Universidad Internacional de La Rioja

Máster en Seguridad Informática

Asignatura de Análisis de Riesgos In-

formáticos
Actividad 2 “Gestion del riesgo en
una organizacion”

Nombre y apellidos: Ubaldo Jossue Arrazola Giron

Lugar y Fecha: Tegucigalpa Honduras,

4 de diciembre de 2021
Contenido
RESUMEN BREVE DEL DOCUMENTO _____________________________________________________ 3
PASO 1 INTRODUCCION A LA ARQUITECTURA EMPRESARIAL UNIVERSIDAD ANONIMA DE HONDURAS
__________________________________________________________________________________ 3
Razon de ser de la Empresa _________________________________________________________ 3

Visión ___________________________________________________________________________ 4

Misión __________________________________________________________________________ 4

Organigrama _____________________________________________________________________ 4

PASO 1 ACTIVOS EN SEGURIDAD DE LA INFORMACION Y RELACIONES ENTRE ACTIVOS ____________ 5

a. Computadora de Usuario Final: _______________________________________________________ 6

b. Instalaciones físicas: ________________________________________________________________ 6

c. Credencial electrónica de empleado: _____________________________________________________ 6

d. Planta de electricidad "respaldo de energía": ____________________________________________ 7

a. Portal web: _________________________________________________________________ 9

6. Información y documentos ____________________________________________________ 10

7. Personas ___________________________________________________________________ 10

PASO 2 ANALISIS DE IMPACTO EN NEGOCIO Y PONDERACION DE RELACIONES ENTRE ACTIVOS E

IMPACTO O VALOR HEREDADO _______________________________________________________ 11
PASO 3 EVALUACION DEL RIESGO EN UNA ORGANIZACIÓN E IDENTIFICACION Y ANALISIS DEL RIESGO
_________________________________________________________________________________ 15
PASO 4 VALORACION DEL RIESGO _____________________________________________________ 16
PASO 4- Tratamiento del Riesgo _______________________________________________________ 18
CONCLUSIONES Y RECOMENDACIONES _________________________________________________ 19
CONTROL DE ACTIVIDAD GRUPAL _____________________________________________________ 19
RESUMEN BREVE DEL DOCUMENTO

El presente documento tiene la finalidad de practicar lo aprendido en la clase de Analisis de ries-

gos al aplicar buenas practicas basados en las normas ISO 31000 y 27005 con un caso practico de
estudio, aplicando las partes del proceso de evaluación del riesgo hasta su tratamiento. Para este
caso de estudio, se estará desarrollando sobre la Universidad Anonima de Honduras, cuya sede
principal la cual es objeto del análisis se encuentra ubicada en la Capital de la Republica de Hondu-
ras, en la ciudad capital deTegucigalpa. Nos enfocaremos en el proceso de “Ingreso al aula virtual”.

INTRODUCCION

PASO 1 INTRODUCCION A LA ARQUITECTURA EMPRESARIAL UNIVERSIDAD ANONIMA DE HON-

DURAS

Quienes somos

La Universidad Anonima de Honduras es una universidad, donde la formación espiritual es

tan importante como lo académico. Nos comprometemos permanentemente con la satis-
facción de las partes interesadas y en especial con el estudiante, nuestro principal cliente.
Cumpliremos con los requisitos establecidos en el sistema de gestión, la mejora continua y
la sostenibilidad de los servicios.

Razon de ser de la Empresa

Se tiene un compromiso social con el país, el estado y la región, para lograr la transformación
de la sociedad y el desarrollo del país, de manera integral formando personas que tengan la
capacidad de análisis y desarrollo de nuevas metodologías, para solucionar las problemáticas
a las que se enfrenten.

3
Visión

En el año 2022 seremos una universidad donde lo espiritual es tan importante como lo aca-
démico, con un sistema certificado y acreditado de educación superior, para el desarrollo
intelectual, ético y moral de profesionales que contribuyan a la construcción de una nueva
sociedad.

Misión

Garantizar la presencia del catolicismo en la educación superior de Honduras y asegurar una

formación integral en función de las distintas dimensiones del ser humano: lo social, lo moral,
lo espiritual, lo científico, lo técnico y lo religioso.

Organigrama

4
 Fig1

En la estructura Organiacional, las deciciones se llevan a cabo mediante reuniones de la alta geren-
cia, las cuales tienen una periodicidad mensual o en su defecto a demanda de uno de sus miembros.
La alta Getencia es conformada por:

• Rectoria General
• Secretario General
• Secretario Academico
• Abogado General
• Secretaria Academica
• Secretaria de Gestion y Desarrollo
• Unidad de Prevencion y Seguridad Universitaria
• Unidad de Transparencia

PASO 1 ACTIVOS EN SEGURIDAD DE LA INFORMACION Y RELACIONES ENTRE ACTIVOS

Se ha identificado los activos que participan o tienen cierta incidencia en la seguridad de la informa-
ción y que pueden tener incidencia en la obtención de los objetivos organizacionales, asi como la
misión y visión.

Para esto, hemos identificado los siguientes activos utilizando la clasificación de activos segun do-
cumento utilizado

Usando el Excel disponible para desarrollar los activos tenemos 8 capas basados la clasificacion de
la norma ISO.

1. Física: es todo aquel bien físico que nos permite realizar el trabajo manual o que
permite a otras capas realizar sus actividades sin inconvenientes entre las que

5
destacamos. Para efectos del resumen técnico, consideramos las principales den-
tro de la categoría a los siguientes:

a. Computadora de Usuario Final: donde el empleado labora y es un bien

elmental requerido para realizar sus actividades. El precipitado equipo esn
su mayoría es Marca DELL, modelo 7050. Carece de garantía, y corren en
versiones de Windows 10 Professional, con licenciamiento por volumen.
En caso de incidentes estos son atendidos por el departamento de soporte
técnico de la universidad.
b. Instalaciones físicas: son las estructuras físicas con las que cuenta la insti-
tución y que están disponibles para usarse dentro de los objetivos institu-
cionales. Dichas instalaciones están resguardadas por seguridad propia de
la institución.
Dentro de las características de la infraestructura tecnológica , el centro
de computo se encuentra ubicado en el segundo piso del edificio.
El Centro de Datos consta de los siguientes componentes:
• Sala de Operadores
• Cuarto de Servidores
• Cuarto de Telecomunicaciones
• Cuarto de Maquinas
o Sistema de Climatizacion de Precision
o Banco de UPS
En cada piso, se encuentra un cuarto de infraestructura donde están ubi-
cados el gabinete de telecomunicaciones, cerrado con llave. En el interior
están ubicados otros tipos de activos como switches,

c. Credencial electrónica de empleado: identificación física del empleado

que le da ingreso a niveles de la universidad, así como también le impide
mediante nivel de acceso el ingreso a áreas no autorizadas.

6
 d. Planta de electricidad "respaldo de energía": aquella máquina que pro-
vee de energía eléctrica a toda la instalación también puede, si así está
habilitada funcionar como respaldo de emergencia ante alguna contin-
gencia.

e. Sistema contra incendios: el sistema que automáticamente al detectar

humo o al ser activado con algún mecanismo sirve para alertar a los usua-
rios de algún posible percance y emite alarmas para que los usuarios se
retiren de sus puestos de trabajo y acudan a un punto de reunión.

f. Sistema de Enfriamiento de Equipos: los sistemas de refrigeración para

que los dispositivos de otras capas como plataformas y base de datos, no
superen una temperatura determinada, y funcionen adecuadamente.

g. CCTV: Instalación que permite la vigilancia remota y grabación de las ins-

talaciones clave, para evitar accesos no autorizados o en su caso tener
registro visual de algún evento mediante las grabaciones.

2. Red y telecomunicaciones.

a. Enlace At&t: Una conexión a internet contratada a un proveedor ex-

terno para que la institución tenga acceso permanente a internet.

b. Enlace Verizon: otra conexión a internet contratada a un proveedor

externo para que la institución tenga acceso permanente a internet.
En este caso se tiene dos por si alguna falla y se tiene conexión redun-
dante.
c. Switches: Dispositivo de interconexión de red utilizado para interco-
municar los equipos dentro de la red de la organización.

7
 En esta actividad requerimos de 3 distribuidos en 3 capas, la Core, dis-
tribución y de acceso los cuales tienen funciones PoE, y extienden la
red físicamente dentro de cada sede o campus.
La topología que utilizan es una mixta entre cascada para los switches
troncales, y estrella.

d. Routers: Dispositivo de red que conecta diretenes redes.

e. Access Point: la herramienta que permite que los dispositivos con co-
nexión inalámbrica se conecten a la red que ofrece la institución.

f. Firewall: Dispositivo de red que controla el acceso entre la internet y

la red interna o DMZ de la institución.

3. Plataformas o Servidores

a. Servidor principal: el equipo de cómputo especializado donde se eje-

cutan las aplicaciones y procesos de las aplicaciones y servicios que
utilizan los usuarios.

b. Servidor secundario: Equipos de computo de contingencia que funcio-

nan como respaldo en caso de que el equipo principal falle.

4. Base de datos

a. Base de Datos Oracle: Es el conjunto de solución para almacena-

miento y proceso de bases de datos, bajo la tecnología ORACLE. Esto
incluye servidores y licenciamiento.

b. Copias De Seguridad en cintas: Se usan para hacer respaldos periódi-

cos de la información, pudiendo retroceder a cierto tiempo y espacio
en caso de fallas.

8
 c. SAN: Es una Red de Area de aLmacenamiento que consiste en un
grupo de disco duros organizados en arreglos RAID 5 y que almacena
las bases de datos e información. El tipo de arreglo garantiza la dispo-
nibilidad, integridad y disponibilidad de la información.

5. Aplicaciones

a. Portal web: Es la dirección de internet `www.unianonima.edu”. Es el

punto principal desde donde la organización brinda sus servicios a los
clientes, ya que la misma es el punto inicial de los procesos de acceso
a los demás subsistemas alojados en la misma. Esta representa un ele-
mento altamente critico para los objetivos institucionales.

b. Sistema de gestión de Alumnos: Se utiliza por parte del cliente

(alumno) para gestionar la carga académica de cada uno , el acceso a
las grabaciones de las clases o presentarse a clases en vivo depende
de la modalidad de estudio. Adicionalmente, puede ver su historial
académico, de pago, adicionar/quitar clases, levantar tickets de servi-
cio y comunicarse con soporte desde el portal.

c. Sistema de Matrícula: Es el portal mediante el cual el cliente (los alum-

nos) realizan las operaciones relacionadas con el registro de las clases
a cursar.

La Universidad Anonima de Honduras a su ves, cuenta con otros acti-

vos de Software como ser:

a. Sistema de Cobros: Es usada para la cobranza de la escuela entre los

servicios que se prestan son las multas por parte de libros en biblio-
teca o exámenes de recuperación, entre otros

9
 b. Sistema de gestión de RRHH: con este sistema la universidad tiene en
su haber todos los empleados de la institución y su área respectiva, así
como otros datos como su hoja de vida.

6. Información y documentos

a. Hoja de Vida / Expediente: Es el expediente que se genera una vez el

alumno causa alta en la universidad para llevar una descripción deta-
llada de su historial académico
b. Ficha de Matricula Alumno: Contiene información personal del
alumno o cliente.

7. Personas

a. Operadores del Centro de Datos: son los empleados que se encargan

del monitoreo preventivo y correctivo de la infraestructura física del
centro de datos

b. Administrativos: personal que realiza tareas de oficina y/o gerencia-

les.

c. Maestros: Empleados encargados de desarrollar las asignaturas den-

tro de la retícula de cada plan de estudios

d. Administradores de tecnología: Aquellos que realizan la implementa-

ción y adecuamiento a las redes y la infraestructura de Tecnologías de
la información.

10
 e. Soporte técnico: Personal que tiene el conocimiento para dar mante-
nimiento preventivo correctivo, y asesoramiento al personal acadé-
mico y estudiantil mediante mesa de ayuda.

f. Programadores: aquel personal que realiza adecuaciones dentro de la

plataforma web de la institución.

8. Intangibles.

o Marca de la Empresa: la cual se ha forjado a lo largo de los años, se ha

hecho de prestigio y de autoridad dentro de la región.

PASO 2 ANALISIS DE IMPACTO EN NEGOCIO Y PONDERACION DE RELACIONES ENTRE ACTIVOS E

IMPACTO O VALOR HEREDADO

Tomando como referencia los activos identificados, podemos adicionar el analiis de impacto al ne-
gocio asignando un valor numerico del 1 al 5 siendo cinco (5)

Cuando hablamos de Impacto al negocio en esta actividad, valore que tanto afecta la interrupción
o inexistencia de uno de los activos o procesos para el funcionamiento de los objetivos y mas prin-
cipalmente en el proceso de acceso al portal web de la información. La información requerida se
puede resumir en el siguiente recuadro, gracias a la guía preestableciada

Relacion o De-
Sensibilidad o Impacto (CID) pendencia

Confidenciali- In- Disponi- To-

Activo Capa dad tegridad bilidad tal
Documentos
Personales
de personal
Escritorio 1 - Física 1 1 1 3 o Alumnos
Instala- Equipo de
ciones Computo ,
Fisicas 1 - Física 1 1 3 5 Seguridad

11
 Fisica de
Personas y

Equipos
Equipo de
computo Acceso a
de em- Plataformas,
pleado 1 - Física 2 2 1 5 informacion
Carne elec- Acceso a
tronico de Plataformas,
empleado 1 - Física 2 1 1 4 informacion
Planta de
Energia
"resplado
Bases de Da-
tos, Teleco-
municacio-
nes, Aplica-
de energia" 1 - Física 1 4 5 10 ciones
Sistema
contra in- Instalaciones
cendios 1 - Física 1 4 5 10 Fisicas
Instalaciones
Fisicas, Ba-
ses de Datos
Sistema de , Platafor-
clima- mas, Servi-
tizacion 1 - Física 1 4 5 10 dores
Instalaciones
CCTV 1 - Física 1 4 1 6 Fisicas
2 - Red / Telecomunica- Plataformas,
Enlace At&t ciones 5 5 5 15 Apliaciones
Enlace Veri- 2 - Red / Telecomunica- Plataformas,
zon ciones 5 5 5 15 Apliaciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
2 - Red / Telecomunica- tos, Aplicai-
Switches ciones 5 5 5 15 ones,

12
 Servidores,
Telecomuni-
caciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
tos, Aplicai-
ones, Servi-
dores, Tele-
2 - Red / Telecomunica- comunica-
Routers ciones 5 5 5 15 ciones
Seguridad Fi-
sica, Plata-
formas, Ba-
ses de Da-
tos, Aplicai-
ones, Servi-
dores, Tele-
2 - Red / Telecomunica- comunica-
Firewall ciones 5 5 5 15 ciones
2 - Red / Telecomunica-
Acces Point ciones Personas
Informacion,
Servidor Plataformas,
principal Hardware 5 5 5 15 Aplicaciones
Informacion,
Servidor Plataformas,
secundario Hardware 5 5 5 15 Aplicaciones
Informacion,
Plataformas,
SAN 4 - Base de datos 5 5 5 15 Aplicaciones
Informacion,
BD Transac- Plataformas,
cional 4 - Base de datos 5 5 5 15 Aplicaciones
Cintas de Informacion,
Respaldo 4 - Base de datos 5 5 5 15 Apliaciones
Informacion,
Servidores Plataformas,
Principal 5 - Aplicaciones 5 4 4 13 Aplicaciones
Informacion,
Servidor Plataformas,
secundario Aplicaciones

13
 Sistema de
Gestion de Personas, In-
Alumnos 5 - Aplicaciones 5 5 5 15 tangibles
Sistema de Personas, In-
Cobros 5 - Aplicaciones 3 4 4 11 tangibles
Sistema de
Gestion de Personas, In-
RRHH 5 - Aplicaciones 5 5 2 12 tangibles
Sistema de Personas, In-
Matricula 5 - Aplicaciones 5 5 5 15 tangibles
Personas, In-
Portal web 5 - Aplicaciones 5 5 5 15 tangibles
Hoja de
Vida / Ex- 6 - Información / Docu-
pediente mentos 5 5 1 11 Informacion
Ficha de
Matricula 6 - Información / Docu-
Alumno mentos 5 5 2 12 Informacion
Operadores
del Centro Infraestruc-
de Datos 7 - Personas 5 4 5 14 tura
Administra- Infraestruc-
tivos 7 - Personas 4 1 1 6 tura
Infraestruc-
Maestros 7 - Personas 4 4 2 10 tura
Administra-
dores de Infraestruc-
Tecnologia 7 - Personas 5 5 5 15 tura
Soporte Infraestruc-
Tecnico 7 - Personas 3 2 5 10 tura
Infraestruc-
Pro- tura, Per-
gramadores 7 - Personas 1 3 3 7 sonas
Marca Em- Objetivos In-
presa 8 - Intangibles 5 5 5 15 stitucionales

En este punto, es importante identificar que activos son relacionados con el proceso de acceso a la
pagina web, ya que por ende forman parte del proceso critico que estamos evaluando.

Entre los hallazgos relacionados a la evaluación, se encontro que las facilidades criticas son:

• Los activos de Infraestructura tecnológica que dan soporte a las plataformas

• Los Activos de Bases de Datos

14
 • Los Activos de Telecomuniaciones
• Los Activos de Plataformas
• Personas Relacionadas con el funcionamiento tecnológico.

En vista que obtuvieron la calificación máxima (15) en cuanto a impacto se requiere. Esto significa
que la operatividad de la universidad se ve amenazada si unos de estos activos se ven afectado por
eventos de riesgo, pudiendo llevar a perdidas económicas, legales y/o reputacionales que afectan
los objetivos de la organización.

PASO 3 EVALUACION DEL RIESGO EN UNA ORGANIZACIÓN E IDENTIFICACION Y ANALISIS DEL

RIESGO

La evaluación, identificación y análisis del riesgo la hacemos mediante el método de escenarios.

Basados en Documento de Excel, donde ya tenemos pre creados los activos y objetivos de la orga-
nización, se utilizo una matriz que pondremos como ejemplo:
6 - INFORMACIÓN / DOCU-
2 - RED / TELECOMUNICA-

4 - BASE DE DATOS
3 - PLATAFORMAS

5 - APLICACIONES

8 - INTANGIBLES

PROBABILIDAD
7 - PERSONAS

MOTIVACIÓN
EXPOSICIÓN

CAPACIDAD
SEVERIDAD
1 - FÍSICA

MENTOS
CIONES

VALOR

VALOR
VUL-
NER-
ABI- AME-
LIDAD NAZA EVENTO
PER-
SO-
NAS
SUS- EX-
CEP- TER-
TIBLE NAS A
✓ ✓
A IN- LA OR-
GE- GANI-
NIE- ZA-
RÍA CIÓN
SO- HA- PHISH-
CIAL 2 1 2 CKERS ING 3 3 5 1

15
El uso de la matriz es de gran ayuda, en vista que contempla situaciones de riesgos que pueden
pasarse por alto en el análisis para una persona inexperta.

Se puede detectar, la infraestructura tecnológica debe ser robusta , algo que resulta lógico en vista
del contexto de la organización. Por ende , tomaremos como critico y no aceptable todos los eventos
que provoquen las amenazas y que no esten contempladas en la matriz de riesgo o cuya valoración
sea elevada .

PASO 4 VALORACION DEL RIESGO

Para efectos de ilustrar la prosa del documento, tomaremos el evento de un ataque de denegación
de servicio (DDOS) a la dirección de la pagina web de la universidad (“www.universidadano-
nima.edu).

Un ataque DDOS es cuando se envían varias solicitudes al recurso web (portal de la universidad) con
la intencionalidad de desbordar la capacidad del mismo y evitar que este funcione adecuadamente.

Aplicando el instructivo de la norma , la evaluación para este único evento de riesgo es el siguiente:

Constante
Moderado 3.6
Ataque Ocasional
Denega- Posible
cion de Improba-
Servicio ble
Insignifi- Catastro-
cante Menor Critico Mayor fico

El fichero en Excel nos facilita la tarea de realizar este grafico para cada uno de los eventos que se
pueden presentar para cada tipo de activos. En el caso de la ilustración, y tomando en consideración

16
capacidad y motivación para brindar los valores, nos arroja que el producto de la probabilidad y el
impacto no son tolerables ni compatibles con los objetivos de la organización , por lo que debemos
aplicar mediads para mitigar compartir transferir o evitar el riesgo

17
PASO 4- TRATAMIENTO DEL RIESGO

El tratamiendo del Riesgo son todas las medidas que nos permitan mitigar, compartir o eliminar el
riesgo identificado de acuerdo al apetito al riesgo de la organización.

En el análisis a los riesgos que según los procesos de identificacio, análisis y evaluación , se deter-
mino que los activos de seguridad de la información que tienen varios factores de riesgos no tole-
rables y sus medidas de tratamiento, para ejemplificar algunos en la tabla siguiente:

Proceso Evento de Riesgo Alto Mitigacion

Pagina Web Inaccesible Sabotaje de Servidores 1-Implementar medidas de se-

guridad perimetral y de doble
factor biometrico para acceso
a la sala de servidores y teleco-
municaciones.

2-Contar con un respaldo en si-

tio externo

Perdida de Energia Electrica Utilizacion de Bancos de UPS

en redundancia.

Caida del enlace de Teleco- Utilizar Redundancia y configu-

municaciones ración de equipo para cambio
automatico

Perdida del dominio por falta Elaborar un contrato donde se

de pago estipulen clausulas donde no
se puede perder el dominio sin
aviso de las partes.

Ataque DDOS Docuentacion de reglas del Fi-

rewall para realizar escenarios
de prueba, y de esta forma
aplicar la mejora continua.
CONCLUSIONES Y RECOMENDACIONES

• Es importante alimentar una base de datos de los posibles escenarios y amenazas por
tipo de activo, ya que el dejar por fuera un evento permite una posibilidad de no estar
preparado.
• Las Certificaciones son una medida en la que podemos asegurarnos de la calidad de nues-
tros procesos y activos y de esta forma tener una evaluación y mejora continua.
• Es importante tener una matriz de riesgos con los procesos críticos indicando horas y
responsables. Se identifico que el personal de la universidad anónima de Honduras no
sabe a quien recurrir en caso de concretarse ciertos eventos que ponen en peligro la
operatividad.
• Se recomienda contratar una empresa para protección contra ataques DDOS, como re-
ferencia tomar Cloudfare

CONTROL DE ACTIVIDAD GRUPAL

Los demás miembros del equipo 83 de mi maestria se han retirado de la misma , por lo cual el
presente trabajo fue desarrollado únicamente por mi persona , motivo por el cual el trabajo fue
soliciado en prorroga en vista que debo cumplir en solitario las asignaturas grupales de las demás
asignaturas.