Análisis De Riesgos Informáticos

Estudiantes

Harold Niray Vargas Arévalo

Walther Alexander Martínez Ramírez

Docente

Luis Francisco López Urrea

Facultad de Ingenierías y Ciencias Básicas.

Fundación Universitaria del Área Andina

 Eje 2 - 03 de octubre de 2022

O BJETIVO

Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos en la organización XYZ

que se dedica a la administración de conjuntos residenciales a partir de los resultados de una auditoría
del sistema de información que se acaba de entregar.

INTRODUCCIÓN

Luis F. López (2021) nos propone el implementar un sistema de gestión de la Seguridad de la

información en el cual debemos ejecutar un análisis, evaluación y la gestión de riesgos no es tan
simple además debemos una tener en cuenta unos requisitos para lograr propósito principal lleno de
requerimientos que cumplan con un conjunto de estándares mirando que organización lo pueda
ejecutar.

También es necesario recordar que una amenaza puede ocasionar que una organización se pueda ir
cuesta abajo además los responsables del sistema de gestión quedan comprometidos en la pérdida del
patrimonio de la organización para ello debemos anticipar acontecimientos que nos permitan dar
solución ante un riesgo ya latente teniendo mecanismos de protección con ello podemos reducir el
riesgo hasta llegar anular el riesgo.

“Antes de abordar el diseño de un modelo de análisis y evaluación del riesgo que se ajuste a las
condiciones particulares de nuestra organización, es prudente recordar que como resultado final del
proceso se debe generar una guía o instrumento que pueda ser compartido con todos los responsables
del sistema, bien sea desde el área operativa o administrativa; en este orden de ideas, se propone que
la guía final contenga la estructura que se propone a continuación”.
DESCRIPCIÓN DE LA TAREA :

El desarrollo del presente taller busca que ustedes pongan en práctica las competencias
desarrolladas en el módulo respecto al análisis, evaluación y gestión de riesgos informáticos
en el contexto de una pequeña empresa que se dedica a la administración de conjuntos
residenciales. Así, los resultados del informe de auditoría que se adjuntan ponen en evidencia
unos resultados poco favorables para la empresa, situación que exige implementar cuanto antes
medidas correctivas de las situaciones enumeradas en el informe.

REQUISITOS PARA LA TAREA

1. Desarrolle la lectura completa del referente y realice las actividades de aprendizaje

que se proponen.
2. Descargue y lea el informe de auditoría que se adjunta.
3. Consulte en el sitio web del NIST los informes de amenazas y vulnerabilidades más actualizados
para identificar cuáles se pueden ajustar a los requerimientos del sistema.
4. Haga una revisión general de los referentes enunciados en la bibliografía para determinar la
pertinencia de alguno de ellos en el desarrollo de la actividad que se propone.
5. Lea en detalle la rúbrica de evaluación.
6. Organice un grupo de trabajo de máximo 3 personas para que gestionen el desarrollo del
presente taller.

Para la clasificación de la Gestión, Análisis y Evaluación de Riesgos, utilizamos el método de

clasificación propuesto en el NIST 800-30. Esta metodología abarca al detalle los diferentes procesos
debido a que realiza una categorización para poder clasificar la información según el nivel de riesgo y
estándares para asegurar la información apropiada a su nivel. (Excellence, s.f.) (asana, s.f.)

TABLA DE GESTIÓN DE RIESGO

Activos Fuente Probabilidad Impacto de la Tipo o Zona Niveles de

de de Ocurrencia amenaza categoría de Criterio del
Amenaza sobre la del riesgo Riesgo
seguridad y riesgo
privacidad

Informa Usuarios Posible Considerable Moderado Importa Se debe realizar

ción de retirados nte protocolos de
inicio de retiro para el
sesión personal, cambios
de permisos,
encriptación de
credenciales y
políticas de
 cambio de
contraseñas e
intentos fallidos

Acceso Empleado Probable Grave Alto Importa Se debe

remoto s Intrusos nte implementar el
a uso de VPN con
servidor el fin de limitar los
es accesos de los
usuarios de
acuerdo con su
rol. Uso de
proveedores de
acceso remoto
que brinden
mayor confianza
para la compañía

Carpeta Empleado Posible Grave Alto Importa Se debe realizar

sy s Intrusos nte protocolos de
registro acceso a las
s carpetas
contable compartidas de
s acuerdo con su
rol.

Respald Trabajado Rara Vez Leve Menor Modera Se debe

os de la res de la do automatizar los
informa organizac respaldos con un
ción de ión servicio en la
la nube y hacerla
aplicaci mediante un
ón sistema de
versiones de su
respaldo

TABLA DE ANÁLISIS DEL RIESGO

  Factores de Riesgo  
Human Infraestructur Impact
Activos o Plataforma a o Categoría Descripción
Informació
n de inicio Almacenamient Datos o Información en
de sesión o Obsoleto Alto registros base de datos
Fallas de Fallas en la
seguridad en implementació
conexiones n de VPN para
Acceso remotas a Redes de conexiones
remoto a servidores y comunicacione remotas
servidores red Alto s críticas
Todas las No existen
Carpetas y carpetas se Redes de políticas para
registros encuentran comunicacione compartir la
contables compartidas Crítico s información
 No se realiza
una correcta
Respaldos gestión de las
de la No se cumple copias de No se cuenta
informació con la política seguridad con tareas de
n de la de habeas data históricas de la Equipos de Backup
aplicación   vigente herramienta Bajo respaldo automáticas

TABLA DE EVALUACIÓN DE RIESGOS

  Estado de seguridad de la información Identificación del riesgo
Confidenci Disponibilida Proces Vulnerabi Consecu
Activos alidad integridad d o Amenaza lidad encia
Autenticac
Informa Falta de ión de
ción de Fugas Usuarios políticas usuarios
inicio de no para el no
de Nivel Crítico Nivel Medio Nivel Bajo 0 a informa autorizado control de autorizado
sesión 5 2.5 a 3.9 2.4 ción s acceso s
Ataques
de
ransomwa
re,
amenazas
desconoci
das que
pueden
poner en
riesgo la
Acceso seguridad Pérdida
Acceso no y total o
remoto autoriza disponibili parcial de
a do a los dad de la la
servidor Nivel Alto 4 Nivel Medio Nivel Alto 4 a servidor informació informació
es a 4.9 2.5 a 3.9 4.9 es Intrusos n n
Robo de
informació
n, fraude
en
Robo y transaccio
Carpeta Acceso divulgació nes y
sy a n entrega
registro informa Usuarios privilegiad de
s ción no no a o clave informació
contabl Nivel Crítico Nivel Medio autoriza autorizado para la na
es 5 2.5 a 3.9 Nivel Crítico 5 da s entidad terceros
Mala
Respal gestión
dos de del
la proceso Fallas en
informa de el proceso
ción de copias Administra de Backup Pérdida
la de dores de por de las
aplicaci Nivel Bajo 0 Nivel Bajo 0 a Nivel Medio segurid infraestruct errores copias de
ón a 2.4 2.4 2.5 a 3.9 ad ura humanos seguridad.
CONCLUSIONES

Hemos evidenciado que las compañías como en el caso del sistema SISCO, presenta muchas
vulnerabilidades de diferentes tipos, donde pone en riesgo la información de los propietarios como la
parte financiera de XYZ.

En algunas compañías de Colombia se debe empezar a fortalecer la seguridad de la información,

debido a que al momento de realizar una auditoria de este tipo, se pueden presentar fallas de control
que pueden afectar su información confidencial y ser vulnerables a ataques cibernéticos como un
ransomware.

Validando con la información del problema entregado y comparando con los protocolos de la compañía
donde laboro, se pueden realizar cambios estructurales y de protocolos con el fin de proteger la
información.

Bibliografía
asana. (s.f.). asana.com. Obtenido de https://asana.com/es/resources/project-risk-
management-process
Excellence, I. (s.f.). https://www.pmg-ssi.com/. Obtenido de
https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-30-para-el-analisis-de-
riesgos-en-sgsi/