UNIVERSIDAD DOMINICANA O&M

ING. EN SISTEMAS Y COMPUTACION

“Gestión de Riesgo”
Sustentantes:
José Alberto Vásquez Lorenzo | 18-SIST-1-017
Kenia Familia Arias | 17-SISN-1-060
Jesús Calderón | 16-MISM-1-039

Docente:
Julio Serrano Carlos

Sección:
1101

1
 Índice
Establecer la política de seguridad de la información..............................................3
Descripción del Proceso...............................................................................................4
Objetivo General..............................................................................................4
Objetivos Específicos.......................................................................................4
Generalidades sobre ISO 27001.....................................................................5
Análisis y evaluación de riesgos.................................................................................6
Identificación de los activos............................................................................6
Valoración de los activos.................................................................................7
Identificación de las amenazas........................................................................9
Posibilidad de Ocurrencia de las amenazas.................................................11
Identificación de vulnerabilidades y probabilidad de explotación............13

Estimación de Riesgos...................................................................................18
Nivel de Riesgo...............................................................................................20
Tratamiento de Riesgos.................................................................................22

2
 Establecer la política de seguridad de la información.
● La información debe ser protegida, por sus custodios, de una manera
consistente con su importancia, valor y criticidad, siguiendo las reglas
establecidas en las políticas específicas de seguridad de la información, sus
procedimientos asociados y en las recomendaciones dadas por el
responsable designado de dicha información.
● Se proveerá los mecanismos para que la información sea accedida y
utilizada por el personal que de acuerdo a sus funciones así lo requiera. Sin
embargo, se reserva el derecho de revocar al personal, el privilegio de
acceso a la información y tecnologías que la soportan, si la situación y las
condiciones lo ameriten.
● Si la institución procesa y mantiene información de usuarios externos que
sean datos personales y/o sensibles de acuerdo a la normativa vigente, la
organización se compromete a asegurar que esta información no será
divulgada sin previa autorización y estará protegida de igual manera que la
información interna.
● Se velará por la existencia de un plan formal de difusión de esta política
y las políticas específicas que la sustenten.
● Se propiciará la existencia de mecanismos o procedimientos formales
que permitan asegurar la continuidad del negocio ante situaciones que
impidan el acceso a la información imprescindible para el funcionamiento
de la organización.
● La información y las tecnologías de información deben ser usadas sólo
para propósitos relacionados con el servicio y autorizados por los
supervisores, debiéndose aplicar criterios de buen uso en su utilización.
● Las claves de acceso a la información y a las tecnologías de información
son individuales, intransferibles y de responsabilidad única de su
propietario.
● El personal está en la obligación de alertar, de manera oportuna y
adecuada, cualquier incidente que atente contra lo establecido en esta
política.
● Está absolutamente prohibido al personal de la organización divulgar
cualquier información que según el ordenamiento jurídico esté catalogada
como “Reservada” o “Secreta”, Organización y Mantención de las
Políticas.

3
Descripción del Proceso
Este proyecto está dirigido al Departamento de TI.
Alcance
Este proyecto abarca los activos que el departamento contiene, la identificación
de amenazas y vulnerabilidades que pueden estar presentes. Así como los niveles
de riesgos, probabilidades de ocurrencias de las amenazas, niveles de riegos y
como pueden ser tratados.
Objetivo General
La seguridad de la información en el supermercado el bravo tiene como objetivo
establecer y mantener un ambiente razonablemente seguro alineado a su misión,
de manera tal que permita proteger sus activos de información, así como el
adecuado uso de los recursos y de la gestión del riesgo, con el fin de asegurar la
disponibilidad, integridad y confidencialidad de la información que administra.
Objetivos Específicos
Proteger los activos de información de la empresa basado en los criterios de
disponibilidad, integridad y confidencialidad.
Gestionar los riesgos de seguridad de la información para mantenerlos en niveles
aceptables.
Implementar el plan de continuidad para los servicios que estén en el alcance del
Sistema de Gestión de la Seguridad de la Información.
Alcance
Este proyecto abarca los activos que este departamento contiene, la identificación
de amenazas y vulnerabilidades que pueden presentarse, probabilidades de
ocurrencia de las mismas, niveles de riesgo y tratamientos.
Evaluación de Riesgos
Las metodologías que se tomaron como referencia en este proyecto fueron:
● ISO 27001
● Guía de Controles ISO 27002:2013
● NIST SP 800-30
Generalidades sobre ISO 27001
ISO 27001 es una norma internacional emitida por la Organización Internacional
de Normalización (ISO) y describe cómo gestionar la seguridad de la
información en una empresa.
Es un estándar ISO que proporciona un modelo para establecer, implementar,
operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de

4
Seguridad de la Información (SGSI). Se basa en el ciclo de vida PDCA (Planear-
Hacer-Verificar- Actuar) de mejora continua, al igual que otras normas de
sistemas de gestión.
Este estándar es certificable, es decir, cualquier organización que tenga
implantado un SGSI según este modelo, puede solicitar una auditoría externa por
parte de una
entidad acreditada y, tras superar con éxito la misma, recibir la certificación en
ISO 27001.

5
 ANALISIS Y EVALUACION DE RIESGOS
ACTIVOS RELACIONADOS EN PROCESO DEL
DEPARTAMENTO DE TI

IDENTIFICACION DE LOS ACTIVOS

No. Activo Descripción Clase Tipo

1 S.O. Herramientas a utilizar. P Software

2 Servidores. Gestionar Operaciones. P Hardware

3 Dispositivos móviles y Gestión de control. S Hardware

fijos.
4 Control de acceso. Salvaguardar la P Software
información.
5 Infraestructura. Lugar de Trabajo P

6 Base de Datos. Registro de la P Software

información de la
empresa.
7 Aplicaciones de Monitorear el lugar de P Software
Monitoreo trabajo.
8 Antivirus Proteger el sistema P Software

9 Firewalls Proteger el sistema P Software

10 Centro de Datos P Datos

11 Dispositivos de red Conexión S Hardware

LEYENDA: P: Primario – S: Secundario.

6
 Valoración de los activos
Clasificación Confidencialidad Integridad Disponibilidad

Más bajo C-1 Publico I-1 Normal D-1 Recuperable

Medio C-2 Restringido I-2 Estándar D-2 Espera fría

Alto C-3 Confidencial I-3 Individual D-3 Espera caliente

Más alto C-4 Secreto I-4 Doble D-4 a prueba de

intervención fallas

No Activo Administración/ Confidencialida Integrida Disponibili Valor

. proceso o dueño d d dad

1 S.O. Herramienta C-3 I-3 D-2 Medio

esencial
para la
funcionabilidad de
las PCs.
2 Servidores. Se usa para C-4 I-3 D-4 Alto
atender las
peticiones de un
cliente y
devolverle una
respuesta en
concordancia.
3 Dispositivos Herramientas a C-2 I-3 D-3 Bajo
móviles y fijos. utilizar
4 Control de Sistema para C-4 I-4 D-4 Mas Alto
acceso. autorización de
accesibilidad.
5 Infraestructura -Alimentación C-2 I-3 D-3 Medio
eléctrica.
-Equipos de
Comunicaciones.
-Cuarto de
Comunicaciones
-Seguridad y
control
-Electrónica de
Red.
6 Base de Registro de C-4 I-3 D-4 Mas Alto
Datos. información de la
empresa.
7 Aplicaciones Herramientas C-4 I-4 D-3 Más Alto
de Monitoreo para
implementación
de controles
contra intrusos.

7
8 Antivirus Proteger los C-3 I-2 D-3 Medio
sistemas de virus.
9 Firewalls Proteger el C-3 I-3 D-2 Medio
sistema.
10 Centro de Registro de C-4 I-4 D-4 Mas Alto
Datos Información.
11 Dispositivos Herramientas a C-2 I-3 D-3 Medio
de red. utilizar.

8
 IDENTIFICACIÓN DE LAS AMENAZAS
AMENAZAS

Activos Naturales Instalacione Humanas Tecnológicas Operacionales

s
S.O. N/A Mala Accesos no Ransomware Fallas en los
edificación, autorizados y malware procesos.
incendios y .
fallas en el
circuito
eléctrico.
Servidores. Tormentas, Mala Accesos no Ransomware Fallas en los
sismos e edificación, autorizados y malware procesos.
inundaciones incendios y .
fallas en el
circuito
eléctrico.
Dispositivo N/A Mala Accesos no Ransomware Fallas en los
s móviles y edificación, autorizados y malware procesos.
fijos. incendios y y violación
fallas en el de
circuito privilegios.
eléctrico.
Control de N/A Mala Accesos no Ransomware Fallas en los
acceso. edificación, autorizados y malware procesos.
incendios y .
fallas en el
circuito
eléctrico.
Infraestruc Tormentas, Mala Accesos no Ransomware N/A
tura sismos e edificación, autorizados y malware
inundaciones incendios y .
fallas en el
circuito
eléctrico.
Base de N/A Mala Accesos no Ransomware Fallas en los
Datos. edificación, autorizados y malware procesos.
incendios y .
fallas en el
circuito
eléctrico.
Aplicacion N/A Mala Accesos no Ransomware Fallas en los
es de edificación, autorizados y malware. procesos.
Monitoreo incendios y .
fallas en el
circuito
eléctrico.

9
 Antivirus N/A Mala Accesos no Ransomware Fallas en los
edificación, autorizados y malware. procesos.
incendios y .
fallas en el
circuito
eléctrico.
Firewalls N/A Mala Accesos no Ransomware Fallas en lo.
edificación, autorizados y malware. Procesos.
incendios y .
fallas en el
circuito
eléctrico.
Centro de Tormentas, Mala Accesos no Ransomware Fallas en los
Datos sismos e edificación, autorizados y malware. procesos.
inundaciones incendios y .
fallas en el
circuito
eléctrico.
Dispositivo Tormentas, Fallas en el Accesos no Ransomware, Fallas en los
s de red. sismos e circuito autorizados malware y procesos.
inundaciones eléctrico. spyware.

10
 POSIBILIDAD DE OCURRENCIA DE AMENZAS
Activos Posibilidad de Ocurrencia
# Amenazas Posibilidades
S.O. A -Accesos no autorizados. 3

-Malware especializado. 3
B
-Spyware, Malware 3
C
Servidores. A -Tormenta eléctrica 3

-Falla eléctrica 2
B
-Accesos no autorizados 2
C
Dispositivos A -Acceso No 2
móviles y Autorizado.
fijos. B -Sabotaje.
2
C -Perdida de clave.

2
Control A -Ingeniería Social. 4
de
B -Acceso no autorizado. 3
acces
o.
Violación de privilegios. 3
C
Infraestructu A -Terremotos 2
ra
-Fallo estructural. 2
B
-Tormentas. 3
C
Base de A -Acceso no autorizado. 2
Datos.
-Fallas en los procesos. 2
B
-Ransomware. 4
C
Aplicaciones A -Incendios. 2
de
Monitoreo
-Malware. 3
B

11
 C -Error Humano. 2
Antivirus A -Error Humano. 2
-Falta de actualización. 2
B

12
 C -
Firewalls A -Error Humano. 2
-Virus Informáticos. 3
B
-
C
Centro de Datos A -Fallas eléctricas. 3

-Violación de 2
B
privilegios.
C
-Ransomware. 3

Dispositivos de A -Violación de 3
red. privilegios.
B
-Accesos no 3
C autorizados.

-Fallas eléctricas. 2

ESCALA
Muy alto 4
Alto 3
Medio 2
Bajo 1
Nulo 0

13
 IDENTIFICACION DE VULNERABILIDADES Y PROBABILIDAD
DE EXPLOTACION
Activos Amenazas Vulnerabilidad Probabilida Total
d de
Explotación
S.O 1 Accesos no 1.1 Poco control de 4 3
autorizados. acceso.
1.2 Empleados 2
Insatisfechos.

2 Malware 2.1 Poco control de 2 3

especializado. acceso.
2.2 Escasas 3
medidas
preventivas.

2.3 Pocos 2
protocolos
de seguridad.

3 Spyware, 3.1 Antivirus 2 2

Malware. desactualizados
3.2 Cortafuegos no 2
tan potentes
3.3 Utilización 2
de software
de dudosa
procedencia

Servidores 1 Tormenta 1.1 Falta de 3 3

eléctrica reguladores de
energía
1.2 Falta de 2
pararrayos.

2 Falla eléctrica 2.1 Falta de 2 3

reguladores de
energia.
2.2 Falta de 3
mantenimientos
a electricidad de
la empresa.

3 Accesos no 3.1 Antivirus 2 3

autorizados Desactualizados
.

14
Dispositiv 1 Acceso 1.1 Falta de 3 2
os No contraseña
móviles y Autoriza s seguras.
fijos. do.
1.2 Poco cambio de 2
contraseñas
1.3

2 Sabotaje. 2.1 Poco control de 3 3

acceso.
2.2 Empleados 2
Insatisfechos.
2.3 Contraseñas 3
Inseguras.

3 Pérdida de 3.1
Clave.
3.2
3.3

CONT 1 Acceso 1.1 Falta de 2 2

ROL no contraseña
DE Actualiza s seguras.
ACCE do. 1.2 Poco cambio de 2
SOS contraseñas
1.3

2 Sabotaje 2.1 Insatisfacción 2 2

Interno. de los
empleados.
2.2 Poca seguridad. 2
2.3 Escasas 3
medidas
preventivas

3 Virus 3.1 Antivirus 2 2

Informáticos Desactualizados.
3.2 Cortafuegos no 2
tan potentes.
3.3 Utilización de 3
software de

15
Infraestructura 1 Amen 1.1 Toma 3 3
azas corrientes
defectuosos.
Eléctr 3
1.2 Variación de
icas. Voltaje
1.3 Cables mal 2
conectado.

2 Falta de 2.1 Mantenimiento 3 3

Manteni Inadecuado.
2.2 Poco 2
miento. Mantenimiento.
2.3

Ambiente 3.1 Incorrecta 2 2

Protección de
los
Equipos.
3.2 Ambientes 2
Húmedos
3.3

Base de Datos 1 Sabotaje 1.1 Insatisfacción 2 3

Interno. de
los empleados.
1.2 Poca 3
seguridad.
1.3 Escasas 3
medidas
preventivas

Aplicaciones 1 Incendios. 1.1 Falta de 2 3

de extintores
Monitoreo 1.2 Falta de 3
censores de
humo.
1.3 Malas 3
Conexiones.

2 Malware 2.1 Base de datos 2 3

de virus
desactualizado
s.
2.2 Dispositivos 3
Infectados.
2.3 Ausencia de 2
cortafuegos.

16
 3 Error 3.1 Empleados 3 3
Humano. disgustados.
3.2 Contraseñas 3
pocas seguras.
3.3 Poco 3
monitoreo.

Antivirus 1 Error 1.1 Empleados 3 3

Humano. disgustados.
1.2 Contraseñas 3
pocas seguras.

2 Falta de 2.1 Base de datos 2 2

actualización. de virus
desactualizado
s.
2.2 Pocos 2
seguimientos.

FIREWALL 1 Error 1.1 Empleados 2 3

Humano. disgustados.
1.2 Empleados 3
disgustados.

2 Virus 2.1 Descargar 3 3

Informático. software de
paginas
ilegitimas.
2.2 Software Ilícito. 3

CENTRO 1 -Fallas 1.1 Toma 3 3

DE DATOS eléctricas. corrientes
defectuosos
1.2 Variación de 2
Voltaje.
1.3 Cables mal 3
Conectado.
2 Violación de 2.1 Accesos de 2 2
privilegios. personal no
identificado.
2.2 Contraseñas 2
pocos seguras.
2.3

3 Ransomware 3.1 Antivirus poco 3 3

seguros.
3.2 Acceso a 3
páginas poco
seguras.

17
 3.3 Ingreso de 3
USBs
infectado.

Dispositivos 1 Violación de 1.1 Accesos de 2 2

de red. privilegios. personal no
identificado.
1.2 Contraseñas 2
pocos seguras.

2 Accesos no 2.1 Falta de 2 2

autorizados. Contras
eñas
Seguras.
2.2 Poco cambio 2
de
contraseñas

3 Fallas 3.1 Toma 3 3

eléctricas. corrientes
defectuosos
3.2 Variación de 3
Voltaje.
3.3 Cables mal 2
Conectado.

ESCALA
Muy alto 4
Alto 3
Medio 2
Bajo 1
Nulo 0

18
 Estimación de Riesgos
Activos Tasación
CONFI Integri Disponi Total Ame Posibilidad Promedio Valor
DENCI dad bilidad nazas de Posibilidad de
ALIDAD ocurrencia Ocurrencia Peso
S.O. 3 3 3 3 Accesos no 3
autorizados.
Spyware, 3 3 5
Malware
Malware 3
especializado
Servidores. 4 3 4 4 Tormenta 3
Eléctrica
Falla 2 2 4
Eléctrica
Accesos no 2
autorizados
Dispositivos 2 3 3 3 Acceso no 2
móviles y fijos. autorizado
Sabotaje 2 2 3
Perdida de 2
clave
Control de 4 4 4 4 Ingeniería 4
acceso. Social
Acceso no 3 3 4
Autorizado
Violación de 3
privilegio
Infraestructura. 3 3 3 3 Terremotos 2
Fallo 2 2 3
estructural
Tormenta 3
Base de Datos. 4 4 4 4 Acceso no 2
autorizado
Fallas en los 2 2 5
procesos
Ransomware 3
Aplicaciones 4 4 3 3 Incendios 2
de Monitoreo Malware 3 2 4
Error 2
Humano
Antivirus 3 2 3 3 Error 2
Humano 2 4
Falla de 2
actualización
Firewalls 3 3 4 3 Error 2 3 5
humano

19
 Virus 3
Informáticos
Centro de 4 4 4 4 Fallas 3
Datos eléctricas
Violación de 2 3 5
privilegios
Ransomware 3
Dispositivos 3 3 3 3 Violación de 3
de red privilegio
Acceso no 3 3 5
autorizados
Fallas 2
eléctricas

Cantidad Clasificación Confidencialidad Integridad Disponibilidad

1 Bajo Publico Normal Dominio Publico
2 Medio Restringido Parcial Niveles
administración
de
la empresa
3 Alto Confidencial Estándar Solo personal
autorizado
4 Muy Alto Secreto Total Alta gerencia de la
empresa

Escala de Ocurrencia
Muy Alto 5
Alto 4
Medio 3
Bajo 2
Nulo 1

20
 Nivel de Riesgos Activos
Activos Tasación
C I D T Amenazas Posibi Promed Valor Valor Nivel
O n i o lidad io de de del
N t s t de Posibili Peso activos Riesgo
F e p a ocurre dad en
I g o l ncia Ocurre Riesgo
D
ri n ncia s
E
N d i
C a b
I d i
A l
L i
I d
D a
A d
D
S.O. 3 3 3 3 Accesos no autorizados. 3
Spyware, Malware 3
Malware especializado 3 3 5 4 15.0
Servidores. 4 3 4 4 Tormenta Eléctrica 3
Falla Eléctrica 2
Accesos no autorizados 2 2 4 3 6.0
Dispositivos 2 3 3 3 Acceso no autorizado 2
móviles y fijos. Sabotaje 2
Perdida de clave 2 2 3 3 4.5
Control de 4 4 4 4 Ingeniería Social 4
acceso. Acceso no Autorizado 3
Violación de privilegio 3 3 4 5 15.0
Infraestructura. 3 3 3 3 Terremotos 2
Fallo estructural 2 2 3
Tormenta 3 3 4.5
Base de Datos. 4 4 4 4 Acceso no autorizado 2
Fallas en los procesos 2
Ransomware 3 2 5 4 10.0
Aplicaciones 4 4 3 3 Incendios 2
de Monitoreo Malware 3 2 4
Error Humano 2 3 7.4
Antivirus 3 2 3 3 Error Humano 2
Falla de actualización 2 2 4 3
Firewalls 3 3 4 3 Error humano 2 3 5
Virus Informáticos 3 4 15.0
Centro de 4 4 4 4 Fallas eléctricas 3
Datos Violación de privilegios 2
Ransomware 3 3 5 4 15.0

21
Dispositivos 3 3 3 3 Violación de privilegio 3
de red Acceso no autorizados 3
Fallas eléctricas 2 3 5 4 15.0

Nivel de Riesgo
Alto 16-25
Medio 9-15
Bajo 1-8

22
 Tratamiento De Riesgos
Objetivos de Tipo de
Activos de Información Control Controles Estrategia
Referencia ISO/IEC (reducir, Responsable
ISO/IEC 27002:2013 transferir,
27002:2013 aceptar)
S.O. Evitar que Controles de
personas no accesos, Departamento de
autorizadas políticas de Transferir TI/Soporte
accedan a ella. privacidad y técnico/Gerente
antivirus. de Informatica
Servidores. Controles de Departamento de
acceso TI/Soporte
biométrico, piso técnico/Gerente
Evitar daños falso, Reducir y de Informatica
físicos y a la protectores de transferir.
información. voltaje, UPS,
firewall y
antivirus
.
Dispositivos móviles y Departamento de
fijos. Mantener Políticas de Reducir TI/Soporte
siempre su seguridad, técnico/Gerente
funcionamiento. soporte, de Informatica
acceso.
Control de Acceso. Departamento de
Evitar accesos Bloqueo de Reducir. TI/Soporte
no autorizados a puertos sin técnico/Gerente
través de este utilizar, de Informatica
sistema. antivirus y
Firewall.
Infraestructura. Departamento de
Tener todo Controles de TI/Soporte
protegido y con acceso, Transferir. técnico/Gerente
debido políticas de de Informatica
mantenimiento seguridad.
en todas las
áreas de TI.
Base de Datos. Departamento de
Proteger la Firewall, Reducir. TI/Soporte
informacion que políticas técnico/Gerente
entra, sale y de de Informatica
permanece en la seguridad.
base de datos.
Aplicación de Departamento de
monitoreo. Proteger y Seguridad Transferir. TI/Soporte
mantener privada en el técnico/Gerente
siempre sitio. de Informatica
actualizado el
sistema.

23
Antivirus. Políticas de Aceptar. Departamento de
Proteger y seguridad. TI/Soporte
mantener

24
 siempre técnico/Gerente
actualizado el de Informatica
sistema.
Firewalls. Departamento de
Proteger y Políticas de Transferir. TI/Soporte
mantener Privacidad. técnico/Gerente
siempre de Informatica
actualizado el
sistema.
Centro de Datos. Departamento de
Proteger la Antivirus y Reducir. TI/Soporte
información. firewall. técnico/Gerente
de Informatica
Dispositivos de Red. Departamento de
Proteger la Antivirus y Reducir. TI/Soporte
información. firewall. técnico/Gerente
de Informatica

25