FASE 2 - Definición del alcance de un análisis de riesgos

JOSE DE LOS REYES DIAZ PADILLA

Universidad Nacional Abierta y a Distancia

Facultad de Ingeniería
Riesgo y Control Informático
BOGOTA D.C
2019
FASE 2 - Definición del alcance de un análisis de riesgos, identificación de activos,
identificación de amenazas y vulnerabilidades

JOSE DE LOS REYES DIAZ PADILLA

Trabajo de Riesgo y Control Informático

Para optar al título de
Especialista en Seguridad Informática

Tutor: Luis Fernando Zambrano

Universidad Nacional Abierta y a Distancia

Facultad de Ingeniería
Riesgo y Control Informático
Bogotá D.C
2019
 INTRODUCCION

En la actualidad cada vez toma más importancia la necesidad que tienen las
empresas de realizar el análisis de riesgos e implementar los controles necesarios
orientados proteger uno de los activos más importantes como es el de la
información. En siguiente trabajo está orientado a determinar las vulnerabilidades,
amenazas y riesgos de seguridad, partiendo de un caso de estudio de la empresa
Centro de estudios Superiores Informáticos de Colombia a través de la metodología
MAGERIT.
 ANTECEDENTES DE LA EMPRESA

El Centro de estudios Superiores Informáticos de Colombia es una organización que

tiene como objeto general: El Desarrollo de formación académica a la población
colombiana a través del uso de Tecnologías de Información que permitan llegar a
cualquier punto geográfico con un servicio académico de calidad mediado por la
virtualidad. Actualmente cuenta con 1800 estudiantes matriculados y el apoyo de 75
funcionarios (docentes, funcionarios administrativos y directivos) los cuales
ingresan de forma regular a dar consulta del material académico y cada mes a la
entrega de un trabajo que permita soportar el buen desarrollo de su proceso.
Para dar respuesta a este requerimiento, el centro de estudios cuenta con un
departamento de sistemas que brinda soporte a la infraestructura tecnológica 7/24.

ORGANIGRAMA

El organigrama de la dependencia de sistemas, Centro de Estudios Informáticos de

Colombia
Las funciones de los encargados de la dependencia de sistemas son las siguientes;

CARGOS Y FUNCIONES DE LA ENTIDAD

 Coordinador de infraestructura
o Encargado de coordinar y administrar el presupuesto de la dependencia de
sistema.
o Dirigir y supervisar los diferentes equipos de trabajo; de desarrollo,
innovación y soporte.
o Velar por el funcionamiento de la infraestructura tecnología de la institución.
o Representar ante el consejo directivo de la institución la dependencia de
sistemas.

 Ingeniero de sistemas
o Administrador de los servidores de la institución; servidor DHCP, sistema de
registro y control, PBX, PF , FTP, base de datos, email cooperativo.
o Encargase de la adquisición y administración de las licencias de los softwares
comerciales, utilizados por la institución.
o Encargado de desarrollar en un plan o políticas de mantenimientos y copias
de seguridad de todos los servidores de la institución.
o Presentar informe de eventos o acontecimientos de los activos informáticos
de la institución

 Administrador de redes

o Administrar todos los activos de servicio de la red de datos, router, swtiches,

cortafuegos, Hubs, Access point y telefonía IP.
o Implementación de políticas de seguridad informática.
o Presentación de informe de eventos o acontecimientos asociados a los
activos de servicios de redes.

 Ingeniero de software
o Encargado de desarrollo de las aplicaciones informáticas que requiera la
institución.
o Implementación de capacitaciones sobre el uso de las aplicaciones
informáticas.
o Encargado de dar soporte a las aplicaciones informática.
o Presentación de informe de eventos o acontecimientos asociados a los
activos de informáticos.
  Técnicos
o Encargado de realizar mantenimiento correctivo y preventivo a los
computadores de la institución.
o Implementación de plan de mantenimiento de los ordenadores.
o Presentación de informe de eventos o acontecimientos asociados a los
activos físicos.

Procesos

1. Contabilidad: unidad encargada de procesar toda la nómina de los

funcionarios, realizar declaración de renta, contratos y recibir pagos de
estudiantes.
2. Registro y control: Realiza todas las funciones legales sobre la inscripción
de los estudiantes a la institución.
3. Sistemas: Unidad encargada de implementar, gestionar y asegurar todos los
servicios tecnológicos e informáticos para el funcionamiento de la institución.

.
 ANÁLISIS DE RIESGOS

Para la ejecución de esta fase del proyecto se realizará encuestas y entrevistas del
personal de la organización Centro De Estudio Superiores Informáticos De
Colombia del área de sistemas de información.

El propósito de esta fase es validar el valor del activo y como está protegida con el
fin de sacar una conclusión fundamentada sobre las amenazas y riesgos.

 IDENTIFICACIÓN DE ACTIVOS

Los activos relacionados a continuación son suministrados por la universidad

nacional abierta y a distancia de la entidad El Centro de Estudio Superiores
Informáticos de Colombia.

Tabla 1 Activos y Descripción

Activo Descripción Ubicación Responsable Canti

dad
Servidor de Equipo de cómputo que Oficina de Ingeniero de 1
Impresión: conecta dos Registro y sistemas
impresoras: Control
Servidor Destinadas a:
marca dell en Una (1) Impresora HP
torre LaserJet Enterprise
PowerEdge serie 600, activo que
T440 brinda el servicio para
el a rea de registro y
control académico.
Permite la
concurrencia de hasta
25 usuarios y el
volumen mensual de
impresión es de 200 a
25000 páginas
Una (1) Impresora Sala de Técnicos 1
SMART MultiXpress Docentes y
M4370LX, impresora Funcionarios
que ofrece el servicio
de escáner e impresión
con un ciclo de trabajo
de hasta 300000
paginas mensuales
con capacidades de
red alámbrica e
inalámbrica. Impresora
destinada para el
 servicio de funcionarios
y docentes

Servidor de Equipo de cómputo que Oficina Ingeniero de 1

archivos FTP: tiene como función el antigua de sistemas
almacenamiento y la sistemas
Servidor administración de los
marca dell en archivos que se están
torre generando en el interior
PowerEdge de la organización
T130 como son:
Digitalización de
documento de entrada
y de salida, audios
generados en
reuniones, asambleas
y otro tipo de
encuentros, video,
generados por
docentes y
funcionarios.

Dentro de las políticas

de uso, para este
servidor solo pueden
tener acceso las
personas autorizadas
para los fines
correspondientes
Página web Servicio contratado con Godaddy Ingeniero de 1
la empresa Sistemas
Godaddy.com

La página web
institucional tiene como
objeto la publicación de
contenido relacionado
con el modelo negocio.
Está construida a partir
del sistema gestor de
 contenidos dinámicos
Joomla versión 2.5

El Centro cuenta con

dos servicios de
hospedaje para
páginas web dentro de
los dominios del centro
en internet:
dominio1.edu.co y
Google Sites
(correodominio1.edu.c
o).

El hospedaje web la
infraestructura del
servidor es Apache,
PHP, MySQL.

Servidor de Plataforma de Coordinador 1

registro y desarrollo propio. de
control Tiene como función el infraestructura
académico almacenamiento y la
administración de las
Servidor notas y evaluación
marca dell en académica, de este se
torre generan:
PowerEdge
T440  Matriculas
 Hojas de vida de
Característica los estudiantes
s de servidor  Evaluación de
Apache 2.4.25 Materias
PHP 5.6.30 -  Certificados
7.1.1 académicos
MySQL 5.7.17  Generación de
phpMyAdmin sabanas de
4.6.6 notas
Servidor Servidor que asigna y Ingeniero de 1
DHCP administra de forma sistemas
dinámica el
Servidor direccionamiento
marca dell en dentro de la
torre organización
PowerEdge
T440
 Equipos de Equipos de cómputo Oficina de Ingeniero 3
cómputo para donde se gestiona contabilidad de
gestión de información online software
Sistema de relacionada con:
contable  Nómina y
administración
Plan Cloud de turnos
Plus  Facturación
Electrónica
 Contabilidad
 Cartera
 Centros de
Costos
 Información
tributaria
 Tesorería
 Presupuesto
 Proveedores
 Órdenes de
compra
 Inventarios

Cortafuegos Sistema de protección Sistema de Ingeniero de 1

Cisco ASA seguridad sistemas
5505 que está
protegiendo
a la red de
datos, de
intrusiones
que se
puedan
presentar en
la red
Equipos de Equipos destinados Oficina de Técnicos 3
Computo para el sistema de registro y
registro y control control
Sistemas académico del centro académico
operativos
win 10 Pro
Equipos de Equipos destinados a Sala de Técnicos 30
Computo las tareas de orden Internet
Sistemas académico
operativos
win 10 Pro
 Equipos de Equipos destinados a Sala de Técnicos 20
Computo las tareas de orden Sistemas
académico
Puntos de Dispositivos de red Red de datos Administra 4
acceso encargados de la del centro dor de
alámbricos interconexión de la red redes
(hub) de datos
Switches Dispositivos de red Red de datos Ingeniero de 6
cisco catalyst encargados de la del Centro Sistemas
2960 interconexión de la red
de datos
Técnicos de Personal técnico Departament Ingeniero de 2
mantenimient encargado de realizar o de sistemas
o el mantenimiento Sistemas
preventivo a los
equipos de computo
Teléfonos IP Sistema de Dependencia Administrador 6
comunicación a través s del centro de redes
de teléfonos Voz IP,
que comunica las
oficinas y
departamentos del
centro
Puntos de Puntos de acceso al Departament Ingeniero de 2
acceso servicio de internet en o de sistemas
el campus universitario sistemas

Tipos de activos

Los activos se clasificarán de la siguiente manera:

[D] DATOS
[K] CLAVES CRIPTOGRAFICAS
[S] SERVICIOS
[SW] SOFTWARE
[HW] EQUIPAMENTO INFORMÁTICO
[COM] REDES DE COMUNICACIONES
[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILIAR
[L] INSTALACIONES
[P] PERSONAL
 CATEGORIA PROCESOS (SERVICIOS)
Datos [D]  Servidor FTP
 Página Web
CLAVES  Servidor de Web y Aplicaciones
CRIPTOGRAFICAS [K]
SERVICIOS [S]  Apache 2.4.25
 PHP 5.6.30 - 7.1.1
 MySQL 5.7.17
 phpMyAdmin 4.6.6
 Servidor de Impresión
 Servidor DHCP
SOFTWARE [SW]  Plan Cloud Plus
 Antivirus
EQUIPAMIENTO  Equipos destinados de orden académico,
INFORMATICO [HW] telefonía IP y registro y control.
 Computadoras De Escritorio
 Router
 Servidor De Base De Datos
REDES DE COMUNICACIÓN  Telefonía Ip
[COM]  Red Wifi
 Red Lan
 Internet
SOPORTE DE  Servidor de Archivos
INFORMACION [MEDIA]
EQUIPAMIENTO AUXILIAR  Cableado
[AUX]  Mobiliario
 Planta eléctrica
PERSONAL [P]  Técnicos de Mantenimiento
 Ingeniero de Sistemas

Ilustración 1

 AMENAZAS Y RIESGOS

Siguiendo el desarrollo de la actividad con la herramienta PILAR estandarizada con

Magerit se categoriza las amenazas en 4 grupos:

 [N] Desastres Naturales

 [I] De Origen Industrial
 [E] Errores y Fallos no Intencionados
 [A] Ataques intencionados
Criterios de la valorización

Nivel Criterio
10 Nivel 10
9 Nivel 9
8 Nivel 8(+)
7 Alto
6 Alto(-)
5 Medio(+)
4 Medio
3 Medio(-)
2 Bajo(+)
1 Bajo
0 Depreciable

 Identificación de las Amenazas, riesgos y vulnerabilidades sobre cada

activo

ACTIVO VULNERABILIDAD AMENAZA MARGERIT RIESGO SALVAGUARDAS

Servidor  Inexistencia de [I.5] Deterioro de origen Afectaciones de  Implementación de un
de un plan de físico o lógico tipo técnicas, plan de mantenimientos
Impresión mantenimiento [E.18] Destrucción de la lógicas y físicas de de los activos físicos.
de los activos, información los recursos.
que presta el [A.6] Abuso de privilegios
servicio en las de acceso
dependencias
de registro y
control
Servidor  No existe un [I.8] Fallo de servicios de Alteración, Pérdida Implementación de
de control de comunicaciones o eliminación de la controles de acceso y
archivos acceso para el [E.15] Alteración de la información. autenticación.
FTP uso del información
recurso. A.6] Abuso de privilegios
de acceso
[I.5] Deterioro de origen
físico o lógico
[E.1] Fallos del personal
[A.8] Difusión de software
dañino

Página  Afectación de No tener el sitio Implementación de

web la información [A.24]Denegación de web disponible por medidas de seguridad.
de la página servicio ataque informático
web por ataque [A.25] Robo
informado a [A.26] Ataque destructivo
falta de
medidas de
seguridad
aprobadas
como el uso del
protocolo http y
 no tener el
certificado SSL.

Falta de controles [I.8] Fallo de servicios de Alteración, Pérdida Implementación de

Servidor para el acceso al comunicaciones o eliminación de la planes de seguridad
de servidor. [E.15] Alteración de la información. informática.
registro y información
control A.6] Abuso de privilegios
académic de acceso
o [I.5] Deterioro de origen
físico o lógico
[E.1] Fallos del personal
[A.8] Difusión de software
dañino

Sistemas Falta de controles [E.1] Errores de los Alteración, Pérdida Implementación de

de de acceso y roles usuarios o eliminación de la planes de seguridad
informaci dentro del SI. [E.2] Errores del información. informática.
ón de administrador
gestión [A.5] Suplantación de la
identidad del usuario
[A.18] Destrucción de la
información
cortafueg Falta de políticas de [E.1] Fallos del personal Alteración, Pérdida Implementación de
os seguridad [E.2] Fallos de o eliminación de la políticas de seguridad
administración información, a en capas.
[E.3] Fallos de vigilancia causa de ataques
informáticos.

servidor Manipulación no [N.1] Fuego Alteración, Pérdida Implantación de políticas de

de base de autorizada de los [N.2] Daños por agua o eliminación de la resguardo de información.
datos datos. [N.*] Desastres naturales información.
[I.3] Contaminación
medioambiental
[I.5] Avería de origen
físico o lógico
[I.7] Condiciones
inadecuadas de
temperatura o humedad
[E.2] Errores del
administrador del sistema
/ de la seguridad
[A.11] Acceso no
autorizado
[A.23] Manipulación del
hardware
computad Uso no previsto [N.2] Daños por agua Alteración, Pérdida Implementación de políticas
oras [N.*] Desastres naturales o eliminación de la de mantenimiento y soporte.
[I.*] Desastres información.
industriales
[I.5] Avería de origen Daño de los
físico o lógico equipos físicos.
[I.7] Condiciones
inadecuadas de
temperatura o humedad
[E.23] Errores de
mantenimiento /
actualización de equipos
(hardware)
[E.24] Caída del sistema
por agotamiento de
recursos
[A.6] Abuso de privilegios
de acceso
[A.7] Uso no previsto
 CONCLUSIÓN

Se identificaron las debilidades, coacciones, peligros y protecciones tomando

como caso de estudio la Empresa Centro de estudios Superiores Informáticos de
Colombia, basados en la metodología MAGERIT.
 BIBLIOGRAFÍA

Vásquez, K. d. (Octubre de 2013). APLICACIÓN DE LA METODOLOGÍA MAGERIT

PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA
INFORMACIÓN APLICADO A LA EMPRESA PESQUERA E INDUSTRIAL
BRAVITO S.A. EN LA CIUDAD DE MACHALA. Cuenca, Machala.