Máster Universitario

Dirección y Gestión de Tecnologías de la Información

30-1-2022
Gestión
Tecnológica
Actividad:

Empleo de Metodologías de Análisis

de Riesgos

Ing. Ruth Jenniffer Rivera Toala

ESTUDIANTE

Dr. Sergio Martinez Monterrubio

EDOCENTE
 Contenido
1. INTRODUCCIÓN DE LA ORGANIZACIÓN 2
2. OBJETIVOS 2
1.1. GENERAL 2
1.2. ESPECÍFICOS 2
3. ACTIVOS ORGANIZACIONALES 3
4. COBERTURA DE CONTROLES 3
5. DISCUSIÓN DE LAS AMENAZAS 3
6. DISCUSIÓN DE LOS RESULTADOS DEL ANÁLISIS DE RIESGOS 4
7. ANÁLISIS DE LAS 3 PRIMERAS MEDIDAS DEL PLAN DE TRATAMIENTO 4
8. PLANIFICACIÓN DE LAS ACCIONES DE MEJORA 5
9. CONCLUSIONES 6
10. RECOMENDACIONES 6

niversidad Internacional de La Rioja (UNIR)

Actividades 2
 1. INTRODUCCIÓN DE LA ORGANIZACIÓN
“FORMATECH”, es una organización que del área de la enseñanza que brinda servicios de cursos
presenciales y cursos online, mediante el uso de las herramientas y recursos tecnológicos. Esta
organización oferta una serie de cursos de temática tecnológica, certificada bajo estándar PCI DSS,
posee una política de seguridad de la información, procesos de seguridad, gestión de
vulnerabilidades y se basa en la norma ISO 27001. La información de la organización se ha
estimado como uno de los activos más valiosos e importantes, indistintamente a la actividad que
ejerce, por lo que se requieren ser protegidos ante cualquier evento de amenaza que ponga en
peligro la confidencialidad, integridad y la disponibilidad de los activos de información. La
información que genera la organización es mediante los recursos tecnológicos, ya que nos permite
procesar, intercambiar y almacenar información, en la cual se encuentran sometidos a cualquier
tipo de riesgos tales como: riesgos físicos, entre ellos, accesos no autorizados a la información,
sabotajes, catástrofes naturales. En cuanto a los riesgos lógicos, malware, virus informáticos,
denegación de servicios, ya que afectarían al cumplimiento de los objetivos estratégicos de la
organización. Su infraestructura tecnológica incluye: bases de datos, equipos de red y borde
(routers y firewalls), 4 servidores virtualizados (Windows y Linux), equipos especializados en
encriptación, todos ubicados en un Data Center de un proveedor con certificaciones
internacionales. Cada oficina cuenta con: laptop, computadores de escritorio e impresoras para
cada empleado, lectores biométricos en cada sucursal. Los medios de comunicación aprobados
incluyen servidor de correo electrónico y telefonía IP. Con un total de personal de 129 empleados
(incluida la Junta Directiva).
2. OBJETIVOS
1.1. GENERAL
Realizar un análisis utilizando MARISMA, para poder gestionar, concretar y minimizar los riesgos
de seguridad de la información mediante el análisis previo a la implementación de la norma ISO
27001 combinando las herramientas de seguridad, logrando así el fortalecimiento de un sistema
de gestión de control eficiente para el área de Tecnología de información.
1.2. ESPECÍFICOS
 Determinar los controles a utilizar en seguridad de la información, mediante Marisma; aplicar
niversidad Internacional de La Rioja (UNIR)
controles y metodologías de análisis de riesgos y amenazas detectadas.
 Proponer políticas y objetivos para la seguridad de la información, exponiendo los
fundamentos de la gestión de riesgo en Formatech.
 Identificar los activos más críticos de los diferentes procesos de la empresa que permitir la
visualización de análisis de eventos de vulnerabilidad que pudieran presentarse dentro de la

Actividades 3
 infraestructura de la empresa.
3. ACTIVOS ORGANIZACIONALES
A continuación, se describen los activos de nivel alto y medio, relacionados con la seguridad
informática de la Organización Formatech.
1. Servidor de Correos 8. Equipos de la red inalámbrica (router,
2. Servidor de Telefonía punto de acceso y más)
3. Instalaciones (Edificios) 9. Computadoras
4. Servicio de almacenamiento en la nube 10. Portátiles
5. Servicio de Internet 11. Plataforma virtual
6. Técnicos de TI. 12. Licencias de Software (antivirus)
7. Equipos de la red cableada (router, switch 13. Equipos de control de acceso
y más) 14. Sistemas de alimentación ininterrumpida
15. Sistema de Información
4. COBERTURA DE CONTROLES

En el momento de establecer los controles en Marisma, primero identifique los mecanismos a utilizar
ya que el manejo de los procesos de control de riesgos permite proteger los activos de las posibles
amenazas. Una vez identificado las variables para el análisis, se aprecia que los controles están ligados
a la comprensión del análisis en tiempo real; es por ellos que se logra determinar los controles, que
ayudarán a mejorar los riesgos de seguridad, seguridad de las aplicaciones, seguridad de redes para
mejorar la incidencia de riesgos aplicando normas ISO 27001, 27032, 25001, para mejorar y evaluar la
gestión de calidad ISO/IEC 2500n, 2501n, 2502n, 2503n, 2504n. Para así proteger los activos de la
niversidad Internacional de La Rioja (UNIR)
vulnerabilidades y amenazas produciendo un impacto significativo en la mitigación, prevención,
detección y control de los mismos.
5. DISCUSIÓN DE LAS AMENAZAS
La matriz permite relacionar las amenazas que afectan directamente a los activos. Lo que ocasiona un
incidente en la organización produciendo daños materiales o pérdidas inmateriales. De acuerdo a la

Actividades 4
 matriz de los niveles de riesgos, se puede visualizar los activos que se encuentran comprometidos con
varias amenazas y vulnerabilidades de riesgo alto, ya que estos activos brindan servicios a la
organización tanto internos como externos. Para lo cual se realizará un tratamiento minucioso para
cada amenaza que cuenta dicho activo. En cuanto a las amenazas inherentes que pueda ocurrir dentro
de la organización son los siguientes:
 Fugas de información a causa que exista un ataque informático a la infraestructura.
 Que el servicio deje de funcionar adecuadamente a causa de que los servicios por terceros
fallen, por ejemplo: que se quede sin energía eléctrica y no se encuentre en óptimas
condiciones el generador de energía de la organización.
 Que las comunicaciones de los sistemas de información fallen a causa del proveedor del
servicio de internet no cuenten con un plan de contingencia.
6. DISCUSIÓN DE LOS RESULTADOS DEL ANÁLISIS DE RIESGOS
El análisis de riesgos, permitió clasificar los controles de vulnerabilidades y así obtener un resultado
oportuno de la seguridad de la información y los activos, para así efectuar un mantenimiento dinámico
de riesgo ya que al recalcular el análisis se pueda mostrar en tiempo real las novedades del mismo,
controlarlas, parametrizarlas y poder mitigar el impacto y probabilidad del riego con la mejora de
métricas. Cabe recalcar que dentro del análisis se consideró las variables:
 Mantenimiento dinámico.  Seguridad y Auditoria.
 Control de los riesgos de vulnerabilidades  Patrones para análisis enfocado a reducir
o amenazadas. los costes de generación y
 Distribución de los activos. mantenimiento de procesos de análisis
del riesgo
7. ANÁLISIS DE LAS 3 PRIMERAS MEDIDAS DEL PLAN DE TRATAMIENTO
R. R.
Residual Residual R. R.
Orden

Código Bloque Bloque Residual Residual

Grupo Control Nombre Control Cobertura Inicial Final Inicial Final VR
Auditoria Notificación de los
Simplificada Portal eventos de seguridad
1 Formatech [A.16.1.2] de la información. 0.0 20.8667 19.5333 20.8667 20.8667 4.0
Auditoria
Simplificada Portal Comprobación del
2 Formatech [A.18.2.3] cumplimiento técnico. 0.0 20.8667 18.2 20.8667 19.5333 4.0
Auditoria Regulación de los
Simplificada
niversidad Internacional Portal
de La Rioja (UNIR) controles
3 Formatech [A.18.1.5] criptográficos. 0.0 19.5333 16.8667 19.5333 19.2246 4.0
Retener el riesgo: Se aplica para los riesgos bajos, además considerando el alcance y los límites del
análisis estos riesgos se mantienen sin tratamiento.
Evitar el riesgo: Para evitar los riesgos que se consideran altos, se debería aplicar nuevos métodos,
procesos y aplicar varios controles de seguridad que nos permita evitar varios riesgos.

Actividades 5
 Transferir el riesgo: Implica que otras personas o instituciones asuman un papel principal, por
ejemplo: asegurar los bienes con una empresa externa.
Aceptar el riesgo: Cuando las acciones necesarias para eliminar un riesgo, tienen un costo muy
elevado, conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto.
 Notificación de los eventos de seguridad de la información. - Los eventos se deben informar a
través de los canales de gestión apropiados, tan pronto sea posible; estableciendo las
responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y
ordenada de la seguridad de la información.
 Comprobación del cumplimiento técnico. - Los sistemas de información se deberían revisar
periódicamente para determinar el cumplimiento de políticas y normas de seguridad de la información. Los
directivos deberían revisar con regularidad el cumplimiento del procesamiento y procedimientos de
información dentro de su área de responsabilidad, políticas, normas y requisitos de seguridad apropiada.
 Regulación de los controles criptográficos. - Lograr implementar una política sobre el uso de
controles que asegure el uso apropiado, eficaz, confidencialidad, autenticidad, integridad y
protección de la información.
8. PLANIFICACIÓN DE LAS ACCIONES DE MEJORA

El archivo adjunto “eMarismaPT-Auditoria_Simplificada_Portal_Formatech-20220214”; se explica el

plan y resultado a los controles con riesgos.
La organización tiene la oportunidad de medir la efectividad del plan, documentar los resultados y
registrarlos.
niversidad Internacional Pero
de La Rioja también
(UNIR) es el momento oportuno para realizar una evaluación integral de la
organización y su capacidad para asumir riesgos y aprovechar oportunidades. Una comprensión
detallada de los objetivos de la organización con respecto al riesgo y la oportunidad, como por
ejemplo el nivel de apetito de riesgo, es necesaria para valorar de forma correcta la efectividad de los

Actividades 6
 procesos que se han implementado para abordar riesgos y oportunidades en el sistema de calidad. Y
también resulta fundamental para seguir avanzando en nuevas evaluaciones de riesgo.
9. CONCLUSIONES
El flujo de comunicación sobre la gestión de riesgos de seguridad de la información se realizará
mediante documentos o comunicaciones escritas formales entre las partes involucradas definidas en
el ítem de la estructura de la organización. Los empleados del jerárquico superior son los encargados
de realizar la gestión pertinente para solventar los incidentes de seguridad de la información de
manera eficaz y eficiente, con el objetivo de salvaguarda la confidencialidad, integridad y
disponibilidad de la institución.
La comunicación se realizará mediante esta secuencia: Director/a de Infraestructura Operaciones y
Seguridad de Tecnologías de la Información. Departamentos de Negocios y Especialistas (2), Dirección
General.
Realizar una auditoría interna en la empresa favorece ampliamente la detección de vulnerabilidades y
falencias que pueden ser tratadas a tiempo. Permite estar preparados frente a las auditorías
externas. Las acciones frente a las vulnerabilidades y riesgos encontrados permiten garantizar que la
información sea segura y que los procesos no se detengan. Realizar auditorías permite obtener
certificaciones que posicionen a la empresa en el mercado financiero. El plan de acción de mejoras,
contribuye de manera muy importante para identificar y resaltar los puntos que hay que cubrir y
considerar para llevar a cabo una implementación exitosa del proyecto de Plan de Auditoria Interna,
que generará un impacto positivo en la reputación de la organización, permitiendo apropiar la
estrategia organizacional, con las diferentes asignaciones de actividades y tareas establecidas para el
proyecto, basadas en su experiencia y cargos otorgados, teniendo en claro objetivos, metas y
expectativas. Mediante la evaluación previa de los riesgos detectados, se logró identificar los riesgos
que se consideraban más vulnerables para el proyecto. El proceso de valorar los costos permitió
determinar los costos estimados de actividades individuales para establecer una línea base de costo
ya autorizados. La gestión del cronograma se estableció incluyendo a las actividades responsables por
áreas y fechas con días de ejecución, además se incluyó 5 días extras para imprevistos, con la
finalidad de entregar el informe de la auditoria en la fecha establecida.
10. RECOMENDACIONES
niversidad Internacional de La Rioja (UNIR)
Para que la auditoría sea exitosa y se cumpla con las actividades en los tiempos indicados es
necesario realizar el cronograma, con responsabilidades asignadas, permitiendo tener claro las
prioridades que tiene cada uno.

Actividades 7