1ACTIVOS DE INFROMACIÓN Y MAPAS DE RIESGOS.

1DEFINICIÓN DE CONTROLES Y R.O.I.

Julián David Del Rio Rivera.

Diana Marcela Delgado Madrid.

Marzo 2020.

Universidad Católica del Norte.

Medellín-Antioquia.
Activos de Información y Modelos de Evaluación de Riesgos.
Contenido
NOMBRE DE LOS INTEGRANTES DEL EQUIPO....................................................................3
CONTEXTO DE LA FUNCIÓN PRINCIPAL DE LA EMPRESA ELEGIDA PARA EL
DESARROLLO DEL TRABAJO...................................................................................................3
CONTEXTO DEL ÁREA Y/O PROCESO ELEGIDO PARA EL LEVANTAMIENTO DE LOS
ACTIVOS DE INFORMACIÓN....................................................................................................3
PREGUNTAS Y CRITERIOS UTILIZADOS PARA DEFINIR EL NIVEL DE
CLASIFICACIÓN DE LOS ACTIVOS..........................................................................................3
LISTADO DE LOS ACTIVOS SELECCIONADOS CÓMO CRÍTICOS PARA EVALUAR.....3
METODOLOGÍA Y/O PROCEDIMIENTO UTILIZADO PARA LA ELABORACIÓN DE LA
MATRIZ DE RIESGOS, INCLUYENDO LAS TABLAS UTILIZADAS PARA LA
DETERMINACIÓN DE LA FRECUENCIA Y DEL IMPACTO..................................................3
LISTADO DE RIESGOS INFORMÁTICOS JUNTO CON SU
VALORACIÓN/CALIFICACIÓN..................................................................................................4
MATRIZ FINAL DE RIESGOS: IMPACTO VS FRECUENCIA.................................................4
MATRIZ DE CONTROLES...........................................................................................................4
MAPA DE CALOR.........................................................................................................................4
RETORNO DE LA INVERSIÓN...................................................................................................4
CONCLUSIÓN................................................................................................................................5
BIBLIOGRAFÍA DE APOYO UTILIZADA PARA EL DESARROLLO DEL TRABAJO.........6
 NOMBRE DE LOS INTEGRANTES DEL EQUIPO.

La actividad correspondiente a la definición de los activos de información, construcción de la

matriz de riesgos, definición de controles y ROI es realizada por 1 solo integrante: Julian
David Del Rio Rivera.

CONTEXTO DE LA FUNCIÓN PRINCIPAL DE LA EMPRESA ELEGIDA PARA EL

DESARROLLO DEL TRABAJO.

Soluciones Móviles S.A.S empresa para la cuál labora como Coordinador TI se dedica a la
venta de productos digitales como lo son la recarga en línea, pines de contenido, pólizas
digitales entre otros con presencia a nivel nacional.

CONTEXTO DEL ÁREA Y/O PROCESO ELEGIDO PARA EL LEVANTAMIENTO DE

LOS ACTIVOS DE INFORMACIÓN.

El área elegida para el levantamiento de los activos de información es el área de TI, ya que
esta área es el CORE del negocio, la que administra la información y procesos sensibles tanto
para la empresa como de los clientes y proveedores.

PREGUNTAS Y CRITERIOS UTILIZADOS PARA DEFINIR EL NIVEL DE

CLASIFICACIÓN DE LOS ACTIVOS.

Las preguntas y criterios utilizados para la definición el nivel de clasificación de los actives
de información fue básicamente imaginar como se afectaría la compañía desde el punto de
vista económico, legal, de disponibilidad e imagen corporativa donde se sufriera la ausencia
de cada uno de ellos.

LISTADO DE LOS ACTIVOS SELECCIONADOS CÓMO CRÍTICOS PARA

EVALUAR.

1. Base de datos
2. Servidores de producción
3. Plataforma web
 METODOLOGÍA Y/O PROCEDIMIENTO UTILIZADO PARA LA ELABORACIÓN
DE LA MATRIZ DE RIESGOS, INCLUYENDO LAS TABLAS UTILIZADAS PARA LA
DETERMINACIÓN DE LA FRECUENCIA Y DEL IMPACTO.

La metodología y/o procedimiento utilizado fue basado en la experiencia laboral, del día a día
con el que los Coordinadores de TI o afines debemos enfrentar con el fin de garantizar los 3
pilares de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad.

LISTADO DE RIESGOS INFORMÁTICOS JUNTO CON SU

VALORACIÓN/CALIFICACIÓN.

Se adjunta archivo excel 04_3Listado Activos & Matriz Riesgo & Controles -
ES4_JulianDelRio.xlsx

MATRIZ FINAL DE RIESGOS: IMPACTO VS FRECUENCIA.

Se adjunta archivo excel 04_3Listado Activos & Matriz Riesgo & Controles -
ES4_JulianDelRio.xlsx

MATRIZ DE CONTROLES.

La matriz de controles se define basado en la experiencia y en la investigación de metodologías y

mecanismos aplicados el día de hoy para el aseguramiento de la información. Los controles
definidos son en su gran mayoría de tipo preventivo, unos cuantos correctivos y solo uno
administrativo el cual de ser bien estructurado y aplicado se puede llegar a convertir en
preventivo.

MAPA DE CALOR.

Gracias al mapa final de color podemos de una forma mucho mas gráfica y comprensible
identificar el estado de los riesgos el cual los 10 riesgos analizados se encuentran ubicados en
segmento rojo los cuales solo hace referencia a una sola cosa, críticos; sin embargo con el debido
y correcto proceso de definición y aplicación de controles logramos identificar que es posible
reducir los riesgos en su mayoría pudiendolos prevenir y tratar.

Con lo anterior podemos concluir que los controles aplicados son los correctos.

RETORNO DE LA INVERSIÓN.

Para calcular el retorno de la inversión se definió el riesgo R5 Abuso de privilegios y se

definieron los siguientes escenarios:

C3 Taller culturización en seguridad de la información

C6 Pentest
C9 Perfiles de usuario
C14 2FA
C15 Log audotiria

Con el fin de identificar su rentabilidad y viabilidad.

Como se logra identificar en todos los escenarios el Retorno de la Inversión arrojó porcentajes
positivos desde el 22% hasta el 4.113% por lo tanto se puede concluir que los controles definidos
son efectivos, viables y rentables.
 CONCLUSIÓN.
Gracias a esta actividad es posible concluir que la implementación de un Sistema de Gestión de
Seguridad de la información es de vital importancia sin importar el tamaño o la actividad
económica de la organización ya que hay un factor en común y es que existen activos valiosos
que se requieren proteger.
El listar y clasificar los activos de información y los riesgos a los cuales pueden estar sometidos
dichos activos, obliga a definir mecanismos para garantizar la seguridad de dichos activos
denominados como controles. Gracias a la matriz de gestión de riesgos es posible identificar si
los controles definidos son los apropiados para cumplir con este objetivo ya que además de
permitir organizar y clasificar la información permite estructurar y ajustar los procesos de
acuerdo a la necesidad y capacidad de la organización.
BIBLIOGRAFÍA DE APOYO UTILIZADA PARA EL DESARROLLO DEL TRABAJO.

[ CITATION fuc20 \l 9226 ]

[ CITATION 04_ \l 9226 ]