ANALISIS DE RIESGOS DE LA INFORMACION

CARLOS ANDRES FONSECA PEREZ – 1812010695

PROYECTO
ANALISIS DE RIESGOS FUSE MOBILE

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERÍA Y CIENCIAS BASICAS
BOGOTÁ, D.C., 26 DE NOVIEMBRE DE 2018
 ANALISIS DE RIESGOS DE LA INFORMACION

CARLOS ANDRES FONSECA PEREZ – 1812010695

PROYECTO
ANALISIS DE RIESGOS FUSE MOBILE

DOCENTE
CRISTIAN DAVID TORRES

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERÍA Y CIENCIAS BASICAS
BOGOTÁ, D.C., 26 DE NOVIEMBRE DE 2018
 TABLA DE CONTENIDO

INTRODUCCIÓN ............................................................................................................... 4

OBJETIVOS ...................................................................................................................... 5

Objetivo general ............................................................................................................. 5

Objetivos específicos ..................................................................................................... 5

TERMINOLOGIA ............................................................................................................... 6

DESARROLLO .................................................................................................................. 7

Conocimiento de la organización. ................................................................................... 7

Misión............................................................................................................................. 7

Visión ............................................................................................................................. 7

Identificación de riesgos de los activos de información .................................................. 8

Valoración de riesgos ................................................................................................... 14

Tabla de impacto para el mapa de riesgos. .................................................................. 15

Calificación del riesgo de proceso ................................................................................ 17

 INTRODUCCIÓN

Fuse Mobile es una compañía especializada en el diseño y desarrollo de software y

aplicaciones móviles, se encarga de labores que van desde el diseño hasta el desarrollo de
aplicaciones para sistemas operativos Android y IOS. La empresa cuenta con su propio
equipo de profesionales teniendo más de 7 años de experiencia, buscando con esto ser
más eficiente e integral a la hora de ofrecer un producto de calidad al usuario.

Al tener en cuenta la evolución constante de la tecnología y la incursión de esta en la vida

diaria de los usuarios, el uso de aplicaciones móviles se ha vuelto más recurrente
abarcando desde aplicaciones para el ocio como aplicaciones de productividad y negocios,
por esta razón se ha optado por generar un estudio de riesgos sobre 1 de los procesos más
importantes de la compañía relacionado con la seguridad de la información, el proceso de
desarrollo de aplicaciones.

El enfoque del análisis del proceso misional de desarrollo de aplicaciones de la empresa

Fuse Mobile tiene como objetivos principales, poder conocer la madurez actual de la
empresa a nivel de manejo de riesgos de seguridad en relación a este proceso con el fin de
presentar un plan de acción y actividades que permitan mitigar los posibles hallazgos.
 OBJETIVOS

Objetivo general

 Realizar un análisis de riesgos sobre los activos de información más relevantes del
proceso elegido basado en las buenas prácticas planteadas validando la respectiva
metodología para el análisis de riesgos de seguridad y privacidad de la información,
llevando a cabo una matriz de riesgos.

Objetivos específicos

 Elegir un proceso estratégico de la organización.

 Llevar a cabo el levantamiento de los activos de información.
 Identificar y realizar un análisis de riesgos con los cuales cuenta cada uno de los
activos encontrados.
 Evaluar cada uno de los riesgos encontrados parametrizando su probabilidad e
impacto dentro del mapa de calor respectivo.
 TERMINOLOGIA

Activo de información: Un activo de información es todo aquello que cuenta con un valor
para la compañía, en ese orden de ideas, un activo de información es un conjunto de
información muy valioso para la compañía que puede encontrarse de forma digital o
impresa.

Amenaza: Hace referencia a toda circunstancia, evento o persona que puede atentar contra
los 3 pilares de la seguridad de la información (disponibilidad, integridad y confidencialidad).

Control: Es cualquier política, procedimiento, práctica o estructura organizativa generada

para mantener los riesgos controlados.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las

operaciones de una organización durante un tiempo prudente para generar afectación de
manera significativa

Impacto: Es el valor que tendría para la empresa la manifestación de un riesgo.

Riesgo: El riesgo se define como la probabilidad de que se materialice una amenaza.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más
amenazas.
 DESARROLLO

Conocimiento de la organización.

Fuse Mobile es una compañía con sede principal en Sídney, Australia, especializada en el
diseño y desarrollo de software y aplicaciones móviles para diferentes clientes nacionales
e internacionales de diferentes sectores.

Misión

Proporcionar las tecnologías más innovadoras a medida de las necesidades

empresariales, individuales y grupales, con el objetivo de incrementar su
competitividad y productividad. Para ello implementamos soluciones prácticas
adaptadas a sus necesidades y desarrollamos nuevas soluciones creativas. Nuestra
base parte del aprovechamiento de las nuevas tecnologías.

Visión

Queremos estar comprometidos con los problemas de nuestros clientes de forma

transparente y eficaz para convertirnos en sus socios de confianza. En nuestra
visión queremos ser una empresa de referencia, que camina con el cambio de la
tecnología y la sociedad, dando a conocer las posibilidades de los estándares y
tecnologías libres. Esta labor se debe desempeñar de forma ética y satisfactoria
para nosotros, nuestros clientes y el resto de la sociedad.
Identificación de riesgos de los activos de información

Llevando a cabo entrevistas a los lideres del proceso se genera un inventario de activos de
información teniendo en cuenta los activos mas importantes para la compañía. Se realiza
una lista de los activos de información. clasificándolos de acuerdo a su criticidad, en
términos de la importancia para dar cumplimiento a los objetivos del proceso. La valoración
se determinará considerando los efectos en el negocio de la pérdida, modificación o
indisponibilidad del activo.

Activos de Hardware:

 SERVIDOR BDD APLICACIONES, Servidor utilizado para el almacenamiento de la

BDD de las aplicaciones, el equipo trabaja bajo un sistema operativo Windows Server
2008 virtualizado y ubicado en la nube contratada con los servicios de Microsoft Azure.
 SERVIDOR DOCUMENTACION, Servidor utilizado para el almacenamiento
relacionado a la documentación de las aplicaciones, el equipo trabaja bajo un sistema
operativo Windows Server 2008 virtualizado y ubicado en la nube contratada con los
servicios de Microsoft Azure.

Amenazas
Fallas en los servicios de la nube generando indisponibilidad.
Fallas en los servicios de internet contratados por la compañía.
Falta de mantenimiento y parchado a los servidores de BDD del tercero.
Vulnerabilidades
Red de datos inestable por parte del proveedor del servicio en la nube.
Problemas de seguridad en los servicios en la nube.
Red de datos inestable por parte del proveedor ISP.
No son adecuadas las medidas de seguridad para proteger los registros de las BDD.
Riesgos
Pérdida de la disponibilidad de los servicios asociados a las aplicaciones que usan la BDD
instalada en el servidor.
Pérdida de la disponibilidad de la documentación asociada a las aplicaciones que se
almacenan en el servidor.

 ESTACIONES DE TRABAJO, las estaciones de trabajo son usadas para el desarrollo

de cada una de las actividades de la compañía, así como la ejecución de los programas
que se usan para el desarrollo de software y todas sus implicaciones, el equipo trabaja
bajo sistema operativo Windows 10 Professional y los equipos están ubicados en las
instalaciones de la compañía.

Amenazas
Fallas de acceso a los usuarios dentro de las estaciones de trabajo.
Falta de control de acceso para los usuarios que acceden a las estaciones de trabajo.
Falta de mantenimiento y parchado de las estaciones de trabajo.
Vulnerabilidades
Problemas de seguridad en los accesos por usuario a los equipos.
No son adecuadas las medidas de seguridad para denegar el acceso no autorizado a
intrusos a los equipos de la compañía.
Fallas de seguridad relacionadas a vulnerabilidades del sistema operativo que pueden ser
aprovechadas por ciberdelincuentes.
Fallas de seguridad de acceso a información sensible por medios extraíbles.
Riesgos
Fuga de información sensible de la compañía.
Pérdida de la disponibilidad de acceso a las estaciones de trabajo por problemas de
seguridad, fallos de autenticación y olvido de contraseñas de acceso.
Activos de Software:

 NODE JS: Aplicación relacionada con el desarrollo de aplicaciones móviles, se ejecuta

localmente en los equipos de los usuarios.
Amenazas
Divulgación de la información relacionada al código fuente usado en la aplicación.
Daño en la información manipulada por la herramienta.
Modificación no autorizada de registros en la herramienta.
Vulnerabilidades
Ausencia de logs o trazabilidad de las actividades realizadas en el aplicativo.
Configuración incorrecta de parámetros sobre la aplicación.
Asignación inadecuada de privilegios de acceso a los roles definidos.
Riesgo
Pérdida de la Confidencialidad e Integridad de los registros relacionados a la aplicación.

 JIRA: Aplicación utilizada para la gestión de seguimientos a los proyectos de desarrollo,

manejo de backlog (historias de usuario, incidentes y entregas).
Amenazas
Ausencia de logs o trazabilidad de las actividades realizadas en el aplicativo.
Mal funcionamiento del software.
Falta de conocimiento a profundidad de las aplicaciones desarrolladas por la compañía.
Vulnerabilidades
Brechas de seguridad sobre la aplicación.
Ausencia de soporte por parte del fabricante.
Riesgo
Pérdida de la Disponibilidad de los servicios asociados a la aplicación.
 POSTMAN: Aplicación utilizada para el consumo de APIs que son desarrolladas por la
compañía.
Amenazas
Explotación intencional parte de usuarios internos o externos.
Mal funcionamiento del software.
Vulnerabilidades
Brechas de seguridad sobre la aplicación.
Ausencia de soporte por parte del fabricante.
Riesgo
Pérdida de la Disponibilidad de los servicios asociados a la aplicación.

Activos de Información:
 DOCUMENTOS DE LEVANTAMIENTO DE INFORMACION.: Documentación
relacionada a los requerimientos del usuario de acuerdo a la necesidad del software a
ser desarrollado.

Amenazas
Hurto de medios o documentos.
Alteración de los documentos.
Perdida de los documentos.
Desastre Natural.
Vulnerabilidades
Descuido y/o desconocimiento del personal a cargo de manipular los registros.
Fallas, errores en el sistema donde se hace el almacenamiento de los archivos digitales.
Errores Humanos.
No son adecuadas las medidas de seguridad para proteger los registros permitiendo el
acceso no autorizado.
Riesgo
Fuga o Pérdida de la Información sensible para la compañía.
 DOCUMENTOS DE PARAMETRIZACION DE APLICACIONES: Documento que
contiene los parámetros, configuraciones, formulas y funciones de la aplicación.

Amenazas
Hurto de medios o documentos.
Alteración de los documentos.
Perdida de los documentos.
Desastre Natural.
Vulnerabilidades
Descuido y/o desconocimiento del personal a cargo de manipular los registros.
Fallas, errores en el sistema donde se hace el almacenamiento de los archivos digitales.
Errores Humanos.
No son adecuadas las medidas de seguridad para proteger los registros permitiendo el
acceso no autorizado.
Riesgo
Fuga o Pérdida de la Información sensible para la compañía.

 DOCUMENTOS DE INFORMACION DE DISEÑO DE LAS APLICACIONES:

Documentación que contiene la imagen corporativa, diseños propios de las aplicaciones
y parámetros visuales establecidos por el cliente que solicita el desarrollo de la
aplicación.

Amenazas
Hurto de medios o documentos.
Alteración de los documentos.
Perdida de los documentos.
Desastre Natural.
Vulnerabilidades
Descuido y/o desconocimiento del personal a cargo de manipular los registros.
Fallas, errores en el sistema donde se hace el almacenamiento de los archivos digitales.
Errores Humanos.
No son adecuadas las medidas de seguridad para proteger los registros permitiendo el
acceso no autorizado.
Riesgo
Fuga o Pérdida de la Información sensible para la compañía.

 DOCUMENTO PLAN DE PRUEBAS: Documentación que contiene la información

recopilada en las pruebas efectuadas a la aplicación en diferentes escenarios.

Amenazas
Hurto de medios o documentos.
Alteración de los documentos
Perdida de los documentos.
Desastre Natural.
Vulnerabilidades
Descuido y/o desconocimiento del personal a cargo de manipular los registros.
Fallas, errores en el sistema donde se hace el almacenamiento de los archivos digitales.
Errores Humanos.
No son adecuadas las medidas de seguridad para proteger los registros permitiendo el
acceso no autorizado.
Riesgo
Fuga o Pérdida de la Información sensible para la compañía.

 DOCUMENTO RESULTADOS: Documentación que Contiene la información recopilada

de los resultados obtenidos en las evaluaciones efectuadas a la aplicación.
Amenaza
Hurto de medios o documentos.
Alteración de los documentos.
Perdida de los documentos.
Desastre Natural.
Vulnerabilidades
Descuido y/o desconocimiento del personal a cargo de manipular los registros.
Fallas, errores en el sistema donde se hace el almacenamiento de los archivos digitales.
Errores Humanos.
No son adecuadas las medidas de seguridad para proteger los registros permitiendo el
acceso no autorizado.
Riesgo
Fuga o Pérdida de la Información sensible para la compañía.

Valoración de riesgos

La medición del riesgo con el que cuenta un activo de información, será calculada teniendo
en cuenta los siguientes aspectos:

 Financiero: Perdida de dinero debido a la incorrecta manipulación, modificación y/o

divulgación no autorizada de la información.

 Operacional: Indisponibilidad de la información debido a su mala manipulación,

perdida de la misma, robo o divulgación no autorizada, y modificación que afecte el
proceso.
Tabla de impacto para el mapa de riesgos.

Estimación del riesgo: Para realizar la estimación, se valora de acuerdo a la probabilidad

vs el impacto.

Medición Impacto: Para la medición se realiza de acuerdo a un impacto a nivel financiero

y operacional.

Se toma como base el estado financiero aproximado de la compañía a noviembre de 2018.

Impacto financiero: Se establece una medición de acuerdo al estado financiero de la

compañía.
Impacto operacional: Se establece una medición de acuerdo al estado de indisponibilidad
de la compañía.

Medición de probabilidad: Para la medición se realiza de acuerdo a una frecuencia en la

que se pueda presentar la amenaza.
Calificación del riesgo de proceso

Mapa de calor: Se realiza con base en la medición obtenida de impacto vs probabilidad.