Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Equipo 3
Sección: 1501
28 de Julio 2022
Integrantes
2
Índice
Objetivos 5
Planteamiento del Problema 6
Justificación 7
Marco Conceptual 8
Seguridad informática 8
Análisis de Riesgos 8
Amenazas 8
Medidas de seguridad o salvaguardas 9
Riesgos 9
SGSI 9
Metodología MAGERIT 9
ISO/IEC 31010 10
ISM3 11
Marco Teórico 12
Información General sobre la Institución 12
Resumen Institucional 13
Organigrama de la Institución 16
Diagrama de Distribución 17
1. Planificación 19
1.1 Planeación de la seguridad informática en la organización 19
1.2 Alcance del análisis y evaluación de riesgos del sistema informático 20
1.3 Objetivos del análisis 20
2. Análisis de Riesgos 21
2.1 Descripción de los activos o recursos informáticos de la organización 21
Descripción de activos 21
Características de los activos 22
2.2 Valoración y confidencialidad de los activos o recursos 23
Clasificación de confidencialidad 23
2.2.1 Valoración y confidencialidad de activos 25
2.3 Identificación de amenazas y probabilidades 26
2.3.1 Tabla de estimación de probabilidad 26
2.3.2 Listado de amenazas 26
2.4 Amenazas clasificadas por su tipo y su nivel de probabilidad 30
2.4.1 Niveles de Clasificación de Probabilidad de las Amenazas 30
3
2.4.2 Tabla de Estimación de Probabilidad 30
2.5 Matriz de Impacto Potencial 34
2.5.1 Niveles de Clasificación del Impacto de las Amenazas 34
2.5.2 Tabla de Impacto Potencial 34
2.6 Riesgo Potencial 37
2.6.1 Matriz de Riesgo Potencial 37
2.6.2 Valoración de las Amenazas en base a Probabilidad e Impacto 38
2.7 Número de amenazas por zona de riesgo y tipo de activo 40
2.7.1 Número de amenazas por zona de riesgo y tipo de activo 40
2.9 Salvaguardas o controles existentes 42
2.9.1 Tabla de estimación de nivel de efectividad del control 42
2.9.2 Tabla de nivel de efectividad del salvaguarda existente 43
3. Gestión de Riesgos 48
3.1 Impacto Residual 48
3.2 Tabla de Impacto Residual y Riesgo Residual 54
3.3 Comunicación del riesgo y recomendaciones 60
3.3.1 Tratamiento del riesgo 60
3.4 Costos en Seguridad Informática 65
3.5 Conclusiones y Recomendaciones 69
3.5.1 Conclusiones 69
3.5.2 Recomendaciones 70
Bibliografía 71
4
Objetivos
Objetivo General
Integrado Lenca”, identificando dentro de sus actividades cotidianas, aquellas que requieren
la utilización de sistemas o elementos informáticos de forma directa o indirecta, así como los
riesgos a los que están expuestos, con el fin de mejorar la seguridad y la integridad de los
Información (MAGERIT).
Objetivos Específicos
● Identificar el equipo y otros activos informáticos con los que cuenta la institución
actualmente.
● Identificar las amenazas a las que la institución se expone mediante sus actividades con
elementos informáticos.
● Describir las consecuencias que las amenazas pueden representar para la información que se
maneja.
● Brindar opciones de mejora o soluciones ante las amenazas que se detectaron, así como
detallar las prácticas que pueden impulsar a la institución a tener un mejor entorno de
seguridad informática.
● Realizar cada etapa de este proyecto implementando las directrices establecidas por la
metodología MAGERIT.
5
Planteamiento del Problema
Los sistemas informáticos son una realidad con la cual las personas interactuamos de forma
cotidiana. Las instituciones obtienen beneficios notables en el desarrollo de sus actividades con
este tipo de tecnologías no estaban tan presentes en nuestras sociedades como lo son hoy en día.
Debido a esto, la seguridad informática no era un tema del cual habría que preocuparse. Sin
embargo, así como la adopción de la tecnología ha crecido de forma rápida, las distintas
Cuando se presenta un incidente que afecta a los sistemas o elementos informáticos, pueden
desarrollarse eventos que, dependiendo de la naturaleza del suceso, podrían generar pérdidas
interrupción indefinida de los servicios informáticos, daños físicos a los equipos, entre muchas
World Vision/Programa Integrado Lenca, al ser una empresa que maneja grandes cantidades
cotidianas, debe contar con un entorno informático seguro, donde cualquier amenaza o riesgo sea
Existe una gran cantidad de prácticas o metodologías que tienen como objetivo mitigar o
condiciones puede servir de mucho a la institución a corto y largo plazo ante las amenazas
Cada día, nuevas vulnerabilidades son descubiertas en los sistemas informáticos o software en
general que se utiliza para el desarrollo de actividades cotidianas. De la misma manera, personas
cuyo objetivo es infiltrarse en las organizaciones para robar información sensible, idean y
desarrollan nuevas y sofisticadas técnicas para lograr su cometido. La lucha contra este tipo de
agentes debe ser algo a tomar muy en cuenta en cualquier organización. Es aquí donde resalta la
importancia de desarrollar un entorno seguro para todas las actividades empresariales que
aspecto fundamental. De no suceder lo anterior, muchas actividades que requieren de los datos
pueden verse seriamente afectadas, generando consecuencias aún más grandes que puedan
agrega valor extra a lo que se ofrece al público o las personas relacionadas con las actividades,
así como a los procesos internos de la misma. Esto genera a su vez, una mejor imagen a los
7
Marco Conceptual
Seguridad informática
Análisis de Riesgos
Un análisis de riesgo es la apreciación detallada de todo lo que pueda implicar peligro para la
empresa. Es decir de cualquier detalle que pueda causar un inconveniente sea financiero o
realiza un análisis de riesgo para conocer sus causas y consecuencias. Es organizar toda la
para la empresa.
Amenazas
Una amenaza se puede definir entonces como un evento que puede afectar los activos de
información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.
Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de
eléctrico.
8
Medidas de seguridad o salvaguardas
Una medida de seguridad o salvaguarda es cualquier medio empleado para eliminar o reducir un
Riesgos
Los riesgos son la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del
depende del análisis previo de vulnerabilidades del sistema, de las amenazas y del posible
SGSI
tiene como objetivo evaluar todos los riesgos asociados con los datos e información que se
Las empresas que obtienen el certificado ISO 27001 se diferencian por su tratamiento seguro
y preciso de todos los datos que manejan y garantizan que se utiliza un sistema de seguridad de
de la información.
Metodología MAGERIT
En este sentido fue desarrollado MAGERIT una metodología de análisis y gestión de riesgos
9
método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y
comunicaciones para de esta forma implementar las medidas de control más adecuadas que
permitan tener los riesgos mitigados. Además de esto, cuenta con todo un documento que reúne
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la
violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la
compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener
ISO/IEC 31010
ISO / IEC 31010 es una norma relativa a la gestión de riesgos codificada por la Organización
31010 es compatible con la norma ISO 31000. Proporciona información sobre la selección y
Es parte de los elementos centrales de la gestión de riesgos definidos en ISO 31000, que son:
● Comunicación y consulta.
● Establecer el contexto.
riesgos).
● Tratamiento de riesgo.
● Seguimiento y examen.
10
ISM3
ISM3 es un modelo de madurez para seguridad con cinco niveles que facilita la mejora y
alineación entre las necesidades del negocio y los de la gestión de la seguridad dirigido a
Características
● Enlazar la seguridad con los objetivos del negocio. Hay un profundo conocimiento de las
Graylog, Wazuh, PfSense, Cortex, entre otros), las cuales en Gudix Security Consulting
base para posteriormente aspirar a una certificación ISO2700 o alinearnos con COBIT
11
Marco Teórico
Nombre de la Institución:
Visión Mundial / Programa Integrado Lenca - Oficina Regional de Occidente.
Bob Pierce
Dirección:
Hotel Huella Lenca, desvío hacia Gracias Lempira, Aldea El Pericón, Yamaranguila, Intibucá.
Contacto:
gesler_seren@wvi.org
+504 98678952
Rubro de la Institución:
Proyectos de la Institución:
● Transformación Comunitaria
12
Misión de la Institución:
World Vision Honduras es una confraternidad internacional de cristianos cuya misión es seguir
a nuestro Señor y Salvador Jesucristo trabajando con los pobres y oprimidos para promover la
transformación humana, buscar la justicia y dar testimonio de la buena noticia del Reino de Dios.
Historia:
Por casi 46 años, World Vision Honduras ha estado comprometido con la protección y el
cuidado de los niños, niñas y a aquellos que más lo necesiten. Desde su llegada en 1974 como
respuesta humanitaria a los desastres provocados por el huracán Fifi hasta la crisis por
COVID-19 que en la actualidad afecta a nivel global, World Vision Honduras ha ido donde otros
no lo harían. Incluso en los lugares donde es más difícil ser un niño, Dios está allí; y nosotros
Resumen Institucional
World Vision es una organización no gubernamental que trabaja por el desarrollo de las
Tegucigalpa, de la cual se derivan 4 oficinas regionales en distintas ubicaciones del país. En cada
región también existen oficinas más pequeñas distribuidas por los distintos municipios de la
zona.
El Programa Integrado Lenca, es el encargado del acompañamiento a las oficinas más pequeñas.
Los distintos sistemas con los que cuenta la institución, se manejan a través de Servidores
Lumpur.
13
Cuando una persona ingresa a trabajar en la institución, se permite el acceso a OneLogin, este
permite acceder a las distintas aplicaciones, que se usan para liquidaciones, gastos, información
de los niños, correo electrónico, además permite ver al usuario su perfil profesional detallado
dentro de la institución. Cada empleado cuenta con una computadora portátil y un smartphone
Sistemas Institucionales
● Sistema Contable
14
Principales Sistemas/Software
Gerente: Tiene acceso a todos los sistemas, pero únicamente para visualizar reportes en el
sistema Horizon. En WorkDay, el puede solicitar plazas, aprobar ascensos, permisos, solicitudes
T.I: Tiene acceso a una plataforma para administración de los problemas de soporte, puede
visualizar los empleados nuevos, las solicitudes de correo. También maneja los dispositivos de
Tienen acceso a todo lo correspondiente a actividad monetaria, además aquí se manejan los
15
Organigrama de la Institución
16
Diagrama de Distribución
17
Es importante mencionar que no todos los activos se encuentran dentro del establecimiento,
puesto que, World Vision mantiene una parte del personal en trabajo de campo constantemente,
por lo que dichas personas portan dispositivos como Computadoras portátiles y teléfonos
inteligentes para realizar el envío de datos de manera remota.
18
1. Planificación
garantizan niveles de seguridad y mitigación de riesgos en los bienes. De tal manera que se busca
determinar cuáles son las necesidades de protección en el hardware, software, equipo humano y
equipo técnico que hacen posible el funcionamiento de la organización World Vision en las
Una vez realizada la identificación de activos prioritarios, se evalúan las posibles amenazas,
riesgos y vulnerabilidades existentes para poder planificar, analizar los escenarios y estimaciones
de riesgos respecto al estado actual de la seguridad para poder contar con un plan de acción de
incidencias de los activos ordenados por su prioridad teniendo en cuenta el nivel de uso, coste
entre otros.
Para finalizar, se busca la seguridad o protección adecuada para cada posible situación de
autorizados al sistema o servidores y demás se reducen porque habrá una acción de prevención y
19
1.2 Alcance del análisis y evaluación de riesgos del sistema informático
informáticos que son responsables del funcionamiento de la organización World Vision en las
oficinas del Programa Integrado Lenca, ubicado en Yamaranguila, municipio del departamento
a los que están expuestos, con el fin de mejorar la seguridad e integridad de los datos con los que
cuenta la institución.
Lenca
20
2. Análisis de Riesgos
Descripción de activos
Activo Descripción
21
Características de los activos
2x HP Modelo no especificado.
Computadoras
(Windows 10) 2x HP ProBook 450 G6 Core i5 8th CPU
8GB.
22
1x Cisco Meraki MR52 ubicado en el salón de
capacitaciones.
1x Ubiquiti Wifi AP ubicado en la oficina de
proyectos.
Clasificación de confidencialidad
23
La pérdida o modificación no autorizada de
No sensitiva (1) este activo podría causar un daño leve o nulo
para la organización.
24
2.2.1 Valoración y confidencialidad de activos
Impresoras
5 Importancia menor para la institución 2 1 1 2
multifuncionales
Gabinete de Red
10 Esencial para el desempeño de la institución 2 2 3 3
Troncal
Gabinete de Red
10 Esencial para el desempeño de la institución 2 2 3 3
Administrativo
Puntos de Acceso
Inalámbricos 10 Esencial para el desempeño de la institución 2 1 1 2
Smartphones
10 Esencial para el desempeño de la institución 3 2 3 3
Personales
Conexiones de
Energía y red 10 Esencial para el desempeño de la institución 2 2 3 3
local Ethernet
25
2.3 Identificación de amenazas y probabilidades
Una amenaza es un evento que puede afectar los activos de información y están relacionadas con
el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques
informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware,
Valor Descripción
La amenaza podría ocurrir una o dos veces a lo largo del tiempo de actividad de la
2
Institución
Razón de
Código Amenaza Descripción P
clasificación
Han ocurrido
Daños que son generados por la incorrecta
algunos casos de
instalación o manipulación del hardware de los
Daños por fuego en zonas de
A1 activos produciendo chispas o cortocircuitos que 1
incendio bosque aledañas,
generen fuego. También considerable por
pero no en zonas
incendios aledaños en el área de la organización.
cercanas.
En las oficinas es
Daños por
común presentar
suministros Daños producidos por las fluctuaciones de tensión
A2 5 bajas de tensión
de energía eléctrica del suministro de energía pública.
eléctrica durante
inestable
horas pico.
26
las ser una zona de
habitaciones alta pluviosidad el
techo o las paredes
se desgasten.
Han ocurrido
tormentas
Daños por eléctricas y lluvias
Daños graves producidos por tormentas eléctricas,
A4 desastres 2 fuertes que han
granizadas e inundaciones.
naturales producido fallas y
falta de servicios
en la organización.
No se han
producido este tipo
Daños producidos por acceso no autorizado a las
Robo de de incidentes, pero
A5 instalaciones de la organización o hurto por parte 1
Activos existe la
de los propios trabajadores de la organización.
posibilidad de que
se produzcan.
No se han
Daños producidos por el acceso de personal no producido este tipo
Acceso no autorizado a instalaciones restringidas de la de incidentes, pero
A6 1
autorizado organización o acceso no autorizado a los sistemas existe la
informáticos de la organización. posibilidad de que
se produzcan.
Ciberataques(
Virus, Ha ocurrido una
troyanos, ocasión en donde
gusanos, Daños producidos por cualquier tipo de la seguridad
A7 spyware, ciberataque a la organización que ponga en peligro 3 financiera de los
phishing, la integridad de los sistemas. empleados se vio
rootkit, vulnerada por un
keyloggers, ataque de phishing.
MTM)
No se han
Daños producidos por la interrupción de producido este tipo
Ataques de
cualquiera de los servicios informáticos de la de incidentes, pero
A8 denegación 1
organización producidos por un atacante interno o existe la
de servicio
externo intencionalmente. posibilidad de que
se produzcan.
En algunos casos
Daños producidos por la mala manipulación o se suelen reportar
Daños de
A9 circunstancias no controlables que produzcan una 2 problemas en los
hardware
mala función en un equipo de la organización. equipos de uso
general en la
27
oficina como
impresoras y los
personales como
computadoras.
Las computadoras
personales de los
Daños producidos por la mala manipulación o
empleados algunas
Daños de circunstancias no controlables que produzcan una
A10 2 veces han tenido
software mala función en un elemento de software de la
problemas con los
organización.
programas
utilizados.
Los dispositivos
suelen estar
configurados de
Daños producidos por la incorrecta configuración
manera correcta
del software o equipos con que cuenta la
Problemas de porque son
A11 organización que producen cortes inmediatos o 1
configuración configurados por
futuros en el desarrollo de las actividades de la
el encargado en el
organización.
área de TI, pero
podría suceder en
el futuro.
No se han
producido este tipo
Activos Daños producidos por productos defectuosos de incidentes, pero
A12 1
defectuosos entregados por los proveedores. existe la
posibilidad de que
se produzcan.
No suele haber
información
confidencial oculta
Documentaci Daños producidos por posible exposición de
que los empleados
A13 ón impresa no información confidencial dejada en las bandejas de 1
de la organización
reclamada impresión de las impresoras multifuncionales.
no puedan ver,
pero puede ocurrir
en el futuro.
No suele haber
información
Daños por confidencial oculta
Daños producidos por la exposición de los
inseguridad que los empleados
A14 archivos no protegidos en los servidores de colas 1
de red de de la organización
de impresión.
impresoras no puedan ver,
pero puede ocurrir
en el futuro.
28
No se han
producido este tipo
Daños producidos por el acceso no autorizado vía
Puertos de de incidentes, pero
A15 los puertos de red de los routers de la 1
red abiertos existe la
organización.
posibilidad de que
se produzcan.
Se han producido
Daños que se producen por el funcionamiento
Problemas o caídas en los
A16 deficiente de los routers, switches o proveedores 2
fallos de red servicios de acceso
del servicio de red local y para acceso a internet.
a internet.
No se han
Daños producidos por el uso indebido de los producido este tipo
Sobrecargas
recursos de red utilizándolos para fines incorrectos de incidentes, pero
A17 en el activo 1
o no autorizados produciendo cortes e existe la
de red
interferencias en el servicio. posibilidad de que
se produzcan.
Tener el No se han
gabinete de producido este tipo
red sin Daños producidos por el retraso en el de incidentes
identificación mantenimiento o reparación de los servicios de red porque los cables
A18 1
para el producido por la insuficiente identificación de los ya están rotulados,
mantenimient componentes internos de un gabinete de red. pero existe la
o por fallas posibilidad de que
en un cable se produzcan.
No se han
Daños producidos por la utilización de malware producido este tipo
Intercepción malintencionado para interceptar datos que se de incidentes, pero
A19 1
de datos transfieren entre los dispositivos de la existe la
organización. posibilidad de que
se produzcan.
Las computadoras
tienen limitadas las
Instalar
Daños a los equipos consecuencia de la instalación aplicaciones que
aplicaciones
A20 de aplicaciones de terceros no autorizadas en las 1 pueden instalarse,
de terceros no
computadoras de los empleados. sin embargo existe
autorizadas
la posibilidad que
se produzcan.
29
2.4 Amenazas clasificadas por su tipo y su nivel de probabilidad
Las amenazas se clasificaron por un código que los identifica dependiendo de los activos que se
encuentran en la Institución. Las amenazas se realizaron de manera descrita y con sus posibles
soluciones de riesgo, también está definido un nivel de probabilidad que esta amenaza ocurra
ciertas cantidades de veces en un tiempo determinado. En el nivel de probabilidad 1 significa que
es poco probable y 5 que la probabilidad amenace muy frecuentemente.
Nivel Descripción
La amenaza podría ocurrir una o dos veces a lo largo del tiempo de actividad de la
2
Institución
Implementar detectores de
A1 Daños por incendio incendios automáticos y 1
extintores que no usan agua
30
Acceso restringido al personal
A5 Robo de activos 1
no autorizado.
Utilizar métodos de
autenticación para ingresar a
las instalaciones restringidas de
A6 Acceso no autorizado 1
la organización o acceso no
autorizado a los sistemas
informáticos
Ciberataques(Virus,
troyanos, gusanos, Implementar un software
A7 spyware, phishing, antivirus y capacitar al personal 3
rootkit, keyloggers, sobre seguridad informática
MTM)
31
sean encriptados
32
de servicio prevención de intrusiones.
Ciberataques(Virus,
troyanos, gusanos, Implementar un software
A7 spyware, phishing, antivirus y capacitar al personal 2
rootkit, keyloggers, sobre seguridad informática
MTM)
Ciberataques(Virus,
troyanos, gusanos, Implementar un software
Conexiones de A7 spyware, phishing, antivirus y capacitar al personal 1
Energía y red rootkit, keyloggers, sobre seguridad informática
MTM)
local Ethernet
Los datos deben estar
A19 Intercepción de datos 1
encriptados
33
2.5 Matriz de Impacto Potencial
Para realizar esta clasificación, se utilizará una escala de 3 niveles que describen de manera
general la magnitud de cada amenaza en caso de que suceda, siendo 1 el nivel con menor
impacto y el nivel 3 representa efectos graves para las actividades productivas de la institución.
Nivel Descripción
Amenazas
Activo Impacto
Cod. Descripción
34
A12 Activos defectuosos 2
Ciberataques(Virus, troyanos, gusanos, spyware,
A7 5
phishing, rootkit, keyloggers, MTM)
A6 Acceso no autorizado 3
Ciberataques(Virus, troyanos, gusanos, spyware,
A7 4
Puntos de phishing, rootkit, keyloggers, MTM)
Acceso
A8 Ataques de denegación de servicio 3
Inalámbricos
A11 Problemas de configuración 2
A19 Intercepción de datos 3
35
A7 Ciberataques 2
36
2.6 Riesgo Potencial
Una vez establecidos los criterios de impacto y probabilidad para cada amenaza identificada,
Impacto
Probabilidad Valor 1 2 3 4 5
Muy Alta 5 5 10 15 20 25
Alta 4 4 8 12 16 20
Media 3 3 6 9 12 15
Baja 2 2 5 6 8 10
Muy Baja 1 1 2 3 4 5
Mínimo 1-3
Considerable 4-8
Importante 9-12
Grave 15-25
37
2.6.2 Valoración de las Amenazas en base a Probabilidad e Impacto
Amenazas
Activo I N.P R.P Indicador
Cod. Descripción
38
para el mantenimiento por fallas en un cable
A7 Ciberataques 2 1 2 Mínima
39
2.7 Número de amenazas por zona de riesgo y tipo de activo
En esta tabla se han seccionando por los riesgos y activos, primero se muestran todos los
riesgos mínimos seccionado por los activos y cada uno de los activos con sus riesgos, a posteriori
colocar la cantidad de riesgos que hay en cada activo, y así en cada uno de los 4 riesgos.
Daños de hardware
Problemas de configuración
Impresoras multifuncionales 4
Daños por inseguridad de red de impresoras de
impresoras
Ciberataques
Daños de hardware
Teléfonos IP 4
Daños de software
Problemas de configuración
Riesgos considerables
Daños por incendio
Robo de activos
40
Acceso no autorizado
Activos defectuosos
Daños de software
Gabinete de Red
Sobrecargas en el activo de red 1
Administrativo
Acceso no autorizado
Intercepción de datos
Daños de hardware
Riesgos importantes
Gabinete de Red
Problemas o fallos de red 1
Administrativo
Riesgos graves
41
Todos los activos de la empresa Daños por suministros de energía inestable 1
Ciberataques(Virus, troyanos, gusanos,
Computadoras 1
spyware, phishing, rootkit, keyloggers, MTM)
Una vez especificados los riesgos potenciales de los activos, se prosigue en definir las
salvaguardas o controles existentes en la Institución para poder proteger o prevenir amenazas en
los activos, comenzando por especificar el tipo de activo, seguido de su posible amenaza, luego
se mencionan los salvaguardas que pueden ser útiles para combatir o prevenir dicha amenaza,
por consiguiente se determina el tipo de control, se especifica si la Institución cuenta con unas de
las mitigaciones que se mencionan y su nivel de efectividad.
Valor Descripción
42
El salvaguardias es eficaz de manera parcial porque no se ha probado, pero podría
2
funcionar para combatir amenazas
La Institución Nivel de
Tipo de
Activos Amenazas Salvaguardas cuenta con el Efectividad del
Salvaguardas
Salvaguarda Salvaguardas
Implementar detectores
de incendios
Daños por Reducción del
automáticos y Sí 2
incendio impacto
extintores que no usan
agua
Daños por
suministros Utilizar controladores
Prevención No 1
de energía de voltaje
inestable
Daños por
Cubrir las goteras para
humedad en
evitar filtraciones de Prevención Sí 3
las
agua
habitaciones
Protección contra
Todos los
Daños por rayos, alojamiento de
activos de la Reducción del
desastres sistemas informáticos No 1
empresa daño
naturales en lugares altos para
evitar inundaciones
Utilizar métodos de
autenticación para
ingresar a las
Acceso no instalaciones
Prevención No 1
autorizado restringidas de la
organización o acceso
no autorizado a los
sistemas informáticos
43
revisarlos previamente
a su compra
Ciberataques
(Virus,
troyanos, Implementar un
gusanos, software antivirus y
spyware, capacitar al personal Prevención Sí 2
phishing, sobre seguridad
rootkit, informática
keyloggers,
MTM)
Mejorar la protección
Daños de Reducción del
del activo y su Sí 2
hardware daño
ubicación
Capacitar al personal
Daños de
para hacer un mejor Prevención Sí 2
software
uso del activo
Mejorar la protección
Daños de Reducción del
del activo y su Sí 2
hardware daño
ubicación
El personal autorizado
Impresoras retire la
multifuncional Documentaci documentación y la
Reducción del
es
ón impresa coloque en un lugar Sí 2
daño
no reclamada seguro dependiendo de
la confidencialidad de
la información
Daños por
Proteger la
inseguridad
información sensible Prevención Sí 2
de red de
en la cola del servidor
impresoras
44
Todos los datos
Puertos de
transmitidos sean Prevención Sí 2
red abiertos
encriptados
No utilizar la red en
asuntos que son
Sobrecargas
Gabinete de innecesarias y pesados Prevención Sí 2
en el activo
para evitar que el
Red Troncal
activo sufra una caída
No utilizar la red en
asuntos que son
Gabinete de Sobrecargas
innecesarias y pesados Prevención Sí 2
Red en el activo
para evitar que el
Administrativo activo sufra una caída
45
Acceso autorizado de puntos de accesos
Inalámbricos no autorizados, se debe
configurar WLC con
políticas de puntos de
acceso y utilizar un
software de monitoreo
Ciberataques
(Virus,
troyanos, Tener una vigilancia en
gusanos, el monitoreo de
spyware, actividades en la red y Prevención Sí 2
phishing, que los usuarios estén
rootkit, autenticados.
keyloggers,
MTM)
Capacitar al personal
Ciberataques sobre seguridad Prevención Sí 2
informática
Mejorar la protección
Daños de Reducción del
del activo y su Sí 2
hardware daño
ubicación
Teléfonos IP Capacitar al personal
Daños de
para hacer un mejor Prevención Sí 2
software
uso del activo
Ciberataques Implementar un
Smartphones (Virus, software antivirus y
troyanos, capacitar al personal Prevención Sí 2
Personales
gusanos, sobre seguridad
spyware, informática
46
phishing,
rootkit,
keyloggers,
MTM)
Mejorar la protección
Daños de Reducción del
del activo y su Sí 2
hardware daño
ubicación
Capacitar al personal
Daños de Reducción del
para hacer un mejor Sí 2
software daño
uso del activo
Restringir a los
empleados descargas
de aplicaciones no
Instalar deseadas, no compartir
aplicaciones datos sensibles por
de terceros apps de terceros, Monitoreo Sí 2
no monitorear las apps,
autorizadas asegurarse que todos
los datos compartidos
que son confidenciales
sean encriptados
Ciberataques
(Virus,
troyanos, Implementar un
gusanos, software antivirus y
Reducción del
Conexiones de spyware, capacitar al personal Sí 2
daño
Energía y red phishing, sobre seguridad
rootkit, informática
local Ethernet
keyloggers,
MTM)
47
3. Gestión de Riesgos
3.1 Impacto Residual
En esta tabla, se toman los valores de las tablas anteriores, dentro de los cuales encontramos las
amenazas, sus salvaguardas, la eficacia y el impacto potencial que se asignó a las mismas.
Para calcular el valor del impacto residual, es necesario dividir el impacto potencial entre la
eficacia de la salvaguarda.
¿Imple
Eficac Impacto
Activos Amenazas Salvaguardas Tipo mentad Impacto
ia Residual
o?
Implementar
detectores de
Reducció
Daños por incendios
n del Sí 2 5 2.5
incendio automáticos y
impacto
extintores que no
usan agua
Daños por
Utilizar
suministros de Prevenci
controladores de No 1 5 5
energía ón
voltaje
inestable
Todos los
Cubrir las goteras
activos de la Daños por
para evitar Prevenci
empresa humedad en las Sí 3 2 0.67
filtraciones de ón
habitaciones
agua
Protección contra
rayos, alojamiento
Daños por Reducció
de sistemas
desastres n del No 1 3 3
informáticos en
naturales daño
lugares altos para
evitar inundaciones
48
autorizado.
Utilizar métodos
de autenticación
para ingresar a las
instalaciones
Acceso no restringidas de la Prevenci
No 1 2 2
autorizado organización o ón
acceso no
autorizado a los
sistemas
informáticos
Adquirir los
activos en
negocios
Activos Prevenci
confiables y Sí 3 2
defectuosos ón 0.67
revisarlos
previamente a su
compra
Ciberataques(V
irus, troyanos, Implementar un
gusanos, software antivirus
spyware, y capacitar al Prevenci
Sí 2 5 2.5
phishing, personal sobre ón
rootkit, seguridad
keyloggers, informática
MTM)
Usar sistemas de
Ataques de
detección y Prevenci
denegación de Sí 2 3 1.5
prevención de ón
servicio
intrusiones.
Computadora
Mejorar la
Reducció
Daños de protección del
n del Sí 2 2 1
hardware activo y su
daño
ubicación
Capacitar al
Daños de personal para hacer Prevenci
Sí 2 2 1
software un mejor uso del ón
activo
49
Mejorar la
Reducció
Daños de protección del
n del Sí 2 1 0.5
hardware activo y su
daño
ubicación
El personal
autorizado retire la
Impresoras documentación y
Documentación Reducció
multifuncion la coloque en un
impresa no n del Sí 2 1 0.5
lugar seguro
ales reclamada daño
dependiendo de la
confidencialidad
de la información
No utilizar la red
en asuntos que son
Gabinete de Sobrecargas en innecesarias y Prevenci
Sí 2 2 1
Red Troncal el activo pesados para evitar ón
que el activo sufra
una caída
50
cable hasta identificar en
dónde está el fallo
No utilizar la red
en asuntos que son
Gabinete de Sobrecargas en innecesarias y Prevenci
Red Sí 2 2 1
el activo pesados para evitar ón
Administrati que el activo sufra
vo una caída
Para evitar
instalación de
puntos de accesos
no autorizados, se
Acceso no debe configurar Monitore
No 1 3 3
autorizado WLC con políticas o
de puntos de
acceso y utilizar un
software de
Puntos de
monitoreo
Acceso
Inalámbricos Ciberataques(V
Tener una
irus, troyanos,
vigilancia en el
gusanos,
monitoreo de
spyware, Prevenci
actividades en la Sí 2 4 2
phishing, ón
red y que los
rootkit,
usuarios estén
keyloggers,
autenticados.
MTM)
51
Usar sistemas de
Ataques de
detección y Prevenci
denegación de Sí 2 3 1.5
prevención de ón
servicio
intrusiones.
Capacitar al
personal sobre Prevenci
Ciberataques Sí 2 2 1
seguridad ón
informática
Mejorar la
Reducció
Daños de protección del
n del Sí 2 1 2
hardware activo y su
daño
ubicación
Teléfonos IP
Capacitar al
Daños de personal para hacer Prevenci
Sí 2 1 2
software un mejor uso del ón
activo
Ciberataques(V
irus, troyanos, Implementar un
gusanos, software antivirus
spyware, y capacitar al Prevenci
Sí 2 5 2.5
phishing, personal sobre ón
rootkit, seguridad
keyloggers, informática
MTM)
Smartphones Mejorar la
Personales Reducció
Daños de protección del
n del Sí 2 2 1
hardware activo y su
daño
ubicación
Capacitar al
Reducció
Daños de personal para hacer
n del Sí 2 2 1
software un mejor uso del
daño
activo
52
Restringir a los
empleados
descargas de
aplicaciones no
deseadas, no
Instalar compartir datos
aplicaciones de sensibles por apps Monitore
Sí 2 1 0.5
terceros no de terceros, o
autorizadas monitorear las
apps, asegurarse
que todos los datos
compartidos que
son confidenciales
sean encriptados
Ciberataques(V
irus, troyanos, Implementar un
gusanos, software antivirus
Reducció
spyware, y capacitar al
Conexiones n del Sí 2 5 2.5
phishing, personal sobre
de Energía y daño
rootkit, seguridad
red local keyloggers, informática
Ethernet MTM)
Reducció
Intercepción de Los datos deben
n del Sí 2 2 1
datos estar encriptados
daño
53
3.2 Tabla de Impacto Residual y Riesgo Residual
En la siguiente tabla, se clasifica cada amenaza según el riesgo residual. Se toman como base los
valores de Impacto residual obtenidos en la sección anterior, así como la probabilidad de que
cada amenaza se materialice.
Para calcular el riesgo residual, se multiplica la probabilidad por el impacto residual, y dicho
valor se clasifica según los detalles de la sección 2.6.1.
Impact
Zona de
o Probabi Riesgo
Activos Amenazas Salvaguardas Tipo Riesgo
Residu lidad Residual
Residual
al
Implementar
detectores de
Reducci
Daños por incendios
ón del 2.5 1 2.5 Mínimo
incendio automáticos y
impacto
extintores que no
usan agua
Acceso
restringido al Prevenci
Robo de activos 0.67 1 0.67 Mínimo
personal no ón
autorizado.
54
autorizado de autenticación ón
para ingresar a
las instalaciones
restringidas de la
organización o
acceso no
autorizado a los
sistemas
informáticos
Adquirir los
activos en
negocios
Activos Prevenci
confiables y 0.67 1 0.67 Mínimo
defectuosos ón
revisarlos
previamente a su
compra
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y
gusanos, spyware, Prevenci
capacitar al 2.5 3 7.5 Considerable
phishing, rootkit, ón
personal sobre
keyloggers,
seguridad
MTM)
informática
Usar sistemas de
Ataques de
detección y Prevenci
denegación de 1.5 2 3 Mínimo
prevención de ón
servicio
intrusiones.
Computa
dora Mejorar la
Reducci
Daños de protección del
ón del 1 2 2 Mínimo
hardware activo y su
daño
ubicación
Capacitar al
personal para Prevenci
Daños de software 1 2 2 Mínimo
hacer un mejor ón
uso del activo
Mejorar la
Reducci
Impresora Daños de protección del
ón del 0.5 2 1 Mínimo
s hardware activo y su
daño
multifunc ubicación
55
ionales Probar los activos
Problemas de Prevenci
después de su 0.5 2 1 Mínimo
configuración ón
configuración
El personal
autorizado retire
la documentación
Documentación y la coloque en Reducci
impresa no un lugar seguro ón del 0.5 1 0.5 Mínimo
reclamada dependiendo de daño
la
confidencialidad
de la información
Proteger la
Daños por
información Prevenci
inseguridad de red 15 1 1.5 Mínimo
sensible en la ón
de impresoras
cola del servidor
No utilizar la red
en asuntos que
son innecesarias
Sobrecargas en el Prevenci
Gabinete y pesados para 1 1 1 Mínimo
activo ón
de Red evitar que el
activo sufra una
Troncal caída
56
dónde está el
fallo
No utilizar la red
en asuntos que
son innecesarias
Sobrecargas en el Prevenci
y pesados para 1 1 1 Mínimo
Gabinete activo ón
evitar que el
de Red activo sufra una
Administr caída
ativo
Verificar que los
puntos de red
estén conectados
Tener el gabinete y usar un
de red sin generador de
identificación para tonos sino Prevenci
0.5 1 0.5 Mínimo
el mantenimiento desconectar cada ón
por fallas en un cable uno por
cable uno hasta
identificar en
dónde está el
fallo
Para evitar
instalación de
puntos de accesos
no autorizados,
se debe
Acceso no Monitor
configurar WLC 3 1 3 Mínimo
Puntos de autorizado con políticas de
eo
Acceso puntos de acceso
Inalámbri y utilizar un
cos software de
monitoreo
57
keyloggers, red y que los
MTM) usuarios estén
autenticados.
Usar sistemas de
Ataques de
detección y Prevenci
denegación de 1.5 2 3 Mínimo
prevención de ón
servicio
intrusiones.
Capacitar al
personal sobre Prevenci
Ciberataques 1 1 1 Mínimo
seguridad ón
informática
Mejorar la
Reducci
Daños de protección del
ón del 2 2 4 Considerable
hardware activo y su
daño
Teléfonos ubicación
IP Capacitar al
personal para Prevenci
Daños de software 2 2 4 Considerable
hacer un mejor ón
uso del activo
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y
gusanos, spyware, Prevenci
capacitar al 2.5 2 5 Considerable
phishing, rootkit, ón
personal sobre
Smartpho keyloggers,
seguridad
nes MTM)
informática
Personale
s Mejorar la
Reducci
Daños de protección del
ón del 1 2 2 Mínimo
hardware activo y su
daño
ubicación
58
personal para ón del
hacer un mejor daño
uso del activo
Restringir a los
empleados
descargas de
aplicaciones no
deseadas, no
compartir datos
Instalar sensibles por
aplicaciones de apps de terceros, Monitor
0.5 2 1 Mínimo
terceros no monitorear las eo
autorizadas apps, asegurarse
que todos los
datos
compartidos que
son
confidenciales
sean encriptados
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y Reducci
Conexion gusanos, spyware,
capacitar al ón del 2.5 1 2.5 Mínimo
es de phishing, rootkit,
personal sobre daño
Energía y keyloggers, seguridad
MTM)
red local informática
Ethernet
Reducci
Intercepción de Los datos deben
ón del 1 1 1 Mínimo
datos estar encriptados
daño
59
3.3 Comunicación del riesgo y recomendaciones
Tomando en cuenta la matriz de impacto residual, tabla 3.2, se recomienda que los riesgos que
se encuentran en zona de riesgo residual “Mínimo” y “Considerable” se estimen como
admisibles siempre y cuando exista una medida de control y solución en caso que pueda
perjudicar a gran escala la institución. Si la zona de riesgo es “Importante” y “Grave”, se
recomienda que se ejecute un plan de acción para solucionar los problemas que puedan indicar
un mayor impacto de daño en la institución.
60
Amenaza Fortaleza Riesgo Debilidad Acción
Agrietamiento,
Daños producidos
Aplicación de moho en las Cubrir las goteras
por goteras y
Daños por humedad pintura selladora a paredes para evitar
filtraciones de agua
en las habitaciones las paredes y cubrir causadas por las filtraciones de
dentro de las
goteras filtraciones de agua
instalaciones
agua
● Tener que
desconectar
Protección contra
Daños graves los servicios
rayos, alojamiento
Mantener los producidos por de energía
Daños por desastres de sistemas
activos en áreas tormentas eléctricas, eléctrica
naturales informáticos en
seguras granizadas e ● Evacuar el
lugares altos para
inundaciones edificio si es
evitar inundaciones
necesario
● Contratación de ● Verificar en el
guardia de inventario qué
seguridad para activos se
Daños producidos
el manejo de las robaron y
por acceso no
personas que cuántos
autorizado a las Falta de
entran y salen ● Acceso
instalaciones de la instalación de
Robo de Activos del edificio restringido al
organización o hurto cámaras de
● Tener un control personal no
por parte de los seguridad
del personal que autorizado
propios trabajadores
labora en las ● Asegurar a los
de la institución
instalaciones del activos con
edificio mayor valor en
áreas
61
restringidas
● Tener cámaras
de seguridad en
las instalaciones
del edificio
Daños producidos
Utilizar métodos
por el acceso de
● Tener un control de autenticación
personal no
del personal que No contar con para ingresar a las
autorizado a
labora en las métodos de instalaciones
instalaciones
Acceso no instalaciones del autentificación a restringidas de la
restringidas de la
autorizado edificio las áreas organización o
organización o
● Respetar restringidas del acceso no
acceso no autorizado
políticas de edificio autorizado a los
a los sistemas
seguridad sistemas
informáticos de la
informáticos
organización
● Software
Daños producidos ● Establecer
antivirus
Ciberataques(Virus, por cualquier tipo de Información políticas de uso
implementado
troyanos, gusanos, ciberataque a la importante o de las
● Personal
spyware, phishing, organización que activos computadoras
capacitado para
rootkit, keyloggers, ponga en peligro la corruptos por ● Capacitar al
soporte técnico
MTM) integridad de los ciberataques personal sobre
sistemas seguridad
informática
● Personal
capacitado para
Daños producidos
soporte técnico
por la interrupción
● Sistemas de
de cualquiera de los No contar con
detección y Asegurarse que el
servicios un sistema de
Ataques de prevención de ataque ha
informáticos de la mitigación de
denegación de intrusiones que finalizado
organización ataques
servicio alerte si se haciendo uso del
producidos por un mediante
detectan intentos anti-DDoS
atacante interno o anti-DDoS
de acceso no
externo
autorizado o mal
intencionalmente
uso de
protocolos
Daños producidos
● Personal El activo no
por la mala ● Mantener el
capacitado para tenga reparación
manipulación o activo en un
Daños de hardware soporte técnico y deba ser
circunstancias no lugar seguro,
● Personal sustituido por
controlables que exento de caídas
Capacitado para uno nuevo
produzcan una mala y golpes
62
hacer un mejor función en un equipo ● Realizar
uso del activo de la organización mantenimiento
periódicamente
● Mantener
sistemas
● Herramienta de
Daños producidos operativos
soporte de TI,
por la mala actualizados
incidencias y
manipulación o El activo no ● Tener un control
soporte técnico
circunstancias no regrese a su de programas
● Personal
controlables que operación instalados
Daños de software capacitado para
produzcan una mala normal y deba ● Proteger el
soporte técnico
función en un ser sustituido sistema con
● Personal
elemento de por uno nuevo antivirus
Capacitado para
software de la ● Capacitar al
hacer un mejor
organización personal para
uso del activo
hacer un mejor
uso del activo
Daños producidos
● Aplicación de por la incorrecta Verificar
configuración configuración del nuevamente el
Verificar
adecuada y software o equipos proceso de
periódicamente
necesaria con que cuenta la configuración y
Problemas de el
● Verificación organización que sino funciona el
configuración funcionamiento
constante del producen cortes activo, devolver
óptimo del
óptimo inmediatos o futuros el dispositivo a
dispositivo
funcionamiento en el desarrollo de la tienda donde
del dispositivo las actividades de la fue adquirida
organización
Adquirir los
El activo no
Daños producidos activos en
tenga una
Adquisición de los por productos negocios
operación
Activos defectuosos activos en negocios defectuosos confiables y
normal y deba
confiables entregados por los revisarlos
ser sustituido
proveedores previamente a su
por uno nuevo
compra
63
multifuncionales
Daños producidos
● Robo de
por la exposición de Proteger la
Daños por Personal capacitado información
los archivos no información
inseguridad de red para soporte ● Daño de
protegidos en los sensible en la cola
de impresoras técnico información
servidores de colas del servidor
de impresión
● Personal ● Explotar la
capacitado para Daños producidos vulnerabilida
soporte técnico por el acceso no d de
Todos los datos
Puertos de red ● Políticas de autorizado vía los seguridad
transmitidos sean
abiertos seguridad de puertos de red de los ● Ataques de
encriptados
usos restrictivos routers de la denegación
de puertos de los organización. de servicio
routers
Daños que se
producen por el Verificar que los
funcionamiento puntos de red estén
● Robo de
● Personal deficiente de los conectados,
Problemas o fallos información
capacitado para routers, switches o tampoco saturar la
de red ● Daño de
soporte técnico proveedores del cantidad de
información
servicio de red local descargas en las
y para acceso a computadoras
internet.
Daños producidos
por el uso indebido
de los recursos de No utilizar la red
Sistemas red utilizándolos en asuntos que son
Caída del activo
Sobrecargas en el informáticos de alta para fines innecesarias y
en horas pico
activo de red disponibilidad y incorrectos o no pesados para evitar
laborales
alta fiabilidad autorizados que el activo sufra
produciendo cortes e una caída
interferencias en el
servicio.
64
internos de un fallo
gabinete de red.
● Considerar el
uso de AP
Isolation para
los dispositivos
más sensibles
Daños producidos
● Configurar la
por la utilización de
autodefensa
malware
● Datos cifrados ● Robo de basada en AI de
malintencionado
Intercepción de con WPA 3 o información los routers
para interceptar
datos cifrado WEP ● Daño de Cisco Meraki.
datos que se
Empresarial información ● Verificar
transfieren entre los
mediante un
dispositivos de la
escaneo de red
organización.
el dispositivo/IP
de donde se está
realizando el
ataque.
● Restringir a los
empleados
● Personal Daños a los equipos
descargas de
Capacitado para consecuencia de la
aplicaciones no
hacer un mejor instalación de ● Robo de
Instalar aplicaciones deseadas
uso del activo aplicaciones de información
de terceros no ● No compartir
● Cada personal terceros no ● Daño de
autorizadas datos sensibles
laboral se hace autorizadas en las información
por apps de
responsable de computadoras de los
terceros
su activo empleados.
● Monitorear las
apps
A continuación, se presentará un estimado de los costos posibles que World Vision tendría que
incurrir para que las amenazas, riesgos y defectos sean solucionados. Además se incluye el coste
de la consultoría aplicada por nuestro grupo para la elaboración de este informe de análisis y
gestión de riesgos.
65
Nota: Cabe recalcar que no todos los elementos son requisitos inmediatos ya que muchas de las
amenazas son planteadas a futuro por lo que no incurre en un costo exacto en un periodo de
tiempo específico.
Valor Valor
Amenaza Solución Cant Precio Ud. Valor Anual
Mensual Instantáneo
Comprar un sistema
Daños por de alimentación
suministros de ininterrumpida con 4 L. 3,000.00 N/A N/A L. 12,000.00
energía inestable controlador de
voltaje automático
Aplicación de pintura
Daños por
selladora a las
humedad en las - L. 10,000 N/A N/A L. 10,000.00
paredes y cubrir
habitaciones
goteras
Implementar
Daños por
protección contra 1 L. 40,000 N/A N/A L. 40,000.00
desastres naturales
rayos
● Tener un control
del personal que
labora en las
Robo de Activos instalaciones del 4 L. 6,000.00 N/A N/A L. 6,000.00
edificio via
controles
biométricos
Ciberataques(Virus
● Software antivirus
, troyanos,
implementado
gusanos, spyware, 22 L. 1,000.00 N/A L. 1,000.00 N/A
phishing, rootkit,
keyloggers, MTM)
● Sistemas de Inclu
Ataques de
detección y ido
denegación de N/A N/A N/A N/A
prevención de con
servicio
intrusiones que Fire
66
alerte si se wall
detectan intentos
de acceso no
autorizado o mal
uso de protocolos
● Personal
capacitado para
soporte técnico
Daños de hardware ● Personal - L. 3,000.00 N/A L. 3,000.00 N/A
Capacitado para
hacer un mejor
uso del activo
● Herramienta de
soporte de TI,
incidencias y
soporte técnico
● Personal
Daños de software capacitado para - L. 5,000.00 N/A N/A L. 5,000.00
soporte técnico
● Personal
Capacitado para
hacer un mejor
uso del activo
● Aplicación de
configuración
adecuada y
necesaria
Problemas de
● Verificación - L. 3,000.00 N/A L. 3,000.00 N/A
configuración
constante del
óptimo
funcionamiento
del dispositivo
Personal Capacitado
Documentación
para hacer una
impresa no - L. 3,000.00 N/A L. 3,000.00 N/A
prevención correcta
reclamada
Daños por
Personal capacitado
inseguridad de red - L. 3,000.00 N/A L. 3,000.00 N/A
para soporte técnico
de impresoras
● Personal
Puertos de red
capacitado para - L. 3,000.00 N/A L. 3,000.00 N/A
abiertos
soporte técnico
67
● Políticas de
seguridad de usos
restrictivos de
puertos de los
routers
● Personal
Problemas o fallos
capacitado para - L. 3,000.00 N/A L. 3,000.00 N/A
de red
soporte técnico
Sistemas
Sobrecargas en el informáticos de alta L.
- N/A N/A L. 10,000.00
activo de red disponibilidad y alta 10,000.00
fiabilidad
Tener el gabinete
Puntos de red
de red sin
identificados tanto en
identificación para
el patch panel como 1 L. 2,800.00 N/A N/A L. 2,800.00
el mantenimiento
en el lado usuario,
por fallas en un
generador de tonos
cable
Inclu
Datos cifrados con ido
Intercepción de
WPA 3 o cifrado con N/A N/A N/A N/A
datos
WEP Empresarial los
AP
● Personal
Capacitado para
Instalar hacer un mejor
aplicaciones de uso del activo
- L.3,000.00 N/A N/A L. 3,000.00
terceros no ● Cada personal
autorizadas laboral se hace
responsable de su
activo
Precio de honorarios
Valor de la del informe y las L.
- N/A N/A L. 40,000.00
consultoría recomendación 40,000.00
descritas
L.
Total L. 18,500.00
163,600.00
68
3.5 Conclusiones y Recomendaciones
3.5.1 Conclusiones
● Se identificaron y clasificaron las amenazas que pueden llegar a afectar a los dispositivos
informáticos dentro de la institución, de la misma manera se estimó la probabilidad de
que dichas amenazas se materialicen tomando como referencia las condiciones y las
incidencias anteriores que han existido en el contexto institucional.
● En base a una matriz de riesgo potencial, las amenazas fueron clasificadas y analizadas
considerando que las mismas puedan materializarse dentro de la institución, dando como
resultados un total de 6 amenazas cuyo indicador es Grave o Importante.
● Mantener una seguridad robusta y confiable en los sistemas informáticos es una tarea que
debe desarrollarse en conjunto con todos los usuarios de tecnologías de la información.
dentro de la institución, por lo que es necesario capacitar constantemente a cada miembro
del personal, con el fin de mantenerlos informados sobre los nuevos riesgos o amenazas
de la información.
69
3.5.2 Recomendaciones
● Debido a que no todo el trabajo suele hacerse directamente desde las instalaciones de la
Institución, los dispositivos que utilizan los usuarios, como computadoras y teléfonos,
deben estar actualizados de acuerdo a las últimas tendencias de seguridad, así como a las
últimas versiones o parches ofrecidos por los proveedores de sistemas operativos o el
mismo fabricante del equipo.
70
Bibliografía
● Eset Security. (2013, 14 mayo). MAGERIT: metodología práctica para gestionar riesgos.
https://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-ges
tionar-riesgos/
● Ambit Team. (s. f.). ¿Para qué sirve un SGSI? Controles y fases. Ambit. Recuperado 4 de
mayo de 2021, de
https://www.ambit-bst.com/blog/para-qu%C3%A9-sirve-un-sgsi-controles-y-fases
71