Modelo de análisis, evaluación y gestión de riesgos de seguridad de la información

Alcance
Objetivo del sistema:
La compañía se encarga de la administración de conjuntos residenciales, en la parte de
organización y parte financiera de los mismos con el fin de llevar el control de distintos
frentes en la supervisión de los conjuntos residenciales
Específicos
 Identificar y clasificar los activos de información presentes en la compañía XYZ
 Aplicar una metodología de evaluación de riesgos que permita definir las vulnerabilidades
y amenazas de seguridad existentes, y evaluar los riesgos de acuerdo a la escala definida por
la metodología NIST.
 Sugerir mecanismos de control y gestión que minimicen las vulnerabilidades encontradas
en el estudio del análisis de riesgos realizado.
Contexto del sistema:
Esta compañía maneja un sistema conectado a un servidor privado el cual es el encargado de
administrar todos los sistemas del mismo, como son el registro de usuario a los conjuntos
residenciales y el cual se conecta a un software el cual contiene la contabilidad de la
empresa y por donde se genera las cuentas por pagar de la compañía, cuenta con dos equipos
por punto de conjunto residencial el cual registra entradas y salidas de usuarios de los
conjuntos y en el cual se administran las cámaras de seguridad de cada conjunto residencial.

Activos de la compañía:
El presente modelo de análisis y evaluación de riesgos será aplicado a todos los activos
físicos y lógicos de la compañía por medio de políticas que se establecerán, las cuales
contienen controles que nos ayudaran a gestionar los riesgos y las vulnerabilidades que se
vallan identificando.
Delimitación del modelo:
El presente modelo no será aplicado para activos que no pertenezcan directamente a la
compañía o que brinden un servicio como terceros (Modem , Cámaras), o que los activos se
han directamente relacionados con proveedores en general. En caso de que algún proveedor
quiera incluir directamente los activos será aplicado sobre las políticas de la compañía y
directamente clasificado dentro de la matriz de análisis de riesgos y activos y de la
compañía.
Definiciones:
Confidencialidad: Los componentes del sistema serán accesibles sólo por aquellos usuarios
autorizados. Integridad: Los componentes del sistema sólo pueden ser creados y
modificados por los usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema
cuando así lo deseen. De nada sirve la información si se encuentra intacta en el sistema pero
los usuarios no pueden acceder a ella La disponibilidad también se entiende como la
capacidad de un sistema para recuperarse rápidamente en caso de ocurrencia de algún
problema.
Control de acceso a los recursos: Se entiende como la regulación de quién utiliza el
sistema o cualquiera de los recursos que ofrece y cómo lo hace.
Auditoría: Son los mecanismos para poder determinar qué es lo que está ocurriendo en el
sistema, qué es lo que hace cada uno de los usuarios, los tiempos y fechas de dichas
acciones.
Metodología de auditoría: Permite de una manera adecuada presentar una guía
procedimental para que se efectúen tareas, actividades y tareas tendientes a realizar el
proceso de revisión preliminar, revisión de controles, diagnósticos y comparación de estados
actuales en materia de seguridad, finalizando con informes que presentan los resultados de la
aplicación metodológica.
Riesgo
Se entiende por riesgo de seguridad informática toda amenaza que explote alguna
vulnerabilidad de uno o varios activos y pueda afectar el funcionamiento de un sistema
Vulnerabilidad
Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que
permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del
sistema o de los datos que procesa.
Amenaza
Se entiende como amenaza informática toda aquella acción que aprovecha una
vulnerabilidad para atacar o invadir un sistema informático.
Impacto
Medir la consecuencia al materializarse una amenaza. ... Se puede describir la relación entre
vulnerabilidad, amenaza y control de la siguiente manera: una amenaza puede ser bloqueada
aplicando un control a una vulnerabilidad.
Probabilidad de ocurrencia
La posibilidad de que ocurra algún incidente con algún riesgo asociado
Vector de ataque
Es la magnitud y la forma de ataque que se recibe directamente al sistema

Producto y servicios de la compañía

 Administración de propiedad horizontal
 Cobro de expensas de administración
  Pagos a proveedores de conjunto residenciales que se administran

Contexto grupos de usuario:

Perfiles altos
 Administrador
 Jefes de seguridad
 Desarrolladores

Perfiles bajos
 Secretaria
 Celadores
 Residentes
 Proveedores
 Contratistas

Marco Legal
La organización del conjunto residencial base sus policitas en las siguientes normas:
Utilizar estándares como ISO27000 13, (específicamente un SGSI) contribuye a establecer
procesos de reconocimiento y control en las áreas de una organización, dentro del área de
sistemas se debe dar gran importancia la creación y adaptación de mecanismos, políticas de
procesos que permitan asegurar y mejorar la seguridad informática.
Para suplir esta necesidad el conjunto residencial debe tomar como soporte el los estándares
de la norma ISO/IEC 27000 las siguientes y legislaturas tanto nacionales como
internacionales:
13 CALDER, Alan. Implementing information security based on ISO 27001/ISO 27002,
ISBN 9087538189, 2012. 32
Norma ISO/IEC 2700 14 : Familia de estándares donde especifica claramente los parámetros
sobre seguridad de la información, para desarrollar, implementar y mantener los sistemas de
gestión de seguridad de la información, entre ellos:
Norma ISO/IEC 27001: Define los requisitos para la implementación de un SGSI (Sistema de
Gestión de la Seguridad de la Información).
Norma ISO/IEC 27002: (anterior ISO 17799). Es una guía de buenas prácticas, describe los
controles a seguir dentro del marco de la seguridad de la información; enmarcados en 11
dominios, 39 objetivos de control y 133 controles.
Norma ISO/IEC 27003: Proporciona ayuda y orientación sobre la implementación de un
SGSI, incluye el método PHVA (planear, hacer verificar y actuar) contribuyendo con
revisiones y mejora continua.
Norma ISO/IEC 27004: Especificará las métricas y técnicas de medición para determinar la
eficacia de un SGSI y de sus controles. Aplicable específicamente en la fase del hacer (Do);
de acuerdo con el método PHVA.
Norma ISO/IEC 27005: Suministra directrices para la gestión del riesgo en la seguridad de la
información.
Ley 1273 de 2009: sobre los delitos informáticos y la protección de la información y de
datos en Colombia.1