Asignatura Datos del alumno Fecha

Apellidos:
Anlisis de Riesgos
Legales
Nombre:

Actividades

Trabajo: Gestin del riesgo en una organizacin

Introduccin

Este trabajo consiste en la realizacin de la apreciacin y tratamiento del riesgo de una

organizacin de forma automatizada, utilizando para ello la plataforma
GESCONSULTOR.

Como alumno del Mster dispondrs de un usuario y contrasea que te facilitar el

acceso a un proyecto de GESCONSULTOR en una instancia Cloud.

Una vez finalices el ejercicio debers subir los resultados a la plataforma de UNIR.

Modelo de la organizacin: Arquitectura empresarial

Cuando accedas al proyecto encontrars ya disponible un modelo parcial de la

arquitectura empresarial de un ayuntamiento local.

Para modelar la organizacin, la plataforma GESCONSULTOR ha sido pionera en la

utilizacin estndares de arquitectura empresarial, lo que nos permitir su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta prctica.

Adems, contaremos con otra ventaja, que ser la posibilidad de disear el modelo de
forma 100% grfica.

TEMA 1 Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Anlisis de Riesgos
Legales
Nombre:

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prcticas internacionales (ver TOGAF1), una descripcin de la organizacin por capas:

Capa de negocio: entre otros, una descripcin de los servicios de negocio

prestados por la compaa o productos comercializados, los procesos de negocio
mediante los que se organizacin presta esos servicios o genera esos productos, as
como las partes que contribuyen a la ejecucin de esos procesos (roles de negocio,
actores de negocio personas u organizaciones ).
Capa de aplicacin: los sistemas de informacin de la compaa, detallando los
servicios automatizados que prestan esos sistemas de informacin (similar a
'funcionalidades' individuales o conjuntos de funcionalidades 'mdulos'
disponibles para los usuarios).
Capa de tecnologa: entre otros, los elementos de la infraestructura de
informtica/computacin y comunicaciones que constituyen esos sistemas de
informacin utilizados por la compaa. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos como un clster MySQL compuesto de tres servicios MySQL que corren
sobre tres mquinas fsicas o virtuales distintas -).
o Mquinas fsicas o virtuales, generalizndolas en el concepto de host, que tendr
una direccin IP de red asociada, que puede contener servicios software
publicados a travs de una IP y puerto TCP/UDP.
o Infraestructura de virtualizacin, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualizacin, etc.
o Infraestructura hardware, sobre la que corrern los host fsicos o la
infraestructura de virtualizacin.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes fsicas
(bridges) de los que unen redes lgicas (routers).
o Redes, tanto lgicas (como las redes TCP o, a otro nivel de abstraccin, las VLAN)
como fsicas (Ethernet, WiFi, Punto a Punto, etc.).

1
TOGAF 9.1 Gua de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 Documentacin oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 1 Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Anlisis de Riesgos
Legales
Nombre:

Con carcter transversal, se pueden definir tambin ubicaciones, que permitirn

geo-posicionar especialmente los activos fsicos, aunque se permite ubicar
geogrficamente cualquier tipo de activo en general.

Tambin es posible definir grupos que incluirn uno o varios activos y que
permitirn llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las mquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrars un modelo de arquitectura empresarial ya

parcialmente elaborado de un Ayuntamiento. Su diseo visual ser similar al siguiente:

TEMA 1 Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Anlisis de Riesgos
Legales
Nombre:

En el mismo encontrars los siguientes activos:

Servicios de negocio: Hardware

Prestados a usuarios externos 4 PCs
o Tramitacin de expedientes 1 Servidor Elementos auxiliares
Prestados a usuarios internos Equipamiento de comunicaciones
o Correo electrnico Red de rea local (LAN)
o Almacenamiento remoto Firewall
o Almacenamiento en red local Instalaciones
o Conexin a Internet Oficina
Servicios subcontratados Sala de Equipos (Data Center).
Datos Personal
Informacin de los expedientes Un responsable de la oficina.
Software Dos funcionarios.
Aplicacin para la tramitacin de Un informtico externo a tiempo
expedientes parcial.

Como puedes apreciar en el esquema anterior, tan importante es

identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos sern las que permiten determinar:

1. Cmo se propagar la criticidad o valor del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones hacia abajo, desde
el activo cuya criticidad o valor ha sido apreciada, a todas sus dependencias
inferiores, directas o indirectas).
2. Cmo se propagar un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
hacia arriba, desde el activo done se ha materializado el evento hacia sus
dependencias superiores).

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias

TEMA 1 Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Anlisis de Riesgos
Legales
Nombre:

estimadas) y evaluarlos (conforme a los criterios de aceptacin del riesgo definidos,

para considerar si son aceptables o inaceptables para la organizacin).

Qu debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

o Completar el modelo de arquitectura empresarial con un mnimo de (se valorar

positivamente que el modelo incorpore hasta 20 nuevos activos):

Dos nuevos activos en la capa de negocio.

Tres nuevos activos en la capa de aplicacin.
Cinco nuevos activos en la capa de tecnologa.

Entrega:

Para entregar la actividad debers adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y una explicacin:

Del razonamiento seguido para aadir los activos que hayas determinado.
La criticidad que has definido explcitamente.
As como las relaciones (como mnimo las creadas entre los nuevos aadidos y
los ya existentes).

PARTE 2: Realizando la apreciacin y tratamiento del riesgo

El objetivo de la segunda parte del trabajo es:

o Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:

a. Identificar al menos diez escenarios de riesgo (se valorar positivamente la

identificacin de hasta veinte escenarios de riesgo).

TEMA 1 Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Anlisis de Riesgos
Legales
Nombre:

b. Analizar los escenarios de riesgo identificados (estimando la probabilidad de

que se materialicen las consecuencias apreciadas).
c. Documentar los criterios de aceptacin del riesgo que se han considerado:

i. Nivel mximo de riesgo considerado directamente como aceptable.

ii. Nivel mnimo de riesgo considerado directamente como inaceptable.
iii. Indicar criterios de evaluacin adicionales que se hayan considerado:

1. Cisnes negros (probabilidad muy escasa pero consecuencias muy

elevadas).
2. Otros criterios de negocio (por ejemplo, prdidas estimadas superiores a
un importe, prdida de vidas humanas, protestas de la ciudadana, etc.).

d. Evaluar los escenarios de riesgo conforme a los criterios de aceptacin del

riesgo que definamos (clasificndolos en aceptables e inaceptables. Se valorar
negativamente que haya riesgos en la franja de tolerables aquellos que se
encuentran entre el nivel mximo aceptable y el nivel mnimo inaceptable).

e. Tratar TODOS los riesgos considerados como inaceptables:

i. Definiendo para los mismos al menos cinco acciones de tratamiento del

riesgo (proyectos o tareas).
ii. Asociando, en cada accin de tratamiento, los controles de iso 27002:2013
a considerar.

Entrega:

Para entregar la actividad adjunta el documento en formato PDF (preferiblemente) o

Word que contenga el contenido de la parte 1, ms el contenido de la parte 2
detallado en el punto anterior.

TEMA 1 Actividades