Asignatura Datos del alumno Fecha

Apellidos: Reyes Pineda

Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Actividades

Caso práctico: Gestión del riesgo en una organización. Parte I

Introducción

Esta actividad está organizada en dos partes puntuables. En el Tema 1 desarrollaremos

las tareas que debes llevar a cabo para la Parte I del caso, y en el Tema 2, la parte
correspondiente a la Parte II del caso.

Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una

organización de forma automatizada, utilizando para ello la plataforma SANDAS G.R.C.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el

acceso a un proyecto de SANDAS G.R.C en una instancia Cloud.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la

arquitectura empresarial de un ayuntamiento local.

Para modelar la organización, la plataforma SANDAS G.R.C ha sido pionera en la

utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

Capa de negocio: entre otros, una descripción de los servicios de negocio

prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).
Capa de aplicación: los sistemas de información de la compañía, detallando los
servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).
Capa de tecnología: entre otros, los elementos de la infraestructura de
informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Con carácter transversal, se pueden definir también ubicaciones, que permitirán

geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya

parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

En el mismo encontrarás los siguientes activos:

Servicios de negocio: Hardware

 Prestados a usuarios externos  4 PCs
o Tramitación de expedientes  1 Servidor – Elementos auxiliares
 Prestados a usuarios internos Equipamiento de comunicaciones
o Correo electrónico  Red de área local (LAN)
o Almacenamiento remoto  Firewall
o Almacenamiento en red local Instalaciones
o Conexión a Internet  Oficina

 Servicios subcontratados  Sala de Equipos (Data Center).

Datos Personal
 Información de los expedientes  Un responsable de la oficina.
Software  Dos funcionarios.
 Aplicación para la tramitación de  Un informático externo a tiempo
expedientes parcial.

Como puedes apreciar en el esquema anterior, tan importante es

identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).
2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
«hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,

para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará

positivamente que el modelo incorpore hasta 20 nuevos activos):

o Dos nuevos activos en la capa de negocio.

o Tres nuevos activos en la capa de aplicación.
o Cinco nuevos activos en la capa de tecnología.

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
o La criticidad que has definido explícitamente.
o Así como las relaciones (como mínimo las creadas entre los nuevos añadidos
y los ya existentes).

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
o Tres matrices de valoración, para Confidencialidad, Integridad y
Disponibilidad, particularizando criterios de valoración para cada

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

combinación de nivel de impacto y criterio de impacto que consideres tiene

sentido.
o La criticidad que has definido explícitamente en los activos que has valorado
con una explicación de las relaciones (como mínimo las creadas entre los
nuevos añadidos y los ya existentes).

Entrega la actividad adjuntando el documento en formato PDF (preferiblemente) o

Word que contenga el contenido de la parte 1.

Como en la parte 1, las explicaciones deben ser claras y concisas, apoyándose en

capturas de pantalla hechas por ti «manualmente» para contextualizar la
explicación no debiendo superar la práctica las 20 páginas de contenido en esta
parte, incluyendo capturas como referencia (si las superas ligeramente no es
problema, pero intenta no hacerlo para controlar la extensión).

Por ello, la memoria completa incluyendo la parte 1 y parte 2 no debería superar las
40 páginas de extensión.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Desarrollo de la Actividad:

Introducción:

Conforme a la materia dictada se procedió a ejemplificar mediante un modelo

realizado en la herramienta Sandas GRC para la Gestión de Riesgos de una
Municipalidad del Ecuador que implementa la consulta de estados de cuenta y el
pago en línea.

Arquitectura Empresarial:

Para la creación del modelo la herramienta Sandas GRC nos permite definir tres
capas, las cuales son:

 Capa de Negocio: Descripción de los servicios del negocio.

 Capa de Aplicación: Sistemas de Información con los que cuenta la
empresa.
 Capa de Tecnología: Infraestructura informática y de comunicaciones
que soporta las capas superiores.

Definidas las capas de negocio y con la ayuda visual de la herramienta

Sandas, procedemos a dibujar la arquitectura considerada y que se describe
a continuación:

Capa de Negocio:

Para esta capa se ha considerado el Servicio de “Consulta de Estados de

Cuenta y Pagos en línea”, este es el servicio que la ciudadanía recibirá por
parte de la empresa (municipio) donde el contribuyente podrá consultar el
estado actual de sus deudas y si desea también realizar la cancelación de los
valores pendientes de pago:

Ilustración 1 (Servicio de Consulta de Estados de Cuneta y Pagos en Línea)

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

También se ha incorporado los Procesos del Negocio que están directamente

involucrados con este servicio y los cuales se puede observar en la ilustración
2:

Ilustración 2 (Procesos del Negocio)

 Proceso del Negocio Gestión de Deudas: Se considera las

deudas generadas por concepto de rubros a predios urbanos y rurales
de la ciudad.

 Proceso del Negocio Gestión de Contribuyentes: Considera los

contribuyentes registrados en el sistema y que poseen valores
pendientes de pago con la municipalidad.

 Proceso del Negocio Gestión de Catastro Urbano y Rural:

Corresponde al catastro de predios urbanos y rurales pertenecientes
al cantón.

 Proceso del Negocio Gestión de Rubros: Corresponde a los

cálculos respectivos para el proceso de generación y emisión de títulos
de crédito.

Capa de Aplicación:

Para esta capa se ha considerado el Sistema de Administración Municipal,

dicho sistema permite la gestión de los procesos de la institución y contiene
las funcionalidades respectivas y necesarias para brindar soporte a los
procesos de negocio.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Ilustración 3 (Sistema de Administración Municipal)

Capa de Tecnología:

En esta capa se centra la parte base de toda la infraestructura, es así que

encontraremos lo siguiente:

 Servidores Web
 Servidores de Base de Datos
 Servidores de Almacenamiento
 Rack de Servidores
 Red Eléctrica

La siguiente gráfica muestra la capa de tecnología en detalle:

Ilustración 4 (Capa de Tecnología)

La herramienta nos permite añadir graficas adicionales las cuales corresponden

a la ubicación tal como se muestra en la ilustración 5:

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Ilustración 5 (Capa de Ubicación)

A continuación se adjunta ilustración 6 donde se puede verificar el modelo

completo implementado en la herramienta Sandas GRC:

Ilustración 6 (Modelo Visual)

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Reyes Pineda
Análisis de Riesgos
23/10/2018
Legales
Nombre: Walter Paúl

Resumen de Activos:

Conforme el modelo realizado se ha considerado los siguientes activos, adicionalmente

se añadieron algunos más que también podrían ser importantes:

TEMA 1 – Actividades
 Lista de Activos
Código Nombre Estado Clase de Activo Tipo de Activo Capa
1 Almacenamiento de Respaldos Activo Almacenamiento Conectado a Red (NAS) Dispositivo Tecnología

2 Centro de Datos Activo Sala de CPD Ubicación Negocio

3 Consulta de Estados de Cuenta y Pagos en línea Activo Servicio de Negocio Servicio de Negocio Negocio

4 Gestión de Catastro Urbano y Rural Activo Proceso de Negocio Proceso de Negocio Negocio

5 Gestión de Contribuyentes Activo Proceso de Negocio Proceso de Negocio Negocio

6 Gestión de Deudas Activo Proceso de Negocio Proceso de Negocio Negocio

7 Gestión de Rubros Activo Proceso de Negocio Proceso de Negocio Negocio

8 Machala Activo Ubicación Ubicación Negocio

9 Rack de Servidores Activo Rack / Bastidor Ubicación Negocio

10 Red Eléctrica Activo Red Eléctrica (Grid) Dispositivo Tecnología

11 Servidor de Aplicación Web Activo Servidor Dispositivo Tecnología

12 Servidor de Base de Datos Activo Servidor Dispositivo Tecnología

13 Sistema de Administración Municipal Activo Sistema de Información Componente de Aplicación Aplicación

Extras
14 UPS Activo Eléctrico Dispositivo Tecnología

15 Switch de Distribución Activo Digital Dispositivo Tecnología

16 Router Activo Digital Dispositivo Tecnología

17 PC de control y Monitoreo Activo Digital Dispositivo Tecnología

18 Cámaras de Vigilancia Activo Digital Dispositivo Tecnología

19 Control de Acceso Físico la CPD Activo Digital Dispositivo Tecnología

20 Discos de Respaldo Físicos Portables Activo Digital Dispositivo Tecnología

Valoración B.I.A:

La valoración de Business Impact Analysis (BIA) nos permite estimar la posible

afectación que podría sufrir una empresa con la ejecución de un suceso, consiste
en identificar los activos de la organización y valorar amenazas de seguridad
sobre los mismos de acuerdo al nivel de criticidad que se defina, a continuación
se definen tres matrices de valoración para la actividad:

Matriz Valoración Confidencialidad

Sin
Bajo Medio Alto Muy alto
Valorar
Impacto leve Impacto Impacto directo
Sin Impacto fuerte al negocio
Negocio sin afectación considerable >$25 al negocio >$300
impacto >$500
grave <$25 y <$300 y <$500
Impacto Impacto directo a
Sin considerable con la empresa, inicio Sanciones por Demandas con
Legal Impacto leve
impacto inmersión del de procesos posible campo de perdida
departamento legal legales
Sanciones acorde Sanciones acorde
Sin Sanciones acorde al Estatuto
Estatutario Impacto leve al Estatuto de al Estatuto de
impacto de Procesos
Procesos Procesos
Respectivo Respectivo
Sin Respectivo Seguimiento y
Regulatorio Impacto leve Seguimiento y Seguimiento y
impacto Control
Control Control

Seguimiento que involucra

Sin Seguimiento con
Contractual Impacto leve Seguimiento procedimientos severos de
impacto posible sanción
sanción o destitución

Tabla 1 (Matriz de Valoración Confidencialidad)

Matriz Valoración Integridad

Sin
Bajo Medio Alto Muy alto
Valorar
Impacto
Impacto sin Afectación de
Sin considerable, datos
Negocio afectación de la parcial de los Afectación total de los datos
impacto afectados en menor
información datos
proporción
Alteración de
Posible Alteración de
Sin información pero Sanciones por Demandas con
Legal filtración de información Y
impacto sin perder el posible campo de perdida
información perder el control
control
De acuerdo a De acuerdo a los De acuerdo a los
Sin De acuerdo a los manuales de
Estatutario los manuales manuales de manuales de
impacto función
de función función función
Afectación al Impacto muy alto que
Sin
Regulatorio usuario muy Impacto medio Impacto Alto involucra sanciones o
impacto
leve destituciones
Afectación que
Sanciones bajo
Sin Afectación muy involucra oficios y Destitución, perdidas de
Contractual porcentajes
impacto leve memorandos con contratos, pre-contratos
definidos
reporte de sucesos
Tabla 2 (Matriz Valoración Integridad)

Matriz Valoración Disponibilidad

 Sin
Bajo Medio Alto Muy alto
Valorar
Sin Impacto < Impacto > $50 y < Impacto >
Negocio Impacto > $500
impacto $50 $200 $200 y < $500

Posible Impacto legal Impacto legal que involucra

Sin Impacto legal de
Legal filtración de de alta demandas, conflictos dificil de
impacto poca consideración
información conmoción mediar entre las partes

De acuerdo a De acuerdo a los De acuerdo a

Sin De acuerdo a los manuales de
Estatutario los manuales manuales de los manuales de
impacto función
de función función función
Sin Baja Afectación Gran Impacto, involucra
Regulatorio Impacto medio
impacto Afectación considerable sanciones
Impacto
considerable
con informe y
Sin Afectación Impacto leve con reporte de Destitución, perdida de clientes,
Contractual
impacto muy leve notificación posible sanciones
negligencia o
no atención de
funciones
Tabla 3 (Matriz valoración disponibilidad)

A continuación se muestran las valoraciones realizadas en la herramienta SANDAS

GRC:

Consulta de Estados de Cuenta y Pagos en línea – Valor Propio

Proceso de Negocio - Gestión de Deudas – Valor Propio

Proceso de Negocio - Gestión de Deudas – Valor Heredado

Proceso de Negocio - Gestión de Contribuyentes - Valor Propio

Proceso de Negocio - Gestión de Contribuyentes - Valor Heredado

Proceso de Negocio - Gestión de Catastro Urbano y Rural - Valor Propio

Proceso de Negocio - Gestión de Catastro Urbano y Rural – Valor Heredado

Proceso de Negocio - Gestión de Rubros – Valor Propio

Proceso de Negocio - Gestión de Rubros – Valor Heredado

Sistema de Información - Sistema de Administración Municipal - Valor Propio

Sistema de Información - Sistema de Administración Municipal - Valor Heredado

Servidor - Servidor de Aplicación Web - Valor Propio

Servidor - Servidor de Aplicación Web - Valor Heredado

Servidor - Servidor de Base de Datos – Valor Propio

Servidor - Servidor de Base de Datos – Valor Heredado

Almacenamiento Conectado a Red (NAS) - Almacenamiento de Respaldos – Valor
Propio

Almacenamiento Conectado a Red (NAS) - Almacenamiento de Respaldos – Valor

Heredado

Rack / Bastidor - Rack de Servidores – Valor Propio

Rack / Bastidor - Rack de Servidores – Valor Heredado

Red Eléctrica (Grid) - Red Eléctrica – Valor Propio

Red Eléctrica (Grid) - Red Eléctrica – Valor Heredado

Conclusiones:

La presente actividad es de gran ayuda para poder realizar la valoración de riesgos de

una empresa de forma automatizada atraves de una herramienta como el caso de Sandas
GRC, permitiendo así mejorar el criterio para evaluar el nivel de riesgo y caracteristicas
en cuanto a la confidencialidad, integridad y disponibilidad de los activos .

Anexos:

Anexo 1:

Dependencia entre activos: