Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 de diciembre de 2021
Contenido
RESUMEN BREVE DEL DOCUMENTO _____________________________________________________ 3
PASO 1 INTRODUCCION A LA ARQUITECTURA EMPRESARIAL UNIVERSIDAD ANONIMA DE HONDURAS
__________________________________________________________________________________ 3
Razon de ser de la Empresa _________________________________________________________ 3
Visión ___________________________________________________________________________ 4
Misión __________________________________________________________________________ 4
Organigrama _____________________________________________________________________ 4
7. Personas ___________________________________________________________________ 10
INTRODUCCION
Quienes somos
Se tiene un compromiso social con el país, el estado y la región, para lograr la transformación
de la sociedad y el desarrollo del país, de manera integral formando personas que tengan la
capacidad de análisis y desarrollo de nuevas metodologías, para solucionar las problemáticas
a las que se enfrenten.
3
Visión
En el año 2022 seremos una universidad donde lo espiritual es tan importante como lo aca-
démico, con un sistema certificado y acreditado de educación superior, para el desarrollo
intelectual, ético y moral de profesionales que contribuyan a la construcción de una nueva
sociedad.
Misión
Organigrama
4
Fig1
En la estructura Organiacional, las deciciones se llevan a cabo mediante reuniones de la alta geren-
cia, las cuales tienen una periodicidad mensual o en su defecto a demanda de uno de sus miembros.
La alta Getencia es conformada por:
• Rectoria General
• Secretario General
• Secretario Academico
• Abogado General
• Secretaria Academica
• Secretaria de Gestion y Desarrollo
• Unidad de Prevencion y Seguridad Universitaria
• Unidad de Transparencia
Se ha identificado los activos que participan o tienen cierta incidencia en la seguridad de la informa-
ción y que pueden tener incidencia en la obtención de los objetivos organizacionales, asi como la
misión y visión.
Para esto, hemos identificado los siguientes activos utilizando la clasificación de activos segun do-
cumento utilizado
Usando el Excel disponible para desarrollar los activos tenemos 8 capas basados la clasificacion de
la norma ISO.
1. Física: es todo aquel bien físico que nos permite realizar el trabajo manual o que
permite a otras capas realizar sus actividades sin inconvenientes entre las que
5
destacamos. Para efectos del resumen técnico, consideramos las principales den-
tro de la categoría a los siguientes:
6
d. Planta de electricidad "respaldo de energía": aquella máquina que pro-
vee de energía eléctrica a toda la instalación también puede, si así está
habilitada funcionar como respaldo de emergencia ante alguna contin-
gencia.
2. Red y telecomunicaciones.
7
En esta actividad requerimos de 3 distribuidos en 3 capas, la Core, dis-
tribución y de acceso los cuales tienen funciones PoE, y extienden la
red físicamente dentro de cada sede o campus.
La topología que utilizan es una mixta entre cascada para los switches
troncales, y estrella.
e. Access Point: la herramienta que permite que los dispositivos con co-
nexión inalámbrica se conecten a la red que ofrece la institución.
3. Plataformas o Servidores
4. Base de datos
8
c. SAN: Es una Red de Area de aLmacenamiento que consiste en un
grupo de disco duros organizados en arreglos RAID 5 y que almacena
las bases de datos e información. El tipo de arreglo garantiza la dispo-
nibilidad, integridad y disponibilidad de la información.
5. Aplicaciones
9
b. Sistema de gestión de RRHH: con este sistema la universidad tiene en
su haber todos los empleados de la institución y su área respectiva, así
como otros datos como su hoja de vida.
6. Información y documentos
7. Personas
10
e. Soporte técnico: Personal que tiene el conocimiento para dar mante-
nimiento preventivo correctivo, y asesoramiento al personal acadé-
mico y estudiantil mediante mesa de ayuda.
8. Intangibles.
Tomando como referencia los activos identificados, podemos adicionar el analiis de impacto al ne-
gocio asignando un valor numerico del 1 al 5 siendo cinco (5)
Cuando hablamos de Impacto al negocio en esta actividad, valore que tanto afecta la interrupción
o inexistencia de uno de los activos o procesos para el funcionamiento de los objetivos y mas prin-
cipalmente en el proceso de acceso al portal web de la información. La información requerida se
puede resumir en el siguiente recuadro, gracias a la guía preestableciada
Relacion o De-
Sensibilidad o Impacto (CID) pendencia
11
Fisica de
Personas y
Equipos
Equipo de
computo Acceso a
de em- Plataformas,
pleado 1 - Física 2 2 1 5 informacion
Carne elec- Acceso a
tronico de Plataformas,
empleado 1 - Física 2 1 1 4 informacion
Planta de
Energia
"resplado
Bases de Da-
tos, Teleco-
municacio-
nes, Aplica-
de energia" 1 - Física 1 4 5 10 ciones
Sistema
contra in- Instalaciones
cendios 1 - Física 1 4 5 10 Fisicas
Instalaciones
Fisicas, Ba-
ses de Datos
Sistema de , Platafor-
clima- mas, Servi-
tizacion 1 - Física 1 4 5 10 dores
Instalaciones
CCTV 1 - Física 1 4 1 6 Fisicas
2 - Red / Telecomunica- Plataformas,
Enlace At&t ciones 5 5 5 15 Apliaciones
Enlace Veri- 2 - Red / Telecomunica- Plataformas,
zon ciones 5 5 5 15 Apliaciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
2 - Red / Telecomunica- tos, Aplicai-
Switches ciones 5 5 5 15 ones,
12
Servidores,
Telecomuni-
caciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
tos, Aplicai-
ones, Servi-
dores, Tele-
2 - Red / Telecomunica- comunica-
Routers ciones 5 5 5 15 ciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
tos, Aplicai-
ones, Servi-
dores, Tele-
2 - Red / Telecomunica- comunica-
Firewall ciones 5 5 5 15 ciones
2 - Red / Telecomunica-
Acces Point ciones Personas
Informacion,
Servidor Plataformas,
principal Hardware 5 5 5 15 Aplicaciones
Informacion,
Servidor Plataformas,
secundario Hardware 5 5 5 15 Aplicaciones
Informacion,
Plataformas,
SAN 4 - Base de datos 5 5 5 15 Aplicaciones
Informacion,
BD Transac- Plataformas,
cional 4 - Base de datos 5 5 5 15 Aplicaciones
Cintas de Informacion,
Respaldo 4 - Base de datos 5 5 5 15 Apliaciones
Informacion,
Servidores Plataformas,
Principal 5 - Aplicaciones 5 4 4 13 Aplicaciones
Informacion,
Servidor Plataformas,
secundario Aplicaciones
13
Sistema de
Gestion de Personas, In-
Alumnos 5 - Aplicaciones 5 5 5 15 tangibles
Sistema de Personas, In-
Cobros 5 - Aplicaciones 3 4 4 11 tangibles
Sistema de
Gestion de Personas, In-
RRHH 5 - Aplicaciones 5 5 2 12 tangibles
Sistema de Personas, In-
Matricula 5 - Aplicaciones 5 5 5 15 tangibles
Personas, In-
Portal web 5 - Aplicaciones 5 5 5 15 tangibles
Hoja de
Vida / Ex- 6 - Información / Docu-
pediente mentos 5 5 1 11 Informacion
Ficha de
Matricula 6 - Información / Docu-
Alumno mentos 5 5 2 12 Informacion
Operadores
del Centro Infraestruc-
de Datos 7 - Personas 5 4 5 14 tura
Administra- Infraestruc-
tivos 7 - Personas 4 1 1 6 tura
Infraestruc-
Maestros 7 - Personas 4 4 2 10 tura
Administra-
dores de Infraestruc-
Tecnologia 7 - Personas 5 5 5 15 tura
Soporte Infraestruc-
Tecnico 7 - Personas 3 2 5 10 tura
Infraestruc-
Pro- tura, Per-
gramadores 7 - Personas 1 3 3 7 sonas
Marca Em- Objetivos In-
presa 8 - Intangibles 5 5 5 15 stitucionales
En este punto, es importante identificar que activos son relacionados con el proceso de acceso a la
pagina web, ya que por ende forman parte del proceso critico que estamos evaluando.
Entre los hallazgos relacionados a la evaluación, se encontro que las facilidades criticas son:
14
• Los Activos de Telecomuniaciones
• Los Activos de Plataformas
• Personas Relacionadas con el funcionamiento tecnológico.
En vista que obtuvieron la calificación máxima (15) en cuanto a impacto se requiere. Esto significa
que la operatividad de la universidad se ve amenazada si unos de estos activos se ven afectado por
eventos de riesgo, pudiendo llevar a perdidas económicas, legales y/o reputacionales que afectan
los objetivos de la organización.
4 - BASE DE DATOS
3 - PLATAFORMAS
5 - APLICACIONES
8 - INTANGIBLES
PROBABILIDAD
7 - PERSONAS
MOTIVACIÓN
EXPOSICIÓN
CAPACIDAD
SEVERIDAD
1 - FÍSICA
MENTOS
CIONES
VALOR
VALOR
VUL-
NER-
ABI- AME-
LIDAD NAZA EVENTO
PER-
SO-
NAS
SUS- EX-
CEP- TER-
TIBLE NAS A
✓ ✓
A IN- LA OR-
GE- GANI-
NIE- ZA-
RÍA CIÓN
SO- HA- PHISH-
CIAL 2 1 2 CKERS ING 3 3 5 1
15
El uso de la matriz es de gran ayuda, en vista que contempla situaciones de riesgos que pueden
pasarse por alto en el análisis para una persona inexperta.
Se puede detectar, la infraestructura tecnológica debe ser robusta , algo que resulta lógico en vista
del contexto de la organización. Por ende , tomaremos como critico y no aceptable todos los eventos
que provoquen las amenazas y que no esten contempladas en la matriz de riesgo o cuya valoración
sea elevada .
Para efectos de ilustrar la prosa del documento, tomaremos el evento de un ataque de denegación
de servicio (DDOS) a la dirección de la pagina web de la universidad (“www.universidadano-
nima.edu).
Un ataque DDOS es cuando se envían varias solicitudes al recurso web (portal de la universidad) con
la intencionalidad de desbordar la capacidad del mismo y evitar que este funcione adecuadamente.
Aplicando el instructivo de la norma , la evaluación para este único evento de riesgo es el siguiente:
Constante
Moderado 3.6
Ataque Ocasional
Denega- Posible
cion de Improba-
Servicio ble
Insignifi- Catastro-
cante Menor Critico Mayor fico
El fichero en Excel nos facilita la tarea de realizar este grafico para cada uno de los eventos que se
pueden presentar para cada tipo de activos. En el caso de la ilustración, y tomando en consideración
16
capacidad y motivación para brindar los valores, nos arroja que el producto de la probabilidad y el
impacto no son tolerables ni compatibles con los objetivos de la organización , por lo que debemos
aplicar mediads para mitigar compartir transferir o evitar el riesgo
17
PASO 4- TRATAMIENTO DEL RIESGO
El tratamiendo del Riesgo son todas las medidas que nos permitan mitigar, compartir o eliminar el
riesgo identificado de acuerdo al apetito al riesgo de la organización.
En el análisis a los riesgos que según los procesos de identificacio, análisis y evaluación , se deter-
mino que los activos de seguridad de la información que tienen varios factores de riesgos no tole-
rables y sus medidas de tratamiento, para ejemplificar algunos en la tabla siguiente:
• Es importante alimentar una base de datos de los posibles escenarios y amenazas por
tipo de activo, ya que el dejar por fuera un evento permite una posibilidad de no estar
preparado.
• Las Certificaciones son una medida en la que podemos asegurarnos de la calidad de nues-
tros procesos y activos y de esta forma tener una evaluación y mejora continua.
• Es importante tener una matriz de riesgos con los procesos críticos indicando horas y
responsables. Se identifico que el personal de la universidad anónima de Honduras no
sabe a quien recurrir en caso de concretarse ciertos eventos que ponen en peligro la
operatividad.
• Se recomienda contratar una empresa para protección contra ataques DDOS, como re-
ferencia tomar Cloudfare
Los demás miembros del equipo 83 de mi maestria se han retirado de la misma , por lo cual el
presente trabajo fue desarrollado únicamente por mi persona , motivo por el cual el trabajo fue
soliciado en prorroga en vista que debo cumplir en solitario las asignaturas grupales de las demás
asignaturas.