TALLER EJE 4

Análisis de Riesgos Informáticos

Presentado por:
GINA IBETH SANA ROJAS
JOSE RODOLFO ENCISO CHOPERENA
FREDERIK SEBASTIAN ESCOBAR OTAVO

Tutor:
LUIS FRANCISCO LOPEZ URREA

FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

INGENIERÍA DE SISTEMAS
OCTUBRE 2021
Tabla de Contenido

1. INSTRUCCIONES 3

2. INTRODUCCIÓN 4

3. OBJETIVOS 5

3.1. Objetivo general: 5

3.2. Objetivos específicos: 5

4. DESARROLLO 6

4.1. Riesgos a los que se encuentra expuesta la seguridad digital 7

4.2. Identificación del riesgo 8

4.3. Probabilidad de ocurrencia del riesgo 10

4.4. Matriz de categorías de activos 10

4.5. Indicadores de impacto 11

5. CONCLUSIONES 12

6. REFERENCIAS 13
1. INSTRUCCIONES

⮚ Haga la lectura del referente de pensamiento.

⮚ Desarrolle las actividades de aprendizaje incluidas en el referente.
⮚ Organice grupos de tres estudiantes con sus compañeros de curso.
⮚ Haga la lectura del informe de auditoría de la compañía XYZ, la empresa se dedica
a la administración de conjuntos residenciales. Para gestionar la información
relacionada con su misión, la empresa contrató con el proveedor XXXX el uso del
programa SISCO —Sistema Integrado de Información para Copropiedades—.
Luego de varios años de funcionamiento, la empresa XYZ contrató a la empresa
independiente ACME Audit SAS. Una vez efectuada la auditoría, está emitió el
informe que se adjunta en el PDF: Informe Auditoría. (Descargue aquí)
⮚ Analice el alcance del sistema de gestión de información de la compañía XYZ.
⮚ Analice los resultados del informe de auditoría.
⮚ Diseñe y elabore para entregar al tutor un documento de Word en el que a partir de
la información y el modelo propuesto en el referente cree con sus compañeros un
método para el análisis, evaluación y gestión de riesgos de la compañía XYZ.
⮚ Envíe el documento de Word con el método propuesto al espacio de tareas del
módulo.
 2. INTRODUCCIÓN

La información es el activo más importante de una organización, porque constituye el

funcionamiento de la organización, que a su vez enfrenta diferentes niveles de amenazas, las
cuales pueden ser evaluadas mediante un análisis detallado de los riesgos de estos estudios.
Generan medidas de control, protección y seguridad que les permiten reducir sus
vulnerabilidades y ayudar a mantener su disponibilidad, integridad y confiabilidad.
Existen muchos métodos para el análisis de riesgos, pero todos parten de un punto en común:
la identificación de los activos de información, es decir, todos los recursos involucrados en la
gestión de la información, desde los datos y el hardware hasta los documentos escritos y los
recursos humanos. Es en estos activos de información donde se identifican las amenazas o
riesgos y vulnerabilidades.
Es muy importante poder identificar y evaluar el tipo y nivel de riesgos y las características
específicas que enfrenta la organización, pues puede diagnosticar el posible impacto, el grado
de daño que puede causar un accidente, e incluso el social y económico. consecuencias que
puede causar, o incluso determinar el futuro de la organización. En otras palabras, evaluar el
riesgo es asociar amenazas y vulnerabilidades con la capacidad de respuesta o autogestión de
la organización, lo que puede conducir positivamente a la gestión de riesgos.
3. OBJETIVOS

3.1. Objetivo general:

❖ Diseño de modelo de análisis y evaluación de gestión de riesgos informáticos de una

organización.

3.2. Objetivos específicos:

• Análisis de riesgos presentes dentro de la organización.

• identificación de amenazas, vulnerabilidades y consecuencias a la cual se encuentra
expuesta la organización lo cual puede causar la materialización de un incidente de
seguridad.
• aplicar conocimientos aprendidos a lo largo del curso.
 4. DESARROLLO
Método para el análisis, evaluación y gestión de riesgos de la compañía XYZ.

RIESGO FACTORES DE RIESGO AMENAZAS IMPACTO CATEGORÍA DESCRIPCIÓN

ACTIVOS
Acceso a Deficiencia en seguridad de red y - Acceso no autorizado Alto Redes de Deficiencia en la
servidores conexiones remotas - Ataques de fuerza bruta comunicaciones implementación de red privada.
remotos - Alteración de información
- Sabotaje
Inicio de Almacenamiento obsoleto Alto Datos o registro Información del usuario
sesión expuesta en base de datos.
Servidor  Gestión de la Tecnología Suplantación de usuarios  Alto  Información de Esta es una computadora que se
SISCO Gestión de la Contabilidad Ataques de fuerza bruta Contabilidad usa como servidor y actualmente
  Accesos no autorizados Información básica de tiene instalado el sistema
Software malicioso los empleados SISCO. Sistema que presta el
servicio de contabilidad de los
conjuntos residenciales.

 Servicio de  Los funcionarios de XYZ no tienen - Software malicioso  Alto Redes de Este servicio permite a los usuarios
Internet control automático para restringir el - Empleados insatisfechos comunicaciones de redes informáticas utilizar
acceso a Internet; además, se puede - Accesos servicios de diferentes herramientas de Internet
instalar software sin ningún tipo de mensajería no autorizados publicadas, como buscadores,
restricción en el equipo informático bancos, redes sociales, servicios de
responsable de operar el sistema correo electrónico, etc.
SISCO.

Red No existen medidas de control al - Perdida de confidencialidad Alto Redes de Son conexiones que se establecen
Informática interior de la red corporativa de XYZ - Perdida de Integridad comunicaciones entre diferentes ordenadores y
que limite el acceso a las carpetas - Fuga de información servidores, lo que permite la
compartidas utilizadas por el sistema - Perdida de disponibilidad interconexión e intercambio de
SISCO. información entre diferentes
componentes de la red.
4.1. Riesgos a los que se encuentra expuesta la seguridad digital

a) Información que no corresponde a la original, integridad: condición bajo la cual la

información está expuesta a cambios o modificaciones sin autorización de los propietarios o
personas con credenciales para acceder o modificar su contenido.
b) Pérdida de confidencialidad: la información que se administra bajo nuestra plataforma se
comunica, divulga o comparte con personas, organizaciones o individuos que no cuentan
con autorización o credenciales para acceder a ella (autorización de divulgación de
información).
c) Pérdidas o fugas no controladas de información: cualquier situación bajo la cual la
organización pierde el control de toda o una parte de la información que se administra bajo
nuestra plataforma tecnológica, en general provoca daños irreparables con consecuencias e
impactos de una magnitud considerable que pueden ocasionar el cierre del negocio o
implicar a los responsables en situaciones de carácter penal. Estas situaciones se presentan
por la falta de control sobre la información a la que pueden acceder grupos de usuarios
específicos, errores en los procesos de control o el diseño en del sistema.
d) Pérdida de la disponibilidad: esta condición implica que la información que administra
nuestra organización deja de estar disponible de forma temporal o total, para los usuarios,
procesos o aplicaciones que la requieran. Puede implicar riesgos graves en la organización
según los contratos que se hayan suscrito con los clientes del servicio de hosting.

a. Información tomada del referente pensamiento Eje 4 2021

 4.2. Identificación del riesgo

IDENTIFICACIÓN DE LA CAUSA
Proceso Activo Riesgo Amenaza Vulnerabilidad Consecuencia

Control de Servidor Pérdida de Acceso a personal Falta de control Robo a equipos

acceso físico información, no autorizado sobre los accesos físicos.
configuración físicos al servidor
del equipo
físico.

Control de Computador Acceso con Cualquier usuario Poco control de Desconfiguración

Credenciales contraseñas puede ingresar en usuario o de equipos,
poco seguras un equipo que separación de eliminación de
está fuera de su información información.
área laboral empresarial.

Respaldos Base de datos Pérdida de la Pérdida de parte o Ante una falla o Afectación a la
periódicos información toda la acontecimiento la imagen de la
empresarial información que información se empresa. Pérdida
consigna la perdería absoluta de datos
empresa. valiosos
consignados en la
empresa.
Actualización Aplicaciones El sistema de Poca seguridad, Versión sin Ingreso De
de Software para gestionar gestión de DB formatos soporte o parches personal no
bases de datos cuenta con una obsoletos. de seguridad la deseados la BD,
versión cual es fácilmente pérdida de
obsoleta atacada gracias a información,
los reconocidos Fuga de
exploits con los información.
que cuenta.
Actualización Suites de Se cuenta con Poca Reportes, Disminución de
de Software ofimática una versión compatibilidad o documentos y la productividad
antigua del productividad en demás podrán y compatibilidad
sistema procesos dejar de ser de reportes y
ofimático. ofimáticos. compatibles con documentos
versiones más digitales.
modernas del
software.
Gestión de Internet Cualquier Acceso a páginas Obtención de Pérdida de
acceso a usuario puede no deseadas, virus, información,
internet acceder a pérdida de ransomware. Afectación a
internet sin productividad de Pérdida de equipos,
restricción trabajadores productividad al Disminución de
alguna navegar efectividad y
libremente. productividad.
Gestión de Herramienta Acceso con Contraseña Usuarios retirados Intrusión, Fuga
seguridad de acceso contraseñas conocida por todo o terceros con de la
remoto poco seguras el personal y poco ingeniería social información.
segura. podrían acceder Secuestro de
remotamente al información,
sistema de control Afectación en la
remoto imagen de la
empresa.
Control de Intranet Control de Cualquier usuario Fuga de Afectación a la
acceso acceso a en la red wifi o información imagen de la
carpetas en red puntos físicos empresa.
local sin puede acceder a
restringir carpetas
compartidas en
red con
información de la
empresa.
Copia de Disco duro La copia de La copia de En caso de Afectación a la
seguridad externo seguridad no seguridad no se catástrofe donde imagen de la
es realizada en realiza en la nube, los medios físicos empresa. Pérdida
servidor de se pierdan, se absoluta de datos
internet perdería toda la valiosos
información consignados en la
empresarial. empresa.
 4.3. Probabilidad de ocurrencia del riesgo

4.4. Matriz de categorías de activos

Código Activos Factores de Riesgo

Humano Plataforma Procesos
tecnológica
0001 Servidor x x x
0002 Computador x
0003 Base de datos x x
0004 Copias de x
seguridad
0005 Aplicaciones x x
para gestionar
bases de datos
0006 Suites de x
ofimática
0007 Internet x x x
0008 Herramienta de x x
acceso remoto
0009 Intranet x x
0010 Disco duro x
externo

4.5. Indicadores de impacto

 Activo Impacto Valor
Servidor Crítico 5
Computador Alto 4
Base de datos Crítico 5
Copias de seguridad Alto 4.5

Aplicaciones para gestionar bases de datos Medio 3.5

Suites de ofimática Bajo 2
Internet Alto 4
Herramienta de acceso remoto Alto 4
Intranet Crítico 5
Disco duro externo Bajo 1

5. CONCLUSIONES
 Es necesario mantener un estado de alerta permanente sobre la información
organizacional y su accesibilidad, y se deben generar políticas de seguridad
que ayuden a mitigar y proteger la información que es parte esencial de la
continuidad del negocio. En resumen, se deben implementar métodos de
análisis de riesgos para controlar los procesos involucrados en las
actividades organizacionales, y estos procesos deben actualizarse de acuerdo
con las normas y reglamentos de la ley. El proceso de seguridad es un
proceso continuo que debe integrarse en todos los aspectos de las
operaciones de la organización para reducir los riesgos en mayor medida.

En toda organización es de suma importancia tener implementado un

sistema de gestión de riesgos informáticos, contar con planes de respuesta
claros, adecuados y efectivos que permitan llevar un control y seguimiento
de los riesgos que se puedan presentar para de esta manera reducir su
probabilidad de ocurrencia e impacto dentro de los activos de la
organización.

6. REFERENCIAS
- Toro, R. (2019). Sistemas de Gestión de Seguridad de la Información. Retrieved
30 September 2019, from https://www.pmg-ssi.com/2019/02/sistemas-de-
gestion-de-seguridad-de-la-informacion/
- Guía para la Gestión y Clasificación de Activos de Información. (2019).
Retrieved 30 September 2019, from
https://www.mintic.gov.co/gestionti/615/articles-
5482_G5_Gestion_Clasificacion.pdf
- Alemán Novoa, H., & Rodríguez Barrera, C. (1874). Metodologías para el
análisis de riesgos en los sgsi.