FASE 2 - DEFINICIÓN DEL ALCANCE DE UN ANÁLISIS DE RIESGOS

CRISTIAN CAMILO SABOGAL BELTRÁN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
PROGRAMA: RIESGOS Y CONTROL INFORMATICO
BOGOTÁ
2020
Fase 1 - Definición del alcance de un análisis de riesgos

Cristian Camilo Sabogal Beltrán

Documento Fase 2: Riesgo y control informático

Director:
Luis Fernando Zambrano

Universidad Nacional Abierta y a Distancia

Especialización en seguridad Informática
2020
 ÍNDICE GENERAL

GLOSARIO...................................................................................................................4
SUMMARY....................................................................................................................5
RESUMEN....................................................................................................................6
ABSTRACT...................................................................................................................7
INTRODUCCIÓN..........................................................................................................8
1. OBJETIVOS..........................................................................................................9
1.1. Objetivo general...............................................................................................9
1.2. Objetivos específicos.....................................................................................9
2. DESARROLLO DE LA ACTIVIDAD..................................................................10
2.1. Nombre de la organización..........................................................................10
2.2. Actividad comercial.......................................................................................10
2.3. Organigrama organizacional.......................................................................10
2.4. Organigrama del área de sistemas y desarrollo de tecnologías...........11
2.5. Cargos y funciones.......................................................................................12
2.6. Clasificación de activos...............................................................................14
3. CONCLUSION.....................................................................................................16
WEBGRAFIA..............................................................................................................17
 TABLA DE ILUSTRACIONES

Ilustración 1: Organigrama organizacional........................................................11

Ilustración 2: Organigrama departamento de sistemas....................................11
 GLOSARIO

1. Riesgo informático:
El análisis de riesgo informático es un proceso que comprende la
identificación de activos informáticos, sus vulnerabilidades y amenazas a
los que se encuentran expuestos, a fin de determinar los controles
adecuados para acetar, disminuir, transcurrir o evitar la ocurrencia del
riesgo.
https://sites.google.com/site/tecnologiadigital20/home/riesgos-informaticos

2. Análisis:
Un análisis es un estudio profundo de un sujeto, objeto o situación con el fin
de conocer sus fundamentos, sus bases y motivos de su surgimiento,
creación o causas originarias. Un análisis estructural comprende el área
externa del problema, en la que se establecen los parámetros y condiciones
que serán sujetas a un estudio más específico, se denotan y delimitan las
variables que deben ser objeto de estudio intenso y se comienza el examen
exhaustivo del asunto de la tesis.
https://conceptodefinicion.de/analisis/

3. Vulnerabilidad informática:
La vulnerabilidad de seguridad o exploit del ordenador es un componente
del código o del software que identifica los defectos de la seguridad de las
aplicaciones, sistemas y redes para que los cibercriminales puedan
beneficiarse de ellos. Normalmente forman parte de otro software y se
distribuyen como parte de un kit, los exploits normalmente están alojados
en páginas web afectadas. Los hackers pueden enviar emails de phishing
para engañar a las víctimas potenciales para que visiten esas páginas web.
https://softwarelab.org/es/que-es-una-vulnerabilidad-informatica/

4
 SUMMARY

1. Computer risk:
Computer risk analysis is a process that includes the identification of
computer assets, their vulnerabilities and threats to which they are exposed,
in order to determine the appropriate controls to accept, reduce, pass or
avoid the occurrence of risk.
https://sites.google.com/site/tecnologiadigital20/home/riesgos-informaticos

2. Analysis:
An analysis is a deep study of a subject, object or situation in order to know
its foundations, its bases and reasons for its emergence, creation or original
causes. A structural analysis includes the external area of the problem, in
which the parameters and conditions that will be subject to a more specific
study are met, the variables that should be the object of intense study are
denoted and delimited, and the exhaustive examination of the issue of the
thesis.
https://concopiodefinicion.de/analisis/

3. Computer vulnerability:
Computer security vulnerability or exploit is a component of code or
software that identifies security flaws in applications, systems, and networks
so that cybercriminals can take advantage of them. Usually part of other
software and distributed as part of a kit, the exploits are usually hosted on
affected web pages. Hackers can send phishing emails to trick potential
victims into visiting these web pages.
https://softwarelab.org/es/que-es-una-vulnerabilidad-informatica/

5
 RESUMEN

La seguridad informática, se define como aquella disciplina que se encarga de

proteger la integridad y privacidad de la información que es almacenada en algún
tipo de dispositivo electrónico, sin embargo, los expertos aseguran que no existe
actualmente ningún programa o técnica que asegure la no vulnerabilidad o no
violación de la información almacenada en estos instrumentos electrónicos.

Tomando en cuenta la importancia que actualmente tienen las nuevas tecnologías,

es imprescindible que los diferentes sistemas informáticos cuenten con excelentes
medidas de seguridad; evitando de este modo, los denominados delincuentes
informáticos y los incontables delitos informáticos que existen hoy en día.

Es acá donde juega un papel importante el análisis de riesgos informáticos, puesto

a que esta se encarga de evaluar los diferentes peligros y acciones que pueden
ser una amenaza potencial para personas y negocios tales como robos de
información e intrusión en los sistemas que comprometan la integridad y
confidencialidad de la data.

6
 ABSTRACT

Computer security is defined as that discipline that is responsible for protecting the
integrity and privacy of the information that is stored in some type of electronic
device, however, experts assure that there is currently no program or technique
that ensures non-vulnerability or no violation of the information stored in these
electronic instruments.

Taking into account the importance that new technologies currently have, it is
essential that the different computer systems have excellent security measures;
thus avoiding the so-called cybercriminals and the countless cybercrimes that exist
today.

It is here where computer risk analysis plays an important role, since it is in charge
of evaluating the different dangers and actions that can be a potential threat to
people and businesses, such as information theft and intrusion into systems that
compromise integrity. and data confidentiality.

7
 INTRODUCCIÓN

En este documento, se describen detalladamente la actividad comercial de el

centro de estudios superiores informáticos de Colombia, organigrama
organizacional en donde se determina en donde se encuentra situada el área de
IT con sus cargos y funcione, a partir de esto, se identifican las vulnerabilidades,
riesgos y amenazas de seguridad del área en mención en cada uno de los activos
informáticos.

Se describen como activos de información cualquier elemento, dispositivo o dato

que tenga que ver con la información de la organización, dentro de los activos
podemos encontrar los siguientes:

 Datos
 Contraseñas
 Servicios
 Software
 Hardware
 Redes de datos
 Equipamiento auxiliar
 Soporte de información
 Instalaciones
 Recurso humano

8
 1. OBJETIVOS

1.1. Objetivo general

Identificar el área de tecnología dentro de la compañía y a partir de esta, identificar

las vulnerabilidades, amenazas y riesgos que puedan poner en peligro la
seguridad de la organización en sus activos informáticos.

1.2. Objetivos específicos

 Comprender, analizar y ejecutar procesos que permitan el aseguramiento de la

información realizando un previo análisis de los potenciales riesgos.

 Clasificar los riesgos por activo informático, relacionando las amenazas y

explicando como se presenta dicho riesgo en la organización.

9
 2. DESARROLLO DE LA ACTIVIDAD

2.1. Nombre de la organización.

Centro de Estudios Superiores Informáticos de Colombia

2.2. Actividad comercial.

Desarrollo de formación académica a la población colombiana a través del uso de

Tecnologías de Información que permitan llegar a cualquier punto geográfico con
un servicio académico de calidad mediado por la virtualidad.

2.3. Organigrama organizacional

A continuación se presenta el organigrama organizacional del centro de estudios

superiores informáticos de Colombia, dentro es este, se resalta el área de
sistemas y desarrollo de tecnologías la cual será objeto de estudio para identificar
riesgos, vulnerabilidades y amenazas.

10
 Ilustración 1: Organigrama organizacional. Fuente: Elaboración propia

2.4. Organigrama del área de sistemas y desarrollo de tecnologías

Ilustración 2: Organigrama departamento de sistemas. Fuente: Elaboración propia

11
2.5. Cargos y funciones.

Infraestructura: El ingeniero de infraestructura tiene como función principal

gestionar el área de infraestructura de IT garantizando el optimo funcionamiento
de los procesos que tiene a cargo: gestión de las bases de datos de los sistemas y
plataformas de la organización, gestión de los sistemas operativos, ambientes
web, ambientes de preproducción entre otros.

El ingeniero garantiza que la infraestructura tecnologica en la cual reposan las

aplicaciones y servicios de la entidad se encuentren en correcto funcionamiento y
así mismo, garantiza que dicha insfraestructura permita a los usuarios y alumnos
disponer de los niveles requeridos.

También es responsable de asegurar que las redes de datos y comunicación

funcionen de manera adecuada.

Habilidades del ingeniero de infraestructura:

Equipos de computo: Conocer la infraestructura fisica, configuración de

velocidades, regulación de voltaje.

Servidores: El ingeniero de infraestructura entiende la tecnología de los

servidores, incluyendo sistemas operativos fisicos y virtualizados,
almacenamiento, backup y respaldo en caso que corresponda para restablecer el
funcionamiento de un server.

Redes de datos: El ingeniero de infraestructura se encarga del routing, switching

y configuración de firewalls.

12
Desarrollo: El ingeniero de desarrollo está inmerso en todo el proceso de
creación, diseño, desarrollo y salida a producción de nuevos sistemas, el equipo
de desarrollo parte de una planificación inicial, establecen planes de trabajo,
diseñan, generan el código y prueban. Cada miembro del equipo asume una etapa
de la vida del desarrollo que a su vez es supervisada por el gerente de proyecto o
lider a cargo.

Habilidades del ingeniero de infraestructura:

Desarrollar nuevos software para la entidad

Evaluar sistemas ya existentes
Mejorar software ya existente
Realizar mantenimiento a los desarrollos que ya se encuentran en producción
Elaboración de manuales y especificaciones técnicas de los desarrollos

Soporte: El ingeniero de soporte brinda ayuda de primer nivel a los usuarios de la

entidad y estudiantes, el objetivo principal es mantener un alto nivel de servicio y
así satisfacer las necesidades ofimaticamente hablando de la institución.

Habilidades del ingeniero de infraestructura:

Mantenimiento de equipos de computo externa e internamente

Manejo de sistemas operativos
Atención de los requerimiento de usuarios en primer nivel
Creación de estrategias preventivas y correctivas
Inventarios de hardware y software

13
2.6. Clasificación de activos

Activo Categoría Amenaza de seguridad Salvaguardas

Servidor de Impresión: HW

Servidor marca dell en torre

PowerEdge T440

Servidor de archivos FTP: HW

Servidor marca dell en torre

PowerEdge T130

Página web S
HW
Plan Máximo SW

Servidor de registro y HW
control académico SW

Servidor marca dell en torre

PowerEdge T440

Características de servidor
Apache 2.4.25
PHP 5.6.30 - 7.1.1
MySQL 5.7.17
phpMyAdmin 4.6.6
Servidor DHCP HW
SW
Servidor marca dell en torre
PowerEdge T440

Equipos de cómputo para HW

gestión de Sistema de

14
contable

Plan Cloud Plus

Cortafuegos Cisco ASA HW

5505 SW

Equipos de Computo HW
SW
Sistemas operativos win 10
Pro
Equipos de Computo HW
Sistemas operativos win 10 SW
Pro
Equipos de Computo HW
Puntos de acceso alámbricos COM
(hub)
Switches cisco catalyst 2960 HW
Técnicos de mantenimiento P
Teléfonos IP COM
Puntos de acceso COM

15
 3. CONCLUSION

La seguridad informática debe ser parte esencial de las organizaciones, pero no

solo debe depender del departamento de TI, sino que debe ser una cultura de todo
el personal en general, esto, teniendo en cuenta que actualmente las tecnologías
de la información son totalmente fundamentales para el desarrollo optimo de las
compañías y sus diferentes áreas. El análisis y gestión de riesgos le permite a la
empresa identificar todos sus activos, desde lógicos, físicos y humanos que
tengan que ver con el intercambio de información, de esta manera se logran
identificar potenciales amenazas y vulnerabilidades que permiten crear planes de
acción preventivos y de contingencia ante posibles riesgos futuros.

Es indispensable que todas las organizaciones realicen análisis de riesgos ya que

como mencioné anteriormente, en la actualidad se depende en un amplio
porcentaje de los sistemas informáticos para cumplir con las actividades diarias.

No contar con óptimos mecanismos de seguridad expone a las compañías a ser

victimas de ataques que derivan en roba de la información e indisponibilidad de los
recursos por extensos periodos de tiempo que a la larga significan baja
productividad y pérdida de ingresos económicos.

16
 WEBGRAFIA

Vista de Análisis de riesgos en seguridad de la información. (2013, 21

octubre). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN.
https://www.jdc.edu.co/revistas/index.php/rciyt/article/view/121/113

CyTA. (s. f.). Metodología de Análisis de Riesgos Informáticos.

Recuperado 7 de septiembre de 2020, de
http://www.cyta.com.ar/ta1001/v10n1a3.htm

Serrahima, J. (2014). LA AMENAZA DIGITAL: Conozca los riesgos

informáticos que pueden arruinar su negocio [Libro electrónico]. Profit Editorial.
https://books.google.es/books?
hl=es&lr=&id=zMINlIiCpgoC&oi=fnd&pg=PA13&dq=riesgos+inform
%C3%A1ticos&ots=tS8R84UMW5&sig=YxRMsOTjblr3kL41haAxfbjtmq0#v=one
page&q=riesgos%20inform%C3%A1ticos&f=false

Zambrano, Q. S. M. (2020, 9 septiembre). Seguridad en informática:

consideraciones. Dialnet. https://dialnet.unirioja.es/servlet/articulo?
codigo=6137824

Rodríguez, P. (s. f.). Análisis de riesgos informáticos y ciberseguridad.

Análisis de riesgos informáticos. Recuperado 8 de septiembre de 2020, de
https://www.ambit-bst.com/blog/an%C3%A1lisis-de-riesgos-inform
%C3%A1ticos-y-ciberseguridad

https://www.taltere.com/que-hace-un-ingeniero-de-infraestructura/#:~:text=Un
%20ingeniero%20de%20infraestructura%20o,cargo%3A%20gesti%C3%B3n%20de
%20las%20BB.

17