Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERIA
TALLER
NOS RAJAMOS
ESTUDIANTE
TUTOR
FECHA
1
Ingeniería de Sistemas
TABLA DE CONTENIDO
INTORDUCCION
En la actualidad a nivel corporativo disponemos de diferentes procesos que
forman parte del Análisis de Riesgos informáticos, los cuales tienen un papel de
alta relevancia para una organización que quiera una reducción significativa en las
probabilidades de que nuevas amenazas tengan un impacto crucial y contundente
en los sistemas de información que necesitan defensas y protección tales como
bases de datos o incluso un software integral de procesos, y un sinfín de datos y
herramientas que no consideramos críticas dentro de los procesos corporativos.
Es necesario tener en cuenta que cualquier sistema basado en software y
hardware está expuesto a diversas problemáticas, amenazas e incidencias que
podemos mitigar, prevenir y solucionar. Estas incidencias sirven para
retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de
componentes críticos, producto de grandes desastres como incendios,
terremotos, sabotaje, etc. O por fallas técnicas como errores humanos, virus
informático, etc. que producen daño físico y/o lógico irreparable.
2
Ingeniería de Sistemas
OBJETIVOS
1. Analizar e identificar el alcance del sistema de gestión de la información
propuesto.
2. Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos
en la organización XYZ.
3
Ingeniería de Sistemas
CONTENIDO
Análisis del alcance del sistema de Gestión Recomendaciones:
1. Control de acceso
El análisis y la implementación de modelos de autenticación son importantes para evitar intromisiones no
deseadas, así como la administración de credenciales y permisos por parte del administrador del sistema. Los
métodos de autenticación que están presentes son:
- inicio de sesión tradicional: Consiste en un login y contraseña configurado y asignado por el owner
del sistema.
- Doble factor de autenticación con SMS: consiste en el envio de un mensaje de texto con un
código solicitado para iniciar la sesión, este código será enviado al número de móvil
registrado con el usuario en el sistema de información.
- URL de autenticación: Sirve como identificador único que se logea en la mayor parte de las
ocasiones con el directorio activo que esta sincronizado con el sistema de información.
4
Ingeniería de Sistemas
- Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio de sesión
único.
2. Control de cambios:
Este control de cambios le va a permitir al sistema tener seguridad sobre el impacto que va a
generar cualquier actualización o mutación que se presente en el transcurso de la operación
y de esta forma evitar un impacto de gran magnitud en su integridad y funcionamiento.
5
Ingeniería de Sistemas
PROCEDIMIENTO
Generalidades Responsable
DIVULGACIÓN
Información Responsable
IMPLEMENTACIÓN
Información Responsable
6
Ingeniería de Sistemas
- Realización de backups automatizados con herramientas como xopero, o respaldo claro cloud:
7
Ingeniería de Sistemas
IMPACTO VALOR
Crítico 5
Alto De 4.0 a 4.9
Medio De 2.5 a 3.9
Bajo De 0 a 2.4
Tabla 2. Indicadores de impacto
Fuente: Referente de pensamient
8
Ingeniería de Sistemas
PROBABILIDAD IMPACTO
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrófico(5)
Nivel 1 Improbable y daño Improbable y daño bajo: Improbable
Diseño de y daño
Improbable
políticas
moderado:y daño Postulación
alto:
de
Improbable
Asumir como
y dañoderiesgo
mínimo: Generación mitigación del daño. medidas de contención. aceptable y hacer colosal: Evaluación de la
de políticas para políticas. vulnerabilidad y
evitar aparición. mitigación.
Nivel 2 Ocasional y daño Ocasional y daño Ocasional y daño Ocasional y daño Ocasional y daño
mínimo: bajo: moderado: alto: colosal:
Manejo de Implementación de Exposición de medidas Asumir como desarrollo de controles
políticas medidas
para evitar
de mitigación
el riesgo. de mitigación. riesgo para situaciones
del daño. aceptable con excepcionales.
controles.
Nivel 3 Probable y daño Probable y daño bajo: Probable
Proponery daño medidasProbable y daño de alto:
Probable
Generación
y daño
de políticas de
mínimo: Diseño de mitigación
controles del daño.
para moderado: control para la colosal:
mitigación del daño. Implementación mitigación.
de Análisis para el
protocolos de control. manejo de
una amenaza.
Nivel 4 Frecuente y daño Frecuente y daño Frecuente y daño Frecuente y daño Frecuente y daño
mínimo: bajo: moderado: alto: ocasional: Revisión al
Estudio para Análisis a Revisión de Prevenir actividades modelo
descubrir la flaqueza vulnerabilidades y amenazas repetitivas y políticas.
y evitarla. políticas de mitigación. presentadas y
mitigación.
Nivel 5 Recurrente y daño Recurrente y daño bajo: Recurrente
Estudio yadaño la Recurrente
amenaza y daño y alto:
Recurrente
postulación
y daño
de políticas para
mínimo: Análisis de exposición de políticas. moderado: Examen de la mayoría de colosal:
la vulnerabilidad vulnerabilidades circunstancias. reestructuración del
para evitarla. y mitigación de modelo
amenazas. de seguridad de
información.
9
Ingeniería de Sistemas
10
Ingeniería de Sistemas
11
Ingeniería de Sistemas
12
Ingeniería de Sistemas
CONCLUSIONES
1. Las tecnologías de gestión de backups deben estar a la vanguardia y deben
ser automatizadas, pues los ciber criminales siempre van a buscar brechas
por donde atacar.
2. Fortalecer los sistemas de acceso y maximizar las restricciones a usuarios
y colaboradores de la comunidad es fundamental para garantizar el
funcionamiento seguro e integral de un sistema de información.
3. La auditoría de un sistema de información es rigurosa y necesaria para
encontrar falencias y solucionar brechas que parecen invisibles.
4. Desarrollar diferentes modelos de análisis, evaluación y gestión de riesgos,
ya que permitirán identificar y superar las diferentes amenazas, con el fin
de minimizar la exposición de los sistemas de información.
13
Ingeniería de Sistemas
BIBLIOGRAFIA
- Referente de pensamiento Eje IV Analisis de riesgos informáticos (FUAA)
- Esetla.com
- xopero.com
- Castello, R. J. (2006). Auditoría en entornos informáticos. Recuperado de
http://econ. unicen. edu. ar.
- Soler Ramos, J., Staking, K., Ayuso Calle, A., Beato, P., Botín OShea, E., & Escrig
Meliá, M. (1999). Gestión de riesgos financieros: un enfoque práctico para países
latinoamericanos. Banco Interamericano de Desarrollo–BID.
- López, P. A. (2010). Seguridad informática. Editex.
- Urbina, G. B. (2016). Introducción a la seguridad informática. Grupo editorial
PATRIA.
- Gestione a su negocio en Riesgos ISO 3100. (s/f). Bsigroup.com. Recuperado
el 4 de octubre de 2022, de https://www.bsigroup.com/es-CO/gestion-de-
riesgo-iso-31000-/
14