Gestión del riesgo en

una organización
Equipo 12
Yazmín Espejo Cortez.
Victor Hugo Cruz Núñez Casa
Marcos Jiménez Gutiérrez

1
EQUIPO 12
Análisis de Riesgos
Informáticos
Dr. Federico Eduardo Vidal Martínez
Contenido
1. Introducción...............................................................................................................................3
2. Introducción a la arquitectura empresarial................................................................................4
a) Comprensión de la empresa...................................................................................................4
b) Visión, Misión y Valores.........................................................................................................4
c) Análisis interno.......................................................................................................................5
d) Análisis externo......................................................................................................................5
3. Activos en seguridad de la información. Relaciones entre activos.............................................6
a) Procesos.................................................................................................................................6
b) Activos....................................................................................................................................6
4. Análisis de impacto en el negocio..............................................................................................7
5. Ponderación de relaciones entre activos e impacto...................................................................8
5.1 Identificación de activos y valorización del impacto.................................................................8
6. Evaluación del riesgo en una organización.................................................................................9
6.1 Valoración del riesgo................................................................................................................9
6.2 Impacto..................................................................................................................................10
7. Identificación y análisis del riesgo............................................................................................10
8. Valoración del riesgo................................................................................................................11
9. Tratamiento del riesgo.............................................................................................................13
Conclusión........................................................................................................................................15
Bibliografía.......................................................................................................................................16

EQUIPO 12 2
1. Introducción
El presente documento pretende dar a conocer y desarrollar las diferentes etapas que
involucra una gestión de riesgos de seguridad de la información para una organización. Se
analizarán diferentes metodologías tratando de tomar las buenas practicas de cada una de
ellas.

El trabajo se divide en 4 fases, en la primera se hace un análisis de la empresa, de sus

actividades y su distribución organizacional, en la segunda fase se identifican los activos de
acuerdo con las metodologías vistas en clase, en la tercera fase implementamos políticas
de gestión de riesgos, así como las técnicas de tratamiento y finalmente en la fase cuatro
se establecen los mecanismos para el seguimiento, revisión y monitoreo de los riesgos.

EQUIPO 12 3
2.
Introducción a la arquitectura empresarial.
a) Comprensión de la empresa.

Unified Networks es un consultor tecnológico con amplia experiencia en el mercado

empresarial mexicano en soluciones tecnológicas en redes, telecomunicaciones, voz y
datos, siendo Cisco la marca con la que usualmente trabajan. Sus actividades principales
son realizadas en Guadalajara, pero tiene cobertura en todo el país, ya sea para
implementaciones tecnológicas o para dar soporte técnico a sus clientes.

Unified Networks cuenta con alrededor de 100 colaboradores, de los cuales

aproximadamente el 60% son ingenieros certificados en Cisco, que son los encargados de
apoyar al cliente vía remota o acudiendo a sus instalaciones a realizar los servicios
requeridos.

b) Visión, Misión y Valores

Misión

Facilitar la innovación y el desarrollo digital de nuestros clientes con el uso de la

tecnología a través un trato humano con espíritu de servicio.

Visión

Ser referente en el mercado de IT & Telecom con innovación y crecimiento sostenidos.

Valores

 Respeto.
 Entusiasmo.
 Responsabilidad.
 Lealtad.
 Compromiso.
 Humildad.
 Integridad.
 Trabajo en equipo.
 Igualdad.

EQUIPO 12 4
c) Análisis interno
A continuación, se muestra la estructura organizacional de Unified Networks.

Gerente
General

Director Director de Director

de TI soporte Cisco Administrativo

Coordinador de Sistemas de Cordinador de Cordinador de Recuersos Conmunicación

TI gestión soporte Cisco servicios Cisco Humanos Interna

Ingenieros de Ingenieros de Ingenieros de

Ingenieros NOC
soporte TI soporte Cisco monitoreo

d) Análisis externo
Unified Networks es una empresa de tecnología, que para poder llevar a cabo sus servicios
y estar en comunicación con sus clientes usa diferentes herramientas como: correo
electrónico, videoconferencia, mensajería de webex y llamadas telefónicas, además de
esto se tiene acceso a la red de los clientes, VPNs, servidores, switches, routers, firewalls,
etc. Esto significa que tanto Unified como sus clientes tienen un riesgo constante a ser
vulnerados.

Actualmente la empresa está trabajando en implementar diferentes políticas que ayuden

a mitigar los riesgos, también se están dando capacitaciones a los colaboradores,
principalmente a los que tienen acceso a las redes de los clientes para que entiendan la
importancia de la información que manejan. Se puede decir que Unified se encuentra
trabajando en mejorar su seguridad y establecer una relación de confianza con sus
clientes.

EQUIPO 12 5
3. Activos en seguridad de la información. Relaciones entre activos.
a) Procesos
Se definieron como los principales procesos aquellos que están relacionados con el
soporte a equipos Cisco, implementación de servicios o instalación de equipos, siendo
estas las principales tareas de la empresa. Se identifican los siguientes procesos:

Número Proceso
1 Proceso de soporte
2 Proceso de monitoreo
3 Proceso de altas, bajas y cambios
4 Proceso de mantenimientos preventivos
5 Proceso de implementación de servicios
6 Proceso de instalación de equipos
7 Proceso de servicios administrados

b) Activos
Los principales activos identificados en la empresa Unified Networks de acuerdo con sus
servicios y procesos son los siguientes:

 Hardware: estaciones de trabajo, routers, switches, servidores, firewalls, access

point, Sistemas de información, bases de datos, teléfonos, archivos.
 Software: sistemas operativos, sistemas de información, aplicación de
comunicación interna, programas de conexión remota, sistema de telefonía,
programas de seguridad, programas de escaneo de vulnerabilidades.
 Redes: enlaces a internet y equipos de comunicación.

Activos específicos
Activo Tipo
Webex Software
Call Manager Software
Zabbix Software
OTRS Software

EQUIPO 12 6
 Quality Web Software
Tacacs Software
Umbrella Software
Office Software
Yammer Software
Outlook Software
Internet Servicio
Laptops Hardware
Switches Hardware
Routers Hardware
Teléfonos Hardware
Access Point Hardware
Cámaras de vigilancia Hardware
Firewalls Hardware

4. Análisis de impacto en el negocio.

El análisis de impacto nos permite conocer las características del riesgo/amenaza y su
origen, teniendo en cuenta: el valor estratégico del negocio, el Impacto al usuario, costo,
alcance, probabilidad de ocurrencia y tiempo de recuperación en los diferentes escenarios
que se pueda presentar.
El análisis de impacto se hará mediante tablas, tomando en cuenta los siguientes valores:
 B: Bajo
 M: Medio
 A: Alto
El impacto se calculará con base en la siguiente tabla que se muestra a continuación:

Probabilidad Muy probable Probable Improbable Altamente

improbable

Fatal Alto Alto Alto Medio

Consecuencias

Riesgo Alto Alto Medio Medio

importante
Riesgo leve Alto Medio Medio Bajo

Riesgo Medio Medio Bajo Bajo

insignificante

EQUIPO 12 7
5.
Ponderación de relaciones entre activos e impacto
5.1 Identificación de activos y valorización del impacto
Se estimar el valor del activo del promedio de sumar los valores del nivel de relevancia
respecto a la Confidencialidad, Integridad y Disponibilidad.

Confidencialidad + Integridad + Disponibilidad

Valor del activo =
3

Para determinar el nivel de importancia de cada uno de los 3 elementos de la triada CIA,
usaremos la siguiente escala de valor.

Valor Confidencialidad Integridad Disponibilidad

3 Es la información o activo que
debe ser accedida solo por
(Alto)
personas autorizadas, su
divulgación afectaría
irreversiblemente a la
organización.
2 Es la información o activo que
(Medio) debe ser accedida solo por
personas autorizadas, su
divulgación afectaría
considerablemente a la
organización.
1 Es la información o activo que
(Bajo) debe ser accedida solo por
personas autorizadas, su
divulgación no impacta a la
organización.
Es la información o activo Es la información o activo
que al ser modificado de indispensable para la
manera intencional continuidad de la empresa. Su
provocaría daños carencia afectaría
irreversibles a la irreversiblemente a la
organización. organización.
Es la información o activo Es la información o activo
que al ser modificado de indispensable para la
manera intencional continuidad de la empresa. Su
provocaría daños carencia afectaría
considerables a la considerablemente a la
organización. organización.
Es la información o activo Es la información o activo
que al ser modificado de indispensable para la
manera intencional no continuidad de la empresa. Su
provocaría daños a la carencia no afectaría a la
organización. organización.

Con base en el promedio obtenido (valor del activo en términos de confidencialidad,

integridad y disponibilidad), se procede a asignar el valor del impacto en la siguiente
tabla:

Valor activo Valor impacto Acciones

1 - 1 Punto. Bajo (B) No solicita ninguna acción específica.
1.001 a 2.0 Medio (M) No es necesario mejorar la actividad. Estos se
puntos revisarán periódicamente para garantizar su eficacia.
2.001 – 3.00 Alto (A) Requiere un esfuerzo para reducir el riesgo,
especificando las acciones precisas. Se contará con un
periodo determinado para implantar las medidas.

EQUIPO 12 8
 A continuación, se listarán los principales activos que intervienen en los procesos de
Unified y su valor de impacto:

Activo Tipo Confidencialidad Integridad Disponibilida Valor

d impacto
Webex Software 1 1 1 1
Call Manager Software 1 1 2 1.3
Zabbix Software 1 2 2 1.6
OTRS Software 1 1 1 1
Quality Web Software 2 2 2 2
Tacacs Software 2 2 2 2
Umbrella Software 1 2 2 1.6
Office Software 1 1 1 1
Yammer Software 1 1 1 1
Outlook Software 2 2 2 2
Internet Servicio 2 2 2 2
Laptops Hardware 1 1 2 1.3
Switches Hardware 2 2 2 2
Routers Hardware 2 2 2 2
Teléfonos Hardware 1 1 2 1.3
Access Point Hardware 1 2 2 1.6
Cámaras Hardware 2 2 2 2
Firewalls Hardware 2 2 2 2

6. Evaluación del riesgo en una organización.

Se reconocen los siguientes niveles de riesgos: inaceptable, tolerable y aceptable.

Inaceptable
Tolerable
Aceptable

6.1 Valoración del riesgo

El valor de la probabilidad es determinado con base en los siguientes aspectos:

 Causas directas e indirectas

 Controles preventivos
N° Probabilidad Descripción
5 Casi cierto Ha sucedido y es casi cierto que vuelva a suceder, porque no
hay forma de evitar su ocurrencia.
4 Probable Ha sucedido o es probable que suceda, porque las condiciones

EQUIPO 12 9
 actuales no pueden evitar su ocurrencia.
3 Posible Ha sucedido o es poco posible que suceda, porque las
condiciones actuales pueden evitar su ocurrencia.
2 Improbable Ha sucedido en el sector, pero no ha sucedido en la
organización.
1 Raro No ha sucedido en el sector ni en la organización.

6.2 Impacto
El valor del impacto es determinado en base a los siguientes aspectos:
 Consecuencias directas o indirectas
 Controles correctivos
N° Impacto Descripción
5 Catastrófico Ocasiona una crisis o puede provocar un cierre de
la organización.
4 Significativo No ocasiona una crisis, pero si llega a afectar
significativamente a la organización.
3 Moderado Si bien no afecta significativamente a la
organización ocasiona un daño moderado.
2 Menor Si bien ocasiona un daño a la organización, pero
es considerado como menor.
1 Insignificante El daño a la organización es desestimado y no se
toma en cuenta.

7. Identificación y análisis del riesgo.

A continuación, se listan aquellos eventos adversos que puedan afectar directamente al
proceso de “producción” y los activos que intervienen dentro de la empresa Unified.

N° Activo Evento
Sistema de monitoreo (zabbix),
1 Error humano (mandar un falso positivo).
Dashboard, reporte periódico
2 OTRS, Correo Registro incorrecto de solicitud del cliente.
Asignación de caso a ingeniero de tecnología
3 OTRS y Webex
incorrecta o de nivel incorrecto.
Error del sistema, toda la documentación y
4 Quality web.
manuales no estarán disponibles.
OTRS, Herramientas diversas de
Error Humano, Solución incorrecta o que
5 diagnóstico y remediación, quality
pueden generar nuevos daños-
WEB
6 OTRS, Quality web registro incorrecto de solicitud del cliente

EQUIPO 12 10
 Agente externo pueda entrar a la BD del
7 Sistema de monitoreo (zabbix)
sistema de monitoreo
Sistema de monitoreo (zabbix), Agente externo pueda entrar a la página de
8
TACACS, correo. monitoreo
Sistema de monitoreo (zabbix) y Error humano (mandar alerta de un equipo al
9
gestión de tickets OTRS cliente erróneo)
1 OTRS, Herramientas diversas de diagnostico incorrecto por falta de
0 diagnóstico y remediación conocimiento o experiencia
1 Falla o error en la telefonía que nos tendría
Call Manager
1 incomunicados con los clientes.
TACACS Falla en la autenticación que provocaría que
1
los empleados no puedan acceder a sus
2
herramientas de trabajo.
Equipos físicos Corte intempestivo de energía eléctrica que
1
provoque que los sistemas y servicios no
3
estén disponibles.
1 Errores de fábrica de los equipos o bugs que
Fallas operativas de los equipos.
4 provoquen que no estén disponibles.
Fallas en enlace de Internet Problemas externos con el servicio de
1
internet que provocaría que los servicios no
5
estén disponibles.

8. Valoración del riesgo.

Se debe considerar aplicar una de las siguientes medidas o estrategias:

Acción Detalle
Aceptar Aceptar la posibilidad de que pueda ocurrir el riesgo sin tomar
medidas de acción concretas.
Tratar Reducir el impacto o la probabilidad de ocurrencia mediante la
implementación de un control de seguridad de la información. Se
utiliza cuando al implementar el control trae beneficios mayores a
la inversión de la implementación.
Evitar Eliminar la fuente del proceso que genera la amenaza. Se utiliza
cuando el nivel de riesgo es alto, la actividad del proceso o
sistema que lo genera no es de gran beneficio en términos de
negocio para la organización, de modo que puede ser retirada
funcionalmente.
Transferir Transferir el impacto del riesgo a terceros (empresas o
proveedores de servicio). Se utiliza cuando no se puede mitigar la
probabilidad de ocurrencia de un riesgo, pero el impacto es
inminente.

EQUIPO 12 11
A continuación, se hace una evaluación de riesgos de la empresa Unified de acuerdo con
sus principales actividades.
Nivel de
N° Activo Evento Probabilidad Impacto
riesgo
Acción
Sistema de Error humano
1 monitoreo (mandar un falso Probable Moderado Tolerable Tratar
(zabbix) positivo).
Registro incorrecto
2 OTRS, Correo de solicitud del Probable Moderado Tolerable Tratar
cliente.
Asignación de caso
a ingeniero de
3 OTRS y Webex tecnología Probable Significativo Inaceptable Tratar
incorrecta o de
nivel incorrecto.
Error del sistema,
toda la
documentación y
4 Quality web. Posible Menor Aceptable Aceptar
manuales no
estarán
disponibles.
OTRS, Error Humano,
Herramientas Solución incorrecta
5 diversas de o que pueden Probable Moderado Tolerable Tratar
diagnóstico y generar nuevos
remediación. daños-
No disponible por
6 Webex fallas del Probable Significativo Inaceptable Tratar
proveedor
Agente externo
Sistema de
pueda entrar a al
7 monitoreo Posible Menor Aceptable Aceptar
sistema de
(zabbix)
monitoreo
Sistema de
Agente externo
monitoreo
pueda entrar a la
8 (zabbix), Probable Significativo Inaceptable Tratar
página de
TACACS,
monitoreo
correo.
Zabbix y Mandar alerta de
9 gestión de un equipo al cliente Probable Significativo Inaceptable Tratar
tickets OTRS erróneo
OTRS, Diagnostico
Herramientas incorrecto por falta
10 Probable Significativo Inaceptable Tratar
de diagnóstico de conocimiento o
y remediación experiencia

EQUIPO 12 12
 Falla o error en la
telefonía que nos
11 Call Manager tendría Probable Significativo Inaceptable Tratar
incomunicados con
los clientes.
Falla en la
autenticación que
provocaría que los
12 TACACS empleados no Probable Moderado Tolerable Tratar
puedan acceder a
sus herramientas
de trabajo.
Corte intempestivo
de energía eléctrica
Equipos que provoque que
13 Probable Significativo Inaceptable Tratar
físicos los sistemas y
servicios no estén
disponibles.
14 Fallas Errores de fábrica Probable Significativo Inaceptable Transferir
operativas de de los equipos o
los equipos. bugs.
Problemas
Fallas en
externos con el
15 enlace de Probable Significativo Inaceptable Transferir
servicio de
Internet
internet.

9. Tratamiento del riesgo.

Ahora haremos el plan de tratamiento de riesgos para aquellos riesgos valorizados como
Inaceptable y Tolerable. El conjunto de acciones listadas en el presente plan tiene como
objetivo mitigar la probabilidad de ocurrencia y/o impacto de los riegos identificados.

Acciones para el tratamiento

N° Activo Evento Responsable
del riesgo
Sistema de Error humano Realizar una correcta inducción Coordinador
1 monitoreo (mandar un falso al personal y darle capacitación de Servicios
(zabbix) positivo). constante. Cisco.
Hacer una junta informativa
Coordinador
Registro incorrecto de semanal para la actualización de
2 OTRS, Correo de Servicios
solicitud del cliente. los clientes y la mejora en el
Cisco.
servicio.
Asignación de caso a
Mantener un informe Coordinador
ingeniero de
3 OTRS y Webex actualizado de los niveles y de Soporte
tecnología incorrecta
tecnologías de los ingenieros. Cisco.
o de nivel incorrecto.

EQUIPO 12 13
 OTRS,
Error Humano,
Herramientas Capacitación y esquema de Coordinador
Solución incorrecta o
4 diversas de validación con ingenieros de de Soporte
que pueden generar
diagnóstico y nivel superior. Cisco
nuevos daños.
remediación.
No disponible por Exigir al proveedor alta Coordinador
5 Webex
fallas del proveedor. disponibilidad. de Servicios
Sistema de
monitoreo Agente externo pueda Asegurar el sistema con
Director de
6 (zabbix), entrar a la página de software y capacitando al
Soporte TI
TACACS, monitoreo. personal.
correo.
Zabbix y Mandar alerta de un Base de datos actualizada de los
Coordinador
7 gestión de equipo al cliente clientes y validaciones antes de
de Servicios
tickets OTRS erróneo. enviar correos.
OTRS, Diagnostico incorrecto
Capacitación constante al Coordinador
Herramientas por falta de
8 personal para que aprendan a de Soporte
de diagnóstico conocimiento o
evaluar las alertas Cisco
y remediación experiencia.
Falla o error en la
Monitoreo de los equipos y
telefonía que nos Coordinador
9 Call Manager revisión general cada semana
tendría incomunicados de TI
del CM.
con los clientes.
Falla en la
autenticación que
provocaría que los
Monitoreo de servidor TACACs y Coordinador
10 TACACS empleados no puedan
revisión general cada semana. de TI
acceder a sus
herramientas de
trabajo.
Corte intempestivo de
energía eléctrica que Planta de energía que mantiene
Equipos Coordinador
11 provoque que los los sistemas activos hasta 4
físicos de TI
sistemas y servicios no horas.
estén disponibles.
Fallas Revisión de los equipos al
Errores de fábrica de Coordinador
12 operativas de recibirlos y actualizaciones con
los equipos o bugs. de TI
los equipos. fabricante.
Fallas en Problemas externos Se tienen 2 enlaces de internet
Coordinador
13 enlace de con el servicio de para asegurar la disponibilidad
de TI
Internet internet. de los servicios.

EQUIPO 12 14
Conclusión
La gestión de riesgos es un proceso extenso y complejo, pero es muy importante que las
organizaciones hagan un correcto análisis y seguimiento de riesgos y amenazas, esto
ayudará a cumplir con sus objetivos a corto y largo plazo.

Cuando analizas los riegos a los que se expone una empresa te encuentras con escenarios
que probablemente jamás habías pensado, es increíble la cantidad de amenazas y lo
vulnerable que es una empresa cuando no tiene un sistema de gestión y un personal
capacitado.

EQUIPO 12 15
Bibliografía

Organización Internacional de Normalización. (2018). Risk Management - Guidelines (ISO

31000:2018). https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

Stoneburner G., Goguen A. y Feringa A. (2015), Risk Management Guide for Information
Technology Systems (Revisión 1), National Institute of Standards and Technology.
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf

Amutio M. A., Candau J. (2012). MAGERIT – Metodología de Análisis de Riesgos de los Sistemas de
Información (Versión 3), Ministerio de Hacienda y Administración Públicas.
https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html

EQUIPO 12 16
 Hoja de control de actividad grupal

<Nombre y apellidos del primer miembro del equipo>

Marcar con una X lo que proceda

Asistencia a una Asistencia a Asistencia a

Asistencia a reuniones de equipo
sesión o ninguna dos sesiones tres sesiones

Yazmín Espejo Cortez X

Victor Hugo Cruz Núñez Casa

X

Marcos Jiménez Gutiérrez

NINGUNA

Ninguna o una
Tareas o entregas a realizadas Dos tareas Tres tareas
tarea

Yazmín Espejo Cortez X

Victor Hugo Cruz Núñez Casa

X

Marcos Jiménez Gutiérrez

NINGUNA

EQUIPO 12 17