ESP/PRIMER BLOQUE-ANALISIS DE RIESGOS DE LA INFORMACION-[GRUPO1]-A

CARLOS ANDRES VASQUEZ CONTRERAS

CÓDIGO: 1822010426
KAREN ZULAY GONZALEZ HIDALGO
CÓDIGO: 1220650190

TORRES TORRES CRISTIAN DAVID

Docente

POLITÉCNICO GRANCOLOMBIANO
ANÁLISIS DE RIESGOS DE LA INFORMACIÓN
BOGOTÁ D.C.

1
 2019

CONTENIDO

1. CONTEXTO EMPRESARIAL.......................................................................................................3
2. IDENTIFICACIÓN DE ACTIVOS..................................................................................................1
3. PLAN DE TRATAMIENTO DE RIESGOS......................................................................................4
4. AMENAZAS Y VULNERABILIDADES.........................................................................................6
5. MATRIZ DE IDENTIFICACIÓN DE RIESGOS.............................................................................11
6. MAPA DE CALOR....................................................................................................................14
7. CONCLUSIONES......................................................................................................................15
8. BIBLIOGRAFÍA........................................................................................................................15

2
 1. CONTEXTO EMPRESARIAL

Los usuarios de la Caja de compensación familiar Cafam acceden a los servicios de soporte de TI
a través de la función de la mesa de ayuda que es la encargada en primera instancia de realizar
el diagnóstico inicial del incidente o falla presentada o de tramitar la solicitud respectiva en caso
de que este sea el escenario. Desde la función de la mesa de ayuda se ejecuta el proceso de
gestión de incidentes o gestión de solicitudes, según corresponda.

En caso de tratarse de una solicitud de servicios de acceso, se proporcionarán los accesos

definidos en las políticas de seguridad de TI de la compañía que puedan ser otorgados por la
mesa de ayuda y en caso de no poder ser suministrados desde allí se escalarán a los
responsables de hacerlo en el primer y/o segundo nivel de escalamiento funcional.

3
 2. IDENTIFICACIÓN DE ACTIVOS

ITEM TIPO ACTIVO DESCRIPCIÓN

1 SOFTWAR Herramienta de registro de Internamente, la empresa Comware cuenta con una herramienta de gestión
Incidentes
Herramienta y Requerimientos
de grabación de La empresa cuenta conDesk,
una enherramienta para el y proceso de grabación
2 llamada ARANDA Service la cual se registran documentan todos los de
E

llamadas
3 llamadas entrantes
Sistema Operativo / Servidor Software principal ely salientes llamada
cual coordina CallX,los
y dirige la cual permite
servicios el almacenamiento
disponibles del equipo
de Basesde
Archivo deconfiguración
Datos del Archivo
4 servidor de configuración
en el cual se alojan el las
cual permite
Bases el correcto
de Datos funcionamiento
consultadas del IVR
por las aplicaciones
IVR
5 (Interactive
Archivo de configuración del Archivo de Voice Response)
configuración queel permite
cual provee un menúdel
la operación o árbol
Gatewayde opciones de
de Internet
DATOS E Gateway de Internet
6 INFORMAC Base de datos de Base de datos lógica
correctamente. Incluyequedireccionamiento
contiene la información empleada
IP, políticas por el filtrado
de acceso, sistema de
conocimiento
Registro de (KDB)
direcciones IP Archivo de conocimiento
registro el cualdel
contiene
7 IÓN gestión del servicio.el total de direcciones Ip las cuales son base
8 para
Base asignación
de Datos DHCPde los Base de datos que contiene la información relacionada a los recursos como
para la asignación por DHCP.
recursos soportados por el
Base de Datos de usuarios y computadores,
Base de Datos laservidores,
cual contiene toda la información de los usuarios del soporta
Directorio
9 dispositivos de video conferencia, etc... Que el
grupos
REDES Y Firmwareen el AD o sistema Software principal
0 Activo. Así mismo,ellacual coordina de
asignación y dirige los servicios
políticas disponibles
y/o restricciones lasencuales
el equipo
son
COMUNIC operativo del Switch Core
Switch Core que actúa como núcleo de la estructura de la red de Comware.

3. PLAN DE TRATAMIENTO DE RIESGOS

Para la evaluación del Riesgo se utilizaron las siguientes tablas:

IMPACTO
PROBABILIDAD INSIGNIFICANTE MODERADO MAYOR CATASTROFICO
MENOR (2)
(1) (3) (4) (5)
RARO (1) B B M A A
IMPROBABLE (2) B B M A MA

4
 MODERADO (3) B M A MA MA
PROBABLE (4) M A A MA MA
CASI CERTEZA
A A MA MA MA
(5)
Tabla 1. Impacto del Riesgo y Probabilidad de Ocurrencia

NOMENCLATURA E IMPACTO
MB MUY BAJO
B BAJO
M MODERADO
A ALTO
MA EXTREMO
Tabla 2. Evaluación de Riesgo

Descripción

 Si el valor es 10 es porque el daño es muy grave para la organización y no tendrían remedio.

 Si el valor es de 7-9 el daño tiene consecuencias graves para la organización.
 Si el valor es 4-6 es porque el daño tiene consecuencias relevantes.
 Si el valor es 1-3 es porque el daño tiene consecuencias relevantes, pero no en toda la organización.
 Si es 0 es porque no tiene consecuencias relevantes.

Luego de definir los niveles de riesgos respecto a las vulnerabilidades de cada activo y las amenazas que puedan afectar su

integridad, confidencialidad o disponibilidad; se define un criterio de aceptación del riesgo el cual determina si el riesgo es aceptable

o si requiere de algún tratamiento. Finalmente, se obtiene el plan de tratamiento de los riesgos identificados.

A continuación, se presenta el plan de tratamiento de los riesgos:

NIVEL DE RIESGO POLÍTICA PARA LA TOMA DE ACCIONES

5
 BAJO  Asumir el riesgo
 Asumir el riesgo
MODERADO
 Reducir el riesgo
Riesgo No Aceptable
 Evitar el riesgo
ALTO
 Reducir el riesgo
 Compartir o transferir
Riesgo No Aceptable
 Evitar el riesgo
EXTREMO
 Reducir el riesgo
 Compartir o transferir
Tabla 3. Plan tratamiento de riesgos

El tratamiento de los riesgos cuyo nivel sea ALTO o EXTREMO es recurrir a la implementación de ciertos controles para reducir la

probabilidad que dichos riesgos identificados se materialicen y para los riesgos BAJO y MODERADO no se requerirá de tratamiento ya

que se considera que la organización puede asumir dichos riesgos.

4. AMENAZAS Y VULNERABILIDADES

Service Desk (COMWARE - CAFAM)

TIPO ACTIVO AMENAZAS CRITICIDAD VULNERABILIDADES
SOFTWARE Software de registro - Implicaciones de tipo legal o MA Software desactualizado o ausencia del
de Incidentes y inoperatividad de la aplicación. mismo, defectuoso o en mal estado.
Requerimientos

6
 A
- Mala manipulación de programas.
- Accesos no autorizados MA

MA
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B

M
- Alteración equivoca de información

- Implicaciones de tipo legal o

MA
inoperatividad de la aplicación.

A
- Mala manipulación de programas.
- Accesos no autorizados MA
Software de grabación Ausencia de controles y de actualización
de llamadas MA del mismo de administrativa
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B

M
- Alteración equivoca de información
Sistema Operativo y No se ejecutan los parches de
ofimatica - Implicaciones de tipo legal o actualización de acuerdo a su caducidad
MA
inoperatividad de la aplicación.

A
- Mala manipulación de programas.
- Accesos no autorizados MA

7
 MA
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B

M
- Alteración equivoca de información

A
- difusión de software maligno
- Uso no autorizado M
DATOS E
M
INFORMACI - Alteración equivoca de información
ÓN
MA
Archivo de - Eliminación de información Falta de actualización de la información y
configuración del IVR no tener control sobre el documento
M
- Alteración equivoca de información
- Uso no autorizado M
- Accesos no autorizados MA

M
- Alteración equivoca de información

Archivo de MA
- Eliminación de información
configuración del Manejo inadecuado de la información
Gateway de Internet M
- Alteración equivoca de información
- Uso no autorizado M
- Accesos no autorizados MA
Base de datos de Información incompleta de la
M
conocimiento (KDB) - Alteración equivoca de información documentación, especificiones mal
- Eliminación de información MA elaboradas

8
 - Divulgación sin autorización de
A
información
- Fugas de información MA
- Accesos no autorizados MA

M
- Alteración equivoca de información

MA
- Eliminación de información
Registro de
No hay cuidado y reserva de la
direcciones IP para - Divulgación sin autorización de
A información, información incompleta
asignación DHCP información

- Uso no autorizado M
- Fugas de información MA
- Accesos no autorizados MA

MA
- Eliminación de información

M
Base de Datos de los - Alteración equivoca de información
Falta de actualización de la información y
recursos soportados - Uso no autorizado M
no tener control sobre el documento
por el Help Desk - Robo de información MA

- modificación de información sin A

autorización
Base de Datos de Resguardo inadecuado de la información.
M
usuarios y grupos en - Alteración equivoca de información
el AD
MA
- Eliminación de información
- Divulgación sin autorización de A
información

9
 - Fugas de información MA
- Accesos no autorizados MA
- Daños por inhundacion MA
- Corte de energía MA
Firmware o sistema MA
operativo del Switch - Daños en el mantenimiento No hay un plan de contingencia
Core - Daño por origen fisico A
- Robo A
REDES Y - Sin servicio de red MA
COMUNICA - Daños por inhundacion MA
CIONES - Corte de energía MA

MA falta de cuidado y manteniemiento de los

Dispositivos activos de - Daños en el mantenimiento recursos afectados, conexiones de HFC y
la red - Daño por origen fisico A FO deficientes
- Robo A

- Sin servicio de red MA

HARDWARE - Daños por inhundacion MA
- Corte de energía MA

MA
- Daños en el mantenimiento
Servidores de bases de Ausencia de controles y de actualización
- Caidas del sistema MA
datos y herramientas del mismo de administrativa
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
Computadores - Daños por inhundacion MA Incumplimiento en la actualización
- Corte de energía MA periódica de software. No se tiene
previsto un plan de contingencia. Falta de
MA cuidado en la disposición.
- Daños en el mantenimiento
- Caidas del sistema MA

10
 - Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
- Daños por inhundacion MA
- Corte de energía MA

MA
- Daños en el mantenimiento
No hay mantenimiento preventivo, falta
Impresoras - Caidas del sistema MA
de cuidado por los usuarios
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A

MA
- Daños por inhundacion
- Corte de energía MA

Medios MA
- Daños en el mantenimiento Ausencia en control por parte
removibles(usb, discos
- Caidas del sistema MA administrativa
duros, memorias, CDs)
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
TABLA No. 4 AMENAZAS Y VULNERABILIDADES

5. MATRIZ DE IDENTIFICACIÓN DE RIESGOS

De acuerdo a la siguiente tabla de activos determinamos los diferentes riesgos.

11
 CODIG
O TIPO DE ACTIVO
A1 SOFTWARE
A2 INFORMACIÓN Y DATOS
A3 REDES Y COMUNICACIONES
A4 HARDWARE
Tabla n° 5 tipos de activos

TABLA N°6 DESCRIPCIÓN DE RIESGOS Y VALOR DE SEVERIDAD

VALOR SEVERIDA
ACTIVO RIESG IMPACT VALOR D DE
S O DESCRIPCIÓN DE RIESGO O RIESGO RIESGO
A1, A2 R1 PRESTAMO DE CREDENCIALES 3 2 M (5)

A1 R2 DESCARGA LIBRE DE SOFTWARE NO COMERCIAL 2 1 B (3)

A1, A3,
R3 FALLAS EN SOFTWARE O HARDWARE 2 4 M (6)
A4

PRESTAMO DE HERRAMIENTAS Y SERVICIOS FUERA DE LOS

A2, A4 R4 2 3 M (5)
TERMINOS PACTADOS

A4 R5 FALLAS O CORTES ELECTRICOS 4 3 A (7)

A2 R6 USO NO AUTORIZADO DE BASE DE DATOS 5 4 A (9)

A2, A3 R7 FALLA DE SERVICIO EN REDES 4 3 A (7)

A2 R8 5 5 MA (10)
ROBO DE INFORMACIÓN DE USUARIOS
A1, A2,
R9 DEFICIENCIA EN LOS SISTEMAS DE INFORMACIÓN 3 4 A (7)
A3

A2, A4 R10 NO TENER UN INVENTARIO ACTUALIZADO 3 5 A (8)

12
 Tabla N° 7 de medición de impacto

Operación Legal Vidas Humanas Contagios MEDICIÓN

Pérdidas de
Sin reportes ante No se requiere no produce contagio
hasta $ INSIGNIFICANTE
personal. tratamiento médico. alguno
5,000,000.00
Efectos legales y
Pérdidas entre
Llamadas de atención y Incapacidad de algunos reputacionales de un
$ 5,000,001.00
reporte de incidentes días de empleados o cliente involucrado en MENOR
y$
menores ante personal. terceras partes. alguna actividad de LA o
10,000,000.00
FT.
Sanciones moderadas a la Efectos legales y
Pérdidas entre
entidad y/o empleados. Tratamiento médico de reputacionales
$
Requerimientos de ente mediano impacto a importantes de un
10,000,001.00 CRITICA
de supervisión con empleados o terceras funcionario involucrado
y$
acciones correctivas partes. en alguna actividad de LA
60,000,000.00
inmediatas. o FT.
Pérdidas entre Efectos legales y
$ Sanciones mayores a la Hospitalización e reputacionales
60,000,001.00 organización y empleados. incapacidad de dos (2) a significativos de un
MAYOR
y$ Procesos penales en seis (6) meses de directivo involucrado en
250,000,000.0 contra de empleados. empleados. alguna actividad de LA o
0 FT.
Sanciones a la entidad,
directivos, socios y
Efectos legales y
administradores
reputacionales de
Pérdidas implicando el cierre o
Lesiones o muerte de accionistas principales
superiores a $ pagos de altas
empleados o terceras (más del 10%) de la CATASTROFICO
250,000,001.0 indemnizaciones a
partes. entidad o grupo
0 terceros afectando el
económico en alguna
patrimonio. Procesos
actividad de LA o FT.
penales a directivos,
socios y administradores.

13
14
 6. MAPA DE CALOR

RIESGOS

4
PROBABILIDAD

2 2 2 2

1 1 1 1

0
0 1 2 3 4 5

IMPACTO

15
 7. CONCLUSIONES

Se realiza la identificación de servicios de la organización COMWARE, dando a

contemplar la mejora continua de dichos servicios y también que servicios
nuevos se pueden realizar para mejorar los procesos o la atención en la
empresa.

Para lograr que nuestra empresa se catalogada como una de las mejores es
necesario implementar estrategias ITIL, para un buen funcionamiento de las
tecnologías de la información acogidas por los riesgos previstos y antes vistos.

8. BIBLIOGRAFÍA

Ferrer, R. (2007). Metodología de Análisis de Riesgos. Recuperado de

http://www.sisteseg.com/files/Microsoft_Word_-
_METODOLOGIA_DE_ANALISIS_DE_RIESGO.pdf
ISO/IEC 27002:2013. Dominios, objetivos de control y controles. Recuperado de
http://www.iso27000.es/download/ControlesISO27002-2013.pdf
ISO 27002.ES. El portal ISO 27002 en Español. Recuperado de
http://iso27000.es/iso27002.html
Magerit (2012) Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Libro 1-Método. Recuperado de https://www.ccn-
cert.cni.es/publico/herramientas/pilar5/magerit/Libro_I_metodo.pdf
PM4R (2012). Matriz de Riesgos. Recuperado de https://www.youtube.com/watch?v=FsholPIiiIg
Ramírez, A. (2014). Actualización del sistema de Gestión de Seguridad de la Información de una
empresa norma ISO/IEC 27001:2013. Recuperado de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/36241/6/aramirezcasTFM051
4memoria.pdf
AEC. (2014). Asociación Española para la Calidad. Recuperado el 20 de Abril de 2014, de
http://www.aec.es/web/guest/centro-conocimiento/cobit

Informática, M. M. (2013). Modelos y Estándares de Seguridad Informática. UNAD.

INTECO. (2013). INTECO. Recuperado el 18 de Abril de 2014, de

http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Normativa_SGSI/

16