Documentos de Académico
Documentos de Profesional
Documentos de Cultura
una organización
Equipo 12
Yazmín Espejo Cortez.
Victor Hugo Cruz Núñez Casa
Marcos Jiménez Gutiérrez
1
EQUIPO 12
Análisis de Riesgos
Informáticos
Dr. Federico Eduardo Vidal Martínez
Contenido
1. Introducción...............................................................................................................................3
2. Introducción a la arquitectura empresarial................................................................................4
a) Comprensión de la empresa...................................................................................................4
b) Visión, Misión y Valores.........................................................................................................4
c) Análisis interno.......................................................................................................................5
d) Análisis externo......................................................................................................................5
3. Activos en seguridad de la información. Relaciones entre activos.............................................6
a) Procesos.................................................................................................................................6
b) Activos....................................................................................................................................6
4. Análisis de impacto en el negocio..............................................................................................7
5. Ponderación de relaciones entre activos e impacto...................................................................8
5.1 Identificación de activos y valorización del impacto.................................................................8
6. Evaluación del riesgo en una organización.................................................................................9
6.1 Valoración del riesgo................................................................................................................9
6.2 Impacto..................................................................................................................................10
7. Identificación y análisis del riesgo............................................................................................10
8. Valoración del riesgo................................................................................................................11
9. Tratamiento del riesgo.............................................................................................................13
Conclusión........................................................................................................................................15
Bibliografía.......................................................................................................................................16
EQUIPO 12 2
1. Introducción
El presente documento pretende dar a conocer y desarrollar las diferentes etapas que
involucra una gestión de riesgos de seguridad de la información para una organización. Se
analizarán diferentes metodologías tratando de tomar las buenas practicas de cada una de
ellas.
EQUIPO 12 3
2.
Introducción a la arquitectura empresarial.
a) Comprensión de la empresa.
Visión
Valores
Respeto.
Entusiasmo.
Responsabilidad.
Lealtad.
Compromiso.
Humildad.
Integridad.
Trabajo en equipo.
Igualdad.
EQUIPO 12 4
c) Análisis interno
A continuación, se muestra la estructura organizacional de Unified Networks.
Gerente
General
d) Análisis externo
Unified Networks es una empresa de tecnología, que para poder llevar a cabo sus servicios
y estar en comunicación con sus clientes usa diferentes herramientas como: correo
electrónico, videoconferencia, mensajería de webex y llamadas telefónicas, además de
esto se tiene acceso a la red de los clientes, VPNs, servidores, switches, routers, firewalls,
etc. Esto significa que tanto Unified como sus clientes tienen un riesgo constante a ser
vulnerados.
EQUIPO 12 5
3. Activos en seguridad de la información. Relaciones entre activos.
a) Procesos
Se definieron como los principales procesos aquellos que están relacionados con el
soporte a equipos Cisco, implementación de servicios o instalación de equipos, siendo
estas las principales tareas de la empresa. Se identifican los siguientes procesos:
Número Proceso
1 Proceso de soporte
2 Proceso de monitoreo
3 Proceso de altas, bajas y cambios
4 Proceso de mantenimientos preventivos
5 Proceso de implementación de servicios
6 Proceso de instalación de equipos
7 Proceso de servicios administrados
b) Activos
Los principales activos identificados en la empresa Unified Networks de acuerdo con sus
servicios y procesos son los siguientes:
Activos específicos
Activo Tipo
Webex Software
Call Manager Software
Zabbix Software
OTRS Software
EQUIPO 12 6
Quality Web Software
Tacacs Software
Umbrella Software
Office Software
Yammer Software
Outlook Software
Internet Servicio
Laptops Hardware
Switches Hardware
Routers Hardware
Teléfonos Hardware
Access Point Hardware
Cámaras de vigilancia Hardware
Firewalls Hardware
EQUIPO 12 7
5.
Ponderación de relaciones entre activos e impacto
5.1 Identificación de activos y valorización del impacto
Se estimar el valor del activo del promedio de sumar los valores del nivel de relevancia
respecto a la Confidencialidad, Integridad y Disponibilidad.
Para determinar el nivel de importancia de cada uno de los 3 elementos de la triada CIA,
usaremos la siguiente escala de valor.
EQUIPO 12 8
A continuación, se listarán los principales activos que intervienen en los procesos de
Unified y su valor de impacto:
Inaceptable
Tolerable
Aceptable
EQUIPO 12 9
actuales no pueden evitar su ocurrencia.
3 Posible Ha sucedido o es poco posible que suceda, porque las
condiciones actuales pueden evitar su ocurrencia.
2 Improbable Ha sucedido en el sector, pero no ha sucedido en la
organización.
1 Raro No ha sucedido en el sector ni en la organización.
6.2 Impacto
El valor del impacto es determinado en base a los siguientes aspectos:
Consecuencias directas o indirectas
Controles correctivos
N° Impacto Descripción
5 Catastrófico Ocasiona una crisis o puede provocar un cierre de
la organización.
4 Significativo No ocasiona una crisis, pero si llega a afectar
significativamente a la organización.
3 Moderado Si bien no afecta significativamente a la
organización ocasiona un daño moderado.
2 Menor Si bien ocasiona un daño a la organización, pero
es considerado como menor.
1 Insignificante El daño a la organización es desestimado y no se
toma en cuenta.
N° Activo Evento
Sistema de monitoreo (zabbix),
1 Error humano (mandar un falso positivo).
Dashboard, reporte periódico
2 OTRS, Correo Registro incorrecto de solicitud del cliente.
Asignación de caso a ingeniero de tecnología
3 OTRS y Webex
incorrecta o de nivel incorrecto.
Error del sistema, toda la documentación y
4 Quality web.
manuales no estarán disponibles.
OTRS, Herramientas diversas de
Error Humano, Solución incorrecta o que
5 diagnóstico y remediación, quality
pueden generar nuevos daños-
WEB
6 OTRS, Quality web registro incorrecto de solicitud del cliente
EQUIPO 12 10
Agente externo pueda entrar a la BD del
7 Sistema de monitoreo (zabbix)
sistema de monitoreo
Sistema de monitoreo (zabbix), Agente externo pueda entrar a la página de
8
TACACS, correo. monitoreo
Sistema de monitoreo (zabbix) y Error humano (mandar alerta de un equipo al
9
gestión de tickets OTRS cliente erróneo)
1 OTRS, Herramientas diversas de diagnostico incorrecto por falta de
0 diagnóstico y remediación conocimiento o experiencia
1 Falla o error en la telefonía que nos tendría
Call Manager
1 incomunicados con los clientes.
TACACS Falla en la autenticación que provocaría que
1
los empleados no puedan acceder a sus
2
herramientas de trabajo.
Equipos físicos Corte intempestivo de energía eléctrica que
1
provoque que los sistemas y servicios no
3
estén disponibles.
1 Errores de fábrica de los equipos o bugs que
Fallas operativas de los equipos.
4 provoquen que no estén disponibles.
Fallas en enlace de Internet Problemas externos con el servicio de
1
internet que provocaría que los servicios no
5
estén disponibles.
Acción Detalle
Aceptar Aceptar la posibilidad de que pueda ocurrir el riesgo sin tomar
medidas de acción concretas.
Tratar Reducir el impacto o la probabilidad de ocurrencia mediante la
implementación de un control de seguridad de la información. Se
utiliza cuando al implementar el control trae beneficios mayores a
la inversión de la implementación.
Evitar Eliminar la fuente del proceso que genera la amenaza. Se utiliza
cuando el nivel de riesgo es alto, la actividad del proceso o
sistema que lo genera no es de gran beneficio en términos de
negocio para la organización, de modo que puede ser retirada
funcionalmente.
Transferir Transferir el impacto del riesgo a terceros (empresas o
proveedores de servicio). Se utiliza cuando no se puede mitigar la
probabilidad de ocurrencia de un riesgo, pero el impacto es
inminente.
EQUIPO 12 11
A continuación, se hace una evaluación de riesgos de la empresa Unified de acuerdo con
sus principales actividades.
Nivel de
N° Activo Evento Probabilidad Impacto
riesgo
Acción
Sistema de Error humano
1 monitoreo (mandar un falso Probable Moderado Tolerable Tratar
(zabbix) positivo).
Registro incorrecto
2 OTRS, Correo de solicitud del Probable Moderado Tolerable Tratar
cliente.
Asignación de caso
a ingeniero de
3 OTRS y Webex tecnología Probable Significativo Inaceptable Tratar
incorrecta o de
nivel incorrecto.
Error del sistema,
toda la
documentación y
4 Quality web. Posible Menor Aceptable Aceptar
manuales no
estarán
disponibles.
OTRS, Error Humano,
Herramientas Solución incorrecta
5 diversas de o que pueden Probable Moderado Tolerable Tratar
diagnóstico y generar nuevos
remediación. daños-
No disponible por
6 Webex fallas del Probable Significativo Inaceptable Tratar
proveedor
Agente externo
Sistema de
pueda entrar a al
7 monitoreo Posible Menor Aceptable Aceptar
sistema de
(zabbix)
monitoreo
Sistema de
Agente externo
monitoreo
pueda entrar a la
8 (zabbix), Probable Significativo Inaceptable Tratar
página de
TACACS,
monitoreo
correo.
Zabbix y Mandar alerta de
9 gestión de un equipo al cliente Probable Significativo Inaceptable Tratar
tickets OTRS erróneo
OTRS, Diagnostico
Herramientas incorrecto por falta
10 Probable Significativo Inaceptable Tratar
de diagnóstico de conocimiento o
y remediación experiencia
EQUIPO 12 12
Falla o error en la
telefonía que nos
11 Call Manager tendría Probable Significativo Inaceptable Tratar
incomunicados con
los clientes.
Falla en la
autenticación que
provocaría que los
12 TACACS empleados no Probable Moderado Tolerable Tratar
puedan acceder a
sus herramientas
de trabajo.
Corte intempestivo
de energía eléctrica
Equipos que provoque que
13 Probable Significativo Inaceptable Tratar
físicos los sistemas y
servicios no estén
disponibles.
14 Fallas Errores de fábrica Probable Significativo Inaceptable Transferir
operativas de de los equipos o
los equipos. bugs.
Problemas
Fallas en
externos con el
15 enlace de Probable Significativo Inaceptable Transferir
servicio de
Internet
internet.
EQUIPO 12 13
OTRS,
Error Humano,
Herramientas Capacitación y esquema de Coordinador
Solución incorrecta o
4 diversas de validación con ingenieros de de Soporte
que pueden generar
diagnóstico y nivel superior. Cisco
nuevos daños.
remediación.
No disponible por Exigir al proveedor alta Coordinador
5 Webex
fallas del proveedor. disponibilidad. de Servicios
Sistema de
monitoreo Agente externo pueda Asegurar el sistema con
Director de
6 (zabbix), entrar a la página de software y capacitando al
Soporte TI
TACACS, monitoreo. personal.
correo.
Zabbix y Mandar alerta de un Base de datos actualizada de los
Coordinador
7 gestión de equipo al cliente clientes y validaciones antes de
de Servicios
tickets OTRS erróneo. enviar correos.
OTRS, Diagnostico incorrecto
Capacitación constante al Coordinador
Herramientas por falta de
8 personal para que aprendan a de Soporte
de diagnóstico conocimiento o
evaluar las alertas Cisco
y remediación experiencia.
Falla o error en la
Monitoreo de los equipos y
telefonía que nos Coordinador
9 Call Manager revisión general cada semana
tendría incomunicados de TI
del CM.
con los clientes.
Falla en la
autenticación que
provocaría que los
Monitoreo de servidor TACACs y Coordinador
10 TACACS empleados no puedan
revisión general cada semana. de TI
acceder a sus
herramientas de
trabajo.
Corte intempestivo de
energía eléctrica que Planta de energía que mantiene
Equipos Coordinador
11 provoque que los los sistemas activos hasta 4
físicos de TI
sistemas y servicios no horas.
estén disponibles.
Fallas Revisión de los equipos al
Errores de fábrica de Coordinador
12 operativas de recibirlos y actualizaciones con
los equipos o bugs. de TI
los equipos. fabricante.
Fallas en Problemas externos Se tienen 2 enlaces de internet
Coordinador
13 enlace de con el servicio de para asegurar la disponibilidad
de TI
Internet internet. de los servicios.
EQUIPO 12 14
Conclusión
La gestión de riesgos es un proceso extenso y complejo, pero es muy importante que las
organizaciones hagan un correcto análisis y seguimiento de riesgos y amenazas, esto
ayudará a cumplir con sus objetivos a corto y largo plazo.
Cuando analizas los riegos a los que se expone una empresa te encuentras con escenarios
que probablemente jamás habías pensado, es increíble la cantidad de amenazas y lo
vulnerable que es una empresa cuando no tiene un sistema de gestión y un personal
capacitado.
EQUIPO 12 15
Bibliografía
Stoneburner G., Goguen A. y Feringa A. (2015), Risk Management Guide for Information
Technology Systems (Revisión 1), National Institute of Standards and Technology.
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30.pdf
Amutio M. A., Candau J. (2012). MAGERIT – Metodología de Análisis de Riesgos de los Sistemas de
Información (Versión 3), Ministerio de Hacienda y Administración Públicas.
https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html
EQUIPO 12 16
Hoja de control de actividad grupal
Ninguna o una
Tareas o entregas a realizadas Dos tareas Tres tareas
tarea
EQUIPO 12 17