Donado
D.N.I 72.168.640
3. Generar credenciales de citación: Se genera una sola citación por cada ter-
cero.
4. Publicar las citaciones: A través de la plataforma se publica el sitio y la jor-
nada para la presentación de la prueba.
5. Rotular los puestos para la presentación de la prueba: Un día antes de
la presentación de la prueba, se rotula cada uno de los puestos con la informa-
ción correspondiente al aspirante y jornada.
6. Gestionar apoyos para la seguridad de la prueba: Un mes antes de la
presentación de la prueba, se envían solicitudes de apoyo a: Policía metropolita-
na, Policía de menores, CTI, Vigilancia privada, Cruz roja, Brigada Unicauca.
7. Solicitar la contratación de dactiloscopistas: Se solicita a vicerrectoria
administrativa la contratación de personal dactiloscopista a través de un CDP.
8. Asignar y citar el personal de apoyo para la custodia de la prueba: Se
citan los docentes encargados de la custodia de la prueba de acuerdo a la infor-
mación suministrada por parte de recursos humanos.
29
Siler Amador Donado
D.N.I 72.168.640
Ilustración 4. Alistamiento para la Aplicación de la Prueba
3.5 Aplicación de la prueba

1. Verificar la presencia y ubicación del personal de apoyo: Se solicita la
confirmación de la presencia del personal vía radioteléfono.
30
Siler Amador Donado
D.N.I 72.168.640
2. Permitir ingreso: Se da la orden para el ingreso de los aspirantes y se verifica

su documento de identidad y citación.
3. Entregar y distribuir el material a los coordinadores de aula: El perso-
nal de admisiones hace entrega a los coordinadores del material para la
aplicación de la prueba (FORMULARIOS Y TARJETAS DE RESPUESTAS).
4. Entregar el material (formularios y tarjetas de respuestas) a los aspi-
rantes: Cada jefe de aula entrega de manera individual el formulario y tarjeta de
respuestas.
5. Iniciar la prueba: Se garantiza el tiempo estimado para el desarrollo de la
prueba.
6. Llevar a cabo a el registro dactiloscópico: Antes de terminar el tiempo
destinado para la prueba, cada aspirante debe haber impreso su huella en el
formulario.
7. Diligenciar formato A1: Cada jefe de aula diligencia un formato que contiene
la información relacionada con el número de tarjetas recibidas y entregadas.
8. Finalizar prueba: Se da por terminada la jornada manifestándose a los aspi-
rantes.
9. Realizar anulación de formularios y hojas de respuestas no utiliza-
das: Cada jefe de aula procede con la anulación escribiendo "anulado" en la hoja
de respuesta y diligencia el formato A1.
10. Entregar formatos A1 diligenciados y tarjetas de respuestas anuladas:
Cada jefe de aula entrega los formatos A1 y las tarjetas de respuestas anuladas al
coordinador de aulas.
11. Empacar y colocar sellos de seguridad: material, los coordinadores se diri-
gen a un recinto donde el material es empacado y sellado.
12. Cerrar actividades de la jornada: Se realiza una reunión con los represen-
tantes de los principales actores del proceso para evaluar el desarrollo de la
prueba.
31
Siler Amador Donado
D.N.I 72.168.640
Ilustración 5. Aplicación de la Prueba
3.6 Evaluación de la prueba

1. Abrir los paquetes que contienen las tarjetas de respuesta debidamente diligen-
ciadas: Al menos dos (2) representantes de la Universidad del Cauca verifican la
apertura de los paquetes que contienen las hojas de respuesta para su posterior
calificación.
2. Generar claves de respuesta: Los cuestionarios son resueltos posteriormente a la
aplicación de la prueba, insumo necesario para la generación de claves o res-
puestas.
32
Siler Amador Donado
D.N.I 72.168.640
3. Parametrizar el sistema: Con base en las claves de respuestas se parametriza el

sistema que realizará la calificación.
4. Leer las hojas de respuesta: Se ingresan las hojas de respuesta en la máquina lec-
tora para su calificación.
5. Ordenar los puntajes en orden descendente por programa: De acuerdo a la califi-
cación, los aspirantes son ordenados en estricto orden descendente.
6. Cargar los resultados en SIMCA: El resultado del ordenamiento es cargado en
SIMCA para la posterior selección.
7. Determinar el mínimo de admisión: Los datos correspondientes al puntaje mí-
nimo y máximo son enviados al consejo académico para definir el mínimo de
admisión.
8. Seleccionar aspirantes: Con base en el ordenamiento, el puntaje mínimo de ad-
misión, y el número de cupos por programa, son seleccionados los aspirantes
admitidos.
9. Alistar la plataforma de publicación de resultados: Se realiza el despliegue de los
servidores para la publicación de las listas.
10. Revisar los datos a publicar: Se realiza una revisión por programa de acuerdo a
los cupos, empates y puntaje obtenido.
11. Publicar los resultados: La lista de admitidos se despliega para poder ser consul-
tada por los usuarios.
33
Siler Amador Donado
D.N.I 72.168.640
Ilustración 6. Evaluación de la Prueba
34
Siler Amador Donado
D.N.I 72.168.640
3.7 Admisiones
1. Alistar la plataforma de liquidación: La plataforma se ajusta con base a los
datos de liquidación de la vigencia.
2. Recibir documentación: Se realiza la recepción documental de acuerdo a la
lista de chequeo.
3. Liquidar los derechos de matrícula: De acuerdo a la documentación apor-
tada se realiza la matrícula financiera (recibo de pago).
4. Cerrar primer llamado de admisión: Luego de vencidos los términos de
pago de matrícula financiera se realiza el alistamiento para el segundo llamado.
5. Abrir segundo llamado de admisión: De acuerdo a los cupos liberados se
configura el segundo llamado de admisión.
6. Cerrar proceso de admisión: Realizar el cierre del proceso para la posterior
matrícula académica.
7. Realizar Matrícula académica: Se matricula a los estudiantes que cumplen
con el requisito de matrícula financiera en los términos establecidos.
35
Siler Amador Donado
D.N.I 72.168.640
Ilustración 7. Admisión
Luego de haber documentado todo el proceso del caso de estudio, se especificó
en diagramas el orden de las actividades para un rápido entendimiento. Los
diagramas están en los anexos.
A continuación y con ayuda de la metodología de las Elipses, se realizó el alcance
del proceso Inscripciones y Admisiones. En este se muestra además de los
procedimientos del proceso, todas las entidades o cargos involucrados para cada
procedimiento. En los anexos se encuentra el diagrama del alcance.
36
Siler Amador Donado
D.N.I 72.168.640
Ilustración 8. Metodología de las Elipses en Inscripciones y Admisio-

nes
37
Siler Amador Donado
D.N.I 72.168.640
4 Metodología de análisis y gestión del riesgo OCTAVE-S

Para una organización que busque comprender sus necesidades de seguridad de
la información, OCTAVE (Operationally Critical Threat, Asset, and Vulnerabi-
lity Evaluation) es una técnica de evaluación y planificación estratégica basada
en el riesgo para la seguridad, fue desarrollada en el año 2001 por la universidad
Carnegie Mellon para el Departamento de defensa de los Estados Unidos. Exis-
ten dos versiones: OCTAVE-S, es una metodología simplificada para las
organizaciones más pequeñas que tienen estructuras jerárquicas planas, y
OCTAVE Allegro, es una versión más completa para las organizaciones gran-
des o aquellos con estructuras de varios niveles. OCTAVE es auto dirigido, lo que
significa que las personas de una organización asumen la responsabilidad de
establecer la estrategia de seguridad de la organización. La técnica aprovecha los
conocimientos de las prácticas y los procesos relacionados con la seguridad de su
organización para capturar el estado actual de la seguridad dentro de la organi-
zación. Los riesgos para los activos más críticos se utilizan para priorizar áreas
de mejora y establecer la estrategia de seguridad de la organización. A diferencia
de las evaluaciones centradas en la tecnologías típicas, las cuales están dirigidas
a riesgo tecnológico y se centraron en cuestiones tácticas, OCTAVE está dirigido
a riesgo de la organización y se centró en temas estratégicos, relacionados con la
práctica. Es una evaluación flexible que se puede adaptar para la mayoría de las
organizaciones. El enfoque OCTAVE es impulsada por dos de los aspectos: el
riesgo operativo y las prácticas de seguridad. La tecnología sólo se examina en
relación con las prácticas de seguridad, lo que permite a una organización afinar
la vista de sus prácticas de seguridad actuales. Al utilizar el enfoque OCTAVE,
una organización toma decisiones de protección de la información basada en los
riesgos para la confidencialidad, integridad y disponibilidad de los activos
relacionados con la información crítica. Todos los aspectos de riesgo (activos,
amenazas, vulnerabilidades y el impacto sobre la organización) se tienen en
cuenta en la toma de decisiones, lo que le permite a una organización que coin-
cida con una estrategia de protección basada en la práctica de sus riesgos de
seguridad.
38
Siler Amador Donado
D.N.I 72.168.640
Las siguientes son las fases que conforman OCTAVE-S:
4.1 Fase 1. Construir perfiles de amenazas basadas en los activos del caso
de estudio7
En esta fase se realizó una evaluación de los aspectos organizacionales en
DARCA con respecto al proceso Inscripciones y Admisiones. Durante esta fase,
se definieron los criterios de evaluación de impacto que se utilizarán más adelan-
te para evaluar los riesgos. También se identificaron los activos organizacionales
importantes y se evaluaron las prácticas actuales de la seguridad de la organiza-
ción. A continuación, se seleccionaron quince activos críticos para analizarse en
profundidad basándose en la importancia relativa a la organización. Finalmente,
se definieron los requisitos de seguridad y un perfil de amenaza para cada activo
crítico.
1. Identificar Información del proceso de Inscripciones y Admisiones
de DARCA
En esta parte se centro en el desarrollo de criterios para evaluar el impacto de los

riesgos para la organización, la identificación de los activos de la organización,
así como la evaluación de las prácticas de seguridad de la organización.
2. Crear perfiles de amenazas del proceso Inscripciones y Admisiones
En esta parte se centró en la selección de los activos críticos de los previamente

identificados, la identificación de requisitos de seguridad para los activos y la
identificación de las amenazas a los activos críticos.
4.2 Fase 2. Identificar las vulnerabilidades de la infraestructura con

respecto al caso de estudio
Durante esta fase, se llevó a cabo una revisión de alto nivel de la infraestructura
informática de DARCA, centrándonos en la medida en que la seguridad es
considerada por los asistentes de la infraestructura. Primero se analizó cómo las
personas usan la infraestructura informática para acceder a los activos críticos,
7
Proceso Inscripciones y Admisiones de DARCA (División de Admisión Registro y Control
Académico) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC
27005:2011
39
Siler Amador Donado
D.N.I 72.168.640
dando clases principales de componentes, así como quién es responsable de la

configuración y el mantenimiento de esos componentes.
Posteriormente, se examinó el grado en que cada uno de los responsables incluye
la seguridad en sus prácticas y procesos de tecnología de la información con
respecto al proceso de Inscripciones y Admisiones.
1. Examinar la Infraestructura Informática en relación con los activos
críticos.
En esta fase se examinaron las vías de acceso en la infraestructura para los

activos críticos y luego se analizó la tecnología relacionada con los procesos
asociados con la infraestructura.
4.3 Fase 3. Desarrollo de Estrategia y Planes de Seguridad

Durante esta fase se identificaron los riesgos sobre los activos críticos de la
organización y se decidió qué hacer con ellos. Sobre la base de un análisis de la
información recopilada, se creó una estrategia de protección para los planes de
organización y de mitigación para hacer frente a los riesgos de los activos críti-
cos.
1. Identificar y analizar los riesgos.
En esta etapa se realizó la evaluación del impacto y probabilidad de las amenazas

sobre los activos críticos y el establecimiento de criterios de evaluación de la
probabilidad.
2. Desarrollar estrategia de protección y planes de mitigación
En esta etapa se estableció la definición de una estrategia de protección y planes

de mitigación, así como los próximos pasos necesarios para poner en práctica los
resultados de la evaluación OCTAVE-S.
Los resultados se describen paso a paso en el capítulo 5.
40
Siler Amador Donado
D.N.I 72.168.640
5 Aplicación de las fases de OCTAVE-S al caso de estudio contras-

tándola con las directrices de la norma ISO/IEC 27005
Las fases de OCTAVE-S fueron contrastadas con la norma ISO/IEC 27005 a
medida que se realizaba la gestión del riesgo al caso de estudio. Los resultados
de cada paso son los siguientes:
5.1 Criterios de Evaluación de Impacto (Paso 1)

En este paso se definieron un conjunto de medidas cualitativas contra el cual se
evalúo el efecto de cada riesgo en la misión y los objetivos del proceso Inscrip-
ciones y Admisiones de DARCA. Se definieron los rangos alto, medio y bajo
impacto para el proceso. Se consideraron las siguientes áreas de impacto:
1. Reputación - Confianza de los Usuarios: se manejan dos variables, las cua-
les son reputación y pérdida de usuario(s).
2. Financiero: Se manejan tres variables, las cuales son costos operativos, pérdi-
da de ingresos y perdida financiera.
3. Productividad: Se maneja una sola variable, la cual es horas de personal.
4. Seguridad - Salud: Se manejan tres variables, las cuales son vida, salud y se-
guridad.
En la siguiente tabla se muestran los criterios de evaluación del impacto (Paso 1)

para aplicar sobre el caso de estudio:
Tipo de Bajo Impacto Medio Impacto Alto Impacto
impacto
Reputación La reputación se ve La reputación se La reputación está

afectada mínima- daña, y se requiere irrevocablemente
mente, se requiere un poco de esfuerzo y destruida o dañada.
poco o ningún gastos para recupe-
esfuerzo o gasto rarse.
para recuperarse.
Perdida Menos de 5% de 5 a10% de reducción Más de 10% de

reducción en los en los usuarios reducción en los
41
Siler Amador Donado
D.N.I 72.168.640
Usuario usuarios debido a la debido a la pérdida usuarios debido a la

pérdida de confian- de confianza. pérdida de confian-
za. za.
Costos Aumento de menos Los costos de opera- Los costos de opera-

Operativos de 10% de los ción anuales ción anuales
costes operativos aumentan en 11 a aumentan en más de
anuales 50%. un 50 %.
Pérdida de Menos de 10% de 11 a 50% de pérdida Mayor que 51% de

ingresos pérdida de ingresos anual de ingresos pérdida anual de
anuales ingresos
Pérdida Costo financiero de Costo financiero de Mayor costo finan-

Financiera menos de 50 primer tiempo de 51a ciero de 250
millones de pesos 250 millones de peso millones de pesos
anuales anuales anuales
Horas de Las horas de traba- Las horas de trabajo Las horas de trabajo
Personal jo del personal se del personal se del personal se
incrementaron en incrementaron entre incrementaron en
menos de 10% de 5 11% y 20% de 5 a 10 más de un 21% de 5 a
a 10 día (s). día (s). 10 día (s).
Vida No hay pérdida o Vidas de los clientes La pérdida de vidas

amenaza significa- o de los miembros de los clientes o el
tiva a las vidas de del personal están personal de los
los clientes o el amenazadas, pero se miembros
personal de los recuperarán después
miembros de recibir tratamien-
to médico.
Seguridad Seguridad Cuestio- Seguridad Afectada Seguridad Violada
42
Siler Amador Donado
D.N.I 72.168.640
nada
Tabla 1. Criterios de Evaluación de Impacto
5.2 Identificación de Activos (Paso 2)

Los activos del caso de estudio se clasificaron según las categorías propuestas en
ISO/IEC 27002. De esta forma la selección de activos se dividió de la siguiente
manera: Activos de Sistemas (activos físicos), Activos de Información, Activos de
Aplicaciones (activos de software), Activos de Servicios, Personas Involucradas
en el proceso Inscripciones y Admisiones y activos intangibles.
Los activos encontrados son los siguientes:
PREGUNTAS RESPUESTAS
¿Qué sistemas la gente de Salones, pupitres, radioteléfonos, el sistemas

DARCA necesitan para reali- que realiza la calificación de las tarjetas de
zar su trabajo? respuesta (maquina lectora), los servidores que
contienen la plataforma para la publicación de
las listas.
¿Qué información la gente en Acuerdo que aprueba el calendario académico,

DARCA necesitan para reali- propuesta del cronograma de admisiones,
zar su trabajo? acuerdo que aprueba el cronograma de admi-
siones propuesto por DARCA, propuesta
técnico-económica para el desarrollo de la
prueba, solicitud certificado de viabilidad
técnica, solicitud de certificado de viabilidad
financiera, solicitud certificado de conveniencia
administrativa, solicitud certificado de dispo-
nibilidad presupuestal (CDP), certificado de
viabilidad técnica, certificado de conveniencia
43
Siler Amador Donado
D.N.I 72.168.640
de oportunidad, certificado de viabilidad

financiera, certificado de conveniencia admi-
nistrativa, certificado de disponibilidad
presupuestal (CDP), archivos de inscripción,
acuerdo con los programas a ofertar y sus
respectivos cupos, resolución que fija los
programas y los cupos a ofertar, rótulos con
información del aspirante y jornada, credencia-
les de citación, solicitud de contratación de
dactiloscopistas a través de un CDP, citación a
los aspirantes, citación a los docentes, contra-
tación de personal externo (dactiloscopistas,
cruz roja), solicitudes de apoyo tramitadas a
satisfacción, formularios, tarjetas de respues-
tas, formato a1, tarjetas de respuesta no usadas
(anuladas), formatos a1 diligenciados, todo el
material empacado y sellado en bolsas de
seguridad, acta de cierre de actividades, tarje-
tas de respuesta diligenciadas y anuladas en
paquetes de seguridad, claves de respuesta
(respuestas correctas), documento que almace-
na los puntajes de los aspirantes en orden
descendentes, copia del documento que alma-
cena los puntajes de los aspirantes en orden
descendentes(se envía a DARCA), archivo
cifrado del documento que almacena los punta-
jes de los aspirantes en orden descendentes
cargado en SIMCA8, datos a publicar (lista de
admitidos), documentación de los admitidos,
8 Sistema Integrado de Matrícula y Control Académico
44
Siler Amador Donado
D.N.I 72.168.640
datos de liquidación, matrícula financie-

ra(digital), segunda lista de admitidos,
matrículas académicas de los estudiantes
admitidos, informe de cierre del proceso pre-
sentado al comité de dirección y al concejo, y
convenio de cooperación interadministrativo
suscrito entre la universidad de Antioquia y la
universidad del cauca.
¿Qué aplicaciones la gente de Correo electrónico institucional, sistema

DARCA necesitan para reali- integrado de recaudo (SQUID), base de datos
zar su trabajo? de personas inscritas, SIMCA, plataforma de
inscripciones, sitio web UNICAUCA, platafor-
ma de inscripciones (repetido), y la plataforma
de publicación de resultados.
¿Qué servicios la gente de Energía eléctrica, aire acondicionado, servicio

DARCA necesitan para reali- de internet, red interna, iluminación planta
zar su trabajo? eléctrica.
¿Qué personas tienen una Ingeniero de soporte (desarrollo), profesional

habilidad especial o conoci- especializado (conocer el proceso y reglamen-
miento que es vital para su tación institucional), profesional universitario
organización y sería difícil de (conocer el proceso y reglamentación institu-
reemplazar? ¿Qué habilidades cional), CTI (prevenir fraude), dactiloscopistas
tienen estas personas? (llevar el control de huellas digitales de los
aspirantes), cruz roja (auxiliar al aspirante en
caso de urgencia de salud).
¿Qué activos intangibles la Reputación e imagen

gente de DARCA necesita
para realizar su trabajo?
45
Siler Amador Donado
D.N.I 72.168.640
Tabla 2. Identificación de Activos
5.3 Procedimientos de Seguridad (Pasos 3 y 4)

En esta parte se evaluó el grado en que las prácticas de seguridad se reflejan para
gestionar la seguridad del proceso Inscripciones y Admisiones. Se evaluó con las
opciones “Mucho”, “Algo, “Nada”, y con sus valores respectivos 1, 2, y 3.Con esto
se ha podido ver acciones que ayudan a iniciar , implementar y mantener la
seguridad dentro del proceso así como las debilidades en la política o en la
práctica organizacional que pueden resultar en acciones no autorizadas. Tam-
bién se pudo determinar qué áreas están en riesgo, para más adelante asignarles
un color dependiendo del riesgo (Rojo=Alto, Amarillo=Medio, Verde=Bajo).
Para realizar la evaluación se tomaron dos tipos de prácticas de seguridad:
1. Prácticas estratégicas
Prácticas de seguridad que se centran en cuestiones de organización a nivel de

políticas. Estos incluyen problemas relacionados con el proceso, así como cues-
tiones que requieren los planes y la participación de toda la organización.
2. Prácticas operacionales
Prácticas de seguridad que se centran en cuestiones relacionadas con la tecnolo-

gía. Estos incluyen problemas relacionados con la forma en la gente usa,
interactuar con, y proteger la tecnología sobre una base del día a día.
Cada tipo de práctica se divide en áreas, con el fin de evaluar específicamente el
proceso de Inscripciones y Admisiones. Las áreas son las siguientes:
3. Áreas de Prácticas estratégicas:
● Conciencia de Seguridad y Formación

● Estrategia de Seguridad
● Gestión de la Seguridad
● Políticas y Reglamentos de Seguridad
● Gestión de Seguridad Colaborativa
● Planes de Contingencia/Recuperación de Desastres
4. Áreas de Prácticas operacionales:
46
Siler Amador Donado
D.N.I 72.168.640
● Control de Acceso Físico

● Monitoreo y Auditoría de Seguridad Física
● Gestión de Sistema y Red
● Monitoreo y Auditoría de Seguridad Informática
● Autenticación y Autorización
● Gestión de Vulnerabilidades
● Cifrado
● Diseño y Arquitectura de Seguridad
● Gestión de Incidentes
Los resultados son los siguientes:
Área 1. Conciencia de Seguridad y Formación:
Enunciado ¿Hasta qué punto Puntaje
esta afirmación es
reflejada en la
organización?
Los miembros del personal comprenden sus Algo 2

roles y responsabilidades de seguridad. Esto
está documentado y verificado
Hay suficiente experiencia interna para todos Algo 2

los servicios soportados, mecanismos y
tecnologías (por ejemplo, logging, la vigilan-
cia o el cifrado), incluyendo su operación
segura. Esto está documentado y verificado.
La conciencia de seguridad, capacitación y Algo 2

recordatorios periódicos se proporcionan
para todo el personal. Comprensión personal
está documentada y la conformidad es
verificada periódicamente.
47
Siler Amador Donado
D.N.I 72.168.640
Los miembros del personal siguen las buenas Algo 2

prácticas de seguridad, como: asegurar la
información por la cual ellos son responsa-
bles, no divulgar información confidencial a
otros (resistencia a la ingeniería social), tener
la capacidad adecuada para utilizar hardware
y software de tecnología de la información, el
uso de buenas prácticas de contraseña,
entender y seguir las políticas y normas de
seguridad, reconocer y reportar incidentes
Tabla 3. Conciencia de Seguridad y Formación (Área 1)

Área 2. Estrategia de Seguridad:
Enunciado ¿Hasta qué punto es Puntaje
esta afirmación refle-
jada en su
organización?
Las estrategias de negocio de la organi- Mucho 1

zación incorporan rutinariamente las
consideraciones de seguridad.
Estrategias y políticas de seguridad Mucho 1

tienen en cuenta las estrategias y
objetivos de negocio de la organización.
Las estrategias de seguridad, las metas Nada 3

y objetivos se documentan y se revisan
de forma rutinaria, actualizado, y se
comunicarán a la organización.
Tabla 4. Estrategia de Seguridad (Área 2)
48
Siler Amador Donado
D.N.I 72.168.640
Área 3. Gestión de la Seguridad:

esta afirmación
reflejada en su
organización?
Administración asigna fondos y recursos Algo 2

suficientes para las actividades de seguri-
dad de la información.
Funciones y responsabilidades de seguridad Mucho 1

se definen para todo el personal de la
organización.
Todo el personal en todos los niveles de Algo 2

responsabilidad pone en práctica sus
funciones y la responsabilidad de la seguri-
dad de información asignados.
Hay procedimientos documentados para la Mucho 1

autorización y supervisión de todo el perso-
nal (incluido el personal de organizaciones
de terceros) que trabajan con información
sensible o que trabajan en lugares donde
reside la información
Las practicas de Contratación y terminación Nada 3

de la organización para el personal toma en
cuestión la seguridad de la información en
cuenta.
La organización gestiona los riesgos de Mucho 1

seguridad de información, incluyendo: la
49
Siler Amador Donado
D.N.I 72.168.640
evaluación de riesgos para la seguridad de

la información, tomar medidas para mitigar
los riesgos de seguridad de la información.
Administración recibe y actúa sobre los Mucho 1

informes de rutina que resumen la informa-
ción relacionada con la seguridad (por
ejemplo, auditorías, registros, evaluaciones
de riesgo y vulnerabilidad).
Tabla 5. Gestión de la Seguridad (Área 3)

Área 4. Políticas y Reglamentos de Seguridad:
esta afirmación
reflejada en su orga-
nización?
La organización cuenta con un amplio Nada 3

conjunto de políticas documentadas,
actuales que se revisan y actualizan perió-
dicamente.
Hay un proceso documentado para la Algo 2

gestión de políticas de seguridad, inclu-
yendo: creación, administración
(incluyendo revisiones y actualizaciones
periódicas), comunicación.
La organización cuenta con un proceso Nada 3

documentado para evaluar y garantizar el
cumplimiento de las políticas de informa-
ción de seguridad, las leyes y reglamentos
50
Siler Amador Donado
D.N.I 72.168.640
aplicables, y los requisitos de seguro.
La organización hace cumplir de manera Nada 3

uniforme sus políticas de seguridad.
Tabla 6. Políticas y Reglamentos de Seguridad (Área 4)

Área 5. Gestión de Seguridad Colaborativa:
es esta afirmación
reflejada en su
organización?
La organización cuenta con políticas y Mucho 1

procedimientos para proteger la información
cuando se trabaja con organizaciones exter-
nas (por ejemplo, terceros, colaboradores,
subcontratistas o socios), incluyendo: prote-
ger información perteneciente a otras
organizaciones, la comprensión de las
políticas de seguridad y procedimientos de
las organizaciones externas, terminar el
acceso a la información por parte de perso-
nal externo terminado.
La organización documenta los requisitos de Algo 2

protección de la información y las comunica
explícitamente a todas las terceras partes
apropiadas.
La organización cuenta con mecanismos Algo 2

formales para verificar que todas las organi-
zaciones de terceros, servicios de seguridad
externalizados, mecanismos y tecnologías
51
Siler Amador Donado
D.N.I 72.168.640
cumplen sus necesidades y requerimientos.
La organización cuenta con políticas y Nada 3

procedimientos para colaborar con todas las
organizaciones de terceros que: proporcio-
nan concienciación sobre la seguridad y los
servicios de formación, desarrollan políticas
de seguridad para la organización, desarro-
llan planes de contingencia para la
organización
Tabla 7. Gestión de Seguridad Colaborativa (Área 5)

Área 6. Planes de Contingencia/Recuperación de Desastres:
esta afirmación
reflejada en su
organización?
Se ha realizado un análisis de las operacio- Algo 2

nes, las aplicaciones y la criticidad de los
datos.
La organización ha documentado, revisado Nada 3

y probado: plan (es) de contingencia para
responder a las emergencias, plan (es) de
recuperación de desastres, los planes de
operaciones de emergencia o de continui-
dad del negocio.
Los planes de contingencia, recuperación Nada 3

de desastres y continuidad del negocio
consideran requisitos y controles de acceso
52
Siler Amador Donado
D.N.I 72.168.640
físicos y electrónicos.
Todo el personal: conoce de los planes de Nada 3

contingencia, recuperación de desastres y
continuidad del negocio, entienden y son
capaces de llevar a cabo sus responsabili-
dades.
Se identifican los eventos que puedan Nada 3

causar interrupciones a los procesos de
negocio junto con la probabilidad e impacto
de dichas interrupciones y sus consecuen-
cias para la seguridad de información.
Tabla 8. Planes de Contingencia/Recuperación de Desastres (Área 6)

Área 7. Control de Acceso Físico:
jada en su
organización?
Los planes y procedi- Algo 2

mientos para
salvaguardar las instala-
ciones, los edificios y las
zonas restringidas de
seguridad de las instala-
ciones están
documentados y proba-
dos.
Existen políticas y proce- Algo 2

dimientos de gestión de
53
Siler Amador Donado
D.N.I 72.168.640
visitantes documentados.
Existen políticas y proce- Algo 2

dimientos de control de
acceso físico a las áreas
de trabajo y de hardware
(computadoras, disposi-
tivos de comunicación,
etc.) y el soporte de
software documentados.
Las estaciones de trabajo Algo 2

y otros componentes que
permiten el acceso a la
información confidencial
estén protegidos física-
mente para evitar el
acceso no autorizado.
Los requisitos de la Mucho 1

organización para el
control de acceso físico se
comunicarán formalmen-
te a todos los contratistas
y proveedores de servi-
cios que controlan el
acceso físico al edificio y
las instalaciones, áreas de
trabajo, hardware, y
soporte de software.
La organización verifica Algo 2
54
Siler Amador Donado
D.N.I 72.168.640
formalmente que los

contratistas y los provee-
dores de servicios han
cumplido con los requisi-
tos para el control de
acceso físico.
Tabla 9. Control de Acceso Físico (Área 7)

Área 8. Monitoreo y Auditoría de Seguridad Física:
esta afirmación
reflejada en su
organización?
Los registros de mantenimiento son guar- Mucho 1

dados para documentar la reparación y las
modificaciones de los componentes físicos
de una facilidad.
Las acciones de un individuo o grupo, en lo Mucho 1

que concierne a todos los medios de comu-
nicación físicamente controlados, pueden
ser explicadas.
Los registros de auditoría y de supervisión Mucho 1

se examinan rutinariamente para detectar
anomalías, y que se tomen medidas correc-
tivas cuando sea necesario.
Requisitos de la organización para el se- Mucho 1

guimiento de la seguridad física se
comunicarán formalmente a todos los
contratistas y proveedores de servicios que
55
Siler Amador Donado
D.N.I 72.168.640
controlan el acceso físico al edificio y las

instalaciones, áreas de trabajo, hardware, y
La organización verifica formalmente que Mucho 1

los contratistas y los proveedores de servi-
cios han cumplido con los requisitos para el
monitoreo de la seguridad física.
Tabla 10. Monitoreo y Auditoría de Seguridad Física (Área 8)

Área 9. Gestión de Sistema y Red:
es esta afirmación
reflejada en su
organización?
Están documentados y probados los planes Nada 3

de seguridad para la protección de los siste-
mas y redes.
La información confidencial está protegida Mucho 1

por un almacenamiento seguro (por ejemplo,
las copias de seguridad almacenadas fuera
del sitio).
La integridad del software instalado se Mucho 1

verifica regularmente.
Todos los sistemas están al día con respecto a Mucho 1

las revisiones, parches y recomendaciones en
los avisos de seguridad.
Hay un plan de copia de seguridad de datos Algo 2

documentados y probados para las copias de
56
Siler Amador Donado
D.N.I 72.168.640
seguridad de software y datos. Todo el

personal entiende sus responsabilidades en
virtud de los planes de copia de seguridad.
Los cambios en hardware y software son Algo 2

planeados, controlados y documentados.
Miembros del personal de TI siguen proce- Mucho 1

dimientos al expedir, cambiar, y terminar las
contraseñas de los usuarios, las cuentas y
privilegios; se requiere una identificación de
usuario único para todos los usuarios de
sistemas de información, incluidos los
usuarios de terceros, cuentas predetermina-
das y contraseñas por defecto han sido
eliminados de los sistemas.
Sólo los servicios necesarios se están ejecu- Mucho 1

tando en los sistemas - todos los servicios
innecesarios se han eliminado.
Se utilizan herramientas y mecanismos para Mucho 1

la seguridad del sistema y administración de
la red , y se revisan y actualizan de forma
rutinaria o son reemplazados.
Los requerimientos de la administración de Nada 3

los sistemas y redes relacionados con la
seguridad de la organización son formalmen-
te comunicados a todos los contratistas y
proveedores del servicio que mantienen los
sistemas y las redes.
57
Siler Amador Donado
D.N.I 72.168.640
La organización verifica formalmente que los Mucho 1

contratistas y los proveedores de servicios
han cumplido con los requisitos para el
sistema relacionado con la seguridad y
gestión de red.
Tabla 11. Gestión de Sistema y Red (Área 9)

Área 10. Monitoreo y Auditoría de Seguridad Informática:
esta afirmación
reflejada en su orga-
nización?
Las herramientas de monitoreo y auditoria Algo 2

de los sistemas y redes son rutinariamente
usadas por la organización. Actividad
inusual es tratada de acuerdo con la
política o procedimiento apropiado.
Firewall y otros componentes de seguridad Nada 3

son auditados periódicamente por el
cumplimiento de las políticas.
Requisitos de la organización para el Algo 2

seguimiento de la información de seguri-
dad de tecnología se comunicarán
formalmente a todos los contratistas y
proveedores de servicios que controlan los
sistemas y redes.
La organización verifica formalmente que Nada 3

los contratistas y los proveedores de
servicios han cumplido con los requisitos
58
Siler Amador Donado
D.N.I 72.168.640
para el monitoreo de la seguridad infor-

mática.
Tabla 12. Monitoreo y Auditoría de Seguridad Informática (Área 10)

Área 11. Autenticación y Autorización:
es esta afirmación
reflejada en su
organización?
Controles adecuados de acceso y autentica- Algo 2

ción de usuarios (por ejemplo, los permisos
de archivos, configuración de red) compati-
bles con la política se utilizan para restringir
el acceso de usuarios a la información, los
sistemas sensibles, aplicaciones y servicios
específicos, y las conexiones de red.
Existen políticas y procedimientos para Algo 2

establecer y poner fin al derecho de acceso a
la información, tanto para los individuos y
grupos documentados.
Métodos o mecanismos se proporcionan Mucho 1

para garantizar que la información sensible
no se ha accedido, alterados o destruidos de
forma no autorizada. Métodos o mecanismos
se revisan y verifican periódicamente.
Requisitos de la organización para el control Mucho 1

de acceso a los sistemas y la información se
59
Siler Amador Donado
D.N.I 72.168.640
ofrecen servicios de autenticación y autori-

zación.
La organización verifica formalmente que los Mucho 1

han cumplido los requisitos para la autenti-
cación y autorización.
Tabla 13. Autenticación y Autorización (Área 11)

Área 12. Gestión de Vulnerabilidades:
es esta afirmación
reflejada en su
organización?
Hay una serie documentada de procedimien- Algo 2

tos para la gestión de vulnerabilidades,
incluyendo: selección de herramientas de
evaluación de vulnerabilidad, listas de
comprobación, y escrituras, mantenerse al
día con los tipos de vulnerabilidades conoci-
das y métodos de ataque, revisión de fuentes
de información sobre los avisos de vulnerabi-
lidades, alertas de seguridad, y noticias,
identificación de los componentes de infraes-
tructura a ser evaluados, programación de
las evaluaciones de vulnerabilidad, interpre-
tar y responder a los resultados de la
evaluación, mantener un almacenamiento
seguro y la disposición de los datos de la
vulnerabilidad.
60
Siler Amador Donado
D.N.I 72.168.640
Procedimientos de gestión de la vulnerabili- Algo 2

dad se siguen y se revisan y actualizan
periódicamente.
Evaluaciones de vulnerabilidad Tecnología Algo 2

se realizan en forma periódica, y las vulnera-
bilidades se abordan cuando se identifican.
Requisitos de gestión de la vulnerabilidad de Algo 2

la organización se comunicarán formalmente
a todos los contratistas y proveedores de
servicios que gestionan las vulnerabilidades
tecnológicas.
La organización verifica formalmente que los Algo 2

han cumplido los requisitos para la gestión
de vulnerabilidades.
Tabla 14. Gestión de Vulnerabilidades (Área 12)

Área 13. Cifrado:
esta afirmación
reflejada en su
organización?
Controles de seguridad adecuados se Mucho 1

utilizan para proteger la información
sensible durante el almacenamiento y
durante la transmisión (por ejemplo, el
cifrado de datos, infraestructura de clave
pública, tecnología de red privada virtual).
61
Siler Amador Donado
D.N.I 72.168.640
Protocolos cifrados se usan cuando los Mucho 1

sistemas, enrutadores y servidores de
seguridad se manejan de forma remota.
Requisitos de la organización para la Nada 3

protección de la información sensible se
proporcionan las tecnologías de cifrado.
La organización verifica formalmente que Algo 2

cios han cumplido los requisitos para la
aplicación de tecnologías de cifrado.
Tabla 15. Cifrado (Área 13)

Área 14. Diseño y Arquitectura de Seguridad:
es esta afirmación
reflejada en su
organización?
La arquitectura del sistema y el diseño para Algo 2

sistemas nuevos y revisados incluyen consi-
deraciones para: las estrategias de
seguridad, políticas y procedimientos,
historial de comportamiento de seguridad,
los resultados de las evaluaciones de riesgos
de seguridad.
La organización cuenta con los diagramas Algo 2

actualizados que muestran la arquitectura
de seguridad de toda la empresa y la topolo-
62
Siler Amador Donado
D.N.I 72.168.640
gía de la red.
Requisitos relacionados con la seguridad de Nada 3

la organización se comunicarán formalmen-
te a todos los contratistas y proveedores de
servicios que diseñan sistemas y redes.

cios han cumplido los requisitos para la
arquitectura y el diseño de la seguridad.
Tabla 16. Diseño y Arquitectura de Seguridad (Área 14)

Área 15. Gestión de Incidentes:
jada en su
organización?
Existen procedimientos documentados Nada 3

para la identificación, notificación y
respuesta a incidentes y violaciones de
seguridad sospechosos.
Procedimientos de gestión de incidentes Nada 3

se prueban, verifica y actualiza periódi-
camente.
Existen políticas y procedimientos Mucho 1

documentados para trabajar con las
agencias policiales.
Requisitos de la organización para la Nada 3

gestión de incidentes se comunicarán
63
Siler Amador Donado
D.N.I 72.168.640
formalmente a todos los contratistas y

proveedores de servicios que ofrecen
servicios de gestión de incidentes.

los contratistas y los proveedores de
servicios han cumplido los requisitos para
la gestión de incidencias.
Tabla 17. Gestión de Incidentes (Área 15)

Luego de haber levantado la información, se comienza a detallar cual es el estado
del procedimiento de seguridad para dicha área. Para ello, se tomaron tres
colores: verde (el cual es un estado bueno), naranja (el cual es un estado regu-
lar), y rojo (el cual es un estado malo).
 Verde: La organización está llevando a cabo las prácticas de seguridad en el
Proceso Inscripciones y Admisiones muy bien; no hay necesidad real para la me-
jora.
 Amarillo: La organización está llevando a cabo las prácticas de seguridad en
cierta medida; hay espacio para la mejora.
 Rojo: La organización no se está realizando las prácticas de seguridad en el Pro-
ceso Inscripciones y Admisiones; existe un amplio margen de mejora.
Para la escogencia del color se basó en lo siguiente:

Por ejemplo, el área 1 tiene 4 características a evaluar. Si cada característica
tuviera el mayor valor (el cual es 3=Nada), la suma de todas daría: 3+3+3+3= 12.
Si cada característica tuviera el menor valor (el cual es 1=Mucho), la suma de
todas daría: 1+1+1+1=4. Por lo tanto para definir la escala de escogencia para
esta área, se tomo en cuenta el menor valor que es 4 con el mayor valor que es 12
(es decir el rango [4,5,6,7,8,9,10,11,12]), así que si la suma de todas da 4, 5, o 6,
el color asignado seria Verde. Si la suma de todas da 7, 8, o 9, el color asignado
seria Amarillo. Pero si la suma de todas da 10, 11, o 12, el color asignado seria
Rojo. Esta misma metodología se utilizo para todas las 15 áreas en el momento
de asignar el color para las mismas.
64
Siler Amador Donado
D.N.I 72.168.640
Por lo tanto, los resultados para las diferentes 15 áreas fueron las siguientes:
Área Color de Estado
Área 1. Conciencia y Formación de Seguridad Amarillo
Área 2. Estrategia de Seguridad Amarillo
Área 3. Gestión de la Seguridad Verde
Área 4. Políticas y Reglamentos de Seguridad Rojo
Área 5. Gestión de la Seguridad Colaborativa Amarillo
Área 6. Planes de Contingencia / Recuperación de Desastres Rojo
Área 7. Control de Acceso Físico Amarillo
Área 8. Monitoreo y Auditoría de Seguridad Física Verde
Área 9. Gestión de Sistema y Red Verde
Área 10. Seguimiento y auditoría de Seguridad TI Rojo
Área 11. Autenticación y autorización Verde
Área 12. Gestión de Vulnerabilidades Amarillo
Área 13. Cifrado Amarillo
Área 14. Arquitectura y Diseño de Seguridad Rojo
Área 15. Gestión de Incidentes Rojo
Tabla 18. Color de Estado de cada área
5.4 Selección de Activos Críticos (Paso 5)

Una vez seleccionados todos los activos que hacen parte del proceso Inscripcio-
nes y Admisiones, se procede a seleccionar los activos más importantes de dicho
proceso.
Para esto, se recurrió a las siguientes preguntas:
Qué activos tendrían un gran impacto negativo en la organización si:
 ¿Estos se dan a conocer a las personas no autorizadas?
 ¿Estos son modificados sin autorización?
 ¿Estos se pierden o se destruyen?
 ¿El acceso a ellos se interrumpe?
Como resultado de esto, surgieron quince activos críticos, los cuales son esencia-
les en el proceso de Inscripciones y Admisiones. Estos activos son:
 Los servidores que contienen la plataforma para la publicación de las listas
 Base de datos de personas inscritas
 Sistema integrado de recaudo(SQUID)
 Plataforma de inscripciones
 Sistema que realiza la calificación de las tarjetas de respuesta(maquina lectora)
 Formularios
 Tarjetas de respuestas
 Todo el material empacado y sellado en bolsas de seguridad
 Claves de respuesta (respuestas correctas)
65
Siler Amador Donado
D.N.I 72.168.640
 Archivo cifrado del documento que almacena los puntajes de los aspirantes en orden
descendentes cargado en SIMCA
 Convenio de cooperación interadministrativo suscrito entre la universidad de
Antioquia y la Universidad del Cauca
 Archivos de inscripción
 Credenciales de citación
 Personal de DARCA (Profesional especializado, el universitario)
 Personal de TICS (ingeniero de soporte)
5.5 Activos Críticos de Información, Sistemas, Aplicaciones, y Personas

(Pasos 6, 7, 8, 9, 10, y 11)
Luego de escoger los activos importantes (críticos), se comenzó a tratar cada
activo individualmente, de tal forma que se pudiera levantar más información
con respecto al activo crítico y demás activos relacionados con el mismo; se
justificó la escogencia de cada activo crítico, se describió el porqué es fundamen-
tal para DARCA dicho activo crítico, se observó que activos están relacionados
con el activo crítico, se observo si dicho activo cumplía con los requerimientos de
seguridad(confidencialidad, integridad y disponibilidad), se anotó que requeri-
miento de los mencionados anteriormente es más importante para dicho activo,
y por último se anotó quien(es) utilizan el activo y quien(es) es el responsable del
activo. Se aclara que se centro en los requisitos que deberían ser para el activo
del proceso, mas no en los requisitos que actualmente presenta el proceso.
Primera parte:
Activo Critico Justifica- ¿Quien usa el ¿Quién es res-
ción de activo? ponsable del
selección activo?
del activo
Archivos de Estos tienen División de las tics y División de las tics.
inscripción asociado el DARCA.
tercero al
programa y a
la prioridad.
Sin esta
información
66
Siler Amador Donado
D.N.I 72.168.640
no se podrían
ubicar.
Credenciales de Contienen la DARCA. División de las tics

citación información es el responsable de
del sitio, la generarlas.
ubicación y la
jornada. Si
esto se pierde
la gente
quedara
perdida.
Formularios Es la infor- Solo los aspirantes. Antes del inicio de la

mación base prueba la universi-
para el dad de Antioquia.
proceso, si se Durante la prueba es
pierden DARCA, y en adelan-
habrían te también.
inconveniente
de fraudes.
Tarjetas de res- Es la infor- Universidad de Universidad de

puestas mación base Antioquia. Antioquia.
para el
proceso, si se
pierden
habrían
inconveniente
de fraudes.
Material empaca- Es la infor- Entidad contratada Entidad contratada
67
Siler Amador Donado
D.N.I 72.168.640
do y sellado en mación base para el diseño y la para el diseño y la

bolsas de seguri- para el aplicación de la aplicación de la
dad proceso, si se prueba de admi- prueba de admi-
pierden sión(Universidad de sión(Universidad de
habrían Antioquia) Antioquia)
inconveniente
de fraudes.
Claves de res- Es la infor- Entidad contratada Entidad contratada

puesta mación base para el diseño y la para el diseño y la
(respuestas para el aplicación de la aplicación de la
correctas) proceso, si se prueba de admisión prueba de admi-
pierden (universidad de sión(universidad de
habrían Antioquia), DARCA. Antioquia)
inconveniente
de fraudes y
no se podrían
calificar.
Archivo cifrado Es de gran DARCA TICS

del documento vulnerabili-
que almacena los dad ya que se
puntajes de los podrían
aspirantes. alterar los
resultados.
Convenio de Si falta no se Universidad de Universidad de

cooperación puede llevar a Antioquia y Univer- Antioquia y Univer-
interadministrati- cabo la sidad del Cauca. sidad del Cauca.
vo suscrito entre prueba
la universidad de
Antioquia y la
68
Siler Amador Donado
D.N.I 72.168.640
Universidad del
Cauca.
Los servidores Si se daña se TICS TICS

que contienen la interrumpe el
plataforma para proceso, ya
la publicación de que es el
las listas. mecanismo
que entrega la
información a
la gente.
El sistema que Si este siste- Universidad de Universidad de

realiza la califica- ma tiene un Antioquia Antioquia
ción de las daño, tienen
tarjetas de res- errores los
puesta (maquina resultados.
lectora).
Sistema integrado Si se daña DARCA TICS

de recaudo puede llegar a
(SQUID). impedir la
realización de
las inscrip-
ciones.
Base de datos de Es confiden- DARCA TICS

personas inscri- cial porque
tas. son los datos
de terceros.
Plataforma de Si se cae o se DARCA TICS

daña, los
69
Siler Amador Donado
D.N.I 72.168.640
inscripciones. terceros no
pueden
realizar su
inscripción.
Personal de Tienen Sus habilidades son el desarrollo e integra-

DARCA (Profe- información ción de los procesos y procedimientos, y la
sional muy impor- normatividad institucional.
especializado, el tante
universitario). referente al
proceso de
inscripciones
y admisiones
en DARCA.
Personal de TICS Tienen Sus habilidades son el desarrollo.

(ingeniero de información
soporte). muy impor-
tante
referente al
proceso de
inscripciones
y admisiones
en DARCA.
Tabla 19. Información de Activos Críticos (Primera Parte)

Segunda Parte:
Activo Critico Activos Rela- Requisitos de Requisitos de
cionados Seguridad Seguridad más
Importante
Archivos de ins- Sistemas: Servi- Confidencialidad, Integridad
70
Siler Amador Donado
D.N.I 72.168.640
cripción dores. Integridad, Dis-

ponibilidad.
Aplicaciones:
SIMCA.
Credenciales de Sistemas: Servi- Confidencialidad, Integridad

citación dores. Integridad, Dis-
ponibilidad.
Aplicaciones:
SIMCA.
Formularios Ninguno. Confidencialidad, Confidencialidad

Integridad, Dis-
ponibilidad.
Tarjetas de res- Sistemas: dispo- Confidencialidad, Integridad

puestas sitivo de lectura, Integridad, Dis-
servidor que ponibilidad.
guarda la infor-
mación de la
lectura de las
hojas de tarjetas
de respuesta.
Aplicaciones:
software de
calificación.
Material empacado Transporte o la Confidencialidad, Integridad

y sellado en bolsas cadena de custo- Integridad, Dis-
de seguridad dia. ponibilidad.
Claves de respuesta Ninguno. Confidencialidad, Confidencialidad

(respuestas correc- Integridad, Dis-
71
Siler Amador Donado
D.N.I 72.168.640
tas) ponibilidad.
Archivo cifrado del Sistemas: Servi- Confidencialidad, Integridad

documento que dores. Integridad, Dis-
almacena los ponibilidad.
Aplicaciones:
puntajes de los
SIMCA.
aspirantes.
Convenio de coope- Ninguno. Integridad, Dis- Integridad

ración ponibilidad.
interadministrativo
suscrito entre la
universidad de
Antioquia y la
Universidad del
Cauca.
Los servidores que Ninguno. Confidencialidad, Integridad

contienen la plata- Integridad, Dis-
forma para la ponibilidad.
publicación de las
listas.
El sistema que Ninguno. Integridad, Dis- Integridad

realiza la califica- ponibilidad.
ción de las tarjetas
de respuesta
(maquina lectora).
Sistema integrado Sistemas: Servi- Confidencialidad, Disponibilidad

de recaudo dores. Integridad, Dis-
(SQUID). ponibilidad.
72
Siler Amador Donado
D.N.I 72.168.640
Base de datos de Sistemas: Servi- Confidencialidad, Confidencialidad

personas inscritas. dores. Integridad, Dis-
ponibilidad.
Plataforma de Sistemas: Servi- Confidencialidad, Disponibilidad

inscripciones. dores. Integridad, Dis-
ponibilidad.
Personal de Aplicaciones: Disponibilidad Disponibilidad

DARCA (Profesio- SIMCA (plata-
nal especializado, el forma
universitario). administrativa).
Información:
convenio, y el
desarrollo de los
procesos y pro-
cedimiento de la
contraparte y lo
demás que usen.
Personal de TICS Sistemas: servi- Disponibilidad Disponibilidad

(ingeniero de dores e
soporte). información
almacenada.
Aplicaciones:
bases de datos,
SIMCA, SQUID,
correo electróni-
co institucional.
Tabla 20. Información de Activos Críticos (Segunda Parte)
73
Siler Amador Donado
D.N.I 72.168.640
5.6 Perfil de riesgo de Información – Perfil de riesgo básico (Paso 12)

En este paso se procede a determinar si existen o podrían existir en un futuro
posibles amenazas para un activo. Entonces se manejan varios criterios de
amenaza:
● Tipo de Acceso: El tipo de acceso al activo podría ser por medio de
la red, o por medio físico.
● Tipo de Actor: El tipo de actor podría ser interno a DARCA (fun-

cionario), o externo a DARCA (un tercero).
● Motivo: El motivo del ataque o amenaza podría ser accidental o de-

liberada.
● Resultado: Los resultados que podría provocar la amenaza si resul-

ta exitosa son: revelación, modificación, pérdida/destrucción,
interrupción.

Activo Tipo Tipo de Motivo Resultado
de Actor
Acce-
so
Archivos de Red Dentro, fuera. Accidental, Revelación, modifi-

inscripción Delibera- cación, perdi-
do. perdi-
da/destrucción,
interrupción.
Credenciales de Red Dentro, fuera. Accidental, Revelación, modifi-

citación Delibera- cación, perdi-
do. perdi-
da/destrucción,
74
Siler Amador Donado
D.N.I 72.168.640
interrupción.
Formularios Físico Dentro, fuera. Accidental, Revelación, modifi-

Delibera- cación, perdi-
do. perdi-
da/destrucción,
interrupción.
Tarjetas de res- Físico Dentro, fuera. Accidental, Revelación, modifi-

puestas Delibera- cación, perdi-
do. perdi-
da/destrucción,
interrupción.
Material empaca- Físico Dentro, fuera. Accidental, Revelación, modifi-

do y sellado en Delibera- cación, perdi-
bolsas de seguri- do. perdi-
dad da/destrucción,
interrupción.
Claves de respues- Red Dentro, fuera. Accidental, Revelación, modifi-

ta (respuestas Delibera- cación, perdi-
correctas) do. perdi-
da/destrucción,
interrupción.
Archivo cifrado del Red Dentro, fuera. Accidental, Revelación, modifi-

documento que Delibera- cación, perdi-
almacena los do. perdi-
puntajes de los da/destrucción,
aspirantes. interrupción.
Convenio de Físico Dentro, fuera. Accidental, Revelación, modifi-
75
Siler Amador Donado
D.N.I 72.168.640
cooperación Delibera- cación, perdi-

interadministrati- do. da/destrucción,
vo suscrito entre la interrupción.
universidad de
Antioquia y la
Universidad del
Cauca.
Los servidores que Red, Dentro, fuera. Accidental, Revelación, modifi-

contienen la Físico. Delibera- cación, perdi-
plataforma para la do. perdi-
publicación de las da/destrucción,
listas. interrupción.
El sistema que Físico Dentro, fuera. Accidental, Revelación, modifi-

realiza la califica- Delibera- cación, perdi-
ción de las tarjetas do. perdi-
de respuesta da/destrucción,
(maquina lectora). interrupción.
Sistema integrado Red Dentro, fuera. Accidental, Revelación, modifi-

de recaudo Delibera- cación, perdi-
(SQUID). do. perdi-
da/destrucción,
interrupción.
Base de datos de Red Dentro, fuera. Accidental, Revelación, modifi-

personas inscritas. Delibera- cación, perdi-
do. perdi-
da/destrucción,
interrupción.
76
Siler Amador Donado
D.N.I 72.168.640
Plataforma de Red Dentro, fuera. Revelación, modifi-

inscripciones. cación, perdi-
perdi-
da/destrucción,
interrupción.
Personal de No Tomar per- No aplica Revelación, modifi-

DARCA (Profesio- aplica miso de cación, perdi-
nal especializado, ausencia perdi-
el universitario). temporal da/destrucción,
(debido a una interrupción.
enfermedad,
discapaci-
dad), dejar
DARCA de
forma per-
manente
(jubilación),
amenazas que
afecten a un
tercero o
proveedor de
servicios.
Personal de TICS No Tomar per- No aplica Revelación, modifi-

(ingeniero de aplica miso de cación, perdi-
soporte). ausencia perdi-
temporal da/destrucción,
(debido a una interrupción.
enfermedad,
discapaci-
77
Siler Amador Donado
D.N.I 72.168.640
dad), dejar
DARCA de
forma per-
manente
(jubilación),
amenazas que
afecten a un
tercero o
proveedor de
servicios.
Tabla 21. Perfil de riesgo Básico
5.7 Perfil de riesgo de Información - Contexto de la amenaza (Pasos 13, 14,

15)
El objetivo en el paso 13 fue encontrar los actores que plantean las mayores
amenazas al activo crítico a través del acceso a la red y a través del acceso físico.
En el paso 14, el objetivo fue analizar qué tan fuerte era el motivo de los actores
(definidos en el paso anterior) para plantear amenazas a los activos. Se evaluó
como alto, medio, bajo.
El objetivo en el paso 15 fue encontrar con qué frecuencia han ocurrido las
amenazas (descubiertas en el paso 12) en el pasado. Para este paso fue esencial
leer sobre algunos datos históricos de DARCA.
Los resultados son los siguientes (acceso a través de la red):
Activo Critico ¿Qué actores ¿Qué tan fuer- ¿Con qué fre-
plantean las te es el motivo cuencia ha
mayores ame- del actor? ocurrido esta
nazas a esta amenaza en el
información a pasado?
través de la red?
78
Siler Amador Donado
D.N.I 72.168.640
Archivo cifrado Funcionarios de alto 0 veces en 2 años

del documento DARCA con privi-
que almacena los legios.
puntajes de los
aspirantes.
Archivos de Funcionarios de medio 0 veces en 2 años

inscripción DARCA utilizando
la plataforma
administrativa que
permite modificar
datos de inscrip-
ción. Las tics
cuando adminis-
tran la base de
datos. UDEA
accidentalmente
podría modificar
los archivos de
inscripción al
manipularlos.
Credenciales de Personal de tics, alto 0 veces en 2 años

citación UDEA.
Los servidores que Personal de servi- alto 0 veces en 3 años

contienen la dores, TICS,
plataforma para la Agente externo
publicación de las (Ataque DOS)
listas.
Sistema integrado TICS, División Alto 0 veces en 3 años
79
Siler Amador Donado
D.N.I 72.168.640
de recaudo Financiera, Admi-

(SQUID). nistrador de Base
de Datos, Entida-
des de recaudo.
Base de datos de Administrador de Alto 0 veces en 3 años

personas inscritas. Base de datos,
DARCA, TICS,
UDEA.
Plataforma de TICS, agente Alto 0 veces en 3 años

inscripciones. externo (ataque
DOS).
Tabla 22. Contexto de la Amenaza (Acceso a través de la red)

Los resultados son los siguientes (acceso físico):
Activo Critico ¿Qué actores ¿Qué tan ¿Con qué fre-
plantean las fuerte es el cuencia ha
mayores ame- motivo del ocurrido esta
nazas a esta actor? amenaza en el
información a pasado?
través de me-
dios físicos?
Los servidores que Personal de Alto 0 veces en 3 años

contienen la plata- servidores.
forma para la
publicación de las
listas.
El sistema que UDEA Alto 0 veces en 2 años

realiza la califica-
ción de las tarjetas
80
Siler Amador Donado
D.N.I 72.168.640
de respuesta (ma-
quina lectora).
Convenio de coope- Personal de Bajo 0 veces en 2 años

ración DARCA que
interadministrativo gestiona el docu-
suscrito entre la mento, personal
universidad de perteneciente a la
Antioquia y la entidad contrata-
Universidad del da
Cauca.
Formularios UDEA, empresa Bajo 0 veces en 2 años

trasportadora.
Tarjetas de respues- Agente externo Alto 0 veces en 2 años

tas que quiera pasar
ilícitamente a la
Unicauca.
Material empacado Personal que tiene Alto 0 veces en 2 años

y sellado en bolsas a cargo el material
de seguridad (ya se ha presen-
tado la prueba),
personal de la
entidad contrata-
da (antes de que
se procese el
material).
Claves de respuesta No hay. bajo 0 veces en 2 años

(respuestas correc-
81
Siler Amador Donado
D.N.I 72.168.640
tas)
Tabla 23. Contexto de la Amenaza (Acceso Físico)
5.8 Perfil de riesgo de Información - Áreas de preocupación (Paso 16)

En esta parte se construyeron ejemplos de cómo los actores tanto internos como
externos, y bien sea deliberada o accidentalmente podrían amenazar el activo
crítico por medio de la red o físicamente. Esto con el fin de tener una idea de las
diferentes amenazas que podrían surgir en el proceso de Inscripciones y Admi-
siones.
5.9 Rutas de acceso a la Red (Pasos 17 y 18)

En estos pasos se procede a levantar la información del sistema o los sistemas
que están estrechamente relacionados con el activo crítico, esto con el fin de ver
si existen rutas de acceso por medio de la red para acceder al activo crítico. Un
ejemplo de estos sistemas es:
 El sistema en el que el activo crítico reside
 El sistema a donde se iría para obtener una copia oficial del activo crítico
 El sistema que ofrece a los usuarios legítimos el acceso a un activo crítico
 El sistema que le da un acceso al actor de amenaza a un activo crítico
Luego de hallar los sistemas de interés se procede a analizar qué clases de com-
ponentes son parte del sistema de interés, que clases de componentes se utilizan
para transmitir información y aplicaciones desde el sistema de interés para la
gente, que clases de componentes pueden las personas (por ejemplo, los usua-
rios, los atacantes) usar para acceder al sistema de interés, y en qué clase de
componentes está la información del sistema de interés almacenados como copia
de seguridad. Un ejemplo de estas clases de componentes son los servidores,
redes internas/externas, sede de estaciones de trabajo, laptops,
PDAs/Componentes inalámbricos, Hogar/Estaciones de trabajo externos,
Dispositivos de almacenamiento, etc.
82
Siler Amador Donado
D.N.I 72.168.640
Activo Sistema Clases de Clases de Clases de Clase de

o siste- componen- componen- componen- componen-
mas que tes que son tes que se tes desde tes en
están parte del utilizan donde las donde la
relacio- sistema de para trans- personas informa-
nados interés. mitir (los usua- ción del
con el informa- rios, los sistema de
activo ción y atacantes) interés está
crítico. aplicacio- pueden almacenada
nes desde el acceder al como copia
sistema de sistema de de seguri-
interés para intereses dad.
la gente.
Archivo SIMCA, el Servidores, Redes exter- Sede de Dispositivos

cifrado sistema redes internas estaciones de de almace-
que que lo nas, trabajo namiento.
almacena cifra. computado-
los res.
puntajes
Archivos SIMCA, Servidores, Redes exter- Portátiles, Dispositivos

de SQUID. redes internas PDAs/ com- de almace-
Inscrip- nas, ponentes namiento.
ción estaciones de inalámbricos.
trabajo.
Creden- SIMCA Servidores, Redes exter- Sede de Dispositivos

ciales de redes internas. estaciones de de almace-
citación. nas. trabajo (redes namiento
internas).
83
Siler Amador Donado
D.N.I 72.168.640
Los Platafor- Redes inter- Redes exter- Portátiles, Ninguno

servido- ma para nas nas. PDAs/ com-
res que publica- ponentes
contie- ción de las inalámbricos.
nen la listas
plata-
forma
para la
publica-
ción de
las listas.
Sistema SIMCA Servidores, Redes exter- Portátiles, Ninguno

integrado redes internas. PDAs/ com-
de nas. ponentes
recaudo inalámbricos.
(SQUID).
Base de servidor Servidores, Redes exter- Portátiles, Dispositivos

datos de redes internas. PDAs/ com- de almace-
personas nas. ponentes namiento
inscritas. inalámbricos.
Plata- servidor Servidores, Redes exter- Portátiles, Ninguno

forma de redes internas. PDAs/ com-
inscrip- nas. ponentes
ciones. inalámbricos.
Tabla 24. Rutas de Acceso a la Red
5.10 Revisión de la infraestructura (Pasos 19, 20, y 21)

Luego de haber encontrado todos los sistemas y/o clase de componentes que
están muy relacionados con los activos críticos, se procede a determinar quien o
84
Siler Amador Donado
D.N.I 72.168.640
quienes son los responsables de mantener y asegurar cada sistema y/o clase de
componente. También se determinó hasta qué punto se considera la seguridad
durante la configuración y mantenimiento de cada clase de componente y/o
sistema, tomando como referencia las variables “Mucho”, “Algo”, “Nada”, “No se
sabe”.
Clase de Activos críticos Responsables Grado de segu-
componentes relacionados de mantener y ridad durante
asegurar cada la configura-
clase de com- ción y
ponente mantenimiento
de cada clase
de componen-
tes.
Servidores Archivo cifrado del DBA(tics) No se sabe.

Específicos documento que
almacena los punta-
jes, Archivos de
Inscripción, Creden-
ciales de citación,
Servidores que con-
tienen la plataforma
para la publicación de
las listas, Base de
datos de personas
inscritas, Plataforma
de inscripciones,
Sistema integrado de
recaudo (SQUID).
Oficina de Archivo cifrado del Profesional Mucho.
85
Siler Amador Donado
D.N.I 72.168.640
admisiones documento que especializado

almacena los punta-
jes, Servidores que
contienen la plata-
forma para la
publicación de las
listas, Plataforma de
inscripciones, Sistema
integrado de recaudo
(SQUID).
Oficina de Archivo cifrado del Coordinador. Mucho.

SIMCA documento que
almacena los punta-
jes, Servidores que
contienen la plata-
forma para la
publicación de las
listas, Plataforma de
inscripciones.
Oficina de Archivos de Inscrip- Personal asigna- Mucho.

sistemas TICS ción, Credenciales de do a la labor.
citación, Servidores
que contienen la
plataforma para la
publicación de las
listas, Base de datos
de personas inscritas,
Plataforma de ins-
cripciones.
86
Siler Amador Donado
D.N.I 72.168.640
Oficina financie- Sistema integrado de Personal asigna- Mucho.

ra recaudo (SQUID). do a la labor.
Tabla 25. Revisión de la Infraestructura
5.11 Perfil de riesgo de Información - Impacto potencial de amenazas (Paso

22)
En este paso se procede a medir el impacto potencial al ocurrir amenazas (des-
critas en el paso 12) en cada sector de aplicación (reputación, finanzas,
productividad, seguridad/salud) en DARCA. Se evaluó mediante las medidas
bajo, medio, y alto en la parte cualitativa, y 1, 2, y 3 en la parte cuantitativa
(respectivamente). Lo anterior se midió con respecto al paso doce, en donde se
señalan las posibles amenazas al activo crítico que se podrían presentar en algún
momento. Por ejemplo si existe una persona que por medio de la red accede al
activo crítico accidentalmente y provocó una pérdida de este, el impacto que
ocasiona en el sector de productividad es alto. Esto se hizo para todos los quince
activos críticos.
Para el activo Archivo cifrado del documento que almacena los punta-
jes:
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Revelación A B B B 6
Red Interno Accidental Modificación A B B B 6
Red Interno Accidental Perdida/Destrucción A B B B 6
Red Interno Accidental Interrupción B B B B 4
Red Interno Deliberado Revelación A B M B 7
Red Interno Deliberado Modificación A B M B 7
Red Interno Deliberado Perdida/Destrucción A B A B 8
Red Interno Deliberado Interrupción A B M B 7
Red Externo Accidental Revelación A B B B 6
Red Externo Accidental Modificación A B B B 6
Red Externo Accidental Perdida/Destrucción A B B B 6
Red Externo Accidental Interrupción B B B B 4
Red Externo Deliberado Revelación A B B B 6
Red Externo Deliberado Modificación A B B B 6
Red Externo Deliberado Perdida/Destrucción A A B B 8
Red Externo Deliberado Interrupción A B B B 6
87
Siler Amador Donado
D.N.I 72.168.640
Tabla 26. Impacto potencial de amenazas Archivo cifrado del docu-

mento que almacena los puntajes
Para el activo Archivos de inscripción:
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Revelación A B B B 6
Red Interno Accidental Modificación A B B B 6
Red Interno Accidental Perdida/Destrucción A A B B 8
Red Interno Deliberado Revelación A B B B 6
Red Interno Deliberado Modificación A B B B 6
Red Interno Deliberado Perdida/Destrucción A A B B 8
Red Interno Deliberado Interrupción A B M B 7
Red Externo Accidental Revelación A B B B 6
Red Externo Accidental Modificación A B B B 6
Red Externo Accidental Perdida/Destrucción A A B B 8
Red Externo Deliberado Revelación A A B B 8
Red Externo Deliberado Modificación A B M B 7
Red Externo Deliberado Perdida/Destrucción A A A B 10
Red Externo Deliberado Interrupción A B B B 6
Tabla 27. Impacto potencial de amenazas Archivos de inscripción
Para el activo Claves de respuestas:
Produc
Motivo
tividad
Acceso
Punta-
Seguir
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Revelación B B B B 4
Red Interno Accidental Modificación B B B B 4
Red Interno Accidental Perdida/Destrucción B B B B 4
Red Interno Deliberado Revelación B B B B 4
Red Interno Deliberado Modificación B B B B 4
Red Interno Deliberado Perdida/Destrucción B B B B 4
Red Interno Deliberado Interrupción B B B B 4
Red Externo Accidental Revelación B B B B 4
Red Externo Accidental Modificación B B B B 4
Red Externo Accidental Perdida/Destrucción B B B B 4
Red Externo Deliberado Revelación B B B B 4
Red Externo Deliberado Modificación B B B B 4
Red Externo Deliberado Perdida/Destrucción B B B B 4
Red Externo Deliberado Interrupción B B B B 4
Tabla 28. Impacto potencial de amenazas Claves de respuesta
Para el activo Convenio de cooperación interadministrativo:
88
Siler Amador Donado
D.N.I 72.168.640
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Físico Interno Accidental Revelación B B B B 4
Físico Interno Accidental Modificación B B B B 4
Físico Interno Accidental Perdida/Destrucción B B B B 4
Físico Interno Accidental Interrupción A A A B 10
Físico Interno Deliberado Revelación B B B B 4
Físico Interno Deliberado Modificación B B B B 4
Físico Interno Deliberado Perdida/Destrucción B B B B 4
Físico Interno Deliberado Interrupción A A A B 10
Físico Externo Accidental Revelación B B B B 4
Físico Externo Accidental Modificación B B B B 4
Físico Externo Accidental Perdida/Destrucción B B B B 4
Físico Externo Accidental Interrupción A A A B 10
Físico Externo Deliberado Revelación B B B B 4
Físico Externo Deliberado Modificación B B B B 4
Físico Externo Deliberado Perdida/Destrucción B B B B 4
Físico Externo Deliberado Interrupción A A A B 10
Tabla 29. Impacto potencial de amenazas Convenio de cooperación
interadministrativo
Para el activo Credenciales de citación:
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Modificación A B M B 7
Red Interno Accidental Perdida/Destrucción A B M B 7
Red Interno Accidental Interrupción M B M B 6
Red Interno Deliberado Modificación A B M B 7
Red Interno Deliberado Perdida/Destrucción A B M B 7
Red Interno Deliberado Interrupción M B M B 6
Red Externo Accidental Modificación A B M B 7
Red Externo Accidental Perdida/Destrucción A B M B 7
Red Externo Accidental Interrupción M B M B 6
Red Externo Deliberado Modificación A B M B 7
Red Externo Deliberado Perdida/Destrucción A B M B 7
Red Externo Deliberado Interrupción M B M B 6
Tabla 30. Impacto potencial de amenazas Credenciales de citación
Para el activo Formularios:
89
Siler Amador Donado
D.N.I 72.168.640
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Físico Interno Accidental Revelación A A A B 10
Físico Interno Accidental Modificación A A A B 10
Físico Interno Accidental Perdida/Destrucción B B A B 6
Físico Interno Accidental Interrupción B B A B 6
Físico Interno Deliberado Revelación A A A B 10
Físico Interno Deliberado Modificación A A A B 10
Físico Interno Deliberado Perdida/Destrucción B B A B 6
Físico Interno Deliberado Interrupción B B A B 6
Físico Externo Accidental Revelación A A A B 10
Físico Externo Accidental Modificación A A A B 10
Físico Externo Accidental Perdida/Destrucción A A A B 10
Físico Externo Accidental Interrupción B B B B 4
Físico Externo Deliberado Revelación A A A B 10
Físico Externo Deliberado Modificación A A A B 10
Físico Externo Deliberado Perdida/Destrucción A A A B 10
Físico Externo Deliberado Interrupción B B B B 4
Tabla 31. Impacto potencial de amenazas Formularios
Para el activo Material empacado y sellado en bolsas de seguridad:
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Físico Interno Accidental Revelación B A B B 6
Físico Interno Accidental Perdida/Destrucción A A A B 10
Físico Interno Accidental Interrupción M M M B 7
Físico Interno Deliberado Revelación B A B B 6
Físico Interno Deliberado Perdida/Destrucción A A A B 10
Físico Interno Deliberado Interrupción M M M B 7
Físico Externo Accidental Revelación B A B B 6
Físico Externo Accidental Interrupción M M M B 7
Físico Externo Deliberado Revelación B A B B 6
Físico Externo Deliberado Interrupción M M M B 7
Tabla 32. Impacto potencial de amenazas Material empacado y sella-
do en bolsas de seguridad
Para el activo Tarjetas de Respuesta Diligenciadas:
90
Siler Amador Donado
D.N.I 72.168.640
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Físico Interno Accidental Revelación A A B B 8
Físico Interno Accidental Interrupción B B B B 4
Físico Interno Deliberado Revelación A A B B 8
Físico Interno Deliberado Interrupción B B B B 4
Físico Externo Accidental Revelación A A B B 8
Físico Externo Accidental Interrupción B B B B 4
Físico Externo Deliberado Revelación A A B B 8
Físico Externo Deliberado Interrupción B B B B 4
Tabla 33. Impacto potencial de amenazas Tarjetas de Respuesta
Diligenciadas
Para el activo Servidores que contienen la plataforma para la publica-
ción de las listas (red y físico):
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Modificación A A M B 9
Red Interno Accidental Perdida/Destrucción A A A B 10
Red Interno Accidental Interrupción A M M B 8
Red Interno Deliberado Modificación A A M B 9
Red Interno Deliberado Perdida/Destrucción A A A B 10
Red Interno Deliberado Interrupción A M M B 8
Red Externo Accidental Modificación A A M B 9
Red Externo Accidental Perdida/Destrucción A A A B 10
Red Externo Accidental Interrupción A M M B 8
91
Siler Amador Donado
D.N.I 72.168.640
Red Externo Deliberado Modificación A A M B 9

Red Externo Deliberado Interrupción A M M B 8
Tabla 34. Impacto potencial de amenazas Servidores que contienen la
plataforma para la publicación de las listas (red)
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Físico Interno Accidental Modificación A A M B 9
Físico Interno Accidental Interrupción A M M B 8
Físico Interno Deliberado Modificación A A M B 9
Físico Interno Deliberado Interrupción A M M B 8
Físico Externo Accidental Modificación A A M B 9
Físico Externo Accidental Interrupción A M M B 8
Físico Externo Deliberado Modificación A A M B 9
Físico Externo Deliberado Interrupción A M M B 8
Tabla 35. Impacto potencial de amenazas Servidores que contienen la
plataforma para la publicación de las listas (físico)
Para el activo Sistema que realiza la calificación de las tarjetas de res-

puesta (maquina lectora):
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je

Físico Interno Accidental Modificación B B A B 6
Físico Interno Accidental Perdida/Destrucción B A A B 8
Físico Interno Accidental Interrupción M B M B 6
Físico Interno Deliberado Modificación B B A B 6
Físico Interno Deliberado Perdida/Destrucción B A A B 8
92
Siler Amador Donado
D.N.I 72.168.640
Físico Interno Deliberado Interrupción M B M B 6

Físico Externo Accidental Modificación B B A B 6
Físico Externo Accidental Perdida/Destrucción B A A B 8
Físico Externo Accidental Interrupción M B M B 6
Físico Externo Deliberado Modificación B B A B 6
Físico Externo Deliberado Perdida/Destrucción B A A B 8
Físico Externo Deliberado Interrupción M B M B 6
Tabla 36. Impacto potencial de amenazasSistema que realiza la califi-
cación de las tarjetas de respuesta (maquina lectora)
Para el activo Base de datos de personas inscritas:

Motivo
ductivi
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
Pro-
dad
dad
de
je
Red Interno Accidental Modificación A A A B 10
Red Interno Accidental Perdida/Destrucción A M A B 9
Red Interno Accidental Interrupción M M M B 7
Red Interno Deliberado Modificación A A A B 10
Red Interno Deliberado Perdida/Destrucción A M A B 9
Red Interno Deliberado Interrupción M M M B 7
Red Externo Accidental Modificación A A A B 10
Red Externo Accidental Perdida/Destrucción A M A B 9
Red Externo Accidental Interrupción M M M B 7
Red Externo Deliberado Modificación A A A B 10
Red Externo Deliberado Perdida/Destrucción A M A B 9
Red Externo Deliberado Interrupción M M M B 7
Tabla 37. Impacto potencial de amenazas Base de datos de personas
inscritas
Para el activo Plataforma de inscripciones:
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je

Red Interno Accidental Modificación A A A B 10
93
Siler Amador Donado
D.N.I 72.168.640
Red Interno Accidental Perdida/Destrucción A A A B 10

Red Interno Accidental Interrupción A B A B 8
Red Interno Deliberado Modificación A A A B 10
Red Interno Deliberado Perdida/Destrucción A A A B 10
Red Interno Deliberado Interrupción A B A B 8
Red Externo Accidental Modificación A A A B 10
Red Externo Accidental Perdida/Destrucción A A A B 10
Red Externo Accidental Interrupción A B A B 8
Red Externo Deliberado Modificación A A A B 10
Red Externo Deliberado Interrupción A B A B 8
Tabla 38. Impacto potencial de amenazas Plataforma de inscripcio-
nes
Para el activo Sistema integrado de recaudo (SQUID):
Produc
Motivo
tividad
Acceso
Punta-
Seguri
Resul-
tación
Repu-
Finan
Actor
ciero
Tipo
tado
dad
de
je
Red Interno Accidental Modificación B B B B 4
Red Interno Accidental Perdida/Destrucción B B B B 4
Red Interno Deliberado Modificación B B B B 4
Red Interno Deliberado Perdida/Destrucción B B B B 4
Red Interno Deliberado Interrupción B B B B 4
Red Externo Accidental Modificación B B B B 4
Red Externo Accidental Perdida/Destrucción B B B B 4
Red Externo Deliberado Modificación B B B B 4
Red Externo Deliberado Perdida/Destrucción B B B B 4
Red Externo Deliberado Interrupción B B B B 4
Tabla 39. Impacto potencial Sistema integrado de recaudo (SQUID)
Para el activo Personal de DARCA (Profesional especializado, el uni-
versitario):
94
Siler Amador Donado
D.N.I 72.168.640
Produc
Motivo
tividad
Punta-
Seguri
tación
Repu-
Finan
Actor
ciero
dad
je
personas clave que toman un Revelación B B B B 4
permiso de ausencia tempo- Modificación B B B B 4
ral(por ejemplo, debido a una Perdida/Destrucción B B B B 4
enfermedad, discapacidad) Interrupción B B B B 4
personas clave que dejan la Revelación B B B B 4
organización de forma permanen-Modificación B B B B 4
te (por ejemplo, jubilación, otras
Perdida/Destrucción B B B B 4
oportunidades) Interrupción B B B B 4
amenazas que afectan a un terce-
Revelación B B B B 4
ro o proveedor de servicios Modificación A B B B 6
Perdida/Destrucción A A A B 10
Interrupción A B M B 7
Tabla 40. Impacto potencial de amenazas Personal de DARCA (Profe-
sional especializado, el universitario)
Para el activo Personal de TICS (ingeniero de soporte):
Produc
Motivo
tividad
Punta-
Seguri
tación
Repu-
Finan
Actor
ciero
dad
je
personas clave que toman un Revelación B B B B 4
permiso de ausencia tempo- Modificación B B B B 4
ral(por ejemplo, debido a una Perdida/Destrucción B B B B 4
enfermedad, discapacidad) Interrupción B B B B 4
personas clave que dejan la Revelación B B B B 4
organización de forma permanen-
Modificación B B B B 4
te (por ejemplo, jubilación, otras
Perdida/Destrucción B B B B 4
oportunidades) Interrupción B B B B 4
amenazas que afectan a un terce-
Revelación B B B B 4
ro o proveedor de servicios Modificación A B B B 6
Perdida/Destrucción A A A B 10
Interrupción A B M B 7
Tabla 41. Impacto potencial de amenazas Personal de TICS (ingenie-
ro de soporte)
5.12 Criterios de Evaluación de Probabilidad (paso 23)

En este paso se definieron las medidas de probabilidad basados en que tan
frecuente pueden ocurrir las amenazas para un activo crítico. Para ello se retomó
95
Siler Amador Donado
D.N.I 72.168.640
los tipos de amenazas a los activos críticos y la frecuencia con que cada amenaza
en el pasado ocurría. Como resultado de esto se determinó la frecuencia con la
que debe producirse una amenaza para ser considerada una amenaza de alta,
media, o baja probabilidad.
Anual
Tiem-
Frecu
Crite-
even-
entre
encia
tos
rio
po
Diario 365
Semanal 52
Alto
Mensual 12
Cuatro veces al año 4
Dos veces al año 2
Una vez al año 1 Medio
Una vez cada 2 años 0.5
Bajo
Tabla 42. Criterios de Evaluación de Probabilidad
5.13 Perfil de riesgo de Información - Probabilidad de ocurrencia de ame-

nazas (Paso 24)
En este paso se procede a determinar qué tan probable es que se produzca la
amenaza en el futuro, en donde nos referimos a las amenazas detectadas en el
paso 12. Para evaluar dicha probabilidad se basó en la información contextual
acerca de los actores de amenaza (paso 13), el motivo de acciones deliberadas
por parte de actores humanos (paso 14), la historia de cada amenaza a los activos
(paso 15), las áreas de preocupación (paso 16), y los criterios de evaluación de
probabilidad (paso 23). Las medidas que se tuvieron en cuenta para medir la
probabilidad son alto, medio y bajo para la parte cualitativa, y 3, 2, 1 para la
parte cuantitativa (respectivamente).
Para el activo Archivo cifrado del documento que almacena los punta-
jes:
96
Siler Amador Donado
D.N.I 72.168.640
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je
Red Interno Accidental Revelación B 1
Red Interno Accidental Modificación B 1
Red Interno Accidental Perdida/Destrucción B 1
Red Interno Accidental Interrupción B 1
Red Interno Deliberado Revelación B 1
Red Interno Deliberado Modificación B 1
Red Interno Deliberado Perdida/Destrucción B 1
Red Interno Deliberado Interrupción B 1
Red Externo Accidental Revelación B 1
Red Externo Accidental Modificación B 1
Red Externo Accidental Perdida/Destrucción B 1
Red Externo Accidental Interrupción B 1
Red Externo Deliberado Revelación B 1
Red Externo Deliberado Modificación B 1
Red Externo Deliberado Perdida/Destrucción B 1
Red Externo Deliberado Interrupción B 1
Tabla 43. Probabilidad Archivo cifrado del documento que almacena
los puntajes
Para el activo Archivos de inscripción:

Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je
97
Siler Amador Donado
D.N.I 72.168.640

Tabla 44. Probabilidad Archivos de inscripción
Para el activo Claves de respuestas:
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je
Tabla 45. Probabilidad Claves de respuestas
Para el activo Convenio de cooperación interadministrativo:
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je

98
Siler Amador Donado
D.N.I 72.168.640

Tabla 46. Probabilidad Convenio de cooperación interadministrativo
Para el activo Credenciales de citación:
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je
Tabla 47. Probabilidad Credenciales de citación
Para el activo Formularios:
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je

99
Siler Amador Donado
D.N.I 72.168.640

Tabla 48. Probabilidad Formularios
Para el activo Material empacado y sellado en bolsas de seguridad:
Motivo
bilidad
Acceso
Proba-
Punta-
Resul-
Actor
Tipo
tado
de
je
Tabla 49. Probabilidad Material empacado y sellado en bolsas de
seguridad
Para el activo Tarjetas de Respuesta Diligenciadas:
Motivo
bilidad
Acceso
Punta-
Resul-
Proba
Actor
Tipo
tado
de
je

100
Siler Amador Donado
D.N.I 72.168.640

Tabla 50. Probabilidad Tarjetas de Respuesta Diligenciadas
Para el activo Servidores que contienen la plataforma para la publica-
ción de las listas:
Tipo Actor Motivo Resultado Probabili- Punta-
de dad je
Acce-
so
Red Interno Accidental Perdi- B 1
da/Destrucción
Red Interno Delibera- Revelación B 3
do
Red Interno Delibera- Modificación B 3
do
Red Interno Delibera- Perdi- B 3
do da/Destrucción
Red Interno Delibera- Interrupción B 3
do
Red Ex- Accidental Revelación B 1
terno
Red Ex- Accidental Modificación B 1
terno
Red Ex- Accidental Perdi- B 1
terno da/Destrucción
Red Ex- Accidental Interrupción B 1
terno
Red Ex- Delibera- Revelación B 3
terno do
Red Ex- Delibera- Modificación B 3
terno do
Red Ex- Delibera- Perdi- B 3
terno do da/Destrucción
Red Ex- Delibera- Interrupción B 3
101
Siler Amador Donado
D.N.I 72.168.640
terno do
Tabla 51. Probabilidad Servidores que contienen la plataforma para
la publicación de las listas (red)

de dad je
Acce-
so
Físico Interno Accidental Revelación B 1
Físico Interno Accidental Modificación B 1
Físico Interno Accidental Perdi- B 1
da/Destrucción
Físico Interno Accidental Interrupción B 1
Físico Interno Delibera- Revelación B 3
do
Físico Interno Delibera- Modificación B 3
do
Físico Interno Delibera- Perdi- B 3
do da/Destrucción
Físico Interno Delibera- Interrupción B 3
do
Físico Ex- Accidental Revelación B 1
terno
Físico Ex- Accidental Modificación B 1
terno
Físico Ex- Accidental Perdi- B 1
Físico Ex- Accidental Interrupción B 1
terno
Físico Ex- Delibera- Revelación B 3
terno do
Físico Ex- Delibera- Modificación B 3
terno do
Físico Ex- Delibera- Perdi- B 3
Físico Ex- Delibera- Interrupción B 3
terno do
Tabla 52. Probabilidad Servidores que contienen la plataforma para
la publicación de las listas (físico)
Para el activo Sistema que realiza la calificación de las tarjetas de res-

puesta (maquina lectora):
102
Siler Amador Donado
D.N.I 72.168.640
de dad je
Acce-
so
da/Destrucción
do
do
do da/Destrucción
do
terno
terno
terno
terno do
terno do
terno do
Tabla 53. Probabilidad Sistema que realiza la calificación de las
tarjetas de respuesta (maquina lectora)
Para el activo Base de datos de personas inscritas:

de dad je
Acce-
so
da/Destrucción
103
Siler Amador Donado
D.N.I 72.168.640

do
do
do da/Destrucción
do
Red Ex- Accidental
Revelación B 1
terno
terno
terno
terno do
terno do
terno do
Tabla 54. Probabilidad Base de datos de personas inscritas
Para el activo Plataforma de inscripciones:
de dad je
Acce-
so
da/Destrucción
do
do
do da/Destrucción
do
104
Siler Amador Donado
D.N.I 72.168.640

terno
terno
terno
terno do
terno do
terno do
Tabla 55. Probabilidad Plataforma de inscripciones
Para el activo Sistema integrado de recaudo (SQUID):
de dad je
Acce-
so
da/Destrucción
do
do
do da/Destrucción
do
terno
terno
terno
105
Siler Amador Donado
D.N.I 72.168.640
terno do
terno do
terno do
Tabla 56. Probabilidad Sistema integrado de recaudo (SQUID)
Para el activo Personal de DARCA (Profesional especializado, el uni-
versitario):
de dad je
Acce-
so
da/Destrucción
do
do
do da/Destrucción
do
terno
terno
terno
terno do
terno do
terno do
106
Siler Amador Donado
D.N.I 72.168.640
Tabla 57. Probabilidad Personal de DARCA (Profesional especializa-

do, el universitario)
Para el activo Personal de TICS (ingeniero de soporte):

de dad je
Acce-
so
da/Destrucción
do
do
do da/Destrucción
do
terno
terno
terno
terno do
terno do
terno do
Tabla 58. Probabilidad Personal de TICS (ingeniero de soporte)
5.14 Matriz para valuación de activos y análisis de Riesgos.

La matriz de valuación de activos y análisis de riesgos se elaboro con el fin de
mostrar los diferentes valores que se pueden obtener para cada amenaza y
107
Siler Amador Donado
D.N.I 72.168.640
probabilidad de impacto resultante de cada activo critico analizado. De esta

forma se facilita tener todos los valores posibles del total de impacto del riesgo.
La explicación es la siguiente:
1. Existen 4 tipos de amenazas que son Revelación, Modificación, Perdi-
da/Destrucción, Reputación. Por lo tanto, se elaboro una tabla para cada
amenaza.
2. Cada amenaza afectaría cuatro variables que se comentaron en una primera ins-
tancia las cuales son reputación, seguridad/salud, productividad, financiero.
Para cada variable se evaluó el impacto potencial de cada amenaza sobre dichas
variables.
3. Se tomaron en cuenta los valores bajo, medio y alto (1, 2 y 3 respectivamente).
4. El valor mínimo para la suma de las variables para una amenaza es de 4, y el va-
lor máximo es de 12. El resultado de la suma es el impacto de amenaza.
5. Cada valor de la suma para cada amenaza se multiplico por el factor de probabi-
lidad de ocurrencia de dicha amenaza, la cual se midió de la misma forma, es
decir bajo, medio y alto (1, 2 y 3 respectivamente).
6. El valor mínimo de la multiplicación de la suma de cada amenaza por el factor de
probabilidad de ocurrencia de dicha amenaza es de 4, y el valor máximo es de
36.
7. Como existen amenazas que pueden ocurrir en situaciones deliberada y acciden-
talmente, tanto interna como externa a la organización, entonces se hizo la
evaluación de cada tipo de amenaza para cada situación dicha. Por lo tanto se
realizo la suma total de los valores resultantes en todas las situaciones, lo cual
nos dio como resultado el valor total del riesgo para el activo critico.
8. El valor mínimo del valor total del riesgo es de 64, y el valor máximo es de 576.
A continuación se mostraran ilustraciones de las matrices de valuación de

activos y análisis de riesgos.
108
Siler Amador Donado
D.N.I 72.168.640
Ilustración 9. Matriz de Impacto de Amenaza
Ilustración 10. Matriz de Impacto de Probabilidad
109
Siler Amador Donado
D.N.I 72.168.640
Ilustración 11. Matriz Valor del Riesgo

El valor total del riesgo de los 15 activos críticos es el siguiente:
Activo Critico Valor del Riesgo Procedimiento al cual

pertenece el activo
Servidor que contiene la
plataforma para la publi- 194 Evaluación de la prueba
cación de las listas
Base de datos de personas
168 Inscripciones
inscritas
64 Admisiones
recaudo(SQUID)
Plataforma de inscripcio-
152 Inscripciones
nes
Sistema que realiza la
calificación de las tarjetas
110 Evaluación de la prueba
de respuesta(maquina
lectora)
Formularios 48 Aplicación de la prueba
Tarjetas de respuestas
diligenciadas
110
Siler Amador Donado
D.N.I 72.168.640
Material empacado y
Evaluación de la prueba,
sellado en bolsas de 146
Aplicación de la prueba
seguridad
Claves de respuesta
(respuestas correctas)
Archivo cifrado del docu-
mento que almacena los
puntajes de los aspirantes 139 Evaluación de la prueba
en orden descendentes
cargado en SIMCA
Convenio de cooperación
interadministrativo
Alistamiento para la
suscrito entre la universi- 88
aplicación de la prueba
dad de Antioquia y la
Universidad del Cauca
Archivos de inscripción 159 Inscripciones
Credenciales de citación Alistamiento para la
164
aplicación de la prueba
Personal de DARCA
(Profesional especializa- 83 Evaluación de la prueba
do, el universitario)
Personal de TICS (inge-
niero de soporte)
Tabla 59. Valor total del riesgo por activos
El valor total del riesgo por cada procedimiento es el siguiente:
Procedimiento Valor del Riesgo
Evaluación de la Prueba 955
Inscripciones 645
Aplicación de la Prueba 460
Alistamiento para la Aplicación de la 418
Prueba
Admisiones 230
Tabla 60. Valor total del riesgo por procedimientos
Con el fin de lograr resultados a corto plazo, se toma la decisión de escoger un
solo procedimiento (el más crítico), al cual se le realiza la gestión del riesgo.
Al analizar la anterior tabla, se puede notar que el procedimiento con valor del
riesgo más alto (el más crítico) es el procedimiento Evaluación de la Prueba. Por
lo tanto la gestión del riesgo se analizó a dicho procedimiento.
111
Siler Amador Donado
D.N.I 72.168.640
5.15 Estrategia de Protección del procedimiento Evaluación de la Prueba

(paso 25)
En el paso 25, se determinó la estrategia de protección actual en DARCA para
cada una de las 15 áreas de práctica de seguridad con respecto al procedimiento
Evaluación de la Prueba. Esto con el fin de observar que tan bien están iniciando,
implementando y manteniendo su seguridad interna, así como que actividades
se están ejecutando como estrategia de protección, en donde se puede determi-
nar qué actividad podría estar faltando y que al faltar, podría ocasionar un riesgo
tanto para los activos críticos como para el proceso Inscripciones y Admisiones
con respecto al procedimiento Evaluación de la Prueba.
Para el área 1. Conciencia y Formación de Seguridad:
 La organización cuenta con una estrategia de formación informal y no documenta-
do.
 En cuanto a capacitación en temas de seguridad, se orientan unos lineamientos
básicos mas no especializados.
 No hay un plan de capacitación en seguridad para las Tecnologías Soportadas.
 La organización no tiene un mecanismo para proporcionar a los miembros del
personal actualizaciones periódicas / boletines sobre los problemas de seguridad
importantes.
 La organización cuenta con mecanismos informales para el seguimiento y la verifi-
cación de que los funcionarios reciben capacitación en materia de seguridad
apropiada.
Para el área 2. Estrategia de Seguridad:

 La organización cuenta con mecanismos informales para la integración de:
o Consideraciones de seguridad en las estrategias de negocio
o Estrategias y metas en las estrategias y políticas de seguridad empresariales.
 La organización cuenta con estrategias informales e indocumentadas de seguridad,
metas y objetivos.
 El programa de formación de la conciencia de seguridad de la organización no
incluye información sobre la estrategia de seguridad de la organización. Los miem-
bros del personal aprenden sobre la estrategia de seguridad de la organización por
su cuenta.
Para el área 3. Gestión de la Seguridad:

 La organización cuenta con los roles y responsabilidades de seguridad de informa-
ción informales e indocumentados.
 El presupuesto de la organización cuenta con una partida distinta de las actividades
de seguridad de la información. El nivel de financiamiento se determina mediante
procesos informales.
112
Siler Amador Donado
D.N.I 72.168.640
 La organización dispone de procedimientos informales e indocumentados para la

inclusión de las consideraciones de seguridad en los procesos de contratación (por
ejemplo, verificación de antecedentes) y terminación (por ejemplo, eliminar el acce-
so a todos los sistemas y la información) de la organización.
 La organización cuenta con un proceso definido formalmente para evaluar sus
riesgos de seguridad de la información. El proceso de gestión de riesgos de seguri-
dad de la información es informal y no documentado.
 No existe un programa de capacitación formal en conciencia de personal, pero la
formación se realiza sobre las situaciones o consideraciones que se presenten.
 La organización no tiene un mecanismo para proporcionar a los gerentes los resú-
menes de la información relacionada con la seguridad importante.
Para el área 4. Políticas y Reglamentos de Seguridad:

 Las políticas relacionadas con la seguridad de la organización son informales e
indocumentados.
 La organización cuenta con un mecanismo informal y no documentado para crear y
actualizar sus políticas relacionadas con la seguridad.
 La organización dispone de procedimientos informales e indocumentados para
hacer cumplir sus políticas relacionadas con la seguridad.
 El programa de capacitación en conciencia de la seguridad de la organización no
incluye información sobre las políticas y las normas de seguridad de la organización.
Los miembros del personal aprenden sobre las políticas y las normas de seguridad
por su cuenta.
 La organización dispone de procedimientos informales e indocumentados para el
cumplimiento de las políticas de información de seguridad, las leyes y reglamentos
aplicables, y los requisitos de seguro.
Para el área 5. Gestión de la Seguridad Colaborativa:

 La organización ha documentado políticas y procedimientos para proteger la infor-
mación a la hora de trabajar con los colaboradores y socios (En admisiones si, en
SIMCA no).
 La organización cuenta con políticas y procedimientos informales e indocumentados
para proteger la información cuando se trabaja con los contratistas y subcontratis-
tas.
 La organización cuenta con políticas y procedimientos informales e indocumentados
para proteger la información cuando se trabaja con los proveedores de servicios.
 La organización comunica de manera informal los requisitos de protección de
información a todas las terceras partes apropiadas.
 La organización no tiene los mecanismos para verificar que todas las organizaciones
de terceros, servicios de seguridad externalizados, mecanismos y tecnologías cum-
plen sus necesidades y requerimientos.
 No tienen programa de conciencia de personal
Para el área 6. Planes de Contingencia / Recuperación de Desastres:

 No se ha realizado un análisis de las operaciones, las aplicaciones y la criticidad de
los datos.
113
Siler Amador Donado
D.N.I 72.168.640
 La organización no ha documentado la continuidad del negocio o de los planes de

operaciones de emergencia, el plan (s) de recuperación de desastres, y el plan (s) de
contingencia para responder a las emergencias. Algunos aspectos de los planes son
informales e indocumentados.
 El acceso físico y electrónico a la información crítica no se tiene en cuenta formal-
mente en contingencia, recuperación de desastres y planes de continuidad de
negocio de la organización.
 No hay plan en conciencia de personal.
Para el área 7. Control de Acceso Físico:

 La organización cuenta con planes y procedimientos informales e indocumentados
para el control de acceso físico al edificio y las instalaciones, áreas de trabajo, hard-
ware, y soporte de software.
 No hay planes de capacitación que incluya una revisión de los planes y procedimien-
tos para el control de acceso físico de la organización.
 Los requisitos de la organización para el control de acceso físico están informalmen-
te comunicados a todos los contratistas y proveedores de servicios que controlan el
acceso físico al edificio y las instalaciones, áreas de trabajo, hardware, y soporte de
software.
 La organización verifica de manera informal que los contratistas y los proveedores
de servicios han cumplido los requisitos para el control de acceso físico.
Para el área 8. Monitoreo y Auditoría de Seguridad Física:

 DARCA cuenta con algunas de las políticas y procedimientos formalmente docu-
mentados para supervisar el acceso físico al edificio y las instalaciones, áreas de
trabajo, hardware, y soporte de software. Algunas políticas y procedimientos en esta
área son informales e indocumentados.
 Los miembros del personal designados pueden asistir a la capacitación para el
monitoreo de acceso físico al edificio y las instalaciones, áreas de trabajo, hardware,
software y medios de comunicación si la solicitan.
 Los requisitos de DARCA para el seguimiento de la seguridad física se comunicarán
formalmente a todos los contratistas y proveedores de servicios que controlan el ac-
ceso físico al edificio y las instalaciones, áreas de trabajo, hardware, y soporte de
software.
 DARCA verifica formalmente que los contratistas y los proveedores de servicios han
cumplido con los requisitos para el monitoreo de la seguridad física.
 Los requisitos de DARCA para el seguimiento de la seguridad física son informal-
mente comunicados a todos los contratistas y proveedores de servicios que
controlan el acceso físico al edificio y las instalaciones, áreas de trabajo, hardware, y
 DARCA verifica formalmente que los contratistas y los proveedores de servicios han
cumplido con los requisitos para el monitoreo de la seguridad física.
Para el área 9. Gestión de Sistema y Red:

 La organización cuenta con algunos procedimientos del sistema de gestión de red y
formalmente documentadas. Algunos procedimientos de esta área son informales e
indocumentados.
114
Siler Amador Donado
D.N.I 72.168.640
 Los miembros del personal de tecnología de la información pueden asistir a la

capacitación para la gestión de sistemas y redes y el uso de sistemas y herramientas
de gestión de red en caso de que lo soliciten.
 Los requerimientos de gestión de redes y sistemas relacionados con la seguridad de
la organización son informalmente comunicados a todos los contratistas y proveedo-
res de servicios que mantienen sistemas y redes.
de servicios han cumplido los requisitos para el sistema relacionado con la seguridad
y gestión de red.
Para el área 10. Seguimiento y auditoría de TI Seguridad:

 La organización dispone de procedimientos informales e indocumentados para el
monitoreo de acceso de sistemas y redes basada en la red.
capacitación para el monitoreo de acceso basada en la red de sistemas y redes y el
uso de herramientas de monitoreo y auditoría si la solicitan.
 Los requisitos de la organización para el seguimiento de la información de seguridad
de tecnología se comunican de manera informal a todos los contratistas y proveedo-
res de servicios que controlan los sistemas y redes.
de servicios han cumplido los requisitos para la vigilancia de la seguridad informáti-
ca.
Para el área 11. Autenticación y autorización:

 La organización cuenta con algunos de los procedimientos de autorización y autenti-
cación formalmente documentados para restringir el acceso de los usuarios a la
información, los sistemas sensibles, aplicaciones y servicios específicos, y las cone-
xiones de red. Algunos procedimientos de esta área son informales e
indocumentados.
capacitación para la aplicación de medidas tecnológicas para restringir el acceso de
los usuarios a la información, los sistemas sensibles, aplicaciones y servicios especí-
ficos, y las conexiones de red en caso de que lo soliciten.
 Los requisitos de la organización para el control de acceso a los sistemas y la infor-
mación están informalmente comunicados a todos los contratistas y proveedores de
servicios que controlan los sistemas y redes.
de servicios han cumplido los requisitos para la autenticación y autorización.
Para el área 12. Gestión de Vulnerabilidades:

 La organización cuenta con algunos de los procedimientos de gestión de vulnerabili-
dades formalmente documentados. Algunos procedimientos de esta área son
informales e indocumentados.
capacitación para la gestión de vulnerabilidades tecnológicas y el uso de herramien-
tas de evaluación de la vulnerabilidad en caso de que lo soliciten.
115
Siler Amador Donado
D.N.I 72.168.640
 Los requisitos de gestión de la vulnerabilidad de la organización son informalmente

comunicados a todos los contratistas y proveedores de servicios que gestionan las
vulnerabilidades tecnológicas.
de servicios han cumplido los requisitos para la gestión de vulnerabilidades.
Para el área 13. Cifrado:

 La organización cuenta con algunos procedimientos formalmente documentados
para la implementación y uso de tecnologías de cifrado. Algunos procedimientos de
esta área son informales e indocumentados.
capacitación para la implementación de tecnologías de cifrado si lo solicitan.
 Todos los miembros del personal pueden asistir a la capacitación para el uso de
tecnologías de cifrado si lo solicitan.
 Los requisitos de la organización para la protección de la información sensible se
comunican de manera informal a todos los contratistas y proveedores de servicios
que proporcionan las tecnologías de cifrado.
de servicios han cumplido los requisitos para la aplicación de tecnologías de cifrado.
Para el área 14. Arquitectura y Diseño de Seguridad:

 La organización cuenta con prácticas de arquitectura y diseño de seguridad formal-
mente documentada. Algunas prácticas en este ámbito son informales e
indocumentados.
 Los miembros del personal pueden asistir a la capacitación para el diseño de los
sistemas y las redes seguras, si lo solicitan.
 Los requisitos relacionados con la seguridad de la organización son informalmente
comunicados a todos los contratistas y proveedores de servicios que diseñan siste-
mas y redes.
de servicios han cumplido los requisitos para la arquitectura y el diseño de la seguri-
dad.
Para el área 15. Gestión de Incidentes:

 La organización cuenta con unos procedimientos de gestión de incidentes documen-
tados formalmente. Algunos procedimientos de esta área son informales e
indocumentados.
 Los miembros del personal designados pueden asistir a la capacitación para la
gestión de incidencias, si así lo solicitan.
 Los requisitos de la organización para la gestión de incidentes se comunican de
manera informal a todos los contratistas y proveedores de servicios que ofrecen ser-
vicios de gestión de incidentes.
de servicios han cumplido los requisitos para la gestión de incidencias.
116
Siler Amador Donado
D.N.I 72.168.640
5.16 Perfil de riesgo de Información - Selección de áreas de mitigación

(Pasos 26 y 27)
En el paso 26 se transfirió el estado de luz para cada área de práctica de seguri-
dad descrita en los pasos 3 y 4 (verde, amarillo, rojo). Luego se seleccionaron las
áreas de mitigación; su escogencia se basó en lo siguiente:
 Perfil de riesgo (para cada activo crítico)
 Activos Críticos (para cada activo crítico)
 Prácticas de Seguridad
 Revisión de Infraestructura
 Criterios de Evaluación de Impacto
 Criterios de Evaluación Probabilidad
 Los riesgos para los activos críticos
En el paso 27 se definió el enfoque para abordar cada riesgo a los activos críticos
con respecto a las áreas a mitigar en el paso 26. Para ello se tomó como referen-
cia tres tomas de decisiones diferentes:
 Aceptar: es una decisión tomada durante el análisis de riesgo donde no se llevará a
cabo alguna medida para hacer frente a un riesgo y donde se acepta las consecuen-
cias si el riesgo ocurre. Los riesgos que se aceptan generalmente tienen un bajo
impacto en una organización.
 Mitigar: es una decisión tomada durante el análisis de riesgo donde se llevará a
cabo medidas para hacer frente a un riesgo mediante la implementación de activi-
dades diseñadas para contrarrestar la amenaza. Los riesgos que se mitigan suelen
tener un alto impacto en una organización.
 Aplazar: es una decisión en la que el riesgo no ha sido aceptado ni mitigado. El
impacto en la organización, debido al riesgo diferido está por encima de un umbral
mínimo, pero no tan grande como para ser una prioridad inmediata. Los riesgos di-
feridos son observados y evaluados nuevamente en algún momento en el futuro.
La decisión fue tomada por el directo de DARCA, el cual fue “Mitigar”.
5.17 Plan de Mitigación del procedimiento Evaluación de la Prueba (paso

28)
En este paso se desarrolló un plan de mitigación para cada área de práctica de
seguridad en estado rojo y amarillo. Para hacer esto se retomó la información de:
 Prácticas de Seguridad
 Estrategia de Protección
 Perfil de riesgo (para cada activo crítico)
 Información de Activos Críticos (para cada activo crítico)
117
Siler Amador Donado
D.N.I 72.168.640
Estos planes de mitigación de riesgos se diseñaron para reducir los riesgos que
podrían impedir que el proceso Inscripciones y Admisiones en DARCA, con
respecto al procedimiento Evaluación de la Prueba logren su misión. Las activi-
dades de mitigación diseñadas abordan las amenazas en una o más de las
siguientes formas:
 Reconocer las amenazas a medida que ocurran.
 Resistir las amenazas para evitar que se produzcan.
 Recuperarse de las amenazas después de que ocurran.
Los planes de mitigación de riesgos diseñados comprenden los siguientes ele-

mentos:
 La actividad de mitigación: En esta parte se definieron las actividades di-
señadas para implementar en un área de práctica de seguridad.
 La razón fundamental: En esta parte se documento las razones para la se-
lección de cada actividad de mitigación; se documento si la actividad tiene
la intención de reconocer las amenazas, resistirse a ellos, o para recupe-
rarse de ellos.
 Responsabilidad de mitigación: En esta parte se identificó quien o quienes
deben estar asociados en la ejecución de cada actividad.
 Apoyo adicional: En esta parte se documentó cualquier apoyo adicional
necesario para la aplicación de cada actividad (por ejemplo, la financia-
ción, el compromiso del personal, patrocinio).
Los resultados para cada área (con color de estado amarillo y rojo) son las
siguientes:
Para el área 1. Conciencia y Formación de Seguridad:
Actividad de Mitiga- Razón Fundamental Responsabilidad de
ción Mitigación
Elaborar una estrategia Las políticas relaciona- Profesional Especializado
de capacitación docu- das con la seguridad del porque es el encargado de
mentada que incluya procedimiento Evalua- todo el procedimiento
concienciación sobre la ción de la Prueba son Evaluación de la Prueba.
seguridad y la formación informales e indocumen-
relacionada con la tadas.
seguridad para las
118
Siler Amador Donado
D.N.I 72.168.640
tecnologías compatibles
en el procedimiento de
Evaluación de la Prue-
ba.
Proporcionar dos veces Los lineamientos de Profesional Especializado

al año lecciones de formación que se impar- porque es el encargado de
concienciación especiali- ten son básicos y no todo el procedimiento
zada, sobre la seguridad especializados. Evaluación de la Prueba.
de la información, del
procedimiento Evalua-
ción de la Prueba.
Elaborar un plan de Las tecnologías que se Profesional Especializado

capacitación en seguri- usan en el procedimiento porque es el encargado de
dad para las tecnologías de evaluación de la todo el procedimiento
soportadas en el proce- prueba se actualizan Evaluación de la Prueba.
dimiento Evaluación de regularmente, por lo
la Prueba. tanto se necesita que el
personal responsable de
su manejo conozca los
requisitos de seguridad
para dichas tecnologías.
Diseñar un mecanismo No tiene mecanismo. Profesional Especializado

formal para proporcio- porque es el encargado de
nar a los miembros del todo el procedimiento
personal con actualiza- Evaluación de la Prueba.
ciones periódicas /
boletines sobre los
problemas de seguridad
importantes sobre el
119
Siler Amador Donado
D.N.I 72.168.640
ción de la Prueba.
Diseñar mecanismos Tienen mecanismos Profesional Especializado

formales para el segui- informales. porque es el encargado de
miento y la verificación todo el procedimiento
de que los funcionarios Evaluación de la Prueba.
encargados del procedi-
miento Evaluación de la
Prueba reciben capacita-
ción en materia de
seguridad apropiada.
Tabla 61. Controles Conciencia y Formación de Seguridad

Para el área 2. Estrategia de Seguridad:
ción Mitigación
Documentar las estrate- DARCA cuenta con Profesional Especializado
gias de seguridad, metas estrategias informales e porque es el encargado de
y objetivos del procedi- indocumentados de todo el procedimiento
miento Evaluación de la seguridad, metas y Evaluación de la Prueba.
Prueba de manera objetivos
formal.
Elaborar un programa El programa de forma- Profesional Especializado

de formación de la ción de la conciencia de porque es el encargado de
conciencia de seguridad seguridad de DARCA no todo el procedimiento
donde se incluya infor- incluye información Evaluación de la Prueba.
mación sobre la sobre la estrategia de
estrategia de seguridad seguridad de DARCA.
del procedimiento Los miembros del perso-
Evaluación de la Prueba. nal a aprender sobre la
120
Siler Amador Donado
D.N.I 72.168.640
También proporcionar estrategia de seguridad

esta formación para de DARCA por su cuenta.
todos los empleados dos
veces al año.
Tabla 62. Controles Estrategia de Seguridad

Para el área 4. Políticas y Reglamentos de Seguridad:
ción Mitigación
Documentar formalmen- Las políticas relaciona- Profesional Especializado
te las políticas das con la seguridad de porque es el encargado de
relacionadas con la DARCA son informales e todo el procedimiento
seguridad del procedi- indocumentadas. Evaluación de la Prueba.
Prueba.
Crear un mecanismo DARCA cuenta con un Profesional Especializado

formal y documentado mecanismo informal y porque es el encargado de
para la creación y actua- no documentado para todo el procedimiento
lización de las políticas crear y actualizar sus Evaluación de la Prueba.
relacionadas con la políticas relacionadas
seguridad del procedi- con la seguridad.
Prueba.
Documentar procedi- DARCA dispone de Profesional Especializado

mientos formales para procedimientos informa- porque es el encargado de
hacer cumplir las políti- les e indocumentados todo el procedimiento
cas relacionadas con la para hacer cumplir sus Evaluación de la Prueba.
seguridad del procedi- políticas relacionadas
miento Evaluación de la con la seguridad.
Prueba. Los procedi-
121
Siler Amador Donado
D.N.I 72.168.640
mientos de ejecución se
deben seguir consisten-
temente.
Incluir información El programa de capacita- Profesional Especializado

sobre las políticas y las ción en conciencia de la porque es el encargado de
normas de seguridad del seguridad de DARCA no todo el procedimiento
procedimiento Evalua- incluye información Evaluación de la Prueba.
ción de la Prueba en el sobre las políticas y las
programa de capacita- normas de seguridad de
ción en seguridad de la DARCA. Los miembros
conciencia. Proporcionar del personal aprenden
esta formación para sobre las políticas y las
todos los empleados dos normas de seguridad por
veces al año. su cuenta.
Documentar procedi- DARCA dispone de Profesional Especializado

mientos formales para el procedimientos informa- porque es el encargado de
cumplimiento de las les e indocumentados todo el procedimiento
políticas de información para el cumplimiento de Evaluación de la Prueba.
de seguridad, las leyes y las políticas de informa-
reglamentos aplicables, y ción de seguridad, las
los requisitos de seguro leyes y reglamentos
con respecto al procedi- aplicables, y los requisi-
miento Evaluación de la tos de seguro.
Prueba.
Diseñar políticas, proce- No existen políticas, Profesional Especializado

dimientos y controles procedimientos y contro- porque es el encargado de
formales de intercambio les formales de todo el procedimiento
con objeto de proteger la intercambio con objeto Evaluación de la Prueba.
información del procede proteger la informa-
122
Siler Amador Donado
D.N.I 72.168.640
dimiento Evaluación de ción del procedimiento

la Prueba mediante el de Evaluación de la
uso de todo tipo de prueba mediante el uso
servicios de comunica- de todo tipo de servicios
ción. de comunicación.
Diseñar políticas para No existen políticas para Profesional Especializado

escritorios y monitores escritorios y monitores porque es el encargado de
limpios de información limpios de información todo el procedimiento
del procedimiento Eva- referente al procedi- Evaluación de la Prueba.
luación de la Prueba. miento Evaluación de la
prueba
Tabla 63. Controles Políticas y Reglamentos de Seguridad

Para el área 5. Gestión de la Seguridad Colaborativa:
ción Mitigación
Documentar políticas y DARCA cuenta con Profesional Especializado
procedimientos formal- políticas y procedimien- porque es el encargado de
mente para proteger la tos para proteger la todo el procedimiento
información del proce- información cuando se Evaluación de la Prueba.
dimiento de Evaluación trabaja con los contratis-
de la Prueba cuando se tas y subcontratistas,
trabaja con los contratis- pero dichas políticas son
tas y subcontratistas. informales e indocumen-
tadas.
Documentar políticas y DARCA cuenta con Profesional Especializado

procedimientos para políticas y procedimien- porque es el encargado de
proteger la información tos para proteger la todo el procedimiento
del procedimiento Eva- información cuando se Evaluación de la Prueba.
luación de la Prueba trabaja con los proveedo-
123
Siler Amador Donado
D.N.I 72.168.640
cuando se trabaja con los res de servicios informa-

proveedores de servicios. les e indocumentados.
Documentar procedi- DARCA comunica de Profesional Especializado

mientos formales para manera informal los porque es el encargado de
hacer cumplir las políti- requisitos de protección todo el procedimiento
cas relacionadas con la de información a todas Evaluación de la Prueba.
seguridad del procedi- las terceras partes
miento Evaluación de la apropiadas.
Prueba. Los procedi-
mientos de ejecución se
deben seguir consisten-
temente.
Diseñar mecanismos DARCA no tiene los Profesional Especializado

formales para verificar mecanismos para verifi- porque es el encargado de
que todas las organiza- car que todas las todo el procedimiento
ciones de terceros, organizaciones de terce- Evaluación de la Prueba.
servicios de seguridad ros, servicios de
externalizados, meca- seguridad externaliza-
nismos y tecnologías dos, mecanismos y
cumplen sus necesidades tecnologías cumplen sus
y requerimientos con necesidades y requeri-
respecto al procedimien- mientos.
to Evaluación de la
Prueba.
Diseñar un programa de No tiene programa Profesional Especializado

capacitación en seguri- porque es el encargado de
dad de la conciencia todo el procedimiento
donde se incluya infor- Evaluación de la Prueba.
mación sobre las
124
Siler Amador Donado
D.N.I 72.168.640
políticas de gestión de la
seguridad colaborativa
del procedimiento Eva-
luación de la Prueba.
Proporcionar esta forma-
ción para todos los
empleados dos veces al
año.
Tabla 64. Controles Gestión de la Seguridad Colaborativa

Para el área 6. Planes de Contingencia / Recuperación de Desastres:
ción Mitigación
Realizar un análisis total No se ha realizado un Profesional Especializado
de las operaciones, las análisis de las operacio- porque es el encargado de
aplicaciones y la critici- nes, las aplicaciones y la todo el procedimiento
dad de los datos del criticidad de los datos del Evaluación de la Prueba.
procedimiento Evalua- procedimiento Evalua-
ción de la Prueba. ción de la prueba.
Documentar formalmen- No hay plan. Profesional Especializado

te y poner a prueba la porque es el encargado de
continuidad del negocio todo el procedimiento
o de los planes de opera- Evaluación de la Prueba.
ciones de emergencia, el
plan (s) de recuperación
de desastres, y el plan (s)
de contingencia para
responder a las emer-
gencias que puedan
poner en riesgo el proce-
dimiento Evaluación de
125
Siler Amador Donado
D.N.I 72.168.640
la Prueba.
Considerar como factor El acceso físico y electró- Profesional Especializado

en contingencia, recupe- nico a la información porque es el encargado de
ración de desastres y crítica del procedimiento todo el procedimiento
planes de continuidad de Evaluación de la Prueba Evaluación de la Prueba.
negocio de DARCA, el no se factoriza formal-
acceso físico y electróni- mente en contingencia,
co a la información recuperación de desas-
crítica del procedimiento tres y planes de
Evaluación de la Prueba. continuidad de negocio
de DARCA.
Diseñar un programa de No tienen plan Profesional Especializado

capacitación en concien- porque es el encargado de
cia de la seguridad todo el procedimiento
donde incluya informa- Evaluación de la Prueba.
ción sobre la
contingencia de DARCA,
recuperación de desas-
tres y planes de
continuidad del negocio
con respecto al procedi-
Prueba. También pro-
porcionar esta formación
para todos los emplea-
dos dos veces al año.
Identificar los eventos No se identifican los Profesional Especializado

que puedan causar eventos que puedan porque es el encargado de
interrupciones a los causar interrupciones a todo el procedimiento
126
Siler Amador Donado
D.N.I 72.168.640
procesos de negocio los procesos de negocio Evaluación de la Prueba.

junto con la probabilidad junto con la probabilidad
e impacto de dichas e impacto de dichas
interrupciones y sus interrupciones y sus
consecuencias para la consecuencias para la
seguridad de informa- seguridad de informa-
ción del procedimiento ción del procedimiento
Evaluación de la Prueba. Evaluación de la Prueba.
Tabla 65. Controles Planes de Contingencia / Recuperación de Desas-

tres
Para el área 7. Control de Acceso Físico:
ción Mitigación
Documentar formalmen- DARCA cuenta con Profesional Especializado
te los planes y planes y procedimientos porque es el encargado de
procedimientos de informales e indocumen- todo el procedimiento
control de acceso físico tados para el control de Evaluación de la Prueba.
al edificio y las instala- acceso físico al edificio y
ciones, áreas de trabajo, las instalaciones, áreas
hardware, y soporte de de trabajo, hardware, y
software que tengan que soporte de software que
ver con el procedimiento tenga que ver con el
Evaluación de la Prueba. procedimiento Evalua-
ción de la Prueba.
Diseñar un plan que No hay plan que incluya Profesional Especializado

incluya una revisión de una revisión de los porque es el encargado de
los planes y procedi- planes y procedimientos todo el procedimiento
mientos para el control para el control de acceso Evaluación de la Prueba.
de acceso físico que físico, para que los
contenga el procedi- miembros del personal
127
Siler Amador Donado
D.N.I 72.168.640
miento Evaluación de la designados puedan

Prueba, y se debe reque- asistir a dicha capacita-
rir que los miembros del ción si lo solicitan en
personal designados DARCA.
asistan a dicha capacita-
ción.
Informar formalmente Los requisitos de DARCA Profesional Especializado

los requisitos para el para el control de acceso porque es el encargado de
control de acceso físico, físico que maneje el todo el procedimiento
a todos los contratistas y procedimiento Evalua- Evaluación de la Prueba.
proveedores de servicios ción de la Prueba están
que controlan el acceso informalmente comuni-
físico al edificio y las cados a todos los
instalaciones, áreas de contratistas y proveedo-
trabajo, hardware, y res de servicios que
soporte de software en controlan el acceso físico
donde intervenga el al edificio y las instala-
procedimiento Evalua- ciones, áreas de trabajo,
ción de la Prueba. hardware, y soporte de
software.
Verificar formalmente DARCA verifica de Profesional Especializado

que los contratistas y los manera informal que los porque es el encargado de
proveedores de servicios contratistas y los provee- todo el procedimiento
han cumplido los requi- dores de servicios han Evaluación de la Prueba.
sitos para el control de cumplido los requisitos
acceso físico con respec- para el control de acceso
to al procedimiento físico que tenga que ver
Evaluación de la Prueba. con el procedimiento
Evaluación de la Prueba.
128
Siler Amador Donado
D.N.I 72.168.640
Permitir que los sistemas Los sistemas sensibles no Profesional Especializado

sensibles que intervie- disponen de un entorno porque es el encargado de
nen en el procedimiento informático dedicado todo el procedimiento
Evaluación de la Prueba, (propio). Evaluación de la Prueba.
dispongan de un entorno
informático dedicado
(propio).
Tabla 66. Controles Control de Acceso Físico

Para el área 10. Seguimiento y auditoría de TI Seguridad:
ción Mitigación
Documentar formalmen- DARCA dispone de Profesional Especializado
te los procedimientos de procedimientos informa- porque es el encargado de
seguimiento de acceso de les e indocumentados todo el procedimiento
sistemas y redes basadas para el monitoreo de Evaluación de la Prueba.
en la red q involucre el acceso de sistemas y
procedimiento Evalua- redes basada en la red q
ción de la Prueba. involucre el procedi-
Prueba.
Solicitar a los miembros Los miembros del perso- Profesional Especializado

del personal de tecnolo- nal de tecnología de la porque es el encargado de
gía de información información involucra- todo el procedimiento
involucrados en el dos en el procedimiento Evaluación de la Prueba.
procedimiento Evalua- Evaluación de la Prueba
ción de la Prueba que pueden asistir a la capa-
asistan a la capacitación citación para el
para el monitoreo de monitoreo de acceso
acceso basada en la red basada en la red de
de sistemas y redes y el sistemas y redes y el uso
129
Siler Amador Donado
D.N.I 72.168.640
uso de herramientas de de herramientas de

monitoreo y auditoría. monitoreo y auditoría si
la solicitan.
Comunicar formalmente Los requisitos de DARCA Profesional Especializado

a todos los contratistas y para el seguimiento de la porque es el encargado de
proveedores de servicios información de seguri- todo el procedimiento
que controlan los siste- dad de tecnología se Evaluación de la Prueba.
mas y redes que comunican de manera
involucra el procedi- informal a todos los
miento Evaluación de la contratistas y proveedo-
Prueba, los requisitos de res de servicios que
DARCA para el segui- controlan los sistemas y
miento de la información redes.
de seguridad de tecnolo-
gía para el
procedimiento detallado
anteriormente.

han cumplido con los dores de servicios se han Evaluación de la Prueba.
requisitos para el moni- cumplido los requisitos
toreo de la seguridad para la vigilancia de la
informática del proce- seguridad informática
dimiento Evaluación de que involucre el proce-
la Prueba. dimiento Evaluación de
la Prueba.
Tabla 67. Controles Seguimiento y auditoría de TI Seguridad

Para el área 12. Gestión de Vulnerabilidades:
130
Siler Amador Donado
D.N.I 72.168.640

ción Mitigación
te todos los algunos de los procedi- porque es el encargado de
procedimientos de mientos de gestión de todo el procedimiento
gestión de vulnerabilida- vulnerabilidades for- Evaluación de la Prueba.
des que involucre el malmente
procedimiento Evalua- documentados. El pro-
ción de la Prueba. blema es que algunos
procedimientos de esta
área que involucran el
ción de la Prueba son
informales e indocumen-
tados.
Solicitar que los miem- Los miembros del perso- Profesional Especializado
bros del personal de nal de tecnología de la porque es el encargado de
tecnología de informa- información involucra- todo el procedimiento
ción involucrados en el dos en el procedimiento Evaluación de la Prueba.
ción de la Prueba que pueden asistir a la capa-
asistan a la capacitación citación para la gestión
para la gestión de vulne- de vulnerabilidades
rabilidades tecnológicas tecnológicas y el uso de
y el uso de herramientas herramientas de evalua-
de evaluación de la ción de la vulnerabilidad
vulnerabilidad. No se en caso de que lo solici-
debe esperar que ellos lo ten.
soliciten.
Comunicar formalmente Los requisitos de gestión Profesional Especializado
131
Siler Amador Donado
D.N.I 72.168.640
los requisitos de gestión de la vulnerabilidad de porque es el encargado de

de la vulnerabilidad del DARCA están informal- todo el procedimiento
procedimiento Evalua- mente comunicados a Evaluación de la Prueba.
ción de la Prueba, a todos los contratistas y
todos los contratistas y proveedores de servicios
proveedores de servicios que gestionan las vulne-
que gestionan las vulnerabilidades tecnológicas
rabilidades tecnológicas para el procedimiento
de la misma. Evaluación de la Prueba.

sitos para la gestión de cumplido los requisitos
vulnerabilidades del para la gestión de vulne-
procedimiento Evalua- rabilidades para el
ción de la Prueba. procedimiento Evalua-
ción de la Prueba.
Tabla 68. Controles Gestión de Vulnerabilidades

Para el área 13. Cifrado:
ción Mitigación
te todos los algunos procedimientos porque es el encargado de
procedimientos para la formalmente documen- todo el procedimiento
implementación y el uso tados para la Evaluación de la Prueba.
de tecnologías de cifrado implementación y uso de
que intervengan en el tecnologías de cifrado
procedimiento Evalua- que intervienen en el
132
Siler Amador Donado
D.N.I 72.168.640
ción de la Prueba. ción de la Prueba. El

problema es que algunos
procedimientos de esta
área son informales e
indocumentados.
bros del personal de nal de tecnología de la porque es el encargado de
tecnología de informa- información involucra- todo el procedimiento
ción involucrados en el dos en el procedimiento Evaluación de la Prueba.
ción de la Prueba asistan pueden asistir a la capa-
a la capacitación para el citación para el uso e
uso e implementación de implementación de
tecnologías de cifrado. tecnologías de cifrado si
lo solicitan.

los requisitos de DARCA para la protección de la porque es el encargado de
para la protección de la información sensible del todo el procedimiento
información sensible del procedimiento Evalua- Evaluación de la Prueba.
procedimiento Evalua- ción de la Prueba se
ción de la Prueba, a comunican de manera
todos los contratistas y informal a todos los
proveedores de servicios contratistas y proveedo-
que proporcionan las res de servicios que
tecnologías de cifrado. proporcionan las tecno-
logías de cifrado.

133
Siler Amador Donado
D.N.I 72.168.640
que intervienen en el dores de servicios invo- Evaluación de la Prueba.

procedimiento Evalua- lucrados en el
ción de la Prueba han procedimiento Evalua-
cumplido los requisitos ción de la Prueba han
para la aplicación de cumplido los requisitos
tecnologías de cifrado. para la aplicación de
tecnologías de cifrado.
Tabla 69. Controles Cifrado

Para el área 14. Arquitectura y Diseño de Seguridad:
ción Mitigación
te todas las prácticas de prácticas de arquitectura porque es el encargado de
arquitectura y de diseño y diseño de seguridad todo el procedimiento
de seguridad para el para el procedimiento Evaluación de la Prueba.
ción de la Prueba. formalmente documen-
tada. El problema es que
algunas prácticas en este
ámbito son informales e
indocumentadas.
bros del personal nal involucrados en el porque es el encargado de
involucrados en el procedimiento Evalua- todo el procedimiento
procedimiento Evalua- ción de la Prueba pueden Evaluación de la Prueba.
ción de la Prueba, asistir a la capacitación
asistan a la capacitación para el diseño de los
para el diseño de siste- sistemas y las redes
mas y redes seguras. seguras, si lo solicitan.
134
Siler Amador Donado
D.N.I 72.168.640
Comunicar formalmente Los requisitos relaciona- Profesional Especializado

a todos los contratistas y dos con la seguridad de porque es el encargado de
proveedores de servicios DARCA y el procedi- todo el procedimiento
que diseñan sistemas y miento Evaluación de la Evaluación de la Prueba.
redes, los requisitos Prueba están informal-
relacionados con la mente comunicados a
seguridad del procedi- todos los contratistas y
miento Evaluación de la proveedores de servicios
Prueba. que diseñan sistemas y
redes.

sitos para la arquitectura cumplido los requisitos
y el diseño de la seguri- para la arquitectura y el
dad del procedimiento diseño de la seguridad
Evaluación de la Prueba. correspondiente al
ción de la Prueba.
Tabla 70. Controles Arquitectura y Diseño de Seguridad

Para el área 15. Gestión de Incidentes:
ción Mitigación
Documentar formalmen- DARCA cuenta con unos Profesional Especializado
te todos los procedimientos de porque es el encargado de
procedimientos de gestión de incidentes todo el procedimiento
gestión de incidentes para el procedimiento Evaluación de la Prueba.
para el procedimiento Evaluación de la prueba
documentados formal-
135
Siler Amador Donado
D.N.I 72.168.640
Evaluación de la Prueba. mente. El problema es

que algunos procedi-
mientos de esta área son
informales e indocumen-
tados.
Solicitar que los funcio- Los miembros del perso- Profesional Especializado
narios designados para nal designados para el porque es el encargado de
el procedimiento Eva- procedimiento Evalua- todo el procedimiento
luación de la Prueba ción de la Prueba pueden Evaluación de la Prueba.
asistan a la capacitación asistir a la capacitación
para la gestión de inci- para la gestión de inci-
dencias. No esperar a dencias, si así lo
que dichos funcionarios solicitan.
la soliciten.

a todos los contratistas y para la gestión de inci- porque es el encargado de
proveedores de servicios dentes se comunican de todo el procedimiento
que ofrecen servicios de manera informal a todos Evaluación de la Prueba.
gestión de incidentes, los los contratistas y provee-
requisitos de DARCA dores de servicios que
para la gestión de inci- ofrecen servicios de
dentes del gestión de incidentes
procedimiento Evalua- para el procedimiento
ción de la Prueba. Evaluación de la Prueba.

involucrados en el dores de servicios Evaluación de la Prueba.
procedimiento Evalua- involucrados en el pro-
136
Siler Amador Donado
D.N.I 72.168.640
ción de la Prueba han cedimiento Evaluación

cumplido los requisitos de la Prueba han cum-
para la gestión de inci- plido los requisitos para
dencias. la gestión de incidencias.
Todos los empleados, Todos los empleados, Profesional Especializado

contratistas y terceros contratistas y terceros porque es el encargado de
que son usuarios de los que son usuarios de los todo el procedimiento
sistemas y servicios de sistemas y servicios de Evaluación de la Prueba.
información involucra- información involucra-
dos en el procedimiento dos en el procedimiento
Evaluación de la Prueba Evaluación de la Prueba,
deben anotar y comuni- no anotan y comunican
car cualquier debilidad cualquier debilidad
observada o sospechada observada o sospechada
en la seguridad del en la seguridad de los
mismo. mismos.
Diseñar un mecanismo No existe un mecanismo Profesional Especializado

que permita cuantificar y que permita cuantificar y porque es el encargado de
monitorear los tipos, monitorear los tipos, todo el procedimiento
volúmenes y costes de volúmenes y costes de los Evaluación de la Prueba
los incidentes en la incidentes en la seguri-
seguridad de informa- dad de información del
ción del procedimiento procedimiento Evalua-
Evaluación de la Prueba. ción de la Prueba
Tabla 71. Controles Gestión de Incidentes
5.18 Resultado de los Controles y Porcentaje de Reducción del Riesgo (paso

29)
Para el tratamiento de las áreas a mitigar, solo se propuso controles para las
áreas amarillas y rojas, pero solo se implementaron dos controles (un control por
137
Siler Amador Donado
D.N.I 72.168.640
área), los cuales se implementaron para el área 2 y el área 6. El resto de trata-

miento queda para trabajos futuros, en donde se decide si es factible o no im-
implementar los controles restantes para el tratamiento del riesgo en base al
costo del control y lo que esto beneficiaria al procedimiento Evaluación de la
Prueba y al proceso Inscripciones y Admisiones.
Los controles implementados fueron los siguientes:
En el Área 2. Estrategia de seguridad:
Se documentaron las estrategias de seguridad, metas y objetivos del procedi-
miento Evaluación de la Prueba de manera formal. Fue realizado por el
Profesional Especializado debido a que es el encargado de todo el procedimiento
Evaluación de la Prueba.
En el Área 6. Planes de Contingencia / Recuperación de Desastres:
Se identificaron los eventos que pudieran causar interrupciones a los procesos de
negocio junto con la probabilidad e impacto de dichas interrupciones y sus
consecuencias para la seguridad de información del procedimiento Evaluación
de la Prueba. Fue realizado por el Profesional Especializado debido a que es el
encargado de todo el procedimiento Evaluación de la Prueba.
Luego de haber implementado los controles, se volvió a medir el riesgo al proce-
so Inscripciones y Admisiones.
A cada activo se le identifico sus amenazas, el impacto de dichas amenazas y la
probabilidad de ocurrencia de dichas amenazas. Para definir la probabilidad, se
basó en las 15 áreas sugeridas en OCTAVE-S, identificando qué activos están
asociados a dichas áreas; a las áreas que tenían implementada menos controles o
ninguno, tenían una probabilidad más alta de ocurrencia de un incidente de
seguridad. Luego de aplicar controles en las áreas mencionadas, la probabilidad
se redujo beneficiando a los activos asociado a cada unas de las áreas en las que
se implantaron los controles. Al ser la probabilidad (1=bajo, 2= medio, 3= alto)
un factor multiplicador del valor del impacto, nos permite visualizar cuantitati-
vamente como va reduciendo el valor del riesgo para cada activo involucrado en
todos los procedimientos del proceso inscripciones y admisiones.
Los resultados son los siguientes para cada activo:
138
Siler Amador Donado
D.N.I 72.168.640
Valor Total Impacto Valor Total Impacto

del Riesgo sin los del Riesgo con los
Activo
controles implanta- controles implanta-
dos dos
Archivo cifrado del docu-
mento que almacena los 139 139
puntajes
Claves de respues-
64 64
ta(Respuestas Correctas)
Material Empacado y
Sellado en bolsas de 204 170
Seguridad
Tarjetas de respuesta
136 136
diligenciadas
Servidores que contienen
la plataforma para la 279 279
publicación de las listas
Sistema que realiza la
calificación de las tarjetas
134 134
de respuesta(maquina
lectora)
Personal DARCA 134 90
Personal TICS 134 90
Archivos de Inscripción 159 159
Convenio de cooperación
88 88
interadministrativo
Credenciales de Citación 164 164
Formularios 148 148
Base de datos de personas
168 168
inscritas
Plataforma de inscripcio-
152 152
nes
64 64
recaudo (SQUID)
TOTAL 2167 2045
Tabla 72. Resultado Sumatoria Valor Total Impacto del Riesgo
Para sacar el porcentaje de la sumatoria del Valor Total Impacto del Riesgo de
cada activo, se tomo la siguiente ecuación:
(Sumatoria del Valor Total Impacto del Riesgo de cada activo*100)/Sumatoria
máxima del Valor Total Impacto del Riesgo de cada activo
Es decir para el primer caso (sin controles):
(2167*100)/8352 = 25.95 %
139
Siler Amador Donado
D.N.I 72.168.640
Para el segundo caso (con controles):

(2045*100)/8352 = 24.49 %
La reducción del Valor Total de Impacto del Riesgo sería:
25.95 % - 24.49 % = 1.46 %
Lo cual, con solo haber implantado 2 controles (uno en el área 2 y otro en el área
6), el riesgo se pudo reducir en un mínimo porcentaje.
140
Siler Amador Donado
D.N.I 72.168.640
6 Conclusiones, recomendaciones y trabajos futuros
6.1 Conclusiones
 La metodología OCTAVE-S se alinea con las directrices de la norma ISO
27005 de 2011, brindando una guía para identificar amenazas y estimar
su impacto y probabilidad de manera cualitativa, sin embargo se conside-
ró conveniente adaptarla a un método cuantitativo que permitiera medir
el riesgo y visualizar la reducción de éste a medida que se ejecuta la estra-
tegia de tratamiento del riesgo.
 Al realizar el análisis del riesgo en la seguridad de la información en

DARCA con ayuda de la metodología OCTAVE-s se pudo definir a estrate-
gia de protección y el plan de mitigación de riesgo, incluyendo los
controles a implantar para realizar el tratamiento del riesgo y así ejecutar
el proceso de Inscripciones y Admisiones con un nivel bajo de riesgo.
 Con la implantación de dos de los controles sugeridos para el tratamiento

del riesgo, se redujo éste último un promedio de 16.97% por procedimien-
to y un total de reducción de 5.63% en todo el Proceso de Inscripciones y
Admisiones. Se requiere de la implantación de más controles para obtener
un porcentaje de reducción significativo.
 OCTAVE-S a pesar de ser una versión pequeña de la metodología

OCTAVE, permite realizar un proceso de análisis y gestión de riesgo com-
pleto, cumpliendo con lo propuesto en la norma internacional ISO
27005:2011, alineándose a su vez con ISO 27002 e ISO 27001.
 La versión adaptada de la metodología OCTAVE-S producto del presente

trabajo, podrá seguirse usando para realizar posteriores iteraciones de
gestión de riesgos en el Proceso de Inscripciones y Admisiones de la Uni-
versidad del Cauca, aunque no queda estrictamente cerrada a dicho
proceso y puede usarse como base para realizar análisis y gestión de ries-
gos para la seguridad de la información en otros procesos de la División
141
Siler Amador Donado
D.N.I 72.168.640
de admisiones Registro y control Académico, u otras Divisiones de la Uni-

versidad del Cauca.
6.2 Recomendaciones
 Cuando se requiera implantar un control, se debe tener en cuenta el costo
que implica establecer dicho control, y compararlo con el valor del acti-
vo(s) que será beneficiado; es decir si el valor del activo(s) es más elevado
que el valor del control se justifica su implantación.
 Se recomienda realizar mediciones periódicas en los niveles considerados

de riesgo a medida que se implantan controles, esto con el fin de mante-
ner registro de las áreas que están siendo beneficiadas y enfocar el
tratamiento a las áreas que muestren mayor riesgo.
 Al seguir la metodología OCTAVE-s con un equipo de trabajo inferior a

cuatro personas, se recomienda que los integrantes del equipo tengan
amplia o completa información del caso de estudio y lo conozcan a fondo.
6.3 Trabajos Futuros

Este trabajo tuvo como principal contribución la adaptación y aplicación de la
metodología OCTAVE-S al Proceso de Inscripciones y Admisiones, siguiendo las
directrices propuestas en la norma ISO 27005:2011 para realizar análisis y
gestión del riesgo. Así, siguiendo con las necesidades de la Universidad del
Cauca, específicamente a la División de admisiones registro y control académico
se proponen los siguientes trabajos futuros:
 Ejecutar el Tratamiento del Riesgo en la seguridad de la información, al
proceso Inscripciones y Admisiones siguiendo la estrategia de mitigación
propuesta en el presente trabajo, a través de la implantación de la mayor
cantidad de controles considerados en la Declaración de aplicabilidad
(SOA). Esto con el fin de llevar el riesgo en el proceso a un nivel menor.
 Construir una herramienta software de análisis y gestión de riesgos que se

adapte a OCTAVE-S, y que permita hacer seguimiento continuo a los con-
142
Siler Amador Donado
D.N.I 72.168.640
troles implantados en el proceso de Inscripciones y Admisiones, generan-

do alertas en tiempo real. Se recomienda una aplicación móvil que pueda
ser usada por el encargado de seguridad informática de cada división
6.4 Beneficios
 Mejora de la eficacia de la Seguridad de la Información
 Diferenciación Mercado
 Proporciona confianza a los socios comerciales, las partes interesadas y clien-
tes (certificación demuestra una diligencia adecuada)
 La única norma con la aceptación global
 tasas más bajas posibles sobre las primas de seguros
 El cumplimiento de los mandatos y las leyes (por ejemplo, la Ley de Protección
de Datos, Ley de Protección de las Comunicaciones)
 Reducción de la responsabilidad debido a las políticas y procedimientos de la
ONU implementadas o forzada
 Alta Dirección tiene la titularidad de Seguridad de la Información
 Norma cubre TI, así como la organización, el personal y las instalaciones
 responsabilidades del personal Enfocado
 Revisión Independiente del Sistema de Gestión de Seguridad de la Información
 Mejor conocimiento de la seguridad
 Los recursos combinados con otros sistemas de gestión (por ejemplo. SGC)
 Mecanismo para medir el éxito de los controles de seguridad
 Proporciona los medios para la seguridad de la información de gobierno corpo-
rativo y cumplimiento legal
 Enfoque conciencia de las responsabilidades del personal y crear la seguridad
 Ejecución de las políticas y procedimientos
143
Siler Amador Donado
D.N.I 72.168.640
7 Bibliografía y webgrafía
[1] ICONTEC, "Estándar Internacional ISO/IEC 27001:2005 Information Technol-

ogy -- Securitytechniques --Specification for an Information Security
Management System," ed, 2005.
[2] ICONTEC, "Estándar Internacional ISO/IEC 27005:2011 Information technolo-
gy — Security techniques — Information security risk management (second
edition)," ed, 2011.
[3] C. Serrano, Modelo Integral para el Profesional en Ingeniería, 2 ed. Popayán,
Colombia, 2005.
[4] T. Tower, "FAIR – ISO/IEC 27005 Cookbook," ed. United Kingdom: The Open
Group.
[5] P. A. Silberfich, "Análisis y Gestión de riesgos en TI ISO 27005 – Aplicación
Práctica," A. O. Cruz, Ed., ed. Buenos Aires, Argentina: Segurinfo 2009 – Quinto
Congreso Argentino de Seguridad de la Información, 2009.
[6] D. A. d. l. F. P. (DAFP), "Guía para la administración del riesgo," D. d. C. I. y. R.
d. Trámites, Ed., 4 ed. Bogotá, D.C., 2011.
[7] M. d. C. C. Rin, "El Análisis de Riesgos dentro de una Auditoría Informática: pa-
sos y posibles metodologías," Departamento de Informática, Universidad Carlos
III de Madrid, 2013.
[8] I. N. d. T. d. l. Comunicación, "Guía Avanzada de Gestión de Riesgos," INTECO,
Ed., ed, 2008.
[9] M. P. Konzen, "Gestão de Riscos de Segurança da Informação Baseada na Norma
ISO/IEC 27005 Usando Padrões de Segurança," R. C. N. Lisandra Manzoni Fon-
toura, Ed., ed, 2012.
[10] P. D. P. Naranjo, "Análisis de los Riesgos y Vulnerabilidades de la Red de Datos
de Escuela Politécina Nacional," Escuela de Ingeniería, Escuela Politécina Nacio-
nal, Quito, 2007.
[11] P. O. J. C. Maria Cristina Gallardo Piedra, "Análisis de Riesgos Informáticos y
Elaboración de un Plan de Contingencia T.I para la Empresa Eléctrica Quito S.A.,"
Facultad de Ingeniería de Sistemas, Escuela Politéctina Nacional, 2011.
[12] L. A. B. Torres, "Plan de Seguridad de la Información Compañía XYZ Solucio-
nes," Universidad Autónoma de Barcelona, 2013.
[13] G. P. Mega, "Metodología de Implantación de un SGSI en un grupo empresarial
jerárquico," Instituto de Computación – Facultad de Ingeniería, Universidad de la
República, Montevideo, Uruguay, 2009.
[14] I. N. d. T. d. l. Comunicación, "Implantación de un SGSI en la empresa,"
INTECO, Ed., ed, 2009.
[15] C. A. G. Guevara, "Establecimiento del Sistema de Seguridad de Informacion en
SFG bajo los Estándares de la Norma ISO 27001: 2005," Facultad de Pstgrados,
Universidad EAN, 2012.
[16] A. A. G, Diseño de un Sistema de Gestión de Seguridad de Información: Al-
faomega, 2007.
144
Siler Amador Donado
D.N.I 72.168.640
[17] M. T. R. Y. S., "SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN PARA UN SISTEMA DE INFORMACIÓN (Caso de estudio: Sis-
tema Administrativo Integrado SAI en la Red de datos de la UNEXPO- Puerto
Ordaz)," Ciencia y Tecnología, Universidad Centrooccidental Lisandro Alvarado,
Barquisimeto, 2008.
[18] P. D. A. A. G., "Análisis y Evaluacion del Riesgo de Información: Un Caso en la
Banca," 2006.
[19] D. H. P. Ricardo Gómeza, Yezid Donoso, Andrea Herrera, "Metodología y go-
bierno de la gestión de riesgos de tecnologías de la información," Agosto, 2010
2010.
[20] Z. O. B. Alexandra Ramírez Castro, "Gestión de Riesgos tecnológicos basada en
ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios," vol. 16, pp. 56-
66, 2011.
[21] J. M. M. Veiga, "Análisis de Riesgos de Seguridad de la Información," Facultad
de Informática, Universidad Politécnica de Madrid, 2009.
[22] L. E. S. Antonio Santos-Olmo, Eduardo Fernández-Medina, Mario Piattini, "Re-
visión Sistemática de Metodologías y Modelos para el Análisis y Gestión de
Riesgos Asociativos y Jerárquicos para PYMES," 2012.
[23] P. H. Ohtoshi, "Análise Comparativa de Metodologias de Gestão e de Análise de
Riscos sob a Ótica da Norma NBR-ISO/IEC 27005," Departamento de Ciência da
Computação, Universidad de Brasília, Brasilia, 2008.
[24] P. P. Páez, "Aplicación de la Norma OCTAVE-S en la Empresa Pirámide Digital
CIA. LTDA," ed. Quito, Ecuador, 2013.
[25] F. Soldan, "L'utilizzo di OCTAVE," in XXII Convegno Nazionale di Information
Systems Auditing, ed. Parma, 2008.
145
Siler Amador Donado
D.N.I 72.168.640
8 Anexo A
8.1 Metodología para cumplimiento de los objetivos

Profesional Especializado – División Admisiones, Registro
1.RESPONSABLE:
y Control Académico, Estudiante TFM.
Gestionar el riesgo en la seguridad de la información con
base en la norma ISO/IEC 27005 de 2011, proponiendo
2. OBJETIVO: una adaptación de la metodología OCTAVE-S al caso de
estudio: Proceso de Inscripciones y Admisiones en
DARCA.
Inicia con la definición del alcance del caso de estudio
aplicando la Metodología de las Elipses al Proceso de
Inscripciones y Admisiones en DARCA, identificando los
subprocesos y dependencias con otros procesos de la
3. ALCANCE: Universidad del Cauca y su interacción con entidades
externas, y finaliza con la gestión del riesgo al Proceso de
Inscripciones y Admisiones en DARCA con base en la
adaptación de la metodología de análisis y gestión del
riesgo OCTAVE-S.
4. MARCO
Reglamento estudiantil - Acuerdo 002 de 1988 modifica-
NORMATIVO:
do por el acuerdo 086 de 2008 Capítulo III
5. CONTENIDO
No Descripción de Cargo Respon- Punto de Con-
Actividad
. la Actividad sable trol
1 Recolectar Se programa Estudiante TFM Existe informa-
información reuniones con ción del proceso
referente al DARCA para Inscripciones y
proceso Ins- obtener toda la Admisiones
cripciones y información perti-
Admisiones nente del proceso y
sus procedimientos.
2 Aplicar la Se organiza toda la Estudiante TFM Toda la informa-
metodología de información reco- ción del proceso
las elipses al lectada en la Inscripciones y
Proceso de actividad anterior, Admisiones se ha
Inscripciones y identificando los recolectado
Admisiones, procedimientos o
146
Siler Amador Donado
D.N.I 72.168.640
con el fin de subprocesos del

definir el proceso Inscripcio-
alcance del nes y admisiones,
caso de estudio los responsables de
e identificar losmanejar dichos
distintos procedimientos y
subprocesos las diferentes
que componen entradas y salidas
el alcance. que estos generan.
3 Identificar las Se analiza qué otros Estudiante TFM Los procedimien-
distintas procesos en DARCA tos del proceso
interacciones dependen o tienen Inscripciones y
que los sub- que ver con los Admisiones han
procesos procedimientos o sido identificados
tienen con subprocesos del
otros procesos proceso inscripcio-
de la organiza- nes y admisiones,
ción teniendo en cuenta
todas las diferentes
interacciones si
existen.
4 Identificar las Se analiza qué otras Estudiante TFM Los procedimien-
organizaciones organizaciones en tos del proceso
extrínsecas a la la Universidad del Inscripciones y
DARCA que Cauca están asocia- Admisiones han
tienen cierto das o tienen que ver sido identificados
tipo de inter- con el proceso y sus
acción con los procedimientos,
subprocesos teniendo en cuenta
identificados. todas las diferentes
interacciones si
existen.
5 Identificar los Se identifican todos Estudiante TFM El alcance del
distintos tipos los activos que proceso Inscrip-
de activos de entren en juego en ciones y
información el proceso Inscrip- Admisiones está
existentes ciones y definido
dentro del Admisiones, sin
alcance del descartar ninguno.
modelo.
147
Siler Amador Donado
D.N.I 72.168.640
6 Clasificar los Se procede a clasifi- Estudiante TFM Los activos del

activos de car los activos proceso Inscrip-
información según las categorías ciones y
según las propuestas Admisiones están
categorías ISO/IEC 27002. identificados
propuestas en Esto es, se clasifi-
ISO/IEC can en activos de
27002. tipo: información,
sistemas (activos
físicos), aplicacio-
nes (activos
software), servicios,
personas, e intan-
gibles.
7 Adaptar la Se contrastan las Estudiante TFM El alcance del
metodología de fases de OCTAVE-S proceso Inscrip-
análisis y con las directrices ciones y
gestión del de la norma Admisiones está
riesgo ISO/IEC 27005, definido
OCTAVE-S al teniendo en cuenta
Proceso de que sean aplicables
Inscripciones y al Proceso de
Admisiones en Inscripciones y
DARCA cum- Admisiones de
pliendo con las DARCA.
directrices de
la norma
ISO/IEC
27005
8 Efectuar la Se procede a esco- Estudiante TFM La metodología
identificación, ger los activos OCTAVE-S se ha
estimación y críticos, se analiza adaptado al
evaluación del las diferentes áreas Proceso de Ins-
riesgo al involucradas en el cripciones y
Proceso de proceso identifi- Admisiones
Inscripciones y cando las falencias, cumpliendo con
Admisiones, estimando y eva- las directrices de
con base en la luando tanto la norma ISO/IEC
adaptación de cualitativa como 27005
la metodología cuantitativamente
148
Siler Amador Donado
D.N.I 72.168.640
de análisis y el riesgo. Todo con

gestión del base en la adapta-
riesgo ción de la
OCTAVE-S metodología de
análisis y gestión
del riesgo OCTAVE-
S.
9 Desarrollar Se procede a de- Estudiante TFM, Se conoce el valor
planes y terminar si se Profesional Espe- del riesgo del
estrategias de mitiga, se acepta, se cializado – proceso Inscrip-
seguridad para transfiere, se División Admisio- ciones y
el tratamiento aplaza, o se elimina nes, Registro y Admisiones
y aceptación el riesgo identifica- Control Académi-
del riesgo do en la actividad co
anterior. Depen-
diendo a eso, se
desarrollan planes y
estrategias de
seguridad (contro-
les) para el
tratamiento del
riesgo identificado.
10 Calcular el Luego de haber Estudiante TFM Los controles han
porcentaje de implementado los sido implementa-
reducción del planes y estrategias dos al proceso
riesgo, compa- de seguridad Inscripciones y
rando el (controles) para Admisiones
primer valor minimizar el riesgo
riesgo resul- del proceso, se
tante, con el calcula el porcenta-
valor del riesgo je de reducción de
final dicho riesgo, com-
parando el valor del
riesgo antes de
implementar los
controles, con el
valor del riesgo
resultante después
de haber efectuado
los controles.
149
Siler Amador Donado
D.N.I 72.168.640
6. FORMATOS No aplica
DARCA: División de Admisiones, Registro y Control Académi-
co.
7. Metodología de las Elipses: es un método que permite identi-
ABREVIATUR ficar los distintos tipos de activos de información existentes
AS Y dentro del alcance del modelo.
DEFINICIONE Extrínseco: Que es impropio de una cosa o es exterior a ella.
S: OCTAVE-S: Metodología de análisis y gestión del riesgo de la
información.
Intangible: Que no puede ser tocado.
150
Siler Amador Donado
D.N.I 72.168.640
Ilustración 12. Metodología para desarrollo de objetivos
151

Amador Donado, Siler PDF

Cargado por

Copyright:

Formatos disponibles

Amador Donado, Siler PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Amador Donado, Siler PDF

Cargado por

Copyright:

Formatos disponibles

Universidad Internacional de La Rioja

Máster universitario en Seguridad Informática

Gestión del riesgo

Ciudad: Popayán, Colombia

2.1.14 Integridad ............................................................................................. 15

5.5 Activos Críticos de Información, Sistemas, Aplicaciones, y Personas (Pasos 6,

Este documento presenta la aplicación de la metodología OCTAVE-S para el

Palabras Clave: Gestión del riesgo, SGSI, Riesgo de seguridad de la informa-

Capítulo 1: Se realiza una introducción a la temática teniendo en cuenta el

Uno de los objetivos principales de la administración del riesgo de la informa-

1.2 Planteamiento del Problema

Los riesgos pueden existir tanto en el exterior como en el interior de la organiza-

En cuanto a la necesidad de gestión de riesgos de los activos de información del

1.3.1 Objetivo general

1.3.2 Objetivos específicos

1.3.3 Metodología para el cumplimiento de los objetivos

2 Marco teórico y estado del arte

2.1 Marco Teórico

2.1.2 Valor de impacto

2.1.3 Criterios de evaluación de impacto

2.1.5 Prácticas de seguridad

2.1.6 Vulnerabilidades organizacionales

2.1.7 Catálogo de prácticas

2.1.8 Prácticas estratégicas

2.1.9 Prácticas operacionales

2.1.10 Estado de la luz de parada

2.1.11 Activos críticos

2.1.12 Requisitos de seguridad

2.1.17 Perfil Amenaza

2.1.18 Perfil genérico amenaza

2.1.19 Las rutas de acceso de red

2.1.20 Sistema De Intereses

3. El sistema que ofrece a los usuarios legítimos el acceso a un activo crítico

2.1.21 Clases principales de componentes

2.1.22 Los puntos de acceso

2.1.23 Acceso al sistema por la gente

2.1.24 Puntos de acceso Intermedio

2.1.25 Lugares de almacenamiento de datos

En seguridad de la información, el evento básico es una amenaza.

Los resultados mencionados anteriormente están directamente relacionados con

2.1.28 Valor de probabilidad

2.1.29 Criterios de evaluación de la probabilidad

2.1.30 El tiempo entre eventos

2.1.31 Frecuencia anualizada

Un riesgo se compone de:

La incertidumbre se manifiesta en gran parte de la información recopilada

2.1.32 Estrategia de Protección

2.1.36 Áreas de Práctica de Seguridad

2.1.37 Enfoque Mitigación

2.1.41 Área de Mitigación

2.1.42 Plan de mitigación del riesgo

2.2 Estado del Arte

2.2.1 Gestión del riesgo

metodologías para la gestión de riesgos a través de la combinación de patrones y

2.2.2 Implantación de un SGSI

miento de un SGSI bajo la perspectiva de las prácticas sugeridas por el estándar

2.2.3 Metodologías de análisis y gestión de riesgos.

manejo de riesgos, seguridad y gestión de servicios. La metodología se desarrolla

De forma similar, en [24] se tiene como objetivo general aplicar la norma