Documentos de Académico
Documentos de Profesional
Documentos de Cultura
METODO SKRAM
1. SISTEMA DE INFORMACIÓN
2. VULNERABILIDADES ENCONTRADAS
· La base de datos no cuenta con actividades automatizadas de backup, sino que es realizada
por una de las personas con privilegios de lectoescritura, este proceso es manual y conlleva
a fallas en su complimiento.
· El backup es realizado en un disco externo que puede presentar fallas físicas y perder toda la
información.
Se realiza entrevista a la administradora del área donde sucedieron los hechos Diana Restrepo,
quien manifiesta no haber eliminado el archivo, informa que ella debe velar por la actualización de
las bases de datos y el almacenamiento de estos en el servidor destinado para tal fin. El dispositivo
de Hardware involucrado en el proceso se encuentra alojado en la sala de Servidores, donde ella
y 3 estudiantes en práctica (Sebastián Martínez, Mike Moreno y Jonathan Bermúdez), y personal
del aseo tienen acceso al sitio. se entrevistan a los estudiantes de práctica y a la señora del aseo,
se les consulta sobre sus actividades y el hechos sucedido, ellos e informan que no borraron
ningún archivo.
La señora Diana Restrepo dice que estuvo por fuera de la sala de sistemas, donde se encuentra
alojado el servidor por un lapso de tiempo de cinco (5) horas aproximadamente (entre la 01:00
p.m. y 06:00 p.m.) del día sábado 23 de enero del año 2016, tiempo en el cual pudo suceder el
incidente de seguridad; en el tiempo en que la administradora estuvo por fuera, quedaron los tres
estudiantes de practica: Sebastián Martínez , Mike Moreno y Jonathan Bermúdez, cuando se les
consultó a ellos sobre que hicieron el día 23 de enero, informaron que ese día fueron a una
actividad lúdica la cual finalizó a las 02:00 p.m. y se confirmó que 2 de ellos Mike Moreno y
Jonathan Bermúdez, regresaron a la oficina a terminar unas tareas pendientes hasta las 05:00 p.m.
aproximadamente, se confirmó también que la señora Leticia Díaz de oficios varios ingreso a las
06:00 p.m. a realizar el aseo al sitio y volvió a salir a las 06:30 p.m. El registro de estas entradas y
salidas se confirmó con la ficha de control del personal de vigilancia de la Universidad y las
bitácoras de aseo del área de limpieza.
Respuesta: no, él me dice que laboro mucho pero no me dice que hizo
Teniendo en cuenta las respuestas se descarta a la señora Leticia Díaz de oficios varios, ya que ésta
no cuenta con los conocimientos, habilidades y motivos para realizar el incidente de seguridad
presentado, mientras que el personal practicante si cuenta con los conocimientos, la motivación y
recursos para realizarlo.
CRITERIO DETALLE
Habilidades (Skill) Tecnólogo de sistemas
Cursos de redes
Cursos de Seguridad
Programación en Java
Conocimientos (Knowledge) • Conoce los horarios de trabajo de los
coordinadores y jefe de área
• Conoce las herramientas/agentes de
auditoría de accesos
• Conoce la importancia de la base de datos
a nivel estudiantil
• Sabe que puede acceder los fines de
semana a las instalaciones y no existe
restricción
Recursos (Resources) • Cuenta con permisos de navegación en
internet
• Tiene permisos de correo corporativo
• Cuenta con permisos vpn para laborar
desde afuera de la oficina
• Tiene permisos de lectoescritura en los
archivos residentes en el pc tipo servidor.
Autoridad (Authority) • Es conocido el permiso y acceso a la base
de datos borrada
• Cuenta con la autoridad para ingresar a las
instalaciones en horario no hábil
Motivacion (Motivation) • Posible motivación económica por parte
de las personas interesadas en desaparecer
la información
• Inicios de actividades de hackeo para
darse a conocer en el gremio
2. CALIFICACION DE RIESGOS
# Riesgos Basados en los criterios de evaluación del Criterios de Puntos
modelo SKRAM Asignación Asignad
os
1 Utiliza las habilidades necesarias para el ataque 1 por cada 3
habilidad
empleada
2 Tiene formación en cuanto al conocimiento y manejo 1 por cada 2
de tecnologías y métodos usados en el ataque tecnología/mét
odo
3 Tiene conocimiento de la infraestructura de sistema 1 si es 1
afectado afirmativo
4 Trabaja frecuentemente con el sistema afectado 1 si es 1
afirmativo
5 Está familiarizado con el sistema operativo como con 1 si es 1
el entorno afectado afirmativo
6 Tiene acceso al sistema involucrado y afectado 1 si es 1
afirmativo
7 Tiene acceso al software necesario y utilizado en el 1 si es 1
ataque afirmativo
8 Tiene funciones administrativas sobre quienes se 1 si es 1
realiza el ataque afirmativo
9 Tiene los permisos y accesos a los niveles de seguridad 1 si es 1
necesarios para efectuar el ataque afirmativo
1 Tiene conocimiento del sistema y del ambiente de red 1 si es 1
0 afectados afirmativo
1 Tiene identificados posibles beneficios monetarios 1 por cada 0
1 producto del ataque beneficio
identificado
1 No demuestra preocupación o no denuncia o reclama 1 si es 1
2 perdidas ocasionada por el ataque afirmativo
1 Tiene planes o señales de retiro, renuncia, abandono 1 si es 0
3 de la compañía donde se encuentra el sistema afirmativo
involucrado
1 Tiene conductas problemáticas por violaciones de 1 si es 0
4 acceso informático afirmativo
3. ESCALA DE VALORACION
TIPO DE
CRITERIOS VALORACIÓN
RIESGO
RIESGO ALTO 12 PUNTOS O MAS Se valora como riesgo alto
RIESGO MEDIO 6-11 PUNTOS Se valora como riesgo medio
BAJO RIESGO 0-5 PUNTOS Se valora como riesgo bajo
ARTICULOS Y EJEMPLOS
• ARTICULO 269A
• ARTICULO 269F
• ARTICULO 269H
Estos artículos son aplicados tanto para Raúl como para Carlos
Se le aplica el artículo 269A, ya que este habla sobre el acceso abusivo a
un sistema informático, porque él pueda que sea ingeniero de sistemas pero
su papel es administrador de la empresa y no debería
de estar utilizando su conocimiento en sacar información que no debe, para
dársela a otra persona y mucho menos sin consentimiento del gerente o
dueño de la empresa
De acuerdo con la LEY 1273 DE 2009 los artículos que hacen referencia
con respecto a este caso son los siguientes:
ARTICULO 269B
ARTICULO 269D
ARTICULO 269E
ARTICULO 269F
ARTICULO 269I
ARTICULO 269H
Estos artículos son aplicados a patricia, por eso se le tipifican esos artículos
los cuales dicen: