INGENIERÍA INFORMÁTICA Y CIENCIAS

DE LA COMPUTACIÓN

SÉPTIMO SEMESTRE

OCTAVE ALLEGRO
PROYECTO FINAL

SEBASTIAN REAL
SANTIAGO RODRIGUEZ
RONALDO ROSALES
RESUMEN EJECUTIVO

Siendo una empresa líder en desarrollo de aplicaciones y páginas web para cualquier
tipo de área, nos comprometemos a cumplir con todos los requerimientos necesarios
dando soluciones para poder satisfacer al cliente en su requerimiento, llevando a cabo
un seguimiento personalizado dependiendo sus necesidades con un asesoramiento
profesional para cada ámbito.

Contamos con personal especializado en todas las áreas laborales dispuestos a resolver
problemas e inconvenientes con soluciones flexibles y directas que aportaran a toma de
decisiones importantes para su crecimiento empresarial, se debe destacar que contamos
con equipos nuevos de última generación y herramientas actualizadas que permiten un
desarrollo limpio, ordenado y eficaz.

Hoy en día todas las empresas buscan automatizar procesos que son de mucha
importancia, por eso hemos decidido crear una empresa que ayude a las compañías a
realizar procesos automáticos guardando datos directamente a la nube, evitando perdida
de información que podría llevar al fracaso, este proceso cumpliría altos estándares de
calidad, todo ese proceso de cambio aunque es algo costoso, a largo plazo su compañía
tendrá un funcionamiento eficiente sin mucho papeleo y ayudando al medio ambiente.

Para hacer esto posible se ha implementado la metodología OCTAVE – Allegro ya que

el uso de este modelo ayuda a prevenir riesgos que continuamente se presentan, ya que
tienen como objetivo anticiparse a la materialización de amenazas identificadas. Para
este enfoque, el reto consiste en considerar todas aquellas amenazas que podrían afectar
de manera negativa los objetivos de nuestra organización, haciendo un análisis de
riesgos para reducirlos hasta un nivel aceptable.
PASO 1. DEFINICIÓN DE CRITERIOS DE MEDIDAS DEL RIESGO.

ACTIVIDAD 1

Hoja de trabajo 1 CRITERIOS DE MEDICIÓN DE RIESGOS – REPUTACIÓN Y

CONFIANZA DEL CLIENTE

Área de Impacto Baja Moderada Alta

La materialización de la
amenaza a la reputación La reputación es La reputación se ve
es mínima, las acciones afectada las acciones a seriamente dañada y de
Reputación a tomarse para una tomarse para una manera irreversible, el
recuperación no recuperación requieren incidente es de
requieren mayor de un esfuerzo mínimo. conocimiento público.
esfuerzo.

Reducción de más del

Reducción de menos de Reducción del 4 al 17%
17% de clientes debido
Pérdida de clientes 4 % de clientes debido a de clientes debido a la
a la pérdida de
la pérdida de confianza. pérdida de confianza.
confianza.
 CRITERIOS DE MEDICIÓN DE RIESGOS – ASPECTOS
Hoja de trabajo 2 FINANCIEROS

Área de Impacto Baja Moderada Alta

Aumento de menos del Los costos de operación Los costos de operación

Costos De Operación 4% de los costos anuales aumentan entre anuales aumentan en
operativos anuales. 4 y 15%. más de un 15%.

Menos de 3% de
De 3 a 10% de pérdida Más del 10% de pérdida
Pérdida de Ingresos pérdida anual de
anual de ingresos. anual de ingresos.
ingresos.

Pérdida financiera Pérdida financiera entre Pérdida financiera

Pérdida Financiera
menor a $5000. $5000 a $9000. mayor a $9000.
 CRITERIOS DE MEDICIÓN DE RIESGOS – PRODUCTIVIDAD
Hoja de trabajo 3

Área de Impacto Baja Moderada Alta

Las horas laborales del Las horas laborales del Las horas laborales del
Horas laborales del personal incrementan en personal incrementan personal incrementan
Personal menos del 5% de 2 a 3 entre 5 y 10% de 4 a 5 más del 10% de 5 a 10
días. días. días.
 CRITERIOS DE MEDICIÓN DE RIESGOS – SALUD Y SEGURIDAD
Hoja de trabajo 4

Área de Impacto Baja Moderada Alta

Las vidas de clientes y

No se presentan
funcionarios pueden
pérdidas o amenazas
verse amenazadas, pero Pérdida de vidas de
significativas que
Vida pueden tomarse clientes o funcionarios
puedan atentar en contra
acciones que de la organización.
de la vida de
contrarresten su efecto
funcionarios o clientes
mediante tratamientos.

Deterioro mínimo y
tratable de manera Deterioro permanente
Deterioro temporal y
inmediata en la salud de en aspectos
recuperable en la salud
clientes o funcionarios significativos en la
Salud de clientes o
de la organización, con salud de clientes o
funcionarios de la
una recuperación funcionarios de la
organización.
estimada en un lapso de organización.
4 días.

Seguridad en
Seguridad Seguridad afectada. Seguridad violada.
cuestionamiento.
 CRITERIOS DE MEDICIÓN DE RIESGOS – MULTAS Y SANCIONES
Hoja de trabajo 5 LEGALES

Área de Impacto Baja Moderada Alta

Las multas de entre

Multas de menos de Multas mayores a
Multas $2000 y $ 4000 de
$2000 de recaudación. $4000 de recaudación.
recaudación.

Demandas frívolas, no Demandas no frívolas o Demanda no frívolas o

frívolas o demandas de demandas entre $ 2000 demandas mayores a los
menos de $2000, que se y $ 5000 que se $5000 que se presenten
Demandas
presenten en contra de presenten en contra de en contra de la
la organización. la organización. organización.

El gobierno u otra
El gobierno u otra organización de
No hay consultas por
organización de investigación inician
parte del gobierno o de
Investigaciones investigación solicitan una investigación de
otras organizaciones de
información o registros alto perfil, de forma
investigación.
(bajo perfil). exhaustiva sobre las
prácticas organizativas.
ACTIVIDAD 2

HOJA DE TRABAJO DE PRIORIZACIÓN DE ÁREAS DE

Hoja de trabajo 7 IMPACTO

PRIORIDAD ÁREAS DE IMPACTO

4 REPUTACIÓN Y CONFIANZA DEL CLIENTE

5 FINANCIERO

3 PRODUCTIVIDAD

2 SEGURIDAD Y SALUD

1 MULTAS Y SANCIONES LEGALES

DEFINICIONES DEL USUARIO

PASO 2. DESARROLLAR UN PERFIL DE ACTIVOS DE INFORMACIÓN

Hoja de trabajo 8.1 PERFIL DE INFORMACIÓN CRÍTICA DE ACTIVOS

(1) Activo Crítico (2) Justificación de la selección (3) Descripción

Servidor de base de datos Se ha seleccionado el servidor de base de Da servicios de almacenamiento y gestión

datos como activo crítico de información ya
que este contiene información de suma
importancia pues administra los datos de los
procesos de negocios tanto de los clientes
como de la propia organización.
de bases de datos tanto a sus clientes como
a la institución, aloja datos relacionados
con el manejo de la situación del negocio
del cliente así como datos propios de la
organización.

(4) Responsable(s)

Administrador de la Base de datos

(5) Requisitos de seguridad

Sólo personal autorizado puede acceder al activo Solo el administrador de base

 Confidencialidad
de datos y personal
de información, de la siguiente manera:
autorizado previamente por
el mismo solo caso de no
poder hacerlo por sí mismo.

Sólo personal autorizado puede modificar este Solo el administrador de base

de datos y personal
activo de la información, de la siguiente manera:
autorizado y debidamente
 Integridad capacitado del área de
tecnología bajo el previo
consentimiento del
administrador de base de
datos.

Este activo debe estar disponible para el personal El servidor de base de datos
debe estar disponible para su
pertinente.
debida configuración de ser
necesaria para el
Administrador de la base de
datos, así como para el
personal encargado del
monitoreo del mismo.

Este activo debe estar disponible 24 horas del día, El activo crítico contiene
7 días de la semana, 365 días del año. información que puede ser
 Disponibilidad
requerida en cualquier
momento del día por los
sistemas a los cuales se
encuentra vinculado, razón
por la cual es indispensable su
completo funcionamiento las
24 horas del día, 7 días a la
semana y 365 días al año.
 Este activo tiene requisitos especiales de Debido a que el activo crítico
protección de Cumplimiento Normativo, de la contiene información de suma
siguiente manera: confidencialidad y de
 Otros tratamiento especial por lo
cual están sujetos a
regulaciones de carácter
internacional ISO.

(6) Requerimiento de seguridad más importante

 Confidencialidad  Integridad  Disponibilidad  Otros

Hoja de trabajo 8.2
(1) Activo Crítico
Seguridad de Red.
(4) Responsable(s)
Administrador de Redes
(5) Requisitos de seguridad
 Confidencialidad
 Integridad
 Disponibilidad
 Otros
(6) Requerimiento de seguridad más importante
 Confidencialidad
PERFIL DE INFORMACIÓN CRÍTICA DE ACTIVOS
(2) Justificación de la selección (3) Descripción
Se ha seleccionado la seguridad de la La seguridad de red se refiere a todas
red como activo crítico de información las políticas adoptadas por los
administradores de red para prevenir y
ya que este previene accesos que no se monitorizar accesos no autorizados,
encuentran autorizados, daño modificaciones o denegaciones de
intencionado o uso indebido de acceso a computadores dentro de la red
información (robo de información). o a servicios de la red.
Sólo personal autorizado puede acceder al activo Solo el administrador de redes
y personal especializado en el
de información, de la siguiente manera:
área de redes
Sólo personal autorizado puede modificar este Solo el administrador de redes
activo de la información en casos puntuales,
siendo autorizado por el Gerente.
Este activo debe estar disponible para el siguiente El activo debe estar disponible
para el administrador de redes
personal para hacer su trabajo.
y a su vez para todo el
personal de la empresa para
sus respectivas labores.
Este activo debe estar disponible 24 horas del día, La seguridad de la red debe
7 días de la semana, 365 días del año. estar disponible 24x7 para
intervenir en cualquier
autenticación falsa.
Este activo tiene requisitos especiales de Debido a que por la red pasa
protección de Cumplimiento Normativo, de la toda la información, tendrán
siguiente manera: que desarrollar medidas
eficaces para mantener
seguras las redes.
 Integridad  Disponibilidad  Otros
PASO 3. IDENTIFICACIÓN DE LOS CONTENEDORES DE INFORMACIÓN

MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE

Hoja de trabajo 9a.1
IFORMACIÓN (TÉCNICO)
INTERNO

DESCRIPCIÓN DEL CONTENEDOR RESPONSABLE(S)

1. El servidor de bases de datos (software), principalmente alberga datos Administrado por el

financieros de las aplicaciones que se manejan en la organización departamento de
para su posterior manipulación a conveniencia del cliente. Tecnología.

Administrado por el
2. La red interna de la organización, todas las transacciones que se
departamento de
realizan mediante interacciones entre los sistemas y el servidor de
Tecnología.
base de datos se realizan por medio de esta red.

Administrado por el
3. Estaciones de trabajo, las estaciones de trabajo del departamento
departamento de
financiero son las encargadas de generar la información que será
Tecnología.
almacenada en el servidor de base de datos.

EXTERNO

DESCRIPCIÓN DEL CONTENEDOR RESPONSABLE(S)

Desconocido.
1. Filtración de información a través de la estaciones de trabajo.

2. Re-ruteo de comunicaciones por donde viaja información sensible, a Desconocido.

través de internet.

Personal que administra

3. Error operacional por parte del personal. información de la
organización.

Personal de soporte e
4. Instalar software en las estaciones de trabajo infraestructura
encargado de instalar
software, drivers, etc.
 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
Hoja de trabajo 9b.1
IFORMACIÓN (FÍSICO)
INTERNO

DESCRIPCIÓN DEL CONTENEDOR RESPONSABLE(S)

1. Servidor de base de datos (hardware), este está formado por

Administrado por el
componentes electrónicos que necesitan condiciones ambientales
departamento de
adecuadas por lo cual se encuentra ubicado en el cuarto de servidores
Tecnología.
aislado la humedad y el polvo con un regulador de temperatura por
un posible calentamiento del data center.

Administrado por el
2. Reportes generados por el servidor de base de datos. departamento de
Tecnología.

Administrado por el
3. Dispositivos de almacenamiento masivo utilizados como respaldo. departamento de
Tecnología.

Personal con acceso a la

información.

EXTERNO

DESCRIPCIÓN DEL CONTENEDOR RESPONSABLE(S)

Personas ajenas a la
1. Intervenciones humanas no autorizadas (Acceso a espacios
organización.
restringidos), acceso de personal no autorizado al área de servidores.

2. Acceso de terceros a información sensible, acceso de personal no Personas ajenas a la

autorizado a información de carácter confidencial para la organización.
organización.

3. Eventos Naturales (Terremotos, Inundaciones, Incendios),

Fenómenos naturales
condiciones climáticas inadecuadas para el desempeño adecuado del
hardware.
 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
Hoja de trabajo 9c.1 IFORMACIÓN (PERSONAL)

PERSONAL INTERNO

DEPARTAMENTO O
NOMBRE O ROL / RESPONSABILIDAD
UNIDAD

1. Administrador de la base de datos Departamento de

Ronaldo Rosales Tecnología
Rony Calle

2. Personal del departamento financiero

Departamento
Carlos Enríquez
Financiero
Pedro Jaramillo
Susana Pérez

3. Personal de servicios
Departamento
Pablo Juez.
Comercial
Jaime Cañar.
Viviana Montalvo.

4. Personal del área de tecnología

Sebastián Real Departamento de
Santiago Rodríguez Tecnología
Patricio Sánchez
Fabricio Llumiquinga

PERSONAL EXTERNO

CONTRATISTA, VENDEDOR, ETC. ORGANIZACIÓN

Innova.
1. Proveedores externos de servicios de mantenimiento de
servidores. Blue It.

2. Proveedores externos de servicios de red. Corporación Nacional

de Telecomunicaciones.

3. Proveedores externos de soluciones integrales de Greenetics.

telecomunicaciones.
 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
Hoja de trabajo 9a.2
IFORMACIÓN (TÉCNICO)
INTERNO

DESCRIPCIÓN DEL
DESCRIPCIÓN DE CONTENEDORES
CONTENEDOR

1. La seguridad de redes reside principalmente en mantener segura la

Gestionado por el Oficial
red, ya que todas las áreas de la empresa cuentan con una clave de
de Seguridad de la
acceso y esto se realiza con la finalidad de tener cierta privacidad
Información.
para que no sea fácil el acceso de usuarios no autorizados.

2. Se debe considerar también el mantenimiento de la red por el

administrador de redes, con la finalidad de que los equipos se Gestionado por el
mantengan en óptimas condiciones y no tenga ningún inconveniente. administrador de redes.

EXTERNO

DESCRIPCIÓN DE CONTENEDORES PROPIETARIO(S)

1. Internet. La red es un grupo de ordenadores conectados a un área

localizada para comunicarse entre sí y compartir recursos. Los datos Departamento informática
se envían en forma de paquetes, para cuya transmisión se pueden
utilizar diversas tecnologías.
Departamento de
2. Fallo en la red por algún exceso de voltaje infraestructura.

Departamento de
3. Perdida de información seguridad de la
información.
Hoja de trabajo 9b.2 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
IFORMACIÓN (FÍSICO)
INTERNO

DESCRIPCIÓN DEL
DESCRIPCIÓN DE CONTENEDORES
CONTENEDOR

1. Es primordial controlar que la información está siendo enviada de Departamento

forma segura. Para conseguirlo se utilizan autenticaciones de usuarios informática
las cuales administra el departamento de informática.
2. Mantener los equipos con cierta ventilación en el área o espacio que Departamento de
se encuentren ubicados, ya que es muy importante para el
infraestructura.
rendimiento de los mismos.

3. Existe un monitoreo por el administrador de redes ya que tiene que Encargado del área de
supervisar que ninguna conexión se encuentre defectuosa. Redes

EXTERNO

DESCRIPCIÓN DE CONTENEDORES RESPONSABLE(S)

1. La información enviada a través de la red debe ser confidencial Área Informática

2. Seguridad del área en el que se encuentran los equipos (acceso único Área Informática y
con identificación autorizada). Personal Seguridad
Hoja de trabajo 9c.2 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
IFORMACIÓN (PERSONAL)
PERSONAL INTERNO

NOMBRE O ROL /
NOMBRE O PAPEL / RESPONSABILIDAD
RESPONSABILIDAD

1. Sistema de información Informática

2. Administración de sistemas Servicios de informática

3. Servidores Servicios de informática

PERSONAL EXTERNO

CONTRATISTA, VENDEDOR, ETC. ORGANIZACIÓN

1. Organizaciones que proveen el servicio de Internet Corporación Nacional

de Telecomunicaciones
(CNT)

2. Proveedor de terceros proveen al departamento de TI de los equipos

Innova.
para la formación de la red.
PASO 4. IDENTIFICACIÓN DE ÁREAS DE PREOCUPACIÓN

Hoja de trabajo 10.1 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Activo de
Servidor de base de datos (software)
información
El servidor de base de datos puede ser atacado mediante vulnerabilidades
Área de propias de los sistemas operativos o del propio programa, con lo cual se podría
preocupación acceder a permisos administrativos que facultan al atacante para obtener toda la
información existente.

(1) Actor Funcionarios de la empresa.

¿Quién va a explotar el área de
preocupación o amenaza?

(2) Medio Utilización de software que permita vulnerar

¿Cómo y qué haría el actor? los SGBD.
Amenaza

(3) Motivo Obtener información confidencial de los

¿Cuál es la razón del actor para hacerlo? empleados como puede ser domicilio,
número de hijos, entre otros datos sensibles.

 Divulgación  Destrucción
Riesgo de activo de información

(4) Resultado
¿Cuál sería el efecto sobre el activo de
 Modificación  Interrupción
información?

(5) Requerimientos de Personal no autorizado accede de manera

Seguridad ilícita por medio de vulnerabilidades propias
¿Cómo se incumplirían los requerimientos de los sistemas.
de seguridad del activo de información?

(6) Probabilidad  Alta  Media  Baja

¿Cuál es la probabilidad de que esta
amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el
¿Cuán graves son las consecuencias para
responsable de la misma, como resultado del incumplimiento de los la organización o el responsable del activo
requerimientos de seguridad? por el área de impacto?

Área de
Valor Puntaje
Impacto
Si la información de los clientes es divulgada, puede Reputación y
Confianza del Alta 12
ser empleada en el cometimiento de actos ilícitos, lo Cliente
cual en primera instancia significaría una pérdida
masiva de clientes y por ende de dinero para la
Financiero Alta 15
organización.

Si los SGBD son atacados, se tendrían que abrir los Productividad Media 6
archivos en editores de texto y eso disminuiría la
productividad además que no se pueden ejecutar Seguridad y
Baja 2
consultas que facilitan la gestión de la data. Salud
 La información utilizada para cometer actos ilícitos, Multas y
con lo cual la organización se vería involucrada en Demandas
serias demandas y sanciones inclusive de carácter legales Alta 3

penal.
Puntaje relativo del riesgo 38

(9) Mitigación del riesgo

Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transferir

Para los riesgos que se ha decidido sean mitigados, realice lo siguiente

¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos,
aplicaría controles? técnicos y físicos, aplicaría a este contenedor?

 Restringir el acceso a puntos vulnerables en las estaciones de

Estaciones de trabajo al personal por medio del uso de contraseñas seguras.
trabajo
 Tener actualizados los sistemas operativos con versiones
estables más no las últimas.
 Restringir el tráfico de la red por medio de técnicas de
seguridad preventivas tanto de hardware como de software,
cubriendo de esta forma las vulnerabilidades que pudiese
presentar el sistema en uso con respecto a las estaciones de
trabajo.

 Monitoreo constante de las redes que intervienen en el proceso

Red interna de la de carga y transmisión de los datos que se almacenaran en el
organización servidor de base de datos.

Hoja de trabajo 10.1 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Activo de
Servidor de base de datos (hardware)
información
Riesgo de activo de información

Área de Acceso de terceros a información sensible, acceso de personal no autorizado a

preocupación información de carácter confidencial para la organización.

(1) Actor Personal de la institución y personal ajeno a

Amenaza

¿Quién va a explotar el área de la misma

preocupación o amenaza?

(2) Medio Uso de ingeniería social o suplantación de

¿Cómo y qué haría el actor? identidad para acceder al servidor de base de
datos.

(3) Motivo Obtener información concerniente a la

¿Cuál es la razón del actor para hacerlo?
 organización, o causar daños en la misma

(4) Resultado  Divulgación  Destrucción

¿Cuál sería el efecto sobre el activo de
 Modificación  Interrupción
información?

(5) Requerimientos de Conectando un computador al servidor y

Seguridad extraer la data.
¿Cómo se incumplirían los requerimientos
de seguridad del activo de información?

(6) Probabilidad  Alta  Media  Baja

Cuál es la probabilidad de que esta
amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el
¿Cuán graves son las consecuencias para
responsable de la misma, como resultado del incumplimiento de los la organización o el responsable del activo
requerimientos de seguridad? por el área de impacto?

Área de
Valor Puntaje
Impacto
El conocimiento de la información contenida puede Reputación y
Confianza del Alta 12
ser una herramienta de uso ilícito para terceros lo Cliente
cual provocaría una disminución de la cartera de
clientes y por lo tanto un problema financiero severo. Financiero Alta 12

Disminución considerable en el ámbito productivo Productividad Media 6

Seguridad y
Baja 2
Salud
Extraer información sin consentimiento es multado. Multas y
Demandas Baja 1
legales
Puntaje relativo del riesgo 33

(9) Mitigación del riesgo

Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transferir

Para los riesgos que se ha decidido sean mitigados, realice lo siguiente

¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos,
aplicaría controles? técnicos y físicos, aplicaría a este contenedor?

 Incremento de control sobre el acceso al área restringida de

Servidor de base de
servidores.
datos (hardware)
 Implementar seguridad para acceso al data center mediante el
uso de credenciales o de un biométrico.
 Hoja de trabajo 10.1 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

La red interna de la organización, todas las transacciones que se

Activo de
realizan mediante interacciones entre los sistemas y el servidor de base
información
de datos se realizan por medio de esta red.

Área de Re-ruteo de comunicaciones por donde viaja información sensible, a

preocupación través de internet.

(1) Actor Personas ajenas a la institución

¿Quién va a explotar el área de
preocupación o amenaza?

(2) Medio Atacar el servidor de base de datos de

¿Cómo y qué haría el actor? manera externa accediendo ilegalmente a la
red de la organización
Amenaza

(3) Motivo Escalamiento de privilegios para tomar el

¿Cuál es la razón del actor para hacerlo? acceso y control de la base de datos.

(4) Resultado  Divulgación  Destrucción

Riesgo de activo de información

¿Cuál sería el efecto sobre el activo de  Modificación  Interrupción

información?

(5) Requerimientos de Acceso de terceros por medio del uso de una

Seguridad red externa para la manipulación de las
¿Cómo se incumplirían los requerimientos configuraciones de seguridad del servidor
de seguridad del activo de información?

(6) Probabilidad  Alta  Media  Baja

Cuál es la probabilidad de que esta
amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el ¿Cuán graves son las consecuencias para
responsable de la misma, como resultado del incumplimiento de los la organización o el responsable del activo
requerimientos de seguridad ?
por el área de impacto?

Área de
Valor Puntaje
Impacto
Si esta persona elimina la información de la empresa Reputación y
Confianza del Media 8
se perdería toda la estructura del negocio ya que la Cliente
información es el pilar de una organización.
Financiero Media 10

La productividad tiene relación con el punto anterior Productividad Baja 3

ya que sin información la empresa no puede producir,
no puede saber que cliente/equipo necesita asistencia. Seguridad y
Baja 2
Salud

Multas y
Demandas Baja 1
legales
Puntaje relativo del riesgo 24
(9) Mitigación del riesgo
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transferir

Para los riesgos que se ha decidido sean mitigados, realice lo siguiente

¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos,
aplicaría controles? técnicos y físicos, aplicaría a este contenedor?

Base de datos  Establecer claves robustas para el ingreso a las bases de datos.
 Tener respaldos por si se llega a detectar alguna modificación
y que posteriormente se pueda validar.

Redes  Establecer un firewall.

 Tener el registro de las ip que intentan acceder a la red.
 Establecer un Honeypot.
 Hoja de trabajo 10.2 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Activo de
Seguridad de Redes
información

Los datos pierden confiabilidad cuando existe una autentificación no autorizada

Área de en la red. (Un fallo en la red se aprovecha para obtener acceso administrativo a
preocupación nuestro sistema.)

Empleados actuales descontentos

(1) Actor
¿Quién va a explotar el área de
preocupación o amenaza?
Escaneo de vulnerabilidades de red con el programa Nessus.
(2) Medio
¿Cómo y qué haría el actor?
Amenaza

Quiere modificar la información de la empresa ya sea por querer

(3) Motivo
jugar una broma o ya sea por fines maliciosos.
¿Cuál es la razón de que el actor
para hacerlo?

(4) Resultado  Divulgación  Destrucción

Riesgo de Activos de Información

¿Cuál sería el efecto sobre el  Modificación  interrupción

activo de información?
Solamente el gestor de redes y los usuarios autorizados del área
(5) Requisitos de
de informática pueden ser capaces de modificar los activos de
seguridad sistema de redes.
¿Cómo se incumplirían los
requerimientos de seguridad del
activo de información?

(6) Probabilidad
 Alta  Media  Baja
¿Cuál es la probabilidad de que
esta amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el ¿Cuán graves son las consecuencias para la
responsable de la misma, como resultado del incumplimiento de los organización o el responsable del activo por el
requerimientos de seguridad? área de impacto?

Área de
Valor Puntuación
Impacto
Si el personal no mantiene los datos seguros a través Reputación y
Bajo 3
de la red la empresa sufrirá repercusiones de datos. confianza del
cliente

Alto 9
Se requiere acceder a los respaldos para recuperar los Productividad
datos perdidos. Bajo 6
Seguridad

La exposición de los datos de la empresa puede dar

lugar a multas y posibles demandas. Multas y demandas
Medio 2
Legales

Puntaje relativo del riesgo 17

 Hoja de trabajo 10.2 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

(9)
Mitigación De Riesgos
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transferir

Para los riesgos que usted decida para mitigar, realice lo siguiente:
¿En qué contenedor aplicaría ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles
controles? administrativos, técnicos y físicos, aplicaría a este contenedor?

▪ Restringir el tráfico de red para garantizar el acceso de los usuarios

Red autorizados.
▪ Segmentar por grupos y que cada grupo tenga ciertos permisos.
▪

Red ▪ La red deberá ser monitorizada a diario constantemente ya que es

muy grande la información que se envía y se recibe dentro de una
organización.
 Activos de Seguridad de Redes
Información
La información viaja a través de la red y se da a conocer a las personas no
Área de
autorizadas. (Viaja entre los diferentes clientes y usuarios).
preocupación
Un empleado con acceso a la red
(1) Actor
¿Quién va a explotar el área de
preocupación o amenaza?
Utilizaría programas sniffers para capturar el tráfico en la
(2) Medio
red.
¿Cómo y qué haría el actor?
amenaza

Curiosidad.
(3) Motivo
¿Cuál es la razón del actor para
hacerlo?

(4) Resultado  Divulgación  Destrucción

¿Cuál sería el efecto sobre el activo de  Modificación  Interrupción
Riesgo de Activos de Información

información?
Sólo personal autorizado del área de informática y el gestor
(5) Requisitos de seguridad
de la red pueden ver el activo de información.
¿Cómo se incumplirían los
requerimientos de seguridad del activo
de información?

(6) Probabilidad
 Alta  Media  Baja
¿Cuál es la probabilidad de que esta
amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el Cuán graves son las consecuencias para la
responsable de la misma, como resultado del incumplimiento de los organización o el responsable del activo
requerimientos de seguridad? por el área de impacto?
Área de Valor Área de
Impacto Impacto

Reputación y
La violación de acceso a información privada, para juicios Baja 4
Confianza del
y multas por incumplimiento de derechos.
Cliente

Financiero Baja 2

Productividad Baja 3
La calidad de empresa podría verse afectado negativamente
si la información privada se dispone para todo el público. Seguridad y Baja 4
Salud

A la personas que se identifique que se hizo con tal Multas y

Demandas Baja 2
información puede ser multada y penada. legales

Puntaje relativo del riesgo 15

(9) Mitigación del riesgo
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transfer

Para los riesgos que se ha decidido sean mitigados, realice lo siguiente

¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos,
aplicaría controles? técnicos y físicos, aplicaría a este contenedor?

Red  Habilitar el cifrado SSL en las conexiones en el servidor.

 Restringir la instalación de programas que capturan el tráfico de la red como puede ser
WireShark.
 Mediante este cifrado la capa de conexión segura permite la confidencialidad de datos
y códigos de autenticación de mensajes para integridad.

Red
 Los datos son regularmente revisados para que sean confiables y seguros. Esto
reducirá la probabilidad de actividad privilegiada.
 Hoja de trabajo 10.2 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Activo de Seguridad de Redes

información
Ataque o filtración sobre la red impide que la información viaje normalmente
Área de hacia todos los clientes. (La red utiliza internet para el intercambio entre las
preocupación diferentes áreas)

Una persona externa a la organización.

(1) Actor
¿Quién va a explotar el área de
preocupación o amenaza?

Hacer uso de ataques de fuerza bruta que utilizan diccionarios

(2) Medio de palabras para probar con todas las posibles combinaciones.
¿Cómo y qué haría el actor?

Extraer información sensible para fines perjudiciales para

(3) Motivo
Amenaza

nuestra organización.
¿Cuál es la razón del actor para
hacerlo?

(4) Resultado  Divulgación  Destrucción

¿Cuál sería el efecto sobre el activo
 Modificación  Interrupción
Riesgo de activo de información

de información?

(5) Requerimientos de Por el hecho de querer proteger la red, no se debe

prohibir el acceso a empleados a la navegación.
Seguridad
¿Cómo se incumplirían los
requerimientos de seguridad del
activo de información?

(6) Probabilidad
 Alta  Media  Baja
¿Cuál es la probabilidad de que esta
amenaza se presente?

(7) Consecuencias (8) Gravedad

¿Cuáles son las consecuencias para la organización o para el ¿Cuán graves son las consecuencias para la
responsable de la misma, como resultado del incumplimiento de los
organización o el responsable del activo por
requerimientos de seguridad? el área de impacto?

Área de
Valor Puntaje
Impacto
La confianza del cliente disminuirá y se planteará en elegir a otra
Reputación y Baja 2
empresa que le ofrezca una alta seguridad.
Confianza del
Cliente
Pérdidas financieras ya que la información es muy importante para la
competencia. Alta 6
Financiero

La productividad no será la misma ya que se deberá primero Alta 7

Productividad
implementar un sistema de seguridad más robusto.
Seguridad y Baja 2
Salud
La extracción de información confidencial es penada. Multas y Alta 8
Demandas
legales
Puntaje relativo del riesgo 25
(9) Mitigación del riesgo
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?

 Aceptar  Aplazar  Mitigar  Transferir

Para los riesgos que usted decida para mitigar, realice lo siguiente:
¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos, técnicos y
aplicaría controles? físicos, aplicaría a este contenedor?

▪ Lograr que la disponibilidad de internet en la organización sea del 99.9 %

Internet ▪ Establecer filtros de seguridad en los correos entrantes a los empleados de la
organización.