Debe participar con la definición del riesgo cercano y la identificación de 6

activos de información. Por cada activo tiene que considerar 2 vulnerabilidades

y 2 amenazas. Así mismo, debe brindar una opinión sobre el trabajo de 2 de
sus compañeros, indicando si está de acuerdo con el escenario planteado y la
identificación de vulnerabilidades, riesgos y amenazas.
Buenas tardes compañeros,
Hago aporte del Foro con relación a la dependencia de la entidad donde
actualmente laboro:

- Riesgo: El riesgo es la probabilidad de que una amenaza se convierta

en un impacto negativo. La vulnerabilidad o las amenazas, por
separado, no representan un peligro. Pero si se juntan, se convierten en
un riesgo, o sea, en la probabilidad de que ocurra un desastre.

Para las organizaciones los riesgos son eventos inciertos el cual, puede
producir efectos positivos o negativos sobre los activos de la
organización.

El riesgo es cualquier variable importante de incertidumbre que interfiera

con el logro de los objetivos y estrategias del negocio. Es decir es la
posibilidad de la ocurrencia de un hecho o suceso no deseado o la no
ocurrencia de uno deseado” (Vilches, M.).
Dentro de las características de un riesgo se pueden mencionar:
- Situacionales: Varían de una situación a otra.
- Interdependiente: Al tratar un riesgo puede provocar otro riesgo o
aumentar su impacto.
- Magnitud: Pérdida o daño posible.
- Tiempo: Ocurre en un cierto periodo.
Para el área de Informática de la entidad actual donde laboro, estos son los
activos más importantes, en los cuales se relacionan sus vulnerabilidades y
amenazas y el riesgo que se produciría.

Activo Vulnerabilidad Amenaza Riesgo

Código fuente *Ausencia de una *Manipulación intencionada *Eliminación de
Softwares de metodología de desarrollo de interna o externa de las fuentes información clave
información software seguro. de información ocasionando para el negocio
pérdida parcial y/o total del afectando la
*No hay definido un plan código fuente de los aplicativos. disponibilidad de la
detallado de pruebas de
misma para el
seguridad a efectuar en las *Secuestro de la información
etapas del desarrollo de relacionada con el código fuente desarrollo de las
software. efectuado por un tercero a actividades
través de un malware. concernientes al
negocio.
 *El desarrollo de nuevas
funcionalidades de los *Hurto o pérdida de información *Manipulación no
software no quedan causada por parte de un autorizada de la
documentadas y/o empleado descontento de la información que
actualizadas en el aplicativo entidad. puede conllevar a la
de control de versiones
afectación del
*Los aplicativos no encriptan
la información para su negocio y pérdida de
transmisión a través de la clientes y negocios
red. importantes para la
entidad.

*Afectación de la
operación de la
organización debido
a la indisponibilidad
de la información.
Portal Web Intranet *Ausencia de configuraciones *Ataques internos y/o externos *Pérdida de clientes
de seguridad en el aplicativo al portal web de la intranet, debido a la sustracción
que permita solicitar el capturando usuarios y y divulgación no
cambio de la contraseña con contraseñas de acceso válidos autorizada de
el aprovisionamiento del información
servicio de un usuario nuevo *Alteración por terceros no confidencial alojada en
autorizados del archivo de el portal web de la
*El portal maneja un nivel de configuración en la estructura Intranet.
complejidad débil en el cliente servidor que modifica el
establecimiento de las comportamiento del portal web *Afectación en los
contraseñas de usuario ingresos económicos
debido a: No hay restricción *Suplantación de identidad debido a la divulgación
mínima de la cantidad de ocasionando perdida de de las vulnerabilidades
caracteres que debe poseer información contenida en el de seguridad del portal
la contraseña, el historial de portal web web
contraseñas almacena solo
las dos últimas contraseñas *Desprestigio de la
establecidas, no solicita la organización en el
combinación de caracteres sector productivo
alfanuméricos en la debido a la explotación
contraseña. de las debilidades
existentes por un
*El entorno web del aplicativo tercero sobre el portal
de gestión documental web de la intranet
funciona bajo http, donde la
transferencia de información
se encuentra en texto claro.
Servidores *El sistema operativo de red *Manipulación intencionada *Eliminación de
instalado en algunosinterna o externa sobre los información clave para
servidores no se encuentra servidores ocasionando pérdida el negocio afectando la
licenciado ni actualizado. parcial y/o total de la disponibilidad de la
información alojada en los misma para el
*Ausencia de configuraciones equipos. desarrollo de las
de seguridad en los actividades
servidores. *Presentación de condiciones concernientes al
inadecuadas de temperatura y negocio.
*No se realiza un monitoreo humedad que generan daños
 constante de los eventos y sobre la infraestructura física. *Manipulación no
registro de logs que permitan autorizada de las
detectar posibles intrusiones *Modificación y/o alteración de configuraciones de los
y/o debilidades de seguridad. la información y los servicios servicios de red,
alojados en los servidores por afectando la
*El respaldo de backup se un empleado con exceso de disponibilidad del
encuentra ubicado en los privilegios. servicio a los
mismos servidores a los empleados de la
cuales les establecen las *Indisponibilidad temporal en el organización.
copias de respaldo. acceso la información contenida
en los servidores generada por *Afectación de la
*La configuración y un tercero no autorizado. operación de la
administración de los organización debido a
servidores no se encuentra la indisponibilidad de la
centralizada. información.
Unidades de *No se establece ningún *Pérdida y/o fuga de *Divulgación por
almacenamiento proceso de cifrado de información confidencial de la terceros de información
de información información en unidades de organización por: confidencial de la
almacenamiento externas organización
como USB, discos duros - hurto de unidades de generando problemas
(Internos y/o externos). almacenamiento de de índole legal y
información externos. reputacional a la
*Ausencia de niveles de entidad.
protección física sobre los - Malware por
dispositivos de delincuentes *Perdida de
almacenamiento externo. informáticos información ocasionada
accidentalmente,
*No se realizan procesos de generando pérdida de
borrado seguro de la imagen corporativa
información contenida en las ante terceros.
unidades de almacenamiento
de información.
Antivirus *Deficiencia en el control de *Fuga y/o pérdida de *Afectación de la
actualizaciones de la base de información generada por continuidad del negocio
datos de Virus código malicioso. debido al secuestro de
la información
*Lapsos grandes para la Divulgación no autorizada de ocasionado por código
adquisición de nuevo o información debido a acceso de malicioso.
renovación de licencias. terceros a través del uso de
malware. *Sustracción no
autorizada de
Indisponibilidad de la información
información generado por virus confidencial de la
informáticos. organización, afectando
la continuidad del
Secuestro de información negocio.
generado por una aplicación
ramsomware. * Daño de hardware
ocasionado por código
Daño de hardware ocasionado malicioso, provocando
por código malicioso. a la organización la
asignación de
presupuesto extra para
la reposición del
hardware.
 Red LAN *No existe un registro *Fuga de información debido al *Perdida de
corporativa actualizado de los usuarios acceso de usuarios no disponibilidad,
que tienen acceso a los autorizados a la infraestructura integridad y
aplicativos y servicios de red de la organización. confidencialidad de la
corporativos ni se identifica información de la
su estado (Activo, *Indisponibilidad del servicio de entidad, generando un
Bloqueado, Deshabilitado). la red inalámbrica debido a impacto negativo en la
*Deficiencias en las ataques de denegación de continuidad del
configuraciones de seguridad servicios (DoS). negocio.
de la red inalámbrica,
empleando un cifrado débil. * Terceros realizan procesos de *Afectación en los
suplantación de identidad para ingresos económicos
*Deficiente manejo de la acceder a los aplicativos de la organización
política de seguridad de la tecnológicos de la entidad que debido a la pérdida de
información establecida. se encuentran disponibles a clientes a causa de la
través de la red de datos divulgación no
*Ausencia de un corporativa. autorizada de
administrador de red que información a la
configure, administre y *Empleados descontentos competencia.
gestione la red bajo criterios pueden hacer uso de usuarios y
de seguridad de la contraseñas de personal que ya *Indisponibilidad de los
información. no labora en la entidad para servicios que se
visualizar y/o sustraer brindan a través de la
información confidencial de la red ocasionando
entidad. tiempos no productivos
del equipo de
desarrollo de la
organización