Ingeniería de Sistemas

FACULTAD DE INGENIERIA

CARRERA: INGENIERIA DE SISTEMAS

ANALISIS DE RIESGOS INFORMATICOS- EJE 4

TALLER

NOS RAJAMOS

ESTUDIANTE

DARWIN FRANCISCO LARA LARGO

LINA SYDNEY FAJARDO MONROY

GUILLERMO CEBALLOS SANDOVAL

TUTOR

JOSE ALFREDO TREJOS MOTATO

FECHA

ABRIL DEL 2023

1
 Ingeniería de Sistemas

TABLA DE CONTENIDO
INTORDUCCION
En la actualidad a nivel corporativo disponemos de diferentes procesos que
forman parte del Análisis de Riesgos informáticos, los cuales tienen un papel de
alta relevancia para una organización que quiera una reducción significativa en las
probabilidades de que nuevas amenazas tengan un impacto crucial y contundente
en los sistemas de información que necesitan defensas y protección tales como
bases de datos o incluso un software integral de procesos, y un sinfín de datos y
herramientas que no consideramos críticas dentro de los procesos corporativos.
Es necesario tener en cuenta que cualquier sistema basado en software y
hardware está expuesto a diversas problemáticas, amenazas e incidencias que
podemos mitigar, prevenir y solucionar. Estas incidencias sirven para
retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de
componentes críticos, producto de grandes desastres como incendios,
terremotos, sabotaje, etc. O por fallas técnicas como errores humanos, virus
informático, etc. que producen daño físico y/o lógico irreparable.

Para la mitigación de los distintos riesgos, amenazas y vulnerabilidades que tiene

un sistema han sido desarrollados diversos estándares internacionales y
regulaciones que definen los principios básicos en algunos casos, y aspectos
de control detallados en otros, para lograr una efectiva gestión de la
seguridad de la información. Los cuales abarcan desde conceptos tan globales
como el planteo estratégico de la seguridad de la información hasta cuestiones
operativas.

La elaboración de distintos modelos para el análisis, evaluación y gestión de

riesgos es sumamente importante para cualquier organización que se preocupe
por el óptimo desempeño de las políticas de seguridad de la información, ya que
permitirán identificar y franquear las diversas amenazas presentes de la mejor
forma posible, para así exponer al mínimo los sistemas de información.

2
 Ingeniería de Sistemas

OBJETIVOS
1. Analizar e identificar el alcance del sistema de gestión de la información
propuesto.
2. Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos
en la organización XYZ.

3
 Ingeniería de Sistemas

CONTENIDO
Análisis del alcance del sistema de Gestión Recomendaciones:

1. Control de acceso
El análisis y la implementación de modelos de autenticación son importantes para evitar intromisiones no
deseadas, así como la administración de credenciales y permisos por parte del administrador del sistema. Los
métodos de autenticación que están presentes son:

- inicio de sesión tradicional: Consiste en un login y contraseña configurado y asignado por el owner
del sistema.

- Doble factor de autenticación con SMS: consiste en el envio de un mensaje de texto con un
código solicitado para iniciar la sesión, este código será enviado al número de móvil
registrado con el usuario en el sistema de información.

- URL de autenticación: Sirve como identificador único que se logea en la mayor parte de las
ocasiones con el directorio activo que esta sincronizado con el sistema de información.

4
 Ingeniería de Sistemas

- Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio de sesión
único.

2. Control de cambios:
Este control de cambios le va a permitir al sistema tener seguridad sobre el impacto que va a
generar cualquier actualización o mutación que se presente en el transcurso de la operación
y de esta forma evitar un impacto de gran magnitud en su integridad y funcionamiento.

El proceso de control de cambios proporciona procedimientos formales para: registrar

solicitudes de cambio; analizar la información del por qué es requerido el cambio, el
impacto que tendrá al autorizar, rechazar o modificar dicha solicitud.

El registro de cambios se llevará a cabo por cualquier persona involucrada en el proyecto,

desde los clientes hasta los desarrolladores, en cualquier punto del ciclo del software, e
incluir una solución propuesta, prioridad e impacto, el cual debe ser analizado,
aprobado y rastreado formalmente. Una solicitud de cambio puede originarse, por ejemplo,
a partir de un defecto en el producto de software, de una petición de mejora o de un cambio
a un requerimiento y será validado y ejecutado teniendo en cuenta un formato como el
siguiente:

5
 Ingeniería de Sistemas

Código: FM- Empresa

02 Procedimiento de control de cambios XYZ

NOMBRE CARGO FIRMA FECHA

Jefe sistema
Elaboró gestión de calidad
Jefe de sistemas
Coordinador IT
Revisó Director de proyecto
Director de sistemas
Director de proyecto
Aprobó Gerente general

PROCEDIMIENTO
Generalidades Responsable

INFORMACION O SOLICITUD DE CAMBIO

Información Responsable

INFORMACION O SOLICITUD DE CAMBIO

Información Responsable

DIVULGACIÓN
Información Responsable

IMPLEMENTACIÓN
Información Responsable

VERIFICACION DE LOS CAMBIOS

IMPLEMENTADOS
Información Responsable
CAMBIOS EN DOCUMENTACION
Información Responsable

6
 Ingeniería de Sistemas

3. Gestión de continuidad y disponibilidad:

- Realización de backups automatizados con herramientas como xopero, o respaldo claro cloud:

- Implementación de políticas de seguridad de la información.

Implementación de tecnologías tipo clúster.

7
 Ingeniería de Sistemas

ACTIVOS DESCRIPCIÓN VALOR SEGURIDAD DE LA INFORMACIÓN RESPONSABLE

CONFIDENCIAL INTEGRIDAD DISPONIBLE
Estructura Se encuentran en esta $22’000.000 4.1 3.1 4.3 Líder de área y supervisor.
informática Hardware y Software. cop
Redes de Especializada $24’000.000 4.6 4.0 5 Líder de área y supervisor.
comunicación e cop
n dispositivos de Red.
Respaldos de la Aseguran información $110’000.000 5 5 4.3 Líder de área y supervisor.
información en caso de pérdida. cop
Instalación Correcta instalación de $22’000.000 4.5 2.2 4.5 CEO y supervisor
d la planta física. cop
e planta física
Planta de La columna vertebral $13’800.000 4.1 3.5 3.2 CEO y líderes de área
trabajadores de la organización. cop
Modelo Propuesto

Tabla 1. Tabla de activos

Fuente: Propia

IMPACTO VALOR
Crítico 5
Alto De 4.0 a 4.9
Medio De 2.5 a 3.9
Bajo De 0 a 2.4
Tabla 2. Indicadores de impacto
Fuente: Referente de pensamient

8
 Ingeniería de Sistemas

PROBABILIDAD IMPACTO
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrófico(5)
Nivel 1 Improbable y daño Improbable y daño bajo: Improbable
Diseño de y daño
Improbable
políticas
moderado:y daño Postulación
alto:
de
Improbable
Asumir como
y dañoderiesgo
mínimo: Generación mitigación del daño. medidas de contención. aceptable y hacer colosal: Evaluación de la
de políticas para políticas. vulnerabilidad y
evitar aparición. mitigación.
Nivel 2 Ocasional y daño Ocasional y daño Ocasional y daño Ocasional y daño Ocasional y daño
mínimo: bajo: moderado: alto: colosal:
Manejo de Implementación de Exposición de medidas Asumir como desarrollo de controles
políticas medidas
para evitar
de mitigación
el riesgo. de mitigación. riesgo para situaciones
del daño. aceptable con excepcionales.
controles.
Nivel 3 Probable y daño Probable y daño bajo: Probable
Proponery daño medidasProbable y daño de alto:
Probable
Generación
y daño
de políticas de
mínimo: Diseño de mitigación
controles del daño.
para moderado: control para la colosal:
mitigación del daño. Implementación mitigación.
de Análisis para el
protocolos de control. manejo de
una amenaza.
Nivel 4 Frecuente y daño Frecuente y daño Frecuente y daño Frecuente y daño Frecuente y daño
mínimo: bajo: moderado: alto: ocasional: Revisión al
Estudio para Análisis a Revisión de Prevenir actividades modelo
descubrir la flaqueza vulnerabilidades y amenazas repetitivas y políticas.
y evitarla. políticas de mitigación. presentadas y
mitigación.
Nivel 5 Recurrente y daño Recurrente y daño bajo: Recurrente
Estudio yadaño la Recurrente
amenaza y daño y alto:
Recurrente
postulación
y daño
de políticas para
mínimo: Análisis de exposición de políticas. moderado: Examen de la mayoría de colosal:
la vulnerabilidad vulnerabilidades circunstancias. reestructuración del
para evitarla. y mitigación de modelo
amenazas. de seguridad de
información.

9
 Ingeniería de Sistemas

DIMENSIÓN DEL RIESGO VALOR ACCIONES

Extremo ≥ 10 Implementar SGSI con políticas y controles
de seguridad de la información.
Alto De 7.5 a 9.9 Estudio del incidente y postulación del caso
para sus resolución por el área pertinente.
Moderado De 5.0 a 7.4 Desarrollo de políticas para mitigar el daño
generado y reducirlo.
Menor De 4.0 a 4.9 Por medio de medidas de prevención y
contención reducir la dimensión del daño.
Bajo De 0 a 3.9 Auditorio a novedades de amenazas para
evitarlas en lo mayor posible.

TIPO RIESGO MEDIDAS

Extremo Asumir el riesgo y mitigar: Se asume el riesgo y se generan
políticas para evitar daños a futuro.
Alto Asumir el riesgo y mitigar: Se asume el riesgo y se generan
políticas para mitigar daños a futuro.
Moderado Mitigar: Exponer políticas para evitar el riesgo y generar
protocolos para acciones.
Menor Evitar y mitigar: Proponer una simulación donde se cubran
posibles vulnerabilidades y políticas de mitigación.
Bajo Evitar: Mediante análisis y simulación exponer situaciones

10
 Ingeniería de Sistemas

Acciones De Mitigación (Preventivas)

Como acciones a tomar validando el tema de la auditoría y basándonos
también en la ISO 31000 y en la metodología OCTAVE podemos indicar:
- Para la ejecución de políticas de seguridad Windows Server para la
creación de directorio activo donde se podrá asignar políticas de seguridad
de ingreso, niveles de seguridad en los perfiles, policías de cambio de
contraseña, longitud y parámetros mínimos de complejidad de la
misma .En la culminación del AD se puede gestionar granjas para los
permisos de accesos en servidores para la implementación del software
SISCO y mantenerlo aislado de otros accesos, también generar acceso a
través de cuentas verificadas con caducidad de tiempo con eso se mitiga la
filtración de información también de que cualquier usuario este
ingresando en cualquier horario de la jornada. Con este servicio podemos
vincular una base de datos robusta donde se pueda ingresar con
usuarios verificados anteriormente.
- Adecuación a través del firewall redes (VLANS) segmentando controles
que limiten el acceso a internet por parte de los funcionarios.

11
Ingeniería de Sistemas

12
 Ingeniería de Sistemas

CONCLUSIONES
1. Las tecnologías de gestión de backups deben estar a la vanguardia y deben
ser automatizadas, pues los ciber criminales siempre van a buscar brechas
por donde atacar.
2. Fortalecer los sistemas de acceso y maximizar las restricciones a usuarios
y colaboradores de la comunidad es fundamental para garantizar el
funcionamiento seguro e integral de un sistema de información.
3. La auditoría de un sistema de información es rigurosa y necesaria para
encontrar falencias y solucionar brechas que parecen invisibles.
4. Desarrollar diferentes modelos de análisis, evaluación y gestión de riesgos,
ya que permitirán identificar y superar las diferentes amenazas, con el fin
de minimizar la exposición de los sistemas de información.

13
 Ingeniería de Sistemas

BIBLIOGRAFIA
- Referente de pensamiento Eje IV Analisis de riesgos informáticos (FUAA)
- Esetla.com
- xopero.com
- Castello, R. J. (2006). Auditoría en entornos informáticos. Recuperado de
http://econ. unicen. edu. ar.
- Soler Ramos, J., Staking, K., Ayuso Calle, A., Beato, P., Botín OShea, E., & Escrig
Meliá, M. (1999). Gestión de riesgos financieros: un enfoque práctico para países
latinoamericanos. Banco Interamericano de Desarrollo–BID.
- López, P. A. (2010). Seguridad informática. Editex.
- Urbina, G. B. (2016). Introducción a la seguridad informática. Grupo editorial
PATRIA.
- Gestione a su negocio en Riesgos ISO 3100. (s/f). Bsigroup.com. Recuperado
el 4 de octubre de 2022, de https://www.bsigroup.com/es-CO/gestion-de-
riesgo-iso-31000-/

14