ANÁLISIS DE RIESGOS

¡NOS RAJAMOS!

ALUMNOS

DEYBY WALDY MARTINEZ

SIGIFREDO THOMAS CAMPO
CINDY REQUENE ZAMBRANO
JAYME EDUARDO CAYCEDO

DOCENTE
LUIS LOPEZ URREA

FUNDACION UNIVERSITARIA AREANDINA

INGENIERÍA DE SISTEMAS
OCTUBRE 2021
 INTRODUCCIÓN

Las tecnologías de la información ya no están catalogadas como un área de bajo

impacto económico dado a su exponencial crecimiento durante los últimos años, la
mayoría de empresas se han dedicado a fundar un nuevo estilo de negocios
enfocado al uso de la tecnología y esto conlleva a mantener información en la
nube y depender de todo tipo de software y servicios de terceros potencialmente
vulnerables para su funcionamiento. También se considera que uno de los activos
más importantes hoy en día es la información y esto ha causado el surgimiento de
todo tipo de nuevas amenazas llevando a que sin importar la actividad económica
la empresa enfrente grandes riesgos
 1. Control de acceso
El análisis y la implementación de modelos de autenticación son importantes para
evitar intromisiones no deseadas, así como la administración de credenciales y
permisos por parte del administrador del sistema. Los métodos de autenticación
que están presentes son:

inicio de sesión tradicional: Consiste en un login y contraseña configurado y

asignado por el owner del sistema.

Doble factor de autenticación con SMS: consiste en el envío de un mensaje de

texto con un código solicitado para iniciar la sesión, este código será enviado al
número de móvil registrado con el usuario en el sistema de información.

URL de autenticación: Sirve como identificador único que se logea en la mayor

parte de
las ocasiones con el directorio activo que esta sincronizado con el sistema de
información.

Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio
de sesión
Único

2. Control de cambios:
Este control de cambios le va a permitir al sistema tener seguridad sobre el
impacto que va a generar cualquier actualización o mutación que se presente en el
transcurso de la operación y de esta forma evitar un impacto de gran magnitud en
su integridad y funcionamiento. El proceso de control de cambios proporciona
procedimientos formales para: registrar solicitudes de cambio; analizar la
información del por qué es requerido el cambio, el impacto que tendrá al autorizar,
rechazar o modificar dicha solicitud. El registro de cambios se llevará a cabo por
cualquier persona involucrada en el proyecto, desde los clientes hasta los
desarrolladores, en cualquier punto del ciclo del software, e incluir una solución
propuesta, prioridad e impacto, el cual debe ser analizado, aprobado y rastreado
formalmente. Una solicitud de cambio puede originarse, por ejemplo, a partir de un
defecto en el producto de software, de una petición de mejora o de un cambio a un
requerimiento y será validado y ejecutado teniendo en cuenta un formato como el
siguiente:
 Activos Factores de riesgo impacto categoría descripción

humano plataforma infraestructura

Información de operador Implementación de medio Datos de registros Información en bases

inicio de sesión almacenamiento de datos
obsoleto

Acceso a ingeniero Deficiencia en la alto Redes de Déficit en

servidores seguridad de las comunicaciones implementación VPN
remotos conexiones remotas

Carpeta de secretaria Todas las carpetas se alto Redes de Sin políticas de

registro contable encuentran comunicaciones seguridad en
compartidas información
compartida

Respaldos de ingeniero Viola la política de No se hace una bajo cuentas y equipos de Dependencia de
información de la habeas data correcta gestión de respaldo trabajo manual sobre
aplicación la información backups
Activos Condiciones da la SI Identificación del riesgo

Confidencialida integridad disponibilida proceso amenaza vulnerabilidad consecuencia

d d
Informació Nivel crítico 5 Nivel Nivel bajo 0 a Fugas de Falta de Autenticación
n de inicio medio 2.5 2.4 información Usuarios no políticas para el de usuarios
de sesión a 3.9 autorizados control de no
acceso autorizados
Acceso a Nivel Nivel alto 4 a Acceso no Intrusos Ataques de Pérdida total
servidores medio 2.5 4.9 autorizado a ransomware, o parcial de
remotos Nivel alto 4 a a 3.9 los servidores y/o amenazas la
4.9 desconocidas información
que puedan
poner en
riesgo la
seguridad y
disponibilidad
de la
información.
Cerpetas Nivel crítico 5 Nivel Nivel crítico 5 Acceso a Usuarios no Robo y Robo de
de medio 2.5 información autorizados divulgación de información,
registros a 3.9 no autorizada información fraude en
contables privilegiada o transacciones
clave para la y entrega de
entidad. información
a terceros.
 Respaldo Nivel bajo 0 a Nivel Nivel medio Administració Administradore Equivocaciones Pérdida de la
de 2.4 bajo 0 a 2.5 a 3.9 n incorrecta s de la en el proceso información
informacion 2.4 del proceso infraestructura por errores de respaldo
de humanos

Fuente de Probabilidad Impacto de la Tipo o Zona de Niveles de criterio

amenaza de amenaza sobre categoría riesgo del riesgo
Activos ocurrencia seguridad y del riesgo
privacidad

Información Usuarios Posible Cinsoderable medio importante Cambiar por un

de inicio de retirados almacenamiento
sesión actualizado que
ofrezca encriptacion
de las credenciales e
implementar
políticas de
contraseña
Acceso a Empleados, probable grave alto importante
servidores intrusos Implementar vpn
remotos sobre la red privada
para limitar el
acceso, usar un
proveedor de acceso
remoto más
confiable
Carpetas de Empleados, Posible Grave Alto importante Desarrollar e
registros intrusos implementar una
contables política de acceso a
 carpetas compartidas
por usuarios o roles
Respaldo Trabajadores Rara vez leve bajo moderado Automatizar el
información de la proceso de
de la organizacion respaldo/restauración
aplicación en lo posible
contratando un
servicio de nube
 CONCLUSIÓN

Es importante que las organizaciones altamente dependientes de las tecnologías

de la información entiendan los pasos necesarios para implementar una buena
gestión de riesgos, como por ejemplo la identificación de riesgos, cómo mitigarlos,
cómo tener un balance donde los activos más importantes estén protegidos sin
olvidar el impacto que esto pueden conllevar, tampoco se debe olvidar que hay
riesgos que se deben aceptar y las metodologías empleadas y plataformas que
cumplan con las normas vigentes y que se adapten a las reglas de negocio
existentes.
 Lista de referencias

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

(2006). Retrieved from https://www.pilar-tools.com/doc/magerit/v2/meth-es-v11.pdf

NIST . (2012) . Guide for conducting risk assessment . Retrieved from

http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf

Vraalsen, F. (2006). The CORAS Model-based Method for Security Risk Analysis.
Retrieved from
https://www.uio.no/studier/emner/matnat/ifi/INF5150/h06/undervisningsmateriale/06
0930.CORAS-handbook-v1.0.pdf