TRABAJO FINAL

CURSO:
Gestión de Riesgos Informáticos

DOCENTE:

LUIS MIGUEL GASTULO SALAZAR

ALUMNOS:

- César Contreras Ortiz U17304678

- Angelo Raphael Salazar Fuertes 1630717
- Yvan Tito Carranza Villalobos U17104776
- Michael Gómez Solórzano 1630491
- Frank Gamarra de Souza U18102957

LIMA – PERU
2020
1.- Descripción de la empresa

TRINETSOFT -

Es una empresa peruana que ofrece servicios de innovación tecnológica como herramientas
para la Gestión Administrativa y crecimiento de los negocios.

Más que un software, es una solución multipropósitos:

Gestión de pedidos

Facturación y pagos por aplicación móvil para la toma de pedidos (dispositivos Android)

Fidelización de clientes

Reportes de compras, ventas y anulaciones

Ranking de ventas, platos, mozos y mesas

Facturación electrónica

Módulo de back-office (TrinetStore Win32/Web)

Gestión de compras, almacén y costos Gestión de recetas.

2.- Realizar matriz de riesgo (5x5) - Definir los criterios por la probabilidad e
impacto
3.- Identificar 5 riesgos a nivel de: Centro de datos / Desarrollo/ Nube /
Ciberseguridad
Caídas de fuentes de energía
Caídas de red
CENTRO DE DATOS Errores del software o sistema de TI
Filtraciones de ciberdelincuentes
Proveedores de servicios de baja calidad

Accesos no autorizados
Desconocimiento del entorno
NUBE Acceso de usuarios con privilegios
Fuga de información
Falta de aislamiento de los datos

Ataques de phishing e ingeniería social

Seguridad móvil y amenazas que aprovechan las
vulnerabilidades de los teléfonos.
CIBERSEGURIDAD
Vulnerabilidades web
Proceso de gestión de incidentes de seguridad
Control de acceso a la red

Disponibilidad de herramientas y o conocimiento.

Cambio de plataforma sobre la que se correrá el
software.

Conflictos entre miembros de equipo.

DESARROLLO
Falta de conocimiento de una metodología o algún paso
necesario para la ejecución del proyecto.

Usuarios finales que a la conclusión del proyecto

quedan insatisfechos.
4.- Establecer el tratamiento de riesgo
Luego de evaluar los niveles de riesgo, probabilidad e impacto, se define establecer
niveles de tratamiento de riesgos, para el cual se considera:

Nivel de Riesgo Toma de acción

Crítico Riesgo no aceptable
Alto Riesgo no deseable
Relevante Riesgo aceptable
Moderado Riesgo aceptable
Bajo Riesgo aceptable

Se considera que los niveles Crítico y Alto se deben aplicar control para mitigar y los
niveles Relevante, Moderado y Bajo puedes ser aceptados.

Proceso Publicación de Sistemas

Actividad Pase a producción de nuevas funcionalidades del sistema
de gestión de pedidos
Amenaza Ruptura de mantenibilidad del sistema de información
Vulnerabilidad Falta de procedimientos de control de cambios
Riesgo Pérdida de la disponibilidad del sistema en clientes.
Nivel de riesgo Crítico
Tratamiento Controlar el riesgo
Control Implementar políticas de control de cambios

Proceso Administrar Respaldos

Actividad Comprobación de integridad sobre las copias de
seguridad elaboradas
Amenaza Corrupción de datos
Vulnerabilidad Falta de comprobación de copias de seguridad
Riesgo Pérdida de información de las ordenes de servicio de los
clientes.
Nivel de riesgo Crítico
Tratamiento Evitar el riesgo
Control Realizar las copias de seguridad y ejecutar las pruebas
para comprobar la integridad de los respaldos en la
frecuencia establecida por políticas
Proceso Control de Acceso
Actividad Control de acceso al sistema operativo
Amenaza Manipulación software en forma no autorizada
Vulnerabilidad Mala administración de contraseñas
Riesgo Adulteración de software
Nivel de riesgo Alto
Tratamiento Controlar el riesgo
Control Aplicar políticas de generación de contraseñas internas

Proceso Administrar equipos personales

Actividad Acceder a equipo personal
Amenaza Uso no autorizado de dispositivo
Vulnerabilidad Ausencia de bloqueo de equipo cuando se abandona la
estación de trabajo
Gestión deficiente de contraseñas
Riesgo Acceso a información confidencial
Nivel de Riesgo Moderado
Tratamiento Aceptar el riesgo
Control Los sistemas de gestión de contraseñas deben ser
interactivos y deben asegurar la calidad de las
contraseñas. Estas son responsabilidad del usuario y son
intransferibles.

Proceso Gestión en las comunicaciones y las operaciones

Actividad Intercambio de información
Amenaza Abuso de derechos
Vulnerabilidad Falta de mecanismo de autentificación e identificación
de usuarios
Riesgo Acceso a información confidencial
Nivel del riesgo Alto
Tratamiento Controlar el riesgo
Control Se debe proteger adecuadamente los correos
electrónicos a través de políticos y controles que
permitan manejan de manera segura el intercambio de
información vía email.
Proceso Mantenimiento de Equipos
Actividad Uso de equipos
Amenaza Funcionamiento incorrecto de dispositivos
Vulnerabilidad Desactualización de software
Riesgo Inoperatividad de equipo personal
Nivel del riesgo Bajo
Tratamiento Aceptar el Riesgo
Control El mantenimiento y actualización de software se debe
realizar con frecuencia.

Proceso Control de acceso

Actividad Control de acceso o privilegio a base de datos
Amenaza Ataques de inyecciones SQL
Vulnerabilidad Uso de credenciales por defecto o datos sensibles sin
cifrar
Riesgo Pérdida de integridad de la información del sistema de
gestión tickets.
Nivel del riesgo Alto
Tratamiento Controlar el riesgo
Control Configuración de credenciales avanzadas, encriptación
de datos sensibles.

Proceso Gestión de las comunicaciones

Actividad Gestión de seguridad de redes
Amenaza Falla en los equipos de comunicaciones
Espionaje remoto
Vulnerabilidad Arquitectura de red insegura
Riesgo Indisponibilidad de los sistemas de información
Prioridad del riesgo Alto
Tratamiento Controlar el riesgo
Control Las redes deben ser adecuadamente manejadas y
controladas para proteger de amenazas a través de
segmentación por áreas.

5.- Indicar la aplicación del control según ISO 27002

GESTIÓN DE SEGURIDAD DE REDES

Asegurar la protección de la información en redes y en las instalaciones de procesado
de información.
 Estado Actual
- La empresa no tiene
segmentada la red.
Estado Futuro
- Segmentar la red en 2
áreas, una para el
desarrollo del software y
otra para el resto de
actividades.
-La administración de
redes la lleva a cabo
exclusivamente el
administrador de sistemas.
Controles
- Se precisa controlar la
información que circula en
la red dela empresa para
evitar el acceso no
autorizado a información
confidencial.
- La empresa segrega la red
en 2 dominios. Se requiere
un control a tal efecto.

DISPOSITIVOS MOVILES Y TELETRABAJO

Seguridad en el uso de los dispositivos móviles.

Estado Actual Estado Futuro Controles

- Algunos portátiles son
utilizados de forma
personal sin control.
- Las actualizaciones no se
realizan de forma
automática.
- Realizar el inventario de
los equipos y conocer las
aplicaciones a las que se
acceden.
-La política de seguridad
debe definir los
procedimientos a seguir en
cuanto al uso de los
equipos.
- Disponer de varios
equipos portátiles. Los
empleados deben seguir
los preceptores recogidos
en la política de seguridad
de la empresa.

PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS

Asegurar que la información y las instalaciones estén protegidas contra códigos
maliciosos.

Estado Actual Estado Futuro Controles

- La empresa usa antivirus
aunque no se actualiza de
forma constante.
- Se permite el acceso libre
a páginas de descargas.
- El antivirus se actualizara
de forma automática.
- Bloqueo al acceso de
páginas de descargas
gratuitas.
- Protección contra código
malicioso para impedir que
se vea afectada la
confidencialidad,
integridad y disponibilidad
de la información.

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Asegurar que la seguridad de la información está diseñada e implementada dentro del
ciclo de vida de desarrollo de los sistemas de información.
 Estado Actual
- Los nuevos desarrollos no
consideran la seguridad de
información a la hora de
definir los requisitos.
- Los procesos
relacionados con la
seguridad de información
no se suelen documentar.
Estado Futuro Controles
- Los desarrollos utilizan - Se requiere de una
control de versiones y política de desarrollo que
cambios. se aplicara a todos los
- Se documentan los desarrollos de software.
procesos relacionados con - Los cambios de los
la seguridad de la sistemas necesarios en el
información. desarrollo del software
están controlados a través
de una gestión de cambios.
 6.- Costos y tiempos proyectados de la implementación de controles
Los costos y tiempos proyectados en implementación de controles son basados en la
coordinación entre la empresa y el cliente potencial. Se estima que acorde con los
controles definidos sean estos implementados en un periodo no mayor a 12 meses.
El siguiente cuadro indica los costos estimados para la implementación mencionada en
el primer año:
COSTOS Y TIEMPOS PROYECTADOS DE LA IMPLEMENTACIÓN DE CONTROLES

IMPLEMENTACION
Tiempo
DESCRIPCIÓN CONTROL UND DESCRIPCIÓN_UND CANTIDAD CU US$ SUBTOTAL
(Mes)

- Se precisa
controlar la
información que
circula en la red dela
empresa para evitar Horas Hombres
Pesonal IT supervisor 480 12 $ 5,00 $ 28.800,00
el acceso no (HH)
GESTIÓN SEGURIDAD autorizado a
DE REDES información
confidencial.
- La empresa segrega
la red en 2 dominios.
Horas Hombres
Se requiere un Pesonal IT supervisor 120 12 $ 5,00 $ 7.200,00
(HH)
control a tal efecto.

- Disponer de varios
equipos portátiles. Horas Hombres
Pesonal IT supervisor 480 12 $ 5,00 $ 28.800,00
Los empleados (HH)
DISPOSITIVOS
deben seguir los
MOVILES Y
preceptores UNID Software especializado 2 1 $2.500,00 $ 5.000,00
TELETRABAJO
recogidos en la
política de seguridad UNID Equipo portatil 2 1 $ 500,00 $ 1.000,00
de la empresa.
- Protección contra
Horas Hombres
código malicioso Pesonal IT supervisor 480 12 $ 5,00 $ 28.800,00
(HH)
para impedir que se
PROTECCION
vea afectada la UNID Software especializado 2 1 $2.500,00 $ 5.000,00
CONTRA CODIGO
confidencialidad,
MALICIOSO
integridad y
disponibilidad de la UNID Equipo portatil 2 1 $ 500,00 $ 1.000,00
información.
Horas Hombres
- Se requiere de una Pesonal IT supervisor 480 12 $ 5,00 $ 28.800,00
(HH)
política de desarrollo
que se aplicara a
UNID Software especializado 2 1 $2.500,00 $ 5.000,00
todos los desarrollos
de software.
SEGURIDAD EN LOS UNID Equipo portatil 2 1 $ 500,00 $ 1.000,00
PROCESOS DE
DESARROLLO Y - Los cambios de los Horas Hombres
Pesonal IT supervisor 480 12 $ 5,00 $ 28.800,00
SOPORTE sistemas necesarios (HH)
en el desarrollo del
software están
UNID Software especializado 2 1 $2.500,00 $ 5.000,00
controlados a través
de una gestión de
cambios. UNID Equipo portatil 2 1 $ 500,00 $ 1.000,00

TOTAL ANUAL (AÑO 01) $ 175.200,00

Según el cuadro anterior, se estima que US$ 175200.00 serán necesarios para
implementar de manera anual los controles previamente mencionados.
7.- Conclusión y recomendación
Una empresa que implemente el sistema de gestión de riesgos de la información
cumplirá con los estándares internacionales y certificará sus procesos de seguridad
dado que identifico, gestiono y minimizo los riesgos que posee la seguridad de la
información.
Implementar un SGSI no depende solo del cumplimiento de los parámetros brindados
por la ISO 27001 e ISO 27005 sino es fundamental la participación de la alta dirección
de la empresa.
Al implementar la SGSI se tiene la certeza que sus clientes, proveedores y demás
asociados de negocio, tomaran este hecho de forma seria y continuaran con la relación
comercial que la empresa posea.
Es importante generar una cultura de seguridad en los miembros de la empresa,
porque los cambios no siempre son aceptados con facilidad, esto con el fin de que el
SGSI genere un alto nivel de seguridad en sus procesos.
De acuerdo a la investigación desarrollada se deduce que por más que se realice la
implementación del SGSI no se puede garantizar el 100% de la seguridad, dado que el
propósito del SGSI es gestionar los riesgos de la información, es decir que sean
conocidos, gestionados y minimizados por la organización.