Propuesta Análisis y Evaluación de Riesgo - Entregable Final Equipo 3

Universidad Católica de Honduras
“Nuestra Señora Reina de la Paz”
Propuesta Análisis y Evaluación de Riesgo - Entregable Final
World Vision/Programa Integrado Lenca
Equipo 3
Asignatura: Seguridad Informática y Gestión de Riesgo (IF360)
Sección: 1501
Catedrático: Ing. Blanca Patricia Medina Hernandez
28 de Julio 2022
Integrantes
Nombre No. de Cuenta
Andrea Saroginny Montalvo Castro 0801-2000-21834
Yessy Danira Tinoco Vasquez 1305-2002-00353
Hacknel Alexis Reyes 1001–2001-00363
Oscar Josué Mejía Serén 1001-2002-00094
2
Índice
Objetivos 5
Planteamiento del Problema 6
Justificación 7
Marco Conceptual 8
Seguridad informática 8
Análisis de Riesgos 8
Amenazas 8
Medidas de seguridad o salvaguardas 9
Riesgos 9
SGSI 9
Metodología MAGERIT 9
ISO/IEC 31010 10
ISM3 11
Marco Teórico 12
Información General sobre la Institución 12
Resumen Institucional 13
Organigrama de la Institución 16
Diagrama de Distribución 17
1. Planificación 19
1.1 Planeación de la seguridad informática en la organización 19
1.2 Alcance del análisis y evaluación de riesgos del sistema informático 20
1.3 Objetivos del análisis 20
2. Análisis de Riesgos 21
2.1 Descripción de los activos o recursos informáticos de la organización 21
Descripción de activos 21
Características de los activos 22
2.2 Valoración y confidencialidad de los activos o recursos 23
Clasificación de confidencialidad 23
2.2.1 Valoración y confidencialidad de activos 25
2.3 Identificación de amenazas y probabilidades 26
2.3.1 Tabla de estimación de probabilidad 26
2.3.2 Listado de amenazas 26
2.4 Amenazas clasificadas por su tipo y su nivel de probabilidad 30
2.4.1 Niveles de Clasificación de Probabilidad de las Amenazas 30
3
2.4.2 Tabla de Estimación de Probabilidad 30
2.5 Matriz de Impacto Potencial 34
2.5.1 Niveles de Clasificación del Impacto de las Amenazas 34
2.5.2 Tabla de Impacto Potencial 34
2.6 Riesgo Potencial 37
2.6.1 Matriz de Riesgo Potencial 37
2.6.2 Valoración de las Amenazas en base a Probabilidad e Impacto 38
2.7 Número de amenazas por zona de riesgo y tipo de activo 40
2.7.1 Número de amenazas por zona de riesgo y tipo de activo 40
2.9 Salvaguardas o controles existentes 42
2.9.1 Tabla de estimación de nivel de efectividad del control 42
2.9.2 Tabla de nivel de efectividad del salvaguarda existente 43
3. Gestión de Riesgos 48
3.1 Impacto Residual 48
3.2 Tabla de Impacto Residual y Riesgo Residual 54
3.3 Comunicación del riesgo y recomendaciones 60
3.3.1 Tratamiento del riesgo 60
3.4 Costos en Seguridad Informática 65
3.5 Conclusiones y Recomendaciones 69
3.5.1 Conclusiones 69
3.5.2 Recomendaciones 70
Bibliografía 71
4
Objetivos
Objetivo General
● Desarrollar un análisis de seguridad informática en la institución “World Vision/Programa
Integrado Lenca”, identificando dentro de sus actividades cotidianas, aquellas que requieren
la utilización de sistemas o elementos informáticos de forma directa o indirecta, así como los
riesgos a los que están expuestos, con el fin de mejorar la seguridad y la integridad de los
datos implementando la Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información (MAGERIT).
Objetivos Específicos
● Planificar un estudio de seguridad informática para la institución World Vision/Programa

Integrado Lenca.
● Identificar el equipo y otros activos informáticos con los que cuenta la institución
actualmente.
● Realizar la valoración de los activos informáticos de la institución.
● Identificar las amenazas a las que la institución se expone mediante sus actividades con
elementos informáticos.
● Describir las consecuencias que las amenazas pueden representar para la información que se
maneja.
● Brindar opciones de mejora o soluciones ante las amenazas que se detectaron, así como
detallar las prácticas que pueden impulsar a la institución a tener un mejor entorno de
seguridad informática.
● Realizar cada etapa de este proyecto implementando las directrices establecidas por la
metodología MAGERIT.
5
Planteamiento del Problema
Los sistemas informáticos son una realidad con la cual las personas interactuamos de forma
cotidiana. Las instituciones obtienen beneficios notables en el desarrollo de sus actividades con
el uso e implementación de este tipo de sistemas o elementos computacionales. Tiempo atrás,
este tipo de tecnologías no estaban tan presentes en nuestras sociedades como lo son hoy en día.
Debido a esto, la seguridad informática no era un tema del cual habría que preocuparse. Sin
embargo, así como la adopción de la tecnología ha crecido de forma rápida, las distintas
amenazas o factores de riesgo también lo han hecho. Actualmente, se desarrollan miles de
problemas informáticos que pueden afectar negativamente a cualquier entidad
Cuando se presenta un incidente que afecta a los sistemas o elementos informáticos, pueden
desarrollarse eventos que, dependiendo de la naturaleza del suceso, podrían generar pérdidas
graves de datos o información, filtración, robo o publicación de detalles confidenciales,
interrupción indefinida de los servicios informáticos, daños físicos a los equipos, entre muchas
otras consecuencias. Algunas de estas, pueden afectar negativamente a la economía de la
institución, así como a su imagen ante la sociedad.
World Vision/Programa Integrado Lenca, al ser una empresa que maneja grandes cantidades
de información y que la misma es fundamental para el desarrollo óptimo de sus actividades
cotidianas, debe contar con un entorno informático seguro, donde cualquier amenaza o riesgo sea
controlado, garantizando así la confiabilidad, disponibilidad e integridad de la información.
Existe una gran cantidad de prácticas o metodologías que tienen como objetivo mitigar o
eliminar completamente aquellas vulnerabilidades y amenazas a las cuales está expuesto el
equipo de cómputo. La importancia de mantener la seguridad informática en óptimas
condiciones puede servir de mucho a la institución a corto y largo plazo ante las amenazas
conocidas, como las desconocidas.

6
Justificación
Cada día, nuevas vulnerabilidades son descubiertas en los sistemas informáticos o software en
general que se utiliza para el desarrollo de actividades cotidianas. De la misma manera, personas
cuyo objetivo es infiltrarse en las organizaciones para robar información sensible, idean y
desarrollan nuevas y sofisticadas técnicas para lograr su cometido. La lucha contra este tipo de
agentes debe ser algo a tomar muy en cuenta en cualquier organización. Es aquí donde resalta la
importancia de desarrollar un entorno seguro para todas las actividades empresariales que
involucren factores informáticos.
La información que circula a diario en los medios informáticos dentro de la empresa a
estudiar es de suma importancia, por lo que mantenerla íntegra, disponible y confiable es un
aspecto fundamental. De no suceder lo anterior, muchas actividades que requieren de los datos
pueden verse seriamente afectadas, generando consecuencias aún más grandes que puedan
afectar incluso a otras entidades de forma indirecta.
Desarrollar las actividades productivas de la institución en un entorno informático seguro,
agrega valor extra a lo que se ofrece al público o las personas relacionadas con las actividades,
así como a los procesos internos de la misma. Esto genera a su vez, una mejor imagen a los
involucrados, como a la institución en general.
7
Marco Conceptual
Seguridad informática
Seguridad informática también llamada “ciberseguridad” es cualquier medida que impida la
ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos
puedan conllevar a daños sobre la información, comprometer su confidencialidad, autenticidad o
integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados.
Análisis de Riesgos
Un análisis de riesgo es la apreciación detallada de todo lo que pueda implicar peligro para la
empresa. Es decir de cualquier detalle que pueda causar un inconveniente sea financiero o
funcional. Una metodología de análisis de riesgos es un procedimiento mediante el cual se
realiza un análisis de riesgo para conocer sus causas y consecuencias. Es organizar toda la
información necesaria que sirva de lumbrera para saber si la situación es conveniente o no
para la empresa.
Amenazas
Una amenaza se puede definir entonces como un evento que puede afectar los activos de
información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.
Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de
la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido
eléctrico.
8
Medidas de seguridad o salvaguardas
Una medida de seguridad o salvaguarda es cualquier medio empleado para eliminar o reducir un
riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de
las amenazas y/o el nivel de impacto en la organización.
Riesgos
Los riesgos son la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del
sistema informático, causando un determinado impacto en la organización. El nivel de riesgo
depende del análisis previo de vulnerabilidades del sistema, de las amenazas y del posible
impacto que estas puedan tener en el funcionamiento de la organización.
SGSI
El sistema de seguridad de la información o SGSI (Information Security Management System)
tiene como objetivo evaluar todos los riesgos asociados con los datos e información que se
manejan en una empresa. El SGSI es un elemento fundamental de la norma internacional ISO
27001 (Sistemas de Gestión de la Seguridad de la Información), que persigue asegurar la
integridad y confidencialidad de los datos y los sistemas encargados de procesarlos.
Las empresas que obtienen el certificado ISO 27001 se diferencian por su tratamiento seguro
y preciso de todos los datos que manejan y garantizan que se utiliza un sistema de seguridad de
la información, que es un estándar a nivel internacional para proteger la privacidad e integridad
de la información.
Metodología MAGERIT
En este sentido fue desarrollado MAGERIT una metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración Electrónica de España, que ofrece un
9
método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y
comunicaciones para de esta forma implementar las medidas de control más adecuadas que
permitan tener los riesgos mitigados. Además de esto, cuenta con todo un documento que reúne
técnicas y ejemplos de cómo realizar el análisis de riesgos.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la
violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la
compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener
una identificación clara de las medidas preventivas y correctivas más apropiadas.
ISO/IEC 31010
ISO / IEC 31010 es una norma relativa a la gestión de riesgos codificada por la Organización
Internacional de Normalización y la Comisión Electrotécnica Internacional (IEC). La norma ISO
31010 es compatible con la norma ISO 31000. Proporciona información sobre la selección y
aplicación de técnicas de evaluación de riesgos.
Es parte de los elementos centrales de la gestión de riesgos definidos en ISO 31000, que son:
● Comunicación y consulta.
● Establecer el contexto.
● Evaluación de riesgos (identificación de riesgos, análisis de riesgos, evaluación de
riesgos).
● Tratamiento de riesgo.
● Seguimiento y examen.
10
ISM3
ISM3 es un modelo de madurez para seguridad con cinco niveles que facilita la mejora y
alineación entre las necesidades del negocio y los de la gestión de la seguridad dirigido a
organizaciones de cualquier tipo y tamaño.
Características
● Enlazar la seguridad con los objetivos del negocio. Hay un profundo conocimiento de las
metas del negocio y su dependencia a los elementos tecnológicos.
● Incluir métricas, adopción evolutiva y mejora continua. Partiendo de la premisa de que lo
que no se mide no se puede mejorar.
● Flexibilidad, al adaptarse a distintas capacidades de inversión. (Open Source queda
perfecto). La idea es poder hacer inversiones programadas. Existen muchísimas
soluciones de Seguridad OpenSource que requieren muy poca inversión (OSSIM,
Graylog, Wazuh, PfSense, Cortex, entre otros), las cuales en Gudix Security Consulting
estamos dispuestos a apoyar en todo el proceso.
● Crear un ecosistema alrededor de ISM3 (COBIT, ISO2700 etc.). Permite establecer la
base para posteriormente aspirar a una certificación ISO2700 o alinearnos con COBIT
11
Marco Teórico
Información General sobre la Institución
Nombre de la Institución:
Visión Mundial / Programa Integrado Lenca - Oficina Regional de Occidente.
Fundador de World Vision International:
Bob Pierce
Dirección:
Hotel Huella Lenca, desvío hacia Gracias Lempira, Aldea El Pericón, Yamaranguila, Intibucá.
Contacto:
gesler_seren@wvi.org
+504 98678952
Rubro de la Institución:
Desarrollo y Ayuda Comunitaria
Proyectos de la Institución:
● Transformación Comunitaria
● Respuesta ante el cambio climático
● Educación y Empleabilidad Juvenil
● Niñez y Juventud libre de violencia
12
Misión de la Institución:
World Vision Honduras es una confraternidad internacional de cristianos cuya misión es seguir
a nuestro Señor y Salvador Jesucristo trabajando con los pobres y oprimidos para promover la
transformación humana, buscar la justicia y dar testimonio de la buena noticia del Reino de Dios.
Historia:
Por casi 46 años, World Vision Honduras ha estado comprometido con la protección y el
cuidado de los niños, niñas y a aquellos que más lo necesiten. Desde su llegada en 1974 como
respuesta humanitaria a los desastres provocados por el huracán Fifi hasta la crisis por
COVID-19 que en la actualidad afecta a nivel global, World Vision Honduras ha ido donde otros
no lo harían. Incluso en los lugares donde es más difícil ser un niño, Dios está allí; y nosotros
también deberíamos estarlo. Por lo tanto, nuestra misión continúa.
Resumen Institucional
World Vision es una organización no gubernamental que trabaja por el desarrollo de las
comunidades, a través de proyectos y patrocinio de niños. Existe una oficina central en
Tegucigalpa, de la cual se derivan 4 oficinas regionales en distintas ubicaciones del país. En cada
región también existen oficinas más pequeñas distribuidas por los distintos municipios de la
zona.
El Programa Integrado Lenca, es el encargado del acompañamiento a las oficinas más pequeñas.
Los distintos sistemas con los que cuenta la institución, se manejan a través de Servidores
Remotos, estos se encuentran físicamente en Malasia, específicamente en la ciudad de Kuala
Lumpur.
13
Cuando una persona ingresa a trabajar en la institución, se permite el acceso a OneLogin, este
permite acceder a las distintas aplicaciones, que se usan para liquidaciones, gastos, información
de los niños, correo electrónico, además permite ver al usuario su perfil profesional detallado
dentro de la institución. Cada empleado cuenta con una computadora portátil y un smartphone
para realizar sus labores.
Sistemas Institucionales
● Sistema Contable
● Sistema Administrativo de Datos de los Niños
● Sistema Administrativo de Empleados
● Sistema para el Correo Electrónico
● KoboCollects (No está asociado a OneLogin)
14
Principales Sistemas/Software
Accesos del Departamento de Operaciones
Gerente: Tiene acceso a todos los sistemas, pero únicamente para visualizar reportes en el
sistema Horizon. En WorkDay, el puede solicitar plazas, aprobar ascensos, permisos, solicitudes
de compra, entre otros. (Sistemas de Alta Gerencia)
T.I: Tiene acceso a una plataforma para administración de los problemas de soporte, puede
visualizar los empleados nuevos, las solicitudes de correo. También maneja los dispositivos de
red de la institución. (Gestión de Dispositivos de T.I.)
CESP: Tienen acceso a la información de los niños, se encargan de revisar la información
proporcionada por los compañeros que se encuentran en campo.
Accesos del Departamento de Finanzas
Tienen acceso a todo lo correspondiente a actividad monetaria, además aquí se manejan los
inventarios y los activos con los que cuenta la institución.
15
Organigrama de la Institución
16
Diagrama de Distribución
17
Es importante mencionar que no todos los activos se encuentran dentro del establecimiento,
puesto que, World Vision mantiene una parte del personal en trabajo de campo constantemente,
por lo que dichas personas portan dispositivos como Computadoras portátiles y teléfonos
inteligentes para realizar el envío de datos de manera remota.
18
1. Planificación
1.1 Planeación de la seguridad informática en la organización
Un plan informático es un conjunto de medios administrativos, técnicos y personales que
garantizan niveles de seguridad y mitigación de riesgos en los bienes. De tal manera que se busca
determinar cuáles son las necesidades de protección en el hardware, software, equipo humano y
equipo técnico que hacen posible el funcionamiento de la organización World Vision en las
oficinas del Programa Integrado Lenca.
Una vez realizada la identificación de activos prioritarios, se evalúan las posibles amenazas,
riesgos y vulnerabilidades existentes para poder planificar, analizar los escenarios y estimaciones
de riesgos respecto al estado actual de la seguridad para poder contar con un plan de acción de
manera que facilite solucionar un problema.
Se establece un orden de riesgos, amenazas o vulnerabilidades por gravedad y frecuencia de
incidencias de los activos ordenados por su prioridad teniendo en cuenta el nivel de uso, coste
para solventar el problema, nivel de vulnerabilidad, el tipo de ataque, posibles consecuencias,
entre otros.
Para finalizar, se busca la seguridad o protección adecuada para cada posible situación de
amenazas o riesgos. Con el plan de seguridad informática en la organización las posibilidades de
que se produzcan ciberataques, pérdidas de información, daños en los equipos, accesos no
autorizados al sistema o servidores y demás se reducen porque habrá una acción de prevención y
solución ante la incidencia.
19
1.2 Alcance del análisis y evaluación de riesgos del sistema informático
Se plantea evaluar el nivel de seguridad y protección de los equipos y otros activos
informáticos que son responsables del funcionamiento de la organización World Vision en las
oficinas del Programa Integrado Lenca, ubicado en Yamaranguila, municipio del departamento
de Intibucá, Honduras. Se implementará la Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información (MAGERIT) para determinar los riesgos, amenazas y vulnerabilidades
a los que están expuestos, con el fin de mejorar la seguridad e integridad de los datos con los que
cuenta la institución.
1.3 Objetivos del análisis
● Identificar los activos más importantes de la organización
● Prevenir, detectar y mitigar las amenazas existentes
● Realizar un plan de acción contra amenazas, vulnerabilidades y riesgos
● Analizar y evaluar las vulnerabilidades
● Determinar las necesidades de seguridad que tiene World Vision/Programa Integrado
Lenca
● Minimizar los riesgos, amenazas y vulnerabilidades que se encuentran en la organización.
20
2. Análisis de Riesgos
2.1 Descripción de los activos o recursos informáticos de la organización
Descripción de activos
Activo Descripción
Dispositivos personales conectados a la red de la organización

para realizar las tareas de su área. Cada empleado cuenta con
una laptop para hacer sus labores en la plataforma web de la
Computadoras organización accediendo a las aplicaciones respectivas, cada
empleado cuenta con una computadora personal para facilitar el
trabajo remoto cuando no están en la oficina. Además cuentan
con dos torres desktop
Dispositivos que se conectan a la red de dispositivos Meraki y

Impresoras multifuncionales brindan acceso local para las funciones de impresión y escaneo
de documentos.
Se encuentra el equipo de red principal donde llega la red

Gabinete de Red Troncal troncal de fibra óptica proporcionada por la empresa Tigo,
contiene los siguientes equipos.
Gabinete de Red Encargado de distribuir la red cableada e inalámbrica en las

Administrativo instalaciones mediante un switch.
Puntos de Acceso Brindan acceso inalámbrico a todos los dispositivos que lo

Inalámbricos requieran de manera segura y controlada.
Se cuentan con 2 teléfonos IP, uno en la oficina del gerente

Telefonos IP
administrativo y otro en la oficina de la gerente de finanzas.
Todos los escritorios cuentan con conexión a la red eléctrica vía

Conexiones de Energía y red
enchufe estándar de 110v junto con conexiones a la red ethernet
local Ethernet
vía conectores RJ45.
Cada empleado cuenta con un smartphone personal que incluye

Smartphones personales un plan de internet, llamadas y mensajes proporcionado por la
empresa Claro Honduras.
21
Características de los activos
4x HP EliteBook 735 G5 Ryzen CPU 8GB.
1x HP EliteBook 735 G6 Ryzen Pro CPU

8GB.
2x HP ProDesk 600 G1 SFF Core i5 4th CPU

8GB.
4x HP ProBook 440 G6 Core i5 8th CPU

8GB.
2x HP Modelo no especificado.
Computadoras
(Windows 10) 2x HP ProBook 450 G6 Core i5 8th CPU
8GB.
1x HP EliteBook 820 G3 Core i5 6th CPU

8GB.
1x HP ProBook 640 G2 Core i5 6th 8GB.
3x Lenovo E14 Gen 2 Core i5 11th 8GB.
1x Lenovo 20U2S2S600 Ryzen 5 Pro 8GB.
2x Dell Optiplex 7090 Core i5 11th 8GB.
1x Impresor multifuncional profesional Canon

MF 411.
Impresoras Multifuncionales
1x Impresor multifuncional profesional Canon
MF 410.
1x Cisco Meraki MX64 (router y firewall).

Gabinete de Red Troncal 1x Switch Operable Dell.
1x UPS.
Gabinete de Red Administrativo 1x Switch Dell.
1x Cisco Meraki MR26 ubicado en la oficina

administrativa.
Puntos de Acceso Inalámbricos
1x Cisco Meraki MR42 ubicado en la oficina
de finanzas.
22
1x Cisco Meraki MR52 ubicado en el salón de
capacitaciones.
1x Ubiquiti Wifi AP ubicado en la oficina de
proyectos.
Teléfonos IP Teléfonos IP de marca y modelo desconocido.
Conexión eléctrica estándar tipo B.

Conexiones de Energía y red local Ethernet
Conexión de red RJ45.
Las especificaciones varían según el modelo

Smartphones personales
elegido por cada empleado.
2.2 Valoración y confidencialidad de los activos o recursos
Clasificación de confidencialidad
Principio de seguridad Clasificación Definición
Este activo es considerado de carácter público

Público (1) y puede ser divulgado a cualquier persona o
entidad interna o externa a la organización.
Este activo es utilizado por los funcionarios

autorizados de la empresa para la ejecución de
Interna (2) sus labores, y no puede ser conocida por
terceros sin autorización del responsable del
Confidencialidad activo de información o directivas de la
organización.
Este activo se considera altamente sensible y

es utilizada por solo un grupo limitado de
funcionarios o áreas para la ejecución de
Confidencial (3) labores y no puede ser conocida por otros
funcionarios de la organización o terceros
externos sin autorización especial del
responsable de la información o directivas de
la organización.
23
La pérdida o modificación no autorizada de
No sensitiva (1) este activo podría causar un daño leve o nulo
para la organización.
La pérdida o modificación de este activo

Sensitiva (2) podría causar un daño que genera perjuicios
Integridad importantes que afecten a la organización, pero
puede ser absorbido o asumido por este.
La pérdida o modificación de este activo

Altamente sensitiva podría causar un daño grave que genere
(3) perjuicios que afecten significativamente a la
organización y que difícilmente podrían ser
asumidos por ésta.
El activo puede no estar disponible por un

No critico (1) periodo de tiempo extendido, sin afectar la
operación de la organización.
Disponibilidad Importante (2) La no disponibilidad de este activo afectaría

operaciones y servicios de los funcionarios.
La no disponibilidad de este activo afectaría

Misión crítica (3) significativamente las operaciones, servicios
de la organización y el acceso a la
información.
24
2.2.1 Valoración y confidencialidad de activos
Activos Valoración de activos Valoración de

confidencialidad
Activo Valor Descripción C I D Valor

final
Computadoras 10 Esencial para el desempeño de la institución 3 2 3 3
Impresoras
5 Importancia menor para la institución 2 1 1 2
multifuncionales
Gabinete de Red
10 Esencial para el desempeño de la institución 2 2 3 3
Troncal
Gabinete de Red
Administrativo
Puntos de Acceso
Inalámbricos 10 Esencial para el desempeño de la institución 2 1 1 2
Telefonos IP 3 Importancia menor para la institución 3 1 1 3
Smartphones
Personales
Conexiones de
Energía y red 10 Esencial para el desempeño de la institución 2 2 3 3
local Ethernet
25
2.3 Identificación de amenazas y probabilidades
Una amenaza es un evento que puede afectar los activos de información y están relacionadas con
el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques
informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware,
terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.
2.3.1 Tabla de estimación de probabilidad
Valor Descripción
1 Es muy improbable que la amenaza ocurra o haya ocurrido
La amenaza podría ocurrir una o dos veces a lo largo del tiempo de actividad de la
2
Institución
3 La amenaza se materializa a lo mínimo una vez cada uno o dos año
4 La amenaza se materializa a lo mínimo una vez cada tres o seis meses
5 La amenaza se materializa a lo mínimo una vez cada mes
2.3.2 Listado de amenazas
Razón de
Código Amenaza Descripción P
clasificación
Han ocurrido
Daños que son generados por la incorrecta
algunos casos de
instalación o manipulación del hardware de los
Daños por fuego en zonas de
A1 activos produciendo chispas o cortocircuitos que 1
incendio bosque aledañas,
generen fuego. También considerable por
pero no en zonas
incendios aledaños en el área de la organización.
cercanas.
En las oficinas es
Daños por
común presentar
suministros Daños producidos por las fluctuaciones de tensión
A2 5 bajas de tensión
de energía eléctrica del suministro de energía pública.
eléctrica durante
inestable
horas pico.
Daños por Daños producidos por goteras y filtraciones de Existe la

A3 1
humedad en agua dentro de las instalaciones. posibilidad que al
26
las ser una zona de
habitaciones alta pluviosidad el
techo o las paredes
se desgasten.
Han ocurrido
tormentas
Daños por eléctricas y lluvias
Daños graves producidos por tormentas eléctricas,
A4 desastres 2 fuertes que han
granizadas e inundaciones.
naturales producido fallas y
falta de servicios
en la organización.
No se han
producido este tipo
Daños producidos por acceso no autorizado a las
Robo de de incidentes, pero
A5 instalaciones de la organización o hurto por parte 1
Activos existe la
de los propios trabajadores de la organización.
posibilidad de que
se produzcan.
No se han
Daños producidos por el acceso de personal no producido este tipo
Acceso no autorizado a instalaciones restringidas de la de incidentes, pero
A6 1
autorizado organización o acceso no autorizado a los sistemas existe la
informáticos de la organización. posibilidad de que
se produzcan.
Ciberataques(
Virus, Ha ocurrido una
troyanos, ocasión en donde
gusanos, Daños producidos por cualquier tipo de la seguridad
A7 spyware, ciberataque a la organización que ponga en peligro 3 financiera de los
phishing, la integridad de los sistemas. empleados se vio
rootkit, vulnerada por un
keyloggers, ataque de phishing.
MTM)
No se han
Daños producidos por la interrupción de producido este tipo
Ataques de
cualquiera de los servicios informáticos de la de incidentes, pero
A8 denegación 1
organización producidos por un atacante interno o existe la
de servicio
externo intencionalmente. posibilidad de que
se produzcan.
En algunos casos
Daños producidos por la mala manipulación o se suelen reportar
Daños de
A9 circunstancias no controlables que produzcan una 2 problemas en los
hardware
mala función en un equipo de la organización. equipos de uso
general en la
27
oficina como
impresoras y los
personales como
computadoras.
Las computadoras
personales de los
Daños producidos por la mala manipulación o
empleados algunas
Daños de circunstancias no controlables que produzcan una
A10 2 veces han tenido
software mala función en un elemento de software de la
problemas con los
organización.
programas
utilizados.
Los dispositivos
suelen estar
configurados de
Daños producidos por la incorrecta configuración
manera correcta
del software o equipos con que cuenta la
Problemas de porque son
A11 organización que producen cortes inmediatos o 1
configuración configurados por
futuros en el desarrollo de las actividades de la
el encargado en el
organización.
área de TI, pero
podría suceder en
el futuro.
No se han
producido este tipo
Activos Daños producidos por productos defectuosos de incidentes, pero
A12 1
defectuosos entregados por los proveedores. existe la
posibilidad de que
se produzcan.
No suele haber
información
confidencial oculta
Documentaci Daños producidos por posible exposición de
que los empleados
A13 ón impresa no información confidencial dejada en las bandejas de 1
de la organización
reclamada impresión de las impresoras multifuncionales.
no puedan ver,
pero puede ocurrir
en el futuro.
No suele haber
información
Daños por confidencial oculta
Daños producidos por la exposición de los
inseguridad que los empleados
A14 archivos no protegidos en los servidores de colas 1
de red de de la organización
de impresión.
impresoras no puedan ver,
pero puede ocurrir
en el futuro.
28
No se han
producido este tipo
Daños producidos por el acceso no autorizado vía
Puertos de de incidentes, pero
A15 los puertos de red de los routers de la 1
red abiertos existe la
organización.
posibilidad de que
se produzcan.
Se han producido
Daños que se producen por el funcionamiento
Problemas o caídas en los
A16 deficiente de los routers, switches o proveedores 2
fallos de red servicios de acceso
del servicio de red local y para acceso a internet.
a internet.
No se han
Daños producidos por el uso indebido de los producido este tipo
Sobrecargas
recursos de red utilizándolos para fines incorrectos de incidentes, pero
A17 en el activo 1
o no autorizados produciendo cortes e existe la
de red
interferencias en el servicio. posibilidad de que
se produzcan.
Tener el No se han
gabinete de producido este tipo
red sin Daños producidos por el retraso en el de incidentes
identificación mantenimiento o reparación de los servicios de red porque los cables
A18 1
para el producido por la insuficiente identificación de los ya están rotulados,
mantenimient componentes internos de un gabinete de red. pero existe la
o por fallas posibilidad de que
en un cable se produzcan.
No se han
Daños producidos por la utilización de malware producido este tipo
Intercepción malintencionado para interceptar datos que se de incidentes, pero
A19 1
de datos transfieren entre los dispositivos de la existe la
organización. posibilidad de que
se produzcan.
Las computadoras
tienen limitadas las
Instalar
Daños a los equipos consecuencia de la instalación aplicaciones que
aplicaciones
A20 de aplicaciones de terceros no autorizadas en las 1 pueden instalarse,
de terceros no
computadoras de los empleados. sin embargo existe
autorizadas
la posibilidad que
se produzcan.
29
2.4 Amenazas clasificadas por su tipo y su nivel de probabilidad
Las amenazas se clasificaron por un código que los identifica dependiendo de los activos que se
encuentran en la Institución. Las amenazas se realizaron de manera descrita y con sus posibles
soluciones de riesgo, también está definido un nivel de probabilidad que esta amenaza ocurra
ciertas cantidades de veces en un tiempo determinado. En el nivel de probabilidad 1 significa que
es poco probable y 5 que la probabilidad amenace muy frecuentemente.
2.4.1 Niveles de Clasificación de Probabilidad de las Amenazas
Nivel Descripción
1 Es muy improbable que la amenaza ocurra o haya ocurrido
La amenaza podría ocurrir una o dos veces a lo largo del tiempo de actividad de la
2
Institución
3 La amenaza se materializa a lo mínimo una vez cada uno o dos año
4 La amenaza se materializa a lo mínimo una vez cada tres o seis meses
5 La amenaza se materializa a lo mínimo una vez cada mes
2.4.2 Tabla de Estimación de Probabilidad
Descripción de Amenaza Nivel de

Activo
Código Amenaza Solución Probabilidad
Implementar detectores de
A1 Daños por incendio incendios automáticos y 1
extintores que no usan agua
Daños por suministros Utilizar controladores de

A2 5
de energía inestable voltaje
Todos los
activos de la Daños por humedad en Cubrir las goteras para evitar
A3 1
empresa las habitaciones filtraciones de agua
Protección contra rayos,

Daños por desastres alojamiento de sistemas
A4 2
naturales informáticos en lugares altos
para evitar inundaciones
30
Acceso restringido al personal
A5 Robo de activos 1
no autorizado.
Utilizar métodos de
autenticación para ingresar a
las instalaciones restringidas de
A6 Acceso no autorizado 1
la organización o acceso no
autorizado a los sistemas
informáticos
Adquirir los activos en

negocios confiables y
A12 Activos defectuosos 1
revisarlos previamente a su
compra
Ciberataques(Virus,
troyanos, gusanos, Implementar un software
A7 spyware, phishing, antivirus y capacitar al personal 3
rootkit, keyloggers, sobre seguridad informática
MTM)
Ataques de denegación Usar sistemas de detección y

A8 2
de servicio prevención de intrusiones.
Computadora
Mejorar la protección del
A9 Daños de hardware 2
activo y su ubicación
Capacitar al personal para

A10 Daños de software 2
hacer un mejor uso del activo
Problemas de Probar los activos después de

A11 1
configuración su configuración


A11 2
El personal autorizado retire la

Impresoras documentación y la coloque en
Documentación impresa
A13 un lugar seguro dependiendo 1
multifuncionales no reclamada
de la confidencialidad de la
información
Daños por inseguridad

Proteger la información
A14 de red de impresoras de 1
sensible en la cola del servidor
impresoras
A15 Puertos de red abiertos Todos los datos transmitidos 1
31
sean encriptados
Verificar que los puntos de red

estén conectados, tampoco
A16 Problemas o fallos de red 2
saturar la cantidad de descargas
en las computadoras
No utilizar la red en asuntos

que son innecesarias y pesados
Gabinete de Red A17 Sobrecargas en el activo 1
para evitar que el activo sufra
Troncal una caída

Tener el gabinete de red estén conectados y usar un
sin identificación para el generador de tonos sino
A18 1
mantenimiento por fallas desconectar cada cable uno por
en un cable uno hasta identificar en dónde
está el fallo

estén conectados, tampoco
saturar la cantidad de descargas
en las computadoras
No utilizar la red en asuntos

Sobrecargas en el activo que son innecesarias y pesados
Gabinete de Red A17 1
de red para evitar que el activo sufra
Administrativo una caída

Tener el gabinete de red estén conectados y usar un
sin identificación para el generador de tonos sino
A18 1
mantenimiento por fallas desconectar cada cable uno por
en un cable uno hasta identificar en dónde
está el fallo
Para evitar instalación de

puntos no autorizados, se debe
A6 Acceso no autorizado configurar WLC con políticas 1
de puntos de acceso y utilizar
un software de monitoreo
Puntos de
Acceso Ciberataques(Virus,
Tener una vigilancia en el
Inalámbricos troyanos, gusanos,
monitoreo de actividades en la
A7 spyware, phishing, 2
red y que los usuarios estén
rootkit, keyloggers,
autenticados.
MTM)
A8 Ataques de denegación Usar sistemas de detección y 2
32
de servicio prevención de intrusiones.

A11 1
Los datos deben estar

A19 Intercepción de datos 1
encriptados
Capacitar al personal sobre

A7 Ciberataques 1
seguridad informática

Teléfonos IP Capacitar al personal para
hacer un mejor uso del activo

A11 1
Ciberataques(Virus,
A7 spyware, phishing, antivirus y capacitar al personal 2
rootkit, keyloggers, sobre seguridad informática
MTM)

Smartphones Capacitar al personal para

Personales hacer un mejor uso del activo
Restringir a los empleados

descargas de aplicaciones no
deseadas, no compartir datos
Instalar aplicaciones de sensibles por apps de terceros,
A20 2
terceros no autorizadas monitorear las apps, asegurarse
que todos los datos
compartidos que son
confidenciales sean encriptados
Ciberataques(Virus,
Conexiones de A7 spyware, phishing, antivirus y capacitar al personal 1
Energía y red rootkit, keyloggers, sobre seguridad informática
MTM)
local Ethernet
Los datos deben estar
encriptados
33
2.5 Matriz de Impacto Potencial
En este apartado, se estima el impacto a nivel de actividades institucionales que tendría la
materialización de las amenazas en cada activo.
Para realizar esta clasificación, se utilizará una escala de 3 niveles que describen de manera
general la magnitud de cada amenaza en caso de que suceda, siendo 1 el nivel con menor
impacto y el nivel 3 representa efectos graves para las actividades productivas de la institución.
2.5.1 Niveles de Clasificación del Impacto de las Amenazas
Nivel Descripción
1 No hay consecuencias relevantes para la institución.
2 Bajo impacto o efecto sobre la institución.
3 Consecuencias significativas para la institución.
4 Consecuencias graves para la institución y sus actividades.
5 Consecuencias catastróficas para la institución y sus actividades.
2.5.2 Tabla de Impacto Potencial
Amenazas
Activo Impacto
Cod. Descripción
A1 Daños por incendio 5

A2 Daños por suministros de energía inestable 5
A3 Daños por humedad en las habitaciones 2
Todos los
activos de la A4 Daños por desastres naturales 3
empresa
A5 Robo de activos 2
34
A12 Activos defectuosos 2
Ciberataques(Virus, troyanos, gusanos, spyware,
A7 5
phishing, rootkit, keyloggers, MTM)
A8 Ataques de denegación de servicio 3

Computadoras
A11 Problemas de configuración 1
Impresoras A13 Documentación impresa no reclamada 1
multifuncionales
Daños por inseguridad de red de impresoras de
A14 3
impresoras
A15 Puertos de red abiertos 3

Gabinete de Red A17 Sobrecargas en el activo 2
Troncal
Tener el gabinete de red sin identificación para el
A18 1
mantenimiento por fallas en un cable

Gabinete de Red A17 Sobrecargas en el activo de red 2
Administrativo
Tener el gabinete de red sin identificación para el
A18 1
mantenimiento por fallas en un cable
A7 4
Puntos de phishing, rootkit, keyloggers, MTM)
Acceso
A8 Ataques de denegación de servicio 3
Inalámbricos
35
A7 Ciberataques 2
Teléfonos IP A9 Daños de hardware 1

A7 5
phishing, rootkit, keyloggers, MTM)
Smartphones A9 Daños de hardware 2
Personales
A20 Instalar aplicaciones de terceros no autorizadas 1
Conexiones de Ciberataques(Virus, troyanos, gusanos, spyware,

A7 5
Energía y red phishing, rootkit, keyloggers, MTM)
local Ethernet A19 Intercepción de datos 2
36
2.6 Riesgo Potencial
2.6.1 Matriz de Riesgo Potencial
Una vez establecidos los criterios de impacto y probabilidad para cada amenaza identificada,
calculamos el nivel de riesgo potencial, el cual es el resultado de multiplicar el nivel de impacto
por el nivel de probabilidad.
El resultado de lo anterior debe clasificarse en base a la matriz potencial de riesgos, en la cual se
definieron los siguientes rangos:
Impacto
Muy Bajo Bajo Medio Alto Muy Alto
Probabilidad Valor 1 2 3 4 5
Muy Alta 5 5 10 15 20 25
Alta 4 4 8 12 16 20
Media 3 3 6 9 12 15
Baja 2 2 5 6 8 10
Muy Baja 1 1 2 3 4 5
Indicador Clasificación del Riesgo Rango
Mínimo 1-3
Considerable 4-8
Importante 9-12
Grave 15-25
37
2.6.2 Valoración de las Amenazas en base a Probabilidad e Impacto
Amenazas
Activo I N.P R.P Indicador
Cod. Descripción
A1 Daños por incendio 5 1 5 Considerable
A2 Daños por suministros de energía inestable 5 4 20 Grave
A3 Daños por humedad en las habitaciones 2 3 6 Considerable

Todos los
activos de la A4 Daños por desastres naturales 3 2 6 Considerable
empresa
A5 Robo de activos 2 3 6 Considerable
A6 Acceso no autorizado 2 2 4 Considerable
A12 Activos defectuosos 2 3 6 Considerable
Ciberataques(Virus, troyanos, gusanos,

A7 spyware, phishing, rootkit, keyloggers, 5 3 15 Grave
MTM)
A8 Ataques de denegación de servicio 3 2 6 Considerable

Computadoras
A9 Daños de hardware 2 3 6 Considerable
A10 Daños de software 2 3 6 Considerable
A11 Problemas de configuración 1 3 3 Mínimo
A9 Daños de hardware 1 2 2 Mínimo
A11 Problemas de configuración 1 3 3 Mínimo

Impresoras
multifuncional A13 Documentación impresa no reclamada 1 4 4 Considerable
es Daños por inseguridad de red de impresoras
A14 3 1 3 Mínimo
de impresoras
A15 Puertos de red abiertos 3 1 3 Mínimo
A16 Problemas o fallos de red 5 3 15 Grave

Gabinete de
A17 Sobrecargas en el activo 2 3 6 Considerable
Red Troncal
A18 Tener el gabinete de red sin identificación 1 2 2 Mínimo
38
para el mantenimiento por fallas en un cable
A16 Problemas o fallos de red 5 2 10 Importante

Gabinete de
Red A17 Sobrecargas en el activo de red 2 3 6 Considerable
Administrativo Tener el gabinete de red sin identificación
A18 1 2 2 Mínimo
para el mantenimiento por fallas en un cable
A6 Acceso no autorizado 3 2 6 Considerable

A7 spyware, phishing, rootkit, keyloggers, 4 3 12 Importante
Puntos de MTM)
Acceso
Inalámbricos A8 Ataques de denegación de servicio 3 2 6 Considerable
A11 Problemas de configuración 2 3 6 Considerable
A19 Intercepción de datos 3 2 6 Considerable
A7 Ciberataques 2 1 2 Mínima
A9 Daños de hardware 1 3 3 Mínima

Teléfonos IP
A10 Daños de software 1 3 3 Mínima
A11 Problemas de configuración 1 3 3 Mínima

A7 spyware, phishing, rootkit, keyloggers, 5 3 15 Grave
MTM)
Smartphones A9 Daños de hardware 2 4 8 Considerable
Personales
A10 Daños de software 2 2 4 Considerable
Instalar aplicaciones de terceros no

A20 1 4 4 Considerable
autorizadas

Conexiones de A7 spyware, phishing, rootkit, keyloggers, 5 2 10 Considerable
Energía y red MTM)
local Ethernet
A19 Intercepción de datos 2 2 4 Considerable
39
2.7 Número de amenazas por zona de riesgo y tipo de activo
En esta tabla se han seccionando por los riesgos y activos, primero se muestran todos los
riesgos mínimos seccionado por los activos y cada uno de los activos con sus riesgos, a posteriori
colocar la cantidad de riesgos que hay en cada activo, y así en cada uno de los 4 riesgos.
2.7.1 Número de amenazas por zona de riesgo y tipo de activo

Riesgos Mínimos
Activo Riesgo Total
Computadoras Problemas de configuración 1
Daños de hardware
Problemas de configuración
Impresoras multifuncionales 4
Daños por inseguridad de red de impresoras de
impresoras
Puertos de red abiertos
Gabinete de Red Troncal Tener el gabinete de red sin identificación para

1
el mantenimiento por fallas en un cable
Gabinete de Red Tener el gabinete de red sin identificación para

1
Administrativo el mantenimiento por fallas en un cable
Ciberataques
Daños de hardware
Teléfonos IP 4
Daños de software
Total de riesgos mínimos 11
Riesgos considerables
Daños por incendio
Daños por humedad en las habitaciones

Todos los activos de la empresa Daños por desastres naturales 6
Robo de activos
40
Acceso no autorizado
Activos defectuosos
Ataques de denegación de servicio
Computadoras Daños de hardware 3
Daños de software
Impresoras multifuncionales Documentación impresa no reclamada 1
Gabinete de Red Troncal Sobrecargas en el activo 1
Gabinete de Red
Sobrecargas en el activo de red 1
Administrativo
Acceso no autorizado
Ataques de denegación de servicio

Puntos de Acceso Inalámbricos 4
Intercepción de datos
Daños de hardware
Smartphones Personales Daños de software

3
Instalar aplicaciones de terceros no
autorizadas

Conexiones de Energía y red spyware, phishing, rootkit, keyloggers, MTM) 2
local Ethernet
Intercepción de datos
Total de riesgos considerables 21
Riesgos importantes
Gabinete de Red
Problemas o fallos de red 1
Administrativo
Puntos de Acceso Inalámbricos Ciberataques(Virus, troyanos, gusanos,

1
spyware, phishing, rootkit, keyloggers, MTM)
Total de riesgos importantes 8
Riesgos graves
41
Todos los activos de la empresa Daños por suministros de energía inestable 1
Computadoras 1
Gabinete de Red Troncal Problemas o fallos de red 1
Smartphones Personales Ciberataques(Virus, troyanos, gusanos,

1
Total de riesgos graves 4
2.9 Salvaguardas o controles existentes
Una vez especificados los riesgos potenciales de los activos, se prosigue en definir las
salvaguardas o controles existentes en la Institución para poder proteger o prevenir amenazas en
los activos, comenzando por especificar el tipo de activo, seguido de su posible amenaza, luego
se mencionan los salvaguardas que pueden ser útiles para combatir o prevenir dicha amenaza,
por consiguiente se determina el tipo de control, se especifica si la Institución cuenta con unas de
las mitigaciones que se mencionan y su nivel de efectividad.
2.9.1 Tabla de estimación de nivel de efectividad del control
Valor Descripción
Existe la probabilidad que falle el salvaguardas o no existe un control contra esta

1
amenaza
42
El salvaguardias es eficaz de manera parcial porque no se ha probado, pero podría
2
funcionar para combatir amenazas
El salvaguardias es comprobado que es óptimo y eficaz por lo que garantiza el

3
funcionamiento para combatir amenazas
2.9.2 Tabla de nivel de efectividad del salvaguarda existente
La Institución Nivel de
Tipo de
Activos Amenazas Salvaguardas cuenta con el Efectividad del
Salvaguardas
Salvaguarda Salvaguardas
Implementar detectores
de incendios
Daños por Reducción del
automáticos y Sí 2
incendio impacto
extintores que no usan
agua
Daños por
suministros Utilizar controladores
Prevención No 1
de energía de voltaje
inestable
Daños por
Cubrir las goteras para
humedad en
evitar filtraciones de Prevención Sí 3
las
agua
habitaciones
Protección contra
Todos los
Daños por rayos, alojamiento de
activos de la Reducción del
desastres sistemas informáticos No 1
empresa daño
naturales en lugares altos para
evitar inundaciones
Robo de Acceso restringido al

Prevención Sí 3
activos personal no autorizado.
Utilizar métodos de
autenticación para
ingresar a las
Acceso no instalaciones
Prevención No 1
autorizado restringidas de la
organización o acceso
no autorizado a los
sistemas informáticos
Activos Adquirir los activos en

Prevención Sí 3
defectuosos negocios confiables y
43
revisarlos previamente
a su compra
Ciberataques
(Virus,
troyanos, Implementar un
gusanos, software antivirus y
spyware, capacitar al personal Prevención Sí 2
phishing, sobre seguridad
rootkit, informática
keyloggers,
MTM)
Ataques de Usar sistemas de

denegación detección y prevención Prevención Sí 2
Computadora de servicio de intrusiones.
Mejorar la protección
Daños de Reducción del
del activo y su Sí 2
hardware daño
ubicación
Capacitar al personal
Daños de
para hacer un mejor Prevención Sí 2
software
uso del activo
Problemas de Probar los activos

configuració después de su Prevención Sí 3
n configuración
hardware daño
ubicación

n configuración
El personal autorizado
Impresoras retire la
multifuncional Documentaci documentación y la
Reducción del
es
ón impresa coloque en un lugar Sí 2
daño
no reclamada seguro dependiendo de
la confidencialidad de
la información
Daños por
Proteger la
inseguridad
información sensible Prevención Sí 2
de red de
en la cola del servidor
impresoras
44
Todos los datos
Puertos de
transmitidos sean Prevención Sí 2
red abiertos
encriptados
Verificar que los

puntos de red estén
Problemas o conectados, tampoco
Prevención Sí 2
fallos de red saturar la cantidad de
descargas en las
computadoras
No utilizar la red en
asuntos que son
Sobrecargas
Gabinete de innecesarias y pesados Prevención Sí 2
en el activo
para evitar que el
Red Troncal
activo sufra una caída
Tener el Verificar que los

gabinete de puntos de red estén
red sin conectados y usar un
identificación generador de tonos
Prevención Sí 2
para el sino desconectar cada
mantenimient cable uno por uno
o por fallas hasta identificar en
en un cable dónde está el fallo
Verificar que los

Problemas o conectados, tampoco
Prevención Sí 2
fallos de red saturar la cantidad de
descargas en las
computadoras
No utilizar la red en
asuntos que son
Gabinete de Sobrecargas
innecesarias y pesados Prevención Sí 2
Red en el activo
para evitar que el
Administrativo activo sufra una caída

gabinete de puntos de red estén
red sin conectados y usar un
identificación generador de tonos
Prevención Sí 2
para el sino desconectar cada
mantenimient cable uno por uno
o por fallas hasta identificar en
en un cable dónde está el fallo
Puntos de Acceso no Para evitar instalación Monitoreo No 1
45
Acceso autorizado de puntos de accesos
Inalámbricos no autorizados, se debe
configurar WLC con
políticas de puntos de
acceso y utilizar un
software de monitoreo
Ciberataques
(Virus,
troyanos, Tener una vigilancia en
gusanos, el monitoreo de
spyware, actividades en la red y Prevención Sí 2
phishing, que los usuarios estén
rootkit, autenticados.
keyloggers,
MTM)
Ataques de Usar sistemas de

denegación detección y prevención Prevención Sí 2
de servicio de intrusiones.

n configuración
Intercepción Los datos deben estar

Prevención Sí 2
de datos encriptados
Ciberataques sobre seguridad Prevención Sí 2
informática
hardware daño
ubicación
Teléfonos IP Capacitar al personal
Daños de
para hacer un mejor Prevención Sí 2
software
uso del activo

n configuración
Ciberataques Implementar un
Smartphones (Virus, software antivirus y
troyanos, capacitar al personal Prevención Sí 2
Personales
gusanos, sobre seguridad
spyware, informática
46
phishing,
rootkit,
keyloggers,
MTM)
hardware daño
ubicación
para hacer un mejor Sí 2
software daño
uso del activo
Restringir a los
empleados descargas
de aplicaciones no
Instalar deseadas, no compartir
aplicaciones datos sensibles por
de terceros apps de terceros, Monitoreo Sí 2
no monitorear las apps,
autorizadas asegurarse que todos
los datos compartidos
que son confidenciales
sean encriptados
Ciberataques
(Virus,
troyanos, Implementar un
gusanos, software antivirus y
Reducción del
Conexiones de spyware, capacitar al personal Sí 2
daño
Energía y red phishing, sobre seguridad
rootkit, informática
local Ethernet
keyloggers,
MTM)
Intercepción Los datos deben estar Reducción del

Sí 2
de datos encriptados daño
47
3. Gestión de Riesgos
3.1 Impacto Residual
El impacto residual es el daño sobre el activo debido a la materialización de la amenaza a pesar

del actuar de las salvaguardas que intentan mitigarla.
En esta tabla, se toman los valores de las tablas anteriores, dentro de los cuales encontramos las
amenazas, sus salvaguardas, la eficacia y el impacto potencial que se asignó a las mismas.
Para calcular el valor del impacto residual, es necesario dividir el impacto potencial entre la
eficacia de la salvaguarda.
¿Imple
Eficac Impacto
Activos Amenazas Salvaguardas Tipo mentad Impacto
ia Residual
o?
Implementar
detectores de
Reducció
Daños por incendios
n del Sí 2 5 2.5
incendio automáticos y
impacto
extintores que no
usan agua
Daños por
Utilizar
suministros de Prevenci
controladores de No 1 5 5
energía ón
voltaje
inestable
Todos los
Cubrir las goteras
activos de la Daños por
para evitar Prevenci
empresa humedad en las Sí 3 2 0.67
filtraciones de ón
habitaciones
agua
Protección contra
rayos, alojamiento
Daños por Reducció
de sistemas
desastres n del No 1 3 3
informáticos en
naturales daño
lugares altos para
evitar inundaciones
Robo de Acceso restringido Prevenci

Sí 3 2 0.67
activos al personal no ón
48
autorizado.
Utilizar métodos
de autenticación
para ingresar a las
instalaciones
Acceso no restringidas de la Prevenci
No 1 2 2
autorizado organización o ón
acceso no
autorizado a los
sistemas
informáticos
Adquirir los
activos en
negocios
Activos Prevenci
confiables y Sí 3 2
defectuosos ón 0.67
revisarlos
previamente a su
compra
Ciberataques(V
irus, troyanos, Implementar un
gusanos, software antivirus
spyware, y capacitar al Prevenci
Sí 2 5 2.5
phishing, personal sobre ón
rootkit, seguridad
keyloggers, informática
MTM)
Usar sistemas de
Ataques de
detección y Prevenci
denegación de Sí 2 3 1.5
prevención de ón
servicio
intrusiones.
Computadora
Mejorar la
Reducció
Daños de protección del
n del Sí 2 2 1
hardware activo y su
daño
ubicación
Capacitar al
Daños de personal para hacer Prevenci
Sí 2 2 1
software un mejor uso del ón
activo
Probar los activos

Problemas de Prevenci
después de su Sí 3 1 0.33
configuración ón
configuración
49
Mejorar la
Reducció
n del Sí 2 1 0.5
daño
ubicación
Probar los activos

configuración ón
configuración
El personal
autorizado retire la
Impresoras documentación y
Documentación Reducció
multifuncion la coloque en un
impresa no n del Sí 2 1 0.5
lugar seguro
ales reclamada daño
dependiendo de la
confidencialidad
de la información
Daños por Proteger la

inseguridad de información Prevenci
Sí 2 3 1.5
red de sensible en la cola ón
impresoras del servidor
Todos los datos

Puertos de red Prevenci
transmitidos sean Sí 2 3 1.5
abiertos ón
encriptados
Verificar que los

conectados,
Problemas o Prevenci
tampoco saturar la Sí 2 5 2.5
fallos de red ón
cantidad de
descargas en las
computadoras
No utilizar la red
en asuntos que son
Gabinete de Sobrecargas en innecesarias y Prevenci
Sí 2 2 1
Red Troncal el activo pesados para evitar ón
que el activo sufra
una caída

gabinete de red puntos de red estén
sin conectados y usar
Prevenci
identificación un generador de Sí 2 1 0.5
ón
para el tonos sino
mantenimiento desconectar cada
por fallas en un cable uno por uno
50
cable hasta identificar en
dónde está el fallo
Verificar que los

conectados,
Problemas o Prevenci
tampoco saturar la Sí 2 5 2.5
fallos de red ón
cantidad de
descargas en las
computadoras
No utilizar la red
en asuntos que son
Gabinete de Sobrecargas en innecesarias y Prevenci
Red Sí 2 2 1
el activo pesados para evitar ón
Administrati que el activo sufra
vo una caída
Verificar que los

Tener el
gabinete de red
conectados y usar
sin
un generador de
identificación Prevenci
tonos sino Sí 2 1 0.5
para el ón
desconectar cada
mantenimiento
cable uno por uno
por fallas en un
hasta identificar en
cable
dónde está el fallo
Para evitar
instalación de
puntos de accesos
no autorizados, se
Acceso no debe configurar Monitore
No 1 3 3
autorizado WLC con políticas o
de puntos de
acceso y utilizar un
software de
Puntos de
monitoreo
Acceso
Inalámbricos Ciberataques(V
Tener una
irus, troyanos,
vigilancia en el
gusanos,
monitoreo de
spyware, Prevenci
actividades en la Sí 2 4 2
phishing, ón
red y que los
rootkit,
usuarios estén
keyloggers,
autenticados.
MTM)
51
Usar sistemas de
Ataques de
denegación de Sí 2 3 1.5
prevención de ón
servicio
intrusiones.
Probar los activos

configuración ón
configuración
Intercepción de Los datos deben Prevenci

Sí 2 3 1.5
datos estar encriptados ón
Capacitar al
personal sobre Prevenci
Ciberataques Sí 2 2 1
seguridad ón
informática
Mejorar la
Reducció
n del Sí 2 1 2
daño
ubicación
Teléfonos IP
Capacitar al
Daños de personal para hacer Prevenci
Sí 2 1 2
software un mejor uso del ón
activo
Probar los activos

configuración ón
configuración
Ciberataques(V
spyware, y capacitar al Prevenci
Sí 2 5 2.5
phishing, personal sobre ón
rootkit, seguridad
keyloggers, informática
MTM)
Smartphones Mejorar la
Personales Reducció
n del Sí 2 2 1
daño
ubicación
Capacitar al
Reducció
Daños de personal para hacer
n del Sí 2 2 1
software un mejor uso del
daño
activo
52
Restringir a los
empleados
descargas de
aplicaciones no
deseadas, no
Instalar compartir datos
aplicaciones de sensibles por apps Monitore
Sí 2 1 0.5
terceros no de terceros, o
autorizadas monitorear las
apps, asegurarse
que todos los datos
compartidos que
son confidenciales
sean encriptados
Ciberataques(V
Reducció
spyware, y capacitar al
Conexiones n del Sí 2 5 2.5
phishing, personal sobre
de Energía y daño
rootkit, seguridad
red local keyloggers, informática
Ethernet MTM)
Reducció
Intercepción de Los datos deben
n del Sí 2 2 1
datos estar encriptados
daño
53
3.2 Tabla de Impacto Residual y Riesgo Residual
En la siguiente tabla, se clasifica cada amenaza según el riesgo residual. Se toman como base los
valores de Impacto residual obtenidos en la sección anterior, así como la probabilidad de que
cada amenaza se materialice.
Para calcular el riesgo residual, se multiplica la probabilidad por el impacto residual, y dicho
valor se clasifica según los detalles de la sección 2.6.1.
Impact
Zona de
o Probabi Riesgo
Activos Amenazas Salvaguardas Tipo Riesgo
Residu lidad Residual
Residual
al
Implementar
detectores de
Reducci
Daños por incendios
ón del 2.5 1 2.5 Mínimo
incendio automáticos y
impacto
extintores que no
usan agua
Daños por Utilizar

Prevenci
suministros de controladores de 5 5 25 Grave
ón
energía inestable voltaje
Cubrir las goteras

Daños por
para evitar Prevenci
humedad en las 0.67 1 0.67 Mínimo
filtraciones de ón
Todos los habitaciones
agua
activos de
la Protección contra
empresa rayos,
alojamiento de
Reducci
Daños por sistemas
ón del 3 2 6 Considerable
desastres naturales informáticos en
daño
lugares altos para
evitar
inundaciones
Acceso
restringido al Prevenci
Robo de activos 0.67 1 0.67 Mínimo
personal no ón
autorizado.
Acceso no Utilizar métodos Prevenci 2 1 2 Mínimo
54
autorizado de autenticación ón
para ingresar a
las instalaciones
restringidas de la
organización o
acceso no
autorizado a los
sistemas
informáticos
Adquirir los
activos en
negocios
Activos Prevenci
confiables y 0.67 1 0.67 Mínimo
defectuosos ón
revisarlos
previamente a su
compra
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y
gusanos, spyware, Prevenci
capacitar al 2.5 3 7.5 Considerable
phishing, rootkit, ón
personal sobre
keyloggers,
seguridad
MTM)
informática
Usar sistemas de
Ataques de
denegación de 1.5 2 3 Mínimo
prevención de ón
servicio
intrusiones.
Computa
dora Mejorar la
Reducci
ón del 1 2 2 Mínimo
daño
ubicación
Capacitar al
personal para Prevenci
Daños de software 1 2 2 Mínimo
hacer un mejor ón
uso del activo
Probar los activos

después de su 0.33 1 0.33 Mínimo
configuración ón
configuración
Mejorar la
Reducci
Impresora Daños de protección del
ón del 0.5 2 1 Mínimo
s hardware activo y su
daño
multifunc ubicación
55
ionales Probar los activos
después de su 0.5 2 1 Mínimo
configuración ón
configuración
El personal
autorizado retire
la documentación
Documentación y la coloque en Reducci
impresa no un lugar seguro ón del 0.5 1 0.5 Mínimo
reclamada dependiendo de daño
la
confidencialidad
de la información
Proteger la
Daños por
información Prevenci
inseguridad de red 15 1 1.5 Mínimo
sensible en la ón
de impresoras
cola del servidor
Todos los datos

Puertos de red Prevenci
transmitidos sean 1.5 1 1.5 Mínimo
abiertos ón
encriptados
Verificar que los

puntos de red
estén conectados,
Problemas o fallos Prevenci
tampoco saturar 2.5 2 5 Considerable
de red ón
la cantidad de
descargas en las
computadoras
No utilizar la red
en asuntos que
son innecesarias
Sobrecargas en el Prevenci
Gabinete y pesados para 1 1 1 Mínimo
activo ón
de Red evitar que el
activo sufra una
Troncal caída
Verificar que los

puntos de red
Tener el gabinete estén conectados
de red sin y usar un
identificación para generador de Prevenci
0.5 1 0.5 Mínimo
el mantenimiento tonos sino ón
por fallas en un desconectar cada
cable cable uno por
uno hasta
identificar en
56
dónde está el
fallo
Verificar que los

puntos de red
estén conectados,
Problemas o fallos Prevenci
tampoco saturar 2.5 1 2.5 Mínimo
de red ón
la cantidad de
descargas en las
computadoras
No utilizar la red
en asuntos que
son innecesarias
Sobrecargas en el Prevenci
y pesados para 1 1 1 Mínimo
Gabinete activo ón
evitar que el
de Red activo sufra una
Administr caída
ativo
Verificar que los
puntos de red
estén conectados
Tener el gabinete y usar un
de red sin generador de
identificación para tonos sino Prevenci
0.5 1 0.5 Mínimo
el mantenimiento desconectar cada ón
por fallas en un cable uno por
cable uno hasta
identificar en
dónde está el
fallo
Para evitar
instalación de
puntos de accesos
no autorizados,
se debe
Acceso no Monitor
configurar WLC 3 1 3 Mínimo
Puntos de autorizado con políticas de
eo
Acceso puntos de acceso
Inalámbri y utilizar un
cos software de
monitoreo
Ciberataques(Viru Tener una

s, troyanos, vigilancia en el Prevenci
2 2 4 Considerable
gusanos, spyware, monitoreo de ón
phishing, rootkit, actividades en la
57
keyloggers, red y que los
MTM) usuarios estén
autenticados.
Usar sistemas de
Ataques de
denegación de 1.5 2 3 Mínimo
prevención de ón
servicio
intrusiones.
Probar los activos

configuración ón
configuración
Intercepción de Los datos deben Prevenci

1.5 1 1.5 Mínimo
datos estar encriptados ón
Capacitar al
personal sobre Prevenci
Ciberataques 1 1 1 Mínimo
seguridad ón
informática
Mejorar la
Reducci
ón del 2 2 4 Considerable
daño
Teléfonos ubicación
IP Capacitar al
personal para Prevenci
Daños de software 2 2 4 Considerable
hacer un mejor ón
uso del activo
Probar los activos

configuración ón
configuración
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y
gusanos, spyware, Prevenci
capacitar al 2.5 2 5 Considerable
phishing, rootkit, ón
personal sobre
Smartpho keyloggers,
seguridad
nes MTM)
informática
Personale
s Mejorar la
Reducci
daño
ubicación
Daños de software Capacitar al Reducci 1 2 2 Mínimo
58
personal para ón del
hacer un mejor daño
uso del activo
Restringir a los
empleados
descargas de
aplicaciones no
deseadas, no
compartir datos
Instalar sensibles por
aplicaciones de apps de terceros, Monitor
0.5 2 1 Mínimo
terceros no monitorear las eo
autorizadas apps, asegurarse
que todos los
datos
compartidos que
son
confidenciales
sean encriptados
Implementar un
Ciberataques(Viru
software
s, troyanos,
antivirus y Reducci
Conexion gusanos, spyware,
capacitar al ón del 2.5 1 2.5 Mínimo
es de phishing, rootkit,
personal sobre daño
Energía y keyloggers, seguridad
MTM)
red local informática
Ethernet
Reducci
Intercepción de Los datos deben
datos estar encriptados
daño
59
3.3 Comunicación del riesgo y recomendaciones
Tomando en cuenta la matriz de impacto residual, tabla 3.2, se recomienda que los riesgos que
se encuentran en zona de riesgo residual “Mínimo” y “Considerable” se estimen como
admisibles siempre y cuando exista una medida de control y solución en caso que pueda
perjudicar a gran escala la institución. Si la zona de riesgo es “Importante” y “Grave”, se
recomienda que se ejecute un plan de acción para solucionar los problemas que puedan indicar
un mayor impacto de daño en la institución.
Las recomendaciones para solucionar los riesgos “Mínimo”, “Considerable”, “Importante” y

“Grave” son:
● Velar por el cumpliento de las políticas de seguridad del centro de datos de la institución
● Mejorar la protección de los activos
● Capacitar al personal laboral para hacer un mejor uso de los activos y acerca del tema de
seguridad informática
● Utilizar softwares de monitoreo, incidencias y de prevención de intrusiones
Se debe priorizar en orden jerárquico la zona de riesgo “Mínimo”, “Considerable”, “Importante”

y “Grave” con mayor cantidad de incidencias de la tabla 2.7.1 para poder ser solucionado en
caso que se quiera actuar de manera inmediata y no se pueda brindar soporte a todos los riesgos
al mismo tiempo.
3.3.1 Tratamiento del riesgo
En la institución se han encontrado posibles amenazas para los activos en el departamento de TI

y se han brindado los riesgos que estos pueden traer a la institución, la acción a tomar para
salvaguardar los activos, la debilidad que implican las amenazas y las fortalezas que se cuentan
para prevenir dichas amenazas.
60
Amenaza Fortaleza Riesgo Debilidad Acción
Daños generados por

la incorrecta
Implementar
instalación o No contar con la
Tener extintores detectores de
manipulación del implementación
que no usan agua incendios
Daños por incendio hardware de los de detectores de
en las oficinas de la automáticos y
activos produciendo incendios o
institución extintores que no
chispas o rociadores
usan agua
cortocircuitos que
generen fuego.
Daños producidos No contar con

Tener un sistema de
Daños por por las fluctuaciones una medida de Utilizar
alimentación
suministros de de tensión eléctrica seguridad para controladores de
ininterrumpida
energía inestable del suministro de controlar el voltaje
(UPS)
energía pública voltaje
Agrietamiento,
Daños producidos
Aplicación de moho en las Cubrir las goteras
por goteras y
Daños por humedad pintura selladora a paredes para evitar
filtraciones de agua
en las habitaciones las paredes y cubrir causadas por las filtraciones de
dentro de las
goteras filtraciones de agua
instalaciones
agua
● Tener que
desconectar
Protección contra
Daños graves los servicios
rayos, alojamiento
Mantener los producidos por de energía
Daños por desastres de sistemas
activos en áreas tormentas eléctricas, eléctrica
naturales informáticos en
seguras granizadas e ● Evacuar el
lugares altos para
inundaciones edificio si es
evitar inundaciones
necesario
● Contratación de ● Verificar en el
guardia de inventario qué
seguridad para activos se
Daños producidos
el manejo de las robaron y
por acceso no
personas que cuántos
autorizado a las Falta de
entran y salen ● Acceso
instalaciones de la instalación de
Robo de Activos del edificio restringido al
organización o hurto cámaras de
● Tener un control personal no
por parte de los seguridad
del personal que autorizado
propios trabajadores
labora en las ● Asegurar a los
de la institución
instalaciones del activos con
edificio mayor valor en
áreas
61
restringidas
● Tener cámaras
de seguridad en
las instalaciones
del edificio
Daños producidos
Utilizar métodos
por el acceso de
● Tener un control de autenticación
personal no
del personal que No contar con para ingresar a las
autorizado a
labora en las métodos de instalaciones
instalaciones
Acceso no instalaciones del autentificación a restringidas de la
restringidas de la
autorizado edificio las áreas organización o
organización o
● Respetar restringidas del acceso no
acceso no autorizado
políticas de edificio autorizado a los
a los sistemas
seguridad sistemas
informáticos de la
informáticos
organización
● Software
Daños producidos ● Establecer
antivirus
Ciberataques(Virus, por cualquier tipo de Información políticas de uso
implementado
troyanos, gusanos, ciberataque a la importante o de las
● Personal
spyware, phishing, organización que activos computadoras
capacitado para
rootkit, keyloggers, ponga en peligro la corruptos por ● Capacitar al
soporte técnico
MTM) integridad de los ciberataques personal sobre
sistemas seguridad
informática
● Personal
capacitado para
Daños producidos
soporte técnico
por la interrupción
● Sistemas de
de cualquiera de los No contar con
detección y Asegurarse que el
servicios un sistema de
Ataques de prevención de ataque ha
informáticos de la mitigación de
denegación de intrusiones que finalizado
organización ataques
servicio alerte si se haciendo uso del
producidos por un mediante
detectan intentos anti-DDoS
atacante interno o anti-DDoS
de acceso no
externo
autorizado o mal
intencionalmente
uso de
protocolos
Daños producidos
● Personal El activo no
por la mala ● Mantener el
capacitado para tenga reparación
manipulación o activo en un
Daños de hardware soporte técnico y deba ser
circunstancias no lugar seguro,
● Personal sustituido por
controlables que exento de caídas
Capacitado para uno nuevo
produzcan una mala y golpes
62
hacer un mejor función en un equipo ● Realizar
uso del activo de la organización mantenimiento
periódicamente
● Mantener
sistemas
● Herramienta de
Daños producidos operativos
soporte de TI,
por la mala actualizados
incidencias y
manipulación o El activo no ● Tener un control
soporte técnico
circunstancias no regrese a su de programas
● Personal
controlables que operación instalados
Daños de software capacitado para
produzcan una mala normal y deba ● Proteger el
soporte técnico
función en un ser sustituido sistema con
● Personal
elemento de por uno nuevo antivirus
Capacitado para
software de la ● Capacitar al
hacer un mejor
organización personal para
uso del activo
hacer un mejor
uso del activo
Daños producidos
● Aplicación de por la incorrecta Verificar
configuración configuración del nuevamente el
Verificar
adecuada y software o equipos proceso de
periódicamente
necesaria con que cuenta la configuración y
Problemas de el
● Verificación organización que sino funciona el
configuración funcionamiento
constante del producen cortes activo, devolver
óptimo del
óptimo inmediatos o futuros el dispositivo a
dispositivo
funcionamiento en el desarrollo de la tienda donde
del dispositivo las actividades de la fue adquirida
organización
Adquirir los
El activo no
Daños producidos activos en
tenga una
Adquisición de los por productos negocios
operación
Activos defectuosos activos en negocios defectuosos confiables y
normal y deba
confiables entregados por los revisarlos
ser sustituido
proveedores previamente a su
por uno nuevo
compra
Daños producidos El personal

por posible autorizado retire la
Cada personal
exposición de documentación y
Documentación laboral se hace Documentación
información la coloque en un
impresa no responsable su importante
confidencial dejada lugar seguro
reclamada documentación extraviada
en las bandejas de dependiendo de la
impresa
impresión de las confidencialidad
impresoras de la información
63
multifuncionales
Daños producidos
● Robo de
por la exposición de Proteger la
Daños por Personal capacitado información
los archivos no información
inseguridad de red para soporte ● Daño de
protegidos en los sensible en la cola
de impresoras técnico información
servidores de colas del servidor
de impresión
● Personal ● Explotar la
capacitado para Daños producidos vulnerabilida
soporte técnico por el acceso no d de
Todos los datos
Puertos de red ● Políticas de autorizado vía los seguridad
transmitidos sean
abiertos seguridad de puertos de red de los ● Ataques de
encriptados
usos restrictivos routers de la denegación
de puertos de los organización. de servicio
routers
Daños que se
producen por el Verificar que los
funcionamiento puntos de red estén
● Robo de
● Personal deficiente de los conectados,
Problemas o fallos información
capacitado para routers, switches o tampoco saturar la
de red ● Daño de
soporte técnico proveedores del cantidad de
información
servicio de red local descargas en las
y para acceso a computadoras
internet.
Daños producidos
por el uso indebido
de los recursos de No utilizar la red
Sistemas red utilizándolos en asuntos que son
Caída del activo
Sobrecargas en el informáticos de alta para fines innecesarias y
en horas pico
activo de red disponibilidad y incorrectos o no pesados para evitar
laborales
alta fiabilidad autorizados que el activo sufra
produciendo cortes e una caída
interferencias en el
servicio.
Daños producidos ● Verificar que los

por el retraso en el puntos de red
Tener el gabinete de
Puntos de red mantenimiento o estén
red sin
identificados tanto reparación de los No contar con conectados
identificación para
en el patch panel servicios de red un generador de ● Desconectar
el mantenimiento
como en el lado producido por la tonos cada cable uno
por fallas en un
usuario insuficiente por uno hasta
cable
identificación de los identificar en
componentes dónde está el
64
internos de un fallo
gabinete de red.
● Considerar el
uso de AP
Isolation para
los dispositivos
más sensibles
Daños producidos
● Configurar la
por la utilización de
autodefensa
malware
● Datos cifrados ● Robo de basada en AI de
malintencionado
Intercepción de con WPA 3 o información los routers
para interceptar
datos cifrado WEP ● Daño de Cisco Meraki.
datos que se
Empresarial información ● Verificar
transfieren entre los
mediante un
dispositivos de la
escaneo de red
organización.
el dispositivo/IP
de donde se está
realizando el
ataque.
● Restringir a los
empleados
● Personal Daños a los equipos
descargas de
Capacitado para consecuencia de la
aplicaciones no
hacer un mejor instalación de ● Robo de
Instalar aplicaciones deseadas
uso del activo aplicaciones de información
de terceros no ● No compartir
● Cada personal terceros no ● Daño de
autorizadas datos sensibles
laboral se hace autorizadas en las información
por apps de
responsable de computadoras de los
terceros
su activo empleados.
● Monitorear las
apps
3.4 Costos en Seguridad Informática
A continuación, se presentará un estimado de los costos posibles que World Vision tendría que
incurrir para que las amenazas, riesgos y defectos sean solucionados. Además se incluye el coste
de la consultoría aplicada por nuestro grupo para la elaboración de este informe de análisis y
gestión de riesgos.
65
Nota: Cabe recalcar que no todos los elementos son requisitos inmediatos ya que muchas de las
amenazas son planteadas a futuro por lo que no incurre en un costo exacto en un periodo de
tiempo específico.
Valor Valor
Amenaza Solución Cant Precio Ud. Valor Anual
Mensual Instantáneo
Comprar extintores a L. 2,500.00

4 L. 950.00 N/A L. 3,800.00
base de C02 (Revisión)
Daños por incendio Comprar detectores
de humo e incendios 4 L. 1,000.00 N/A N/A L. 4,000.00
automáticos
Comprar un sistema
Daños por de alimentación
suministros de ininterrumpida con 4 L. 3,000.00 N/A N/A L. 12,000.00
energía inestable controlador de
voltaje automático
Aplicación de pintura
Daños por
selladora a las
humedad en las - L. 10,000 N/A N/A L. 10,000.00
paredes y cubrir
habitaciones
goteras
Implementar
Daños por
protección contra 1 L. 40,000 N/A N/A L. 40,000.00
desastres naturales
rayos
● Tener un control
del personal que
labora en las
Robo de Activos instalaciones del 4 L. 6,000.00 N/A N/A L. 6,000.00
edificio via
controles
biométricos
Ciberataques(Virus
● Software antivirus
, troyanos,
implementado
gusanos, spyware, 22 L. 1,000.00 N/A L. 1,000.00 N/A
phishing, rootkit,
keyloggers, MTM)
● Sistemas de Inclu
Ataques de
detección y ido
denegación de N/A N/A N/A N/A
prevención de con
servicio
intrusiones que Fire
66
alerte si se wall
detectan intentos
de acceso no
autorizado o mal
uso de protocolos
● Personal
capacitado para
soporte técnico
Daños de hardware ● Personal - L. 3,000.00 N/A L. 3,000.00 N/A
Capacitado para
hacer un mejor
uso del activo
● Herramienta de
soporte de TI,
incidencias y
soporte técnico
● Personal
Daños de software capacitado para - L. 5,000.00 N/A N/A L. 5,000.00
soporte técnico
● Personal
Capacitado para
hacer un mejor
uso del activo
● Aplicación de
configuración
adecuada y
necesaria
Problemas de
● Verificación - L. 3,000.00 N/A L. 3,000.00 N/A
configuración
constante del
óptimo
funcionamiento
del dispositivo
Personal Capacitado
Documentación
para hacer una
impresa no - L. 3,000.00 N/A L. 3,000.00 N/A
prevención correcta
reclamada
Daños por
Personal capacitado
inseguridad de red - L. 3,000.00 N/A L. 3,000.00 N/A
para soporte técnico
de impresoras
● Personal
Puertos de red
capacitado para - L. 3,000.00 N/A L. 3,000.00 N/A
abiertos
soporte técnico
67
● Políticas de
seguridad de usos
restrictivos de
puertos de los
routers
● Personal
Problemas o fallos
capacitado para - L. 3,000.00 N/A L. 3,000.00 N/A
de red
soporte técnico
Sistemas
Sobrecargas en el informáticos de alta L.
- N/A N/A L. 10,000.00
activo de red disponibilidad y alta 10,000.00
fiabilidad
Tener el gabinete
Puntos de red
de red sin
identificados tanto en
identificación para
el patch panel como 1 L. 2,800.00 N/A N/A L. 2,800.00
el mantenimiento
en el lado usuario,
por fallas en un
generador de tonos
cable
Inclu
Datos cifrados con ido
Intercepción de
WPA 3 o cifrado con N/A N/A N/A N/A
datos
WEP Empresarial los
AP
● Personal
Capacitado para
Instalar hacer un mejor
aplicaciones de uso del activo
- L.3,000.00 N/A N/A L. 3,000.00
terceros no ● Cada personal
autorizadas laboral se hace
responsable de su
activo
Precio de honorarios
Valor de la del informe y las L.
- N/A N/A L. 40,000.00
consultoría recomendación 40,000.00
descritas
L.
Total L. 18,500.00
163,600.00
68
3.5 Conclusiones y Recomendaciones
3.5.1 Conclusiones
● Durante el desarrollo del estudio de seguridad informática en la institución World

Vision/Programa Integrado Lenca, se lograron identificar y valorar los elementos
informáticos (equipos, activos) que sirven de principal soporte para la realización de las
actividades laborales e institucionales.
● Se identificaron y clasificaron las amenazas que pueden llegar a afectar a los dispositivos
informáticos dentro de la institución, de la misma manera se estimó la probabilidad de
que dichas amenazas se materialicen tomando como referencia las condiciones y las
incidencias anteriores que han existido en el contexto institucional.
● En base a una matriz de riesgo potencial, las amenazas fueron clasificadas y analizadas
considerando que las mismas puedan materializarse dentro de la institución, dando como
resultados un total de 6 amenazas cuyo indicador es Grave o Importante.
● La identificación y descripción de las amenazas que pueden afectar la integridad de los

sistemas informáticos brinda un contexto más claro sobre Seguridad Informática a los
encargados de T.I, quienes en base a estos detalles, pueden planear y ejecutar actividades
destinadas a mitigar o incluso eliminar la posibilidad de que dichas amenazas se
materialicen, evitando así que causen pérdidas significativas tanto económicas como de
tiempo en la organización.
● La tecnología y los sistemas informáticos son elementos que cambian o mejoran

constantemente, sin embargo, esta continua evolución brinda a su vez nuevas técnicas
que pueden ser consideradas como amenazas, mismas que pueden ser utilizadas por
personas con intención de dañar la integridad de la infraestructura tecnológica de una
institución.
● Mantener una seguridad robusta y confiable en los sistemas informáticos es una tarea que
debe desarrollarse en conjunto con todos los usuarios de tecnologías de la información.
dentro de la institución, por lo que es necesario capacitar constantemente a cada miembro
del personal, con el fin de mantenerlos informados sobre los nuevos riesgos o amenazas
de la información.
69
3.5.2 Recomendaciones
● Es necesario realizar acciones o implementar medidas para mitigar o eliminar el riesgo de

que las amenazas se materialicen, en especial aquellas cuya clasificación es Grave o
Importante, puesto que representan un peligro para la integridad tecnológica de la
institución.
● Si bien algunas amenazas no tienen altas probabilidades de materializarse, es necesario

contemplar medidas que deben actuar en caso de que sucedan. Es importante mencionar
que, a pesar de un bajo nivel de probabilidad, algunas podrían significar un impacto
significativo a toda la institución.
● La constante actualización y capacitación sobre las nuevas amenazas del mundo

tecnológico es un factor fundamental para reducir la probabilidad de que las mismas
sucedan, por lo que es considerable realizar alguna de ellas cada 4 - 6 meses o cuando
surjan novedades importantes.
● El monitoreo constante de las medidas implementadas o existentes debe ser permanente.

De esta manera se garantiza que los controles siguen vigentes y puedan ser efectivos en
caso de un incidente inesperado.
● Debido a que no todo el trabajo suele hacerse directamente desde las instalaciones de la
Institución, los dispositivos que utilizan los usuarios, como computadoras y teléfonos,
deben estar actualizados de acuerdo a las últimas tendencias de seguridad, así como a las
últimas versiones o parches ofrecidos por los proveedores de sistemas operativos o el
mismo fabricante del equipo.
70
Bibliografía
● Vieites, G. A. (2022). Enciclopedia de la seguridad informática (2.a ed.). Ra-Ma.
● Eset Security. (2013, 14 mayo). MAGERIT: metodología práctica para gestionar riesgos.
We Live Security - Eset.
https://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-ges
tionar-riesgos/
● Ambit Team. (s. f.). ¿Para qué sirve un SGSI? Controles y fases. Ambit. Recuperado 4 de
mayo de 2021, de
https://www.ambit-bst.com/blog/para-qu%C3%A9-sirve-un-sgsi-controles-y-fases
● Dirección General de Modernización Administrativa, Procedimientos e Impulso de la
Administración Electrónica. (2013). MAGERIT – versión 3.0 Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información Libro 1 (3.a ed.). Ministerio de
Hacienda y Administraciones Públicas.
71

Propuesta Análisis y Evaluación de Riesgo - Entregable Final Equipo 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Propuesta Análisis y Evaluación de Riesgo - Entregable Final Equipo 3

Cargado por

Copyright:

Formatos disponibles

Universidad Católica de Honduras

“Nuestra Señora Reina de la Paz”

Propuesta Análisis y Evaluación de Riesgo - Entregable Final

World Vision/Programa Integrado Lenca

Asignatura: Seguridad Informática y Gestión de Riesgo (IF360)

Catedrático: Ing. Blanca Patricia Medina Hernandez

Nombre No. de Cuenta

Andrea Saroginny Montalvo Castro 0801-2000-21834

Yessy Danira Tinoco Vasquez 1305-2002-00353

Hacknel Alexis Reyes 1001–2001-00363

Oscar Josué Mejía Serén 1001-2002-00094

● Desarrollar un análisis de seguridad informática en la institución “World Vision/Programa

datos implementando la Metodología de Análisis y Gestión de Riesgos de los Sistemas de

● Planificar un estudio de seguridad informática para la institución World Vision/Programa

● Realizar la valoración de los activos informáticos de la institución.

el uso e implementación de este tipo de sistemas o elementos computacionales. Tiempo atrás,

amenazas o factores de riesgo también lo han hecho. Actualmente, se desarrollan miles de

problemas informáticos que pueden afectar negativamente a cualquier entidad

graves de datos o información, filtración, robo o publicación de detalles confidenciales,

otras consecuencias. Algunas de estas, pueden afectar negativamente a la economía de la

institución, así como a su imagen ante la sociedad.

de información y que la misma es fundamental para el desarrollo óptimo de sus actividades

controlado, garantizando así la confiabilidad, disponibilidad e integridad de la información.

eliminar completamente aquellas vulnerabilidades y amenazas a las cuales está expuesto el

equipo de cómputo. La importancia de mantener la seguridad informática en óptimas

conocidas, como las desconocidas.

involucren factores informáticos.

La información que circula a diario en los medios informáticos dentro de la empresa a

estudiar es de suma importancia, por lo que mantenerla íntegra, disponible y confiable es un

afectar incluso a otras entidades de forma indirecta.

Desarrollar las actividades productivas de la institución en un entorno informático seguro,

involucrados, como a la institución en general.

Seguridad informática también llamada “ciberseguridad” es cualquier medida que impida la

ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos

puedan conllevar a daños sobre la información, comprometer su confidencialidad, autenticidad o

integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados.

funcional. Una metodología de análisis de riesgos es un procedimiento mediante el cual se

información necesaria que sirva de lumbrera para saber si la situación es conveniente o no

la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido

riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de

las amenazas y/o el nivel de impacto en la organización.

sistema informático, causando un determinado impacto en la organización. El nivel de riesgo

impacto que estas puedan tener en el funcionamiento de la organización.

El sistema de seguridad de la información o SGSI (Information Security Management System)

manejan en una empresa. El SGSI es un elemento fundamental de la norma internacional ISO

27001 (Sistemas de Gestión de la Seguridad de la Información), que persigue asegurar la

integridad y confidencialidad de los datos y los sistemas encargados de procesarlos.

la información, que es un estándar a nivel internacional para proteger la privacidad e integridad

elaborada por el Consejo Superior de Administración Electrónica de España, que ofrece un

técnicas y ejemplos de cómo realizar el análisis de riesgos.

una identificación clara de las medidas preventivas y correctivas más apropiadas.

Internacional de Normalización y la Comisión Electrotécnica Internacional (IEC). La norma ISO

aplicación de técnicas de evaluación de riesgos.

● Evaluación de riesgos (identificación de riesgos, análisis de riesgos, evaluación de

organizaciones de cualquier tipo y tamaño.

metas del negocio y su dependencia a los elementos tecnológicos.

● Incluir métricas, adopción evolutiva y mejora continua. Partiendo de la premisa de que lo

que no se mide no se puede mejorar.

● Flexibilidad, al adaptarse a distintas capacidades de inversión. (Open Source queda

perfecto). La idea es poder hacer inversiones programadas. Existen muchísimas

soluciones de Seguridad OpenSource que requieren muy poca inversión (OSSIM,

estamos dispuestos a apoyar en todo el proceso.

● Crear un ecosistema alrededor de ISM3 (COBIT, ISO2700 etc.). Permite establecer la