Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ALCANCE
El documento aborda resultados obtenidos del estudio de la
Ciberseguridad en el área de TI, siendo aplicado en los servicios del
portal Web y cuya disponibilidad del informe se limita a los
colaboradores de la Gerencia de Sistemas, Telecomunicaciones.
1
Actividades
Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar
NIVEL DE RIESGO
Nive Descripción Descripción
l Criterio (NEGATIVO) (POSITIVO)
Genera un alto impacto
(legal, imagen, económico,
operativo) a la
organización y es muy
Es aquel riesgo que al
probable que ocurran.
presentarse puede
Aquel riesgo que al
generar grandes
presentarse puede causar
5 EXTREMA beneficios para la
una afectación directa a la
compañía y el
estrategia empresarial, no
cumplimiento de los
se debe continuar con las
objetivos empresariales.
actividades hasta que se
© Universidad Internacional de La Rioja realicen acciones que
(UNIR) aporten a la mitigación del
mismo.
Genera un impacto (legal, Es aquel riesgo que al
imagen, económico, presentarse potenciaría
operativo) a la los procesos de negocio,
4 ALTA
organización, y es más se debe analizar el costo
probable que ocurran. del aprovechamiento y el
Aquel riesgo que al beneficio que daría a la
2
Actividades
Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar
presentarse puede
originar una afectación a
los procesos de negocio,
se debe realizar acciones
correctivas a corto o
institución aprovecharlo.
mediano plazo a fin de
mitigar el nivel de riesgo e
iniciar acciones
preventivas con el fin que
el riesgo no se manifieste.
Genera un impacto (legal,
imagen, económico,
operativo) a la
organización, y es Es aquel riesgo que al
probable que ocurran presentarse potenciaría
ocasionalmente. Aquel los procesos de soporte,
MODERAD
3 riesgo que al presentarse se debe analizar el costo
O
puede originar una del aprovechamiento y el
afectación a los procesos beneficio que daría a la
de soporte, se debe tomar institución aprovecharlo.
acciones a mediano o
largo plazo a fin de que el
riesgo no se manifieste.
Genera bajo impacto a la
Es aquel riesgo que al
organización y es poco
presentarse genera
probable que ocurran.
oportunidades en la
Aquel riesgo que al
prestación del servicio de
presentarse no genera
2 BAJO la organización, las
afectación en prestación
cuales no impacta
de servicio de la
sustancialmente en los
organización. Se
requisitos de las partes
recomienda actividades de
interesadas.
retención del riesgo.
No generan impacto a la
organización y es
improbable que ocurra.
Es aquel riesgo que al
Aquel riesgo que al
presentarse, su
presentarse no afecta el
aprovechamiento no
1 MUY BAJO funcionar de la
afecta sustancialmente
organización. Se pueden
los objetivos
continuar con las
institucionales.
© Universidad Internacional de La Rioja actividades sin llevar a
(UNIR) cabo controles
adicionales.
3
Actividades
Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar
MAPA DE RIESGO
IMPACTO
PROBABILIDAD Insignificant Menor Moderad Catastrófico
Mayor (4)
e (1) (2) o (3) (5)
Raro (1) 1 2 3 4 5
Improbable (2) 2 4 6 8 10
© Universidad Internacional
Posible (3) de La Rioja 3 6 9 12 15
(UNIR)
Probable (4) 4 8 12 16 20
NIVELES DE RIESGO
4
Actividades
Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar
NIVEL DE
NIVEL DE EXPOSICIÓN AL
TOLERANCI ESTRATÉGIA
RIESGO
A
AMENAZAS
Fallo de servicios de
comunicaciones
Errores de los usuarios
Errores del
administrador
Difusión de software
dañino
Alteración accidental de
la información
Destrucción de
información
Caída del sistema por
agotamiento de recursos
Denegación de servicio
Ataque destructivo
Exposición de datos
sensibles
COMPONENTES
Personal
Infraestructura
(Edificios)
Recursos de trabajo
Registros vitales
Equipos de TI
© Universidad Internacional(Servidores)
de La Rioja
(UNIR)
Proveedores
Software de Desarrollo
(Java)
Hosting
5
Actividades
Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar
6
Actividades
MATRIZ DE RIESGO
IDENTIFIC ANÁL EVALUAC TRATAMIENTO DE RIESGO
ACIÓN ISIS IÓN
-
- Ausenc
Abastecimi
ia de - Retraso en
ento
Indisponibilid recursos las
2 4 8 Moderado peródico Bajo Aceptar -
ad de los para operaciones
de los
Registros generaci -
recursos
vitales ón de Pérdid
necesarios
registros a de
-
- Ausenc reputa
Capacitaci
ia de ción
ón al
capacita
personal
ción
- Establecer
- Posi
SLAs de
Indisponibili bles
- acuerdo con
dad de desas -no apertura de
2 5 1 Mode Formalizac B Reducir los niveles Área 30.06.20
Proveedores tres tienda
0 rado ión de a de Usuaria 21
Servic natur j
contratos recuperació
io de ales o
con SLA's n exigidos
Vigila - Renuncia
por las
ncia de su
entidades de
personal
regulación
Indisponibi
lidad
Proveedor indisponibilida
indisponibili Data Center
d de la - Datacenter -Jefe de
dad de los Indisponibil 3 5 1 Alto -Niveles de Mode Reducir 31.03.20
informacion Alterno Soporte
sistemas idad 5 Servic rado 21
- - Atencion Supervisor
informáticos proveedor Manual
Pérdid de
soporte Operacione
a de
aplicativo reputa s / Je
Problemas
ción
en la red
- Ausencia
de planes -
- Retraso en las
de Establece
operaciones - Capacit
Indisponibili mantenimi r
- ación al
dad de los ento para 2 5 1 Mode B Reducir mantenimi TI 30.06.20
Pérdid person
Equipos de TI los 0 rado a entos 21
a de al j
(Servidores) equipos perió
reputa - Mecani o
- Uso dicos
ción smos
inadecuado preve
- Posible de
de los ntivos
pérdida de Backup
equipos de - Realizar
información
TI pruebas de
- Fallas recuperación
externas del servicio
(caídas de
energía)
Actividades 7
© Universidad Internacional de La Rioja
(UNIR)
Indisponibilid
ad del
servicio de
Hosting
Indisponibili
dad de
Equipo de
software de
Desarrollo(Ja
va)
Actividades 8
© Universidad Internacional de La Rioja
(UNIR)
Conclusiones
Como resultado de la Auditoria podemos manifestar que hemos cumplido
con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El Departamento de centro de cómputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que el sistema basada en riesgos del portal web pudiera
servir de gran apoyo a la organización, el cual no es explotado en su
totalidad por falta de personal capacitado.
BIBLIOGRAFÍA
[1] CIS, «AuditScripts,» [En línea]. Available:
https://www.auditscripts.com/free-resources/critical-security-controls/.
[Último acceso: 12 Diciembre 2018].
[2] NIST, «Instituto Nacional de Estándares y Tecnología,» [En línea].
Available: https://csrc.nist.gov/publications/detail/nistir/7298/rev-2/final.
[Último acceso: 12 Diciembre 2018].
[3] C. J. Dale Janssen, «Techopedia,» [En línea]. Available:
https://www.techopedia.com/definition/29060/security-breach. [Último
acceso: 12 Diciembre 2018].
[4] CIS, «Centro de Seguridad de Internet,» [En línea]. Available:
https://learn.cisecurity.org/cis-ram. [Último acceso: 12 Diciembre 2018].
[5] SIS, «Instituto de Estándares Sueco,» [En línea]. Available:
https://www.sis.se/api/document/preview/909004/. [Último acceso: 19
Diciembre 2018].
[6] NIST, «Instituto Nacional de Estándares y Tecnología,» [En línea].
Available:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.
[Último acceso: 12 Diciembre 2018].
[7] CCN-CERT, «Centro Criptológico Nacional,» [En línea]. Available:
© Universidad Internacional de La Rioja
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-
(UNIR)
de-seguridad/988-ccn-stic-817-gestion-
9
Actividades
© Universidad Internacional de La Rioja
(UNIR)
10
Actividades