Asignatura Datos del alumno Fecha

Apellidos:
Análisis de Riesgos
Legales
Nombre:

Actividades

Caso práctico: Gestión del riesgo en una organización. Parte II

Introducción

Esta es la Parte II del caso práctico que comenzamos a ver en el Tema I. Tienes las
instrucciones de lo que debes hacer al final de este apartado de «Actividades».

Como ya vimos, este trabajo consiste en la realización de la apreciación y tratamiento

del riesgo de una organización de forma automatizada, utilizando para ello la
plataforma SANDAS G.R.C.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el

acceso a un proyecto de SANDAS G.R.C. en una instancia Cloud.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la

arquitectura empresarial de un ayuntamiento local.

Para modelar la organización, la plataforma SANDAS G.R.C. ha sido pionera en la

utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

Capa de negocio: entre otros, una descripción de los servicios de negocio

prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).

Capa de aplicación: los sistemas de información de la compañía, detallando los

servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).

Capa de tecnología: entre otros, los elementos de la infraestructura de

informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma SANDAS G.R.C. utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

Con carácter transversal, se pueden definir también ubicaciones, que permitirán

geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya

parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

Tramitación
expedientes

0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.

2 Expedientes 0 h. Técnico Responsable

Funcionarios en papel informático de la oficina

0 h. 0 h.

Correo Conexión a Almacenamiento Almacenamiento Aplicación

electrónico Internet en red local remoto tramitación exp.
0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores
0 h. 0 h.

Oficina

En el mismo encontrarás los siguientes activos:

Servicios de negocio:
 Prestados a usuarios externos
o Tramitación de expedientes

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

 Prestados a usuarios internos

o Correo electrónico
o Almacenamiento remoto
o Almacenamiento en red local
o Conexión a Internet
 Servicios subcontratados
Datos
 Información de los expedientes
Software
 Aplicación para la tramitación de expedientes
Hardware
 4 PCs
 1 Servidor – Elementos auxiliares
Equipamiento de comunicaciones
 Red de área local (LAN)
 Firewall
Instalaciones
 Oficina
 Sala de Equipos (Data Center).
Personal
 Un responsable de la oficina.
 Dos funcionarios.
 Un informático externo a tiempo parcial.

Como puedes apreciar en el esquema anterior, tan importante es

identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad

o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
«hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,
para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 2: Realizando la apreciación y tratamiento del riesgo

El objetivo de la segunda parte del trabajo es:

o Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:

a. Identificar al menos diez escenarios de riesgo (se valorará positivamente la

identificación de hasta veinte escenarios de riesgo).
b. Analizar los escenarios de riesgo identificados (estimando la probabilidad de
que se materialicen las consecuencias apreciadas).
c. Documentar los criterios de aceptación del riesgo que se han considerado:

i. Nivel máximo de riesgo considerado directamente como aceptable.

ii. Nivel mínimo de riesgo considerado directamente como inaceptable.
iii. Indicar criterios de evaluación adicionales que se hayan considerado:

1. Cisnes negros (probabilidad muy escasa pero consecuencias muy

elevadas).
2. Otros criterios de negocio (por ejemplo, pérdidas estimadas superiores a
un importe, pérdida de vidas humanas, protestas de la ciudadanía, etc.).

d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del

riesgo que definamos (clasificándolos en aceptables e inaceptables. Se valorará

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos:
Análisis de Riesgos
Legales
Nombre:

negativamente que haya riesgos en la franja de tolerables — aquellos que se

encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable).

e. Tratar TODOS los riesgos considerados como inaceptables:

i. Definiendo para los mismos al menos cinco acciones de tratamiento del

riesgo (proyectos o tareas).
ii. Asociando, en cada acción de tratamiento, los controles de iso 27002:2013
a considerar.

Entrega:

Para entregar la actividad adjunta el documento en formato PDF (preferiblemente) o

Word que contenga el contenido de la parte 1, más el contenido de la parte 2
detallado en el punto anterior.

Es decir, debes ampliar el documento que entregaste en la parte 1 con el contenido

de la parte 2.

Por ello, la memoria completa incluyendo la parte 1 y parte 2 no debería superar las
40 páginas de extensión.

TEMA 2 – Actividades