UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: ANÁLISIS DE RIESGOS INFORMÁTICOS

ACTIVIDAD 2

GESTIÓN DEL RIESGO EN UNA ORGANIZACIÓN

PROFESOR DE LA ASIGNATURA

FEDERICO EDUARDO VIDAL MARTÍNEZ

PRESENTAN:

SERGIO MARTÍNEZ AGUILAR

JOSE FRANCISCO RODRÍGUEZ ARELLANO

© Universidad Internacional de La Rioja (UNIR)

21 de junio de 2022
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Índice

1. Introducción.....................................................................................................................1
1.1. Presentación del trabajo...............................................................................................1
1.2. Justificación...................................................................................................................2
1.3. Objetivo general............................................................................................................4
1.4. Objetivos específicos.....................................................................................................4
1.5. Metodología..................................................................................................................5
2. Marco teórico...................................................................................................................5
2.1. Proceso de planeación del SGSI.....................................................................................5
2.2. Contexto de la situación actual de la organización........................................................7
3. Ejecución del Proyecto......................................................................................................8
3.1. Caracterización de los activos........................................................................................8
3.2. MAR. 2 Identificar la problemática..............................................................................10
3.3. MAR. 3 Propuesta de solución que permitan controlar los riesgos.............................11
3.4. MAR.4.: Estimación del impacto..................................................................................12
4. Políticas del SGSI.............................................................................................................12
4.1. Políticas para el tratamiento y protección de datos personales..................................12
4.2. Políticas de control de acceso.....................................................................................13
5. Conclusiones...................................................................................................................13
6. Referencias.....................................................................................................................14

Actividades
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

1. Introducción
1.1. Presentación del trabajo
Vivimos en una era de interconexión, en el que aproximadamente el 60% de la
población se encuentra conectada a internet y es raro ver a personal que no tengan
por lo menos un Smartphone o internet en su hogar, tanto es así que se ha creado una
tendencia llamada IoT (el internet de las cosas), pue bien el internet de las cosas es
una red de interconexión digital entre dispositivos, personas y el mismo internet el
cual permite un intercambio de datos entre ellos, permitiendo así que se pueda
capturar información claves sobre el uso, rendimiento de los dispositivos, objetos para
detectar patrones, mejorar la eficiencia y así crear mejores experiencias para los
usuarios, los dispositivos IoT se conectan en un proceso llamado maquina a máquina
(M2M) en el que dos dispositivos o maquinas se comunican entre sí utilizando
cualquier tipo de conectividad, puede ser (cable, wifi, bluetooth, etc), haciendo el
trabajo sin la necesidad de que algún humano intervenga. Estos dispositivos
conectados entre sí generan una gran cantidad de datos que llegan a una plataforma
IoT, que recolecta, procesa y analiza dichos datos.
Un ejemplo de dispositivos IoT, es el altavoz inteligente de Amazon de Alexa, el cual se
encuentra conectado a la red de redes para obtener información e interactúa con
otros dispositivos para darnos la capacidad de controlarlos a través de simples
comandos de voz.
Podemos decir que el internet de las cosas no almacena datos y datos de conocimiento
humano, más bien almacena el comportamiento humano y la forma en la que
interactuamos con el día a día, esto es algo que para muchos nos resulta incómodo ya
© Universidad Internacional de La Rioja (UNIR)
que podemos decir que tenemos una gran cantidad de ojos y oídos escuchándonos los
cuales están recopilando datos de nosotros, muchas maquinas que están aprendiendo
nuestras rutinas los cuales tendrían que hacer nuestra vida más fácil.

1
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Dicho lo anterior se identificarán y gestionarán los riesgos a los cuales están expuestos
los activos de información, para preservar su confidencialidad e integridad de Rinku
Research Group una Startup (organización) de tecnología dedicada al monitoreo
médico a distancia. Se basa en una arquitectura enmarcada en el Internet de las Cosas
(IoT) [1], la organización conecta diferentes dispositivos médicos con tecnología
Bluetooth (báscula, oxímetro de pulso, termómetro, glucómetro) a una plataforma IoT
en la nube (servidor remoto) que permite almacenar, procesar y visualizar desde
cualquier dispositivo inteligente la información enviada por los dispositivos médicos.
La conexión entre los dispositivos y la plataforma IoT se realiza mediante un Gateway
IoT (llamado Gateway Rinku) desarrollado por la propia organización que captura la
información Bluetooth y la convierte en paquetes de datos que son enviados mediante
WiFi a la plataforma IoT, utilizando un proceso sistemático para lograr un tratamiento
adecuado de los riesgos e implementar controles efectivos.
1.2. Justificación
De los riesgos que pueden llegar a presentarse en la ejecución de la arquitectura Rinku
(Figura 1), el de mayor importancia es la pérdida o mal uso de los datos sensibles de
los pacientes [2], ya que el paciente puede quedar expuesto y causarle algún daño
moral o físico.
Lo anterior puede derivar en controversias legales que afecten la economía y
credibilidad de la organización hasta el punto del cierre o bancarota.
Motivo por el cual la organización se ha preocupado por la seguridad de la información
siendo esta uno de los activos más importantes para la organización.
Los pacientes reciben un kit clínico (caja de cartón) que contiene los dispositivos
© Universidad Internacional de La Rioja (UNIR)
médicos junto con el Gateway IoT (Rinoceronte de cartón). EL Gateway IoT toma la
información de los dispositivos médicos y la manda a la nube (plataforma IoT)
mediante el enrutador casero. Una vez que se tiene la información en la plataforma

2
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

IoT, el médico puede tener acceso a la información de las variables fisiológicas del
paciente mediante cualquier dispositivo inteligente.
Una de las aplicaciones de la arquitectura Rinku en el monitoreo médico a distancia es
la toma de muestras de la oxigenación en sangre de pacientes con enfermedad
pulmonar obstructiva crónica (EPOC, por sus siglas en ingles). La plataforma IoT lleva
un registro de la fecha, hora y valor de la muestra recolectada. Ver (Figura 2).

Figura 1. Arquitectura del IoT del sistema Rinku.

© Universidad Internacional de La Rioja (UNIR)

3
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Figura 2. Plataforma IoT. La imagen muestra la oxigenación en sangre capturada por el

oxímetro de pulso de la marca Jumper.

1.3. Objetivo general

Implementar una un Sistema de Gestión de la Seguridad de la Información para mitigar
el mayor riesgo de la organización, que consiste en la fragilidad de la información en
internet.
1.4. Objetivos específicos
 Construir el documento de Aviso de privacidad. Debe contener, denominación de
los responsables, finalidad del uso de la información, información acerca del
© Universidad Internacional de La Rioja (UNIR)
manejo de la información subsecuente a la recolección, mecanismos para que el
usuario pueda manifestar su negativa al tratamiento de los datos, sitio para
consultar el aviso de privacidad, etc.

4
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

 Plantear la organización de la información recolectada de una manera que asegure

la protección de la data, como puede ser la anonimización de la misma.
 Construir el contrato con el proveedor del hospedaje en la nube. Incluirá acuerdos
respecto al almacenamiento y manejo de los datos al igual que los roles y
responsabilidades de las personas que tendrán acceso a los mismos.
 Definir la periodicidad y el mecanismo para respaldar la base de datos.
 Construir el documento de Contrato con el prestador de servicios médicos. Incluirá
las responsabilidades de las partes y las políticas del manejo de la información.
1.5. Metodología
Ocuparemos MAGERIT versión 3 [3], que es una metodología de análisis y gestión de
riesgos elaborada por el antiguo Consejo Superior de Administración Digital, es de
carácter público puede ser utilizada libremente y no requiere autorización previa.
Ejecutando acciones que protejan los activos de la organización y sistemas de
información de la misma manera se implementaran controles de seguridad.

2. Marco teórico
2.1. Proceso de planeación del SGSI
2.1.1. Fase 1. Obtener la aprobación para iniciar el proyecto
En esta fase se dará a conocer qué importancia tiene la implementación del SGSI
teniendo como fin que la alta dirección apruebe y se comprometa para poder iniciar la
implementación del SGSI.
2.1.2. Fase 2. Definir el alcance y la política del SGSI
Alcance del SGSI: En esta fase tendremos en cuenta los problemas internos y externos
© Universidad Internacional de La Rioja (UNIR)
de la organización, así como los requisitos y expectativas de las partes interesadas
relacionando las actividades esenciales y deben ser aquellas que permitan cumplir con
los objetivos.

5
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Política del SGSI: Mediante la política la organización revelará como como hará para
realizar la protección de sus activos de información para la implantación y el soporte
del SGSI.
2.1.3. Fase 3. Análisis de requerimientos del SGSI
En esta fase buscamos analizar y definir cuáles van a ser los requerimientos
considerando los activos de la información la formas las que se procesara, y gestionara
la información requerimientos legales y obligaciones, así como identificar los activos
de información para determinar el nivel de protección que deseemos, las
vulnerabilidades y el estado actual de nuestro SGSI.
2.1.4. Fase 4. Valoración del riesgo y planeación para el tratamiento
Para identificar el riesgo se determinará todo lo que pueda causar pérdidas en la
organización para lo cual identificaremos los activos relevantes, las amenazas que
atentan contra nuestros activos, así como las vulnerabilidades en la organización y las
consecuencias de que estas amenazas se materialicen.
Tomando en cuenta lo anterior sobre el análisis de riesgos tomaremos en cuenta la
ilustración del ejemplo. Figura 3.

Figura
3.

© Universidad Internacional de La Rioja (UNIR)

Conceptos Sobre análisis de riesgos

6
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

2.2. Contexto de la situación actual de la organización

Rinku Research Group al ser una Startup de reciente creación aún no tiene
identificados sus activos ni políticas asociadas a resguardarlos, motivo por el cual el
SGSI que tenemos a bien implementar nos ayudara a identificar los activos de la
organización que se encuentren en mayor riesgo, así mismo se crearan políticas que
nos ayudaran a salvaguardar los activos de información de la organización. Para ello
consideraremos los factores internos y externos determinando que los factores
internos son aquellas cuestiones que están dentro de la organización, y que pueden
ser controlados por la misma, y los factores externos serán aquellos que la
organización no puede controlar. (Figura 4).

Factores
Externos

Factores
Internos

© Universidad Internacional de La Rioja (UNIR)

Figura 4. Factores externos e internos. Los factores externos se marcan con un cuadro
rojo y los factores internos con un cuadro verde.

7
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

3. Ejecución del Proyecto

3.1. Caracterización de los activos
3.1.1. MAR.1 Identificación de los activos de información
La Startup recolecta, almacena y muestra a terceros (médicos), datos personales
sensibles de los pacientes. Dicha recolección se realiza mediante un dispositivo
electrónico Gateway IoT llamado Gateway Rinku. La información de los pacientes es
almacenada en una plataforma que ofrece servicio de hospedaje en la nube llamado
DigitalOcean [4]. La medición de las variables se realiza mediante dispositivos médicos
comerciales. Como se muestra en la Tabla 1.
Activos de información
Infraestructura Oficinas
Servidores, dispositivos
Hardware computadoras, sensores, tabletas,
Activos Físicos Smartphone.
Software Aplicaciones, Gateway Rinku,
plataforma IoT, proveedor de
hospedaje en la nube.
Electrónica Información importante para el
negocio
Activos de información
Documentos Información importante para el
negocio
Activos de personal Nivel directivo la información que
asigna permisos para leer y
© Universidad Internacional de La Rioja (UNIR)
Dueños de la modificar la información
información Datos personal sensibles de los
pacientes que utiliza la
información

8
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Tabla 1. Identificación de los activos.

3.1.2. MAR.1.1. Identificación de las dependencias entre activos.
 Los dispositivos médicos dependen de la información del paciente.

 EL Gateway Rinku depende de los dispositivos médicos.

 La Plataforma IoT depende de la información enviada por el Gateway Rinku, y

del proveedor de hospedaje en la nube.

 El médico depende de la plataforma IoT.

3.1.3. MAR.1.2. Valoración de los activos.

A cada paciente se le entrega un kit clínico (dispositivos médicos y un Gateway Rinku)
por lo que si algún kit llega a fallar o a ser vulnerado sólo se afectara a un paciente
(riesgo bajo para la organización). Por el contrario, debido a que todos los kits clínicos
están conectados a la plataforma IoT, si la plataforma llega a ser vulnerada o el servicio
es suspendido todos los pacientes se verán afectados (riesgo medio para la
organización).
Sin embargo, el mal uso de la información del paciente por parte de los médicos o del
proveedor de hospedaje en la nube representa un riesgo muy alto para la
organización, incluso puede derivar en demandas económicas llevando a la quiebra a
la organización. Ver Tabla 2.

Valoración de los activos

Perdidas
económicas
© Universidad Internacional por (UNIR)
de La Rioja
la Mínimo (1) Medio (3) Grave (5) Muy grave (7)
indisponibilidad
de los activos

Los servicios se Interrupción Obliga al cliente Pérdida de Pérdida de

ven afectados leve de los a cambiar de algunos clientes clientes
por la proveedor de forma

9
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

indisponibilidad servicios definitiva

de los activos

La Retraso leves en Retrasos leves Retrasos graves Interrupción

indisponibilidad servicios vitales en servicios en servicios inmediata en
de los activos vitales vitales servicios vitales
afectan la
operación

La Produce una Produce una Produce un falta Deja a la

indisponibilidad falta leve en el falta que obliga grave en el organización al
de los activos cumplimiento a prestar cumplimiento margen de la ley
afecta el de los servicios nuevamente el del servicio
cumplimiento servicio

Tabla 2. Criterios de Valoración de disponibilidad de los activos.

En la siguiente tabla se asigna el valor utilizando la escala.

Valoración Valor

Mínimo 1

Medio 3

Grave 5

Muy grave 7

Tabla3. Valoración de la disponibilidad de los activos.

3.2. MAR. 2 Identificar la problemática

La privacidad y protección de los datos personales sensibles de los pacientes
representa el mayor reto para la organización.
3.2.1. MAR.2.1: Identificación de las amenazas
 Demanda
© Universidad Internacional de los
de La Rioja (UNIR) pacientes por mal uso de su información.

 Borrar datos personales sensibles de los pacientes de la base de datos.

 Ataque a la plataforma IoT.

10
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

 Robo de la información de los pacientes.

 El proveedor de hospedaje en la nube cancele el servicio.

3.2.2. MAR.2.2: Valoración de las amenazas.

 Demanda de los pacientes por mal uso de su información (valoración baja).

 Borrar por accidente datos personales sensibles de los pacientes de la base de

datos (valoración baja).

 Ataque a la plataforma IoT (valoración mediana).

 Robo de la información de los pacientes (valoración mediana).

 El proveedor de hospedaje en la nube cancele el servicio (valoración baja).

 Mal uso de la información del paciente por un tercero (valoración alta).

Puesto que ésta última representa la mayor de las amenazas se elaborará al respecto
en lo puntos subsecuentes.
3.3. MAR. 3 Propuesta de solución que permitan controlar los
riesgos.
El conocimiento sobre los riesgos es el primer paso para su solución. En este caso, el
primer paso, será la delimitación clara y explícita de los roles y responsables del
manejo de la información sensible del paciente. Igualmente, es necesario establecer
los mecanismos de control pertinentes que habiliten a cada usuario exclusivamente
para desempeñar su rol, las herramientas para ese fin incluyen, políticas, permisos,
© Universidad Internacional de La Rioja (UNIR)
etc.
Adicionalmente, se propone que el almacenamiento de la información incluya
estrategias de protección como puede ser la disociación de los datos recolectados de

11
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

la identidad del paciente, o la encriptación. También es pertinente realizar el respaldo

de la base de datos periódicamente.
Por último, habrá que plantear una estrategia y protocolo de contingencia en el caso
de que la información sea vulnerada.
3.3.1. MAR.3.1: Identificación de las salvaguardas pertinentes.
 Aviso de privacidad para el paciente.

 Contrato con la empresa proveedora de hospedaje en la nube.

 Contrato con el médico para el uso de la información.

3.3.2. MAR.3.2: Valoración de las salvaguardas.

 Aviso de privacidad para el paciente (12,000 pesos).

 Contrato con la empresa proveedora de hospedaje en la nube (15,000 pesos).

 Contrato con el médico para el uso de la información (15,000 pesos).

Costo total estimado: $ 42,000 pesos mexicanos.

3.4. MAR.4.: Estimación del impacto.

Los problemas legales pueden derivar en multas por 1 millón de pesos por paciente, e
incluso el efecto acumulado de las consecuencias puede causar el cierre de la
organización.
3.4.1. MAR.4.1: Estimación del riesgo.
Con la implementación de la solución planteada, se posible mitigar los riesgos
relacionados con la vulnerabilidad de la información hasta colocarlos en niveles
© Universidad Internacional de La Rioja (UNIR)
aceptables.
4. Políticas del SGSI
4.1. Políticas para el tratamiento y protección de datos personales

12
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

 Los responsables en el tratamiento de los datos personales, deberán observar los

principios de licitud, consentimiento, información, calidad, finalidad, lealtad,
proporcionalidad y responsabilidad, estipulado por el artículo 6 de la Ley Federal
de Protección de Datos Personales en Posesión de Particulares.
 El tratamiento de los datos personales estará sujeto al consentimiento de su
titular artículo 8 de la Ley mencionada.
4.2. Políticas de control de acceso
 Otorgar el acceso físico, a los activos de información solamente a los usuarios que
estén explícitamente autorizados.
 Determinar reglas de control de acceso a los activos y crear las respectivas restricciones
para usuarios específicos.

5. Conclusiones
Es importante reconocer que en la organización hay riesgos internos y externos que
mal gestionados pueden derivar en pérdida de dinero, fuga de información, problemas
legales y hasta el cierre de la organización.
Existen diferentes frameworks (marcos de referencia), que ayudan a tener conciencia
de las ventajas de implementar estrategias para una gestión del riesgo adecuada,
como la familia de normas ISO31000.
De acuerdo con la norma ISO31000 el riesgo es la incertidumbre sobre los objetivos de
una organización. Aplicar una metodología como MARGERIT V3 para analizar y
gestionar los riesgos ayuda a la organización a decidir qué objetivo se encuentra en
mayor riesgo de no lo lograrse.
© Universidad Internacional de La Rioja (UNIR)
En Startups donde el recurso económico es limitado, es muy útil poder identificar y
gestionar el riego que derive en el cierre de la organización, como es el caso que se
presenta en este documento, donde se identificaron múltiples riesgos de los cuales
sólo uno tiene el impacto para cerrar la organización.

13
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

© Universidad Internacional de La Rioja (UNIR)

14
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

6. Referencias

[1] Rodríguez F. (21 de junio del 2022). Página oficial de Rinku research group:
https://demuxdigital.wixsite.com/rinkuiomt

[2] Ley federal de protección de datos personales en posesión de los particulares. Art.
3, sección VI, 5 de julio del 2010. Página oficial :
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

[3] Ejemplo de clase. “Gestión del riesgo de SI con base en la norma ISO IEC 27005
adaptando la metodología MARGERIT V3.

[4] Digital Ocean. (21 de junio del 2022). Página oficial de DigitalOcean
https://www.digitalocean.com/

© Universidad Internacional de La Rioja (UNIR)

15
Actividades
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29

Integrantes del Equipo:

Sergio Martínez Aguilar
José Francisco Rodríguez Arellano

Hoja de control de actividad grupal

Sergio Martínez Aguilar, José Francisco Rodríguez Arellano

Marcar con una X lo que proceda

Asistencia a una Asistencia a Asistencia a
Asistencia a reuniones de equipo
sesión o ninguna dos sesiones tres sesiones

Sergio Martínez Aguilar X X

José Francisco Rodríguez Arellano X X

Ninguna o una
Tareas o entregas a realizadas Dos tareas Tres tareas
tarea

Sergio Martínez Aguilar X

José Francisco Rodríguez Arellano X

© Universidad Internacional de La Rioja (UNIR)

16
Actividades