ANALISIS DE RIESGO INHERENTE Y MARGINAL

EMPRESA CONTABLE CEBERUS

JORGE ALEJANDRO GUTIÉRREZ PÉREZ

SERVICIO NACIONAL DE APRENDIZAJE

GESTIÓN DE LA SEGURIDAD DE
CARTAGENA DE INDIAS
2015

1
 ANALISIS DE RIESGO INHERENTE Y MARGINAL
EMPRESA CONTABLE CEBERUS

JORGE ALEJANDRO GUTIÉRREZ PÉREZ

PROFESOR

INGENIERO RICARDO ALBERTO LLANOS TEJERA

SERVICIO NACIONAL DE APRENDIZAJE

GESTIÓN DE LA SEGURIDAD DE
CARTAGENA DE INDIAS
2015

2
Nota de Aceptación

Presidente del Jurado

Jurado

Jurado

Cartagena de Indias, 17 de agosto de 2015

3
 Gracias a Dios que me guió para la
obtención de mi meta.

Para nuestro docente que me enseñó

y compañeros que me apoyaron
ayudándome a ser mejor persona y
profesional.

CONTENIDO

4
 Pág

INTRODUCCIÓN 6

1. OBJETIVOS 7

1.1 OBJETIVO GENERAL

1.2 OBJETIVOS ESPECÍFICOS

2. PLANTEAMIENTO DEL PROBLEMA 8

2.1 JUSTIFICACIÓN

3. MARCO TEÓRICO 9

3.1 SEGURIDAD DE INFORMACIÓN 11

4. METODOLOGIA DE ANALISIS DE RIESGOS

4.1 IDENTIFICACIÓN DE ACTIVOS 13

4.2 IDENTIFICACIÓN DE ACTIVOS 14

5. CONCLUSIONES 16

6. BIBLIOGRAFÍA 17

5
 INTRODUCCIÓN

La implementación de nuevas tecnologías se ha convertido en una prioridad para

las organizaciones donde se enfocan en brindar mayor productividad a los
usuarios, ya que se proporcionan servicios que permiten que estos se encuentren
conectados con toda la organización y con el mundo. Pero entre más
funcionalidades, servicios y tecnología implementen las organizaciones para
facilitar el trabajo de sus funcionarios, aumentan los riesgos de seguridad de la
Información, siempre y cuando no se haya previsto su mitigación desde el mismo
planeamiento de cada uno de los proyectos de tecnologías a implementar.

Por esta razón, las empresas u organizaciones deben realizar un esfuerzo mayor
para optimizar su nivel de seguridad en este aspecto. Deben conocer cuál es su
activo más valioso: La información. La organización debe mejorar continuamente
la eficacia del Sistema de Gestión del Sistema de Información (SGSI), mediante el
establecimiento de políticas y objetivos de seguridad de la información, tomando
en cuenta los resultados de las auditorías, análisis de eventos, y acciones
correctivas y preventivas de los mismos. En todo caso, entre las prioridades que
hay que considerar en la seguridad de la información se cuentan la
confidencialidad y la protección de los datos.

ANALISIS DE RIESGO INHERENTE Y MARGINAL

6
 EMPRESA CONTABLE CEBERUS

1. OBJETIVOS

1.1 OBJETIVO GENERAL

Desarrollar una consultoría de seguridad en la empresa contable “Ceberus” para

determinar diversos factores que intervienen para lograr mejorar la seguridad de la
información en la organización.

1.2 OBJETIVOS ESPECÍFICOS

 Conocer de forma detallada la metodología que se implementara para

realizar una correcta consultoría de seguridad a la empresa.

 Implementar de forma correcta y eficiente la Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información, Magerit la cual será
desarrollada por parte del grupo de consultores de seguridad.

 Realizar un planteamiento de análisis de Riesgos de seguridad con miras a

identificar vulnerabilidades así como también los riesgos potenciales y
políticas de la empresa

 Brindar un informe detallado en el cual se brindaran soluciones específicas

para aplacar con los riesgos o amenazas con el fin de minimizar los
ataques a los que enfrenta la empresa.

 Formular en base al análisis de riesgos de quien se debe proteger los

activos de la empresa ya sean estos usuarios inexpertos como atacantes
externos, además de las aplicaciones a las cuales se debe tener usos
restringidos considerados como fundamentales para la organización.

2. PLANTEAMIENTO DEL PROBLEMA

7
Ante el uso de las Tecnologías de la Información y la comunicación Tics como
herramientas, administrativas, comunicación y de gestión ¿Cómo identificar los
factores que amenazan la seguridad informática en el área de redes y sistemas de
la de la empresa contable Ceberus, mediante el análisis y evaluación de riesgos?

2.1 JUSTIFICACIÓN

La evolución de las diferentes relaciones humanas incluyó ineludiblemente la

tecnología como elemento predominante para facilitar las diversas tareas y
necesidades de una sociedad que cada vez es más cibernética. Las
organizaciones sin importar su razón de ser requieren almacenar, tratar y
transformar la información como un recurso valioso y predominante en el
desarrollo, es así que ésta se convierte en atractivo sensible de ser vulnerado y
atacado por quienes buscan un beneficio económico estratégico o simplemente de
sabotaje, sin embargo ante estas circunstancias algunas organizaciones que
mueven grandes y pequeños volúmenes de información, prestan poca atención al
tema de seguridad y protección de sus datos en tal medida que no se invierten los
recursos suficientes para establecer políticas que fortalezcan la protección de los
sistemas; en este contexto de la inseguridad de la información en pymes, el robo y
fuga de datos aumentó en un 42 por ciento desde el 2011 y el 2012 a nivel
mundial.

Preservar la información y la integridad de un sistema informático es algo muy

importante para una empresa o una entidad, ya que en pérdidas económicas, sin
dejar a un lado el peligro que podría llevar el acceso al sistema de un usuario no
autorizado. Con el análisis y evaluación de riesgos en el área de redes y sistemas
de la empresa contable “Ceberus” se pretende obtener la información sobre
amenazas y vulnerabilidades que constituyen los riesgos de perdida de
información haciendo necesario ejecutar un plan de mejora dentro del marco del
Sistema Gestión de la Seguridad Informática que permita formular procedimientos
y políticas que garanticen un manejo y una dinámica la información de forma
segura.

3. MARCO TEÓRICO

8
El concepto de riesgo está presente en la totalidad de las actividades que realiza
el ser humano, por lo que antes de implementar cualquier mecanismo de
seguridad (software, hardware, política, etc.) en las Tecnologías de la Información,
es necesario conocer la prioridad de aplicación y que tipo de medida podemos
aplicar. El análisis de riesgos es el primer paso de la seguridad informática.

Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. También se

puede definir como la posibilidad de sufrir un daño por la exposición a un peligro y
peligro: es la fuente del riesgo y se refiere a una substancia o a una acción que
puede causar daño. Las metodologías de análisis de riesgos existentes describen
sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una
herramienta para realizarlo, cuyo costo normalmente es elevado.

Por lo anterior es necesario establecer una metodología cualitativa práctica para

realizar un análisis de riesgos a las áreas de TI, estableciendo cómo puede
ejecutarse el análisis.

Análisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los

riesgos.

El primer paso del análisis es identificar los activos a proteger o evaluar. La

evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el
proceso de análisis con criterios de riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de

consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que
permita desarrollar indicadores operacionales a partir de los cuales medir y
evaluar.

Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones
que existen para tratar los riesgos, evaluarlas, preparar planes para este
tratamiento y ejecutarlos.

Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos. Figura 1.

9
 Amenzas

Probabilidad Activos

Vulnerabilidades Impactos

Figura .1

Probabilidad: Establecer la probabilidad de ocurrencia puede realizarse de

manera cuantitativa o cualitativa, pero siempre considerando que la medida no
debe contemplar la existencia de ninguna acción paliativa, o sea, debe
considerarse en cada caso qué posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada. Existen amenazas,
como por ejemplo incendios, para las cuales hay información suficiente (series
históricas, compañías de seguros y otros datos) para establecer con razonable
objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor
dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso
no autorizado a datos; dónde se hacen estimaciones sobre la base de
experiencias.

Amenazas: Las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente
se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus,
uso inadecuado de software, los desastres ambientales como terremotos o
inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en
el primer caso, o un acceso no autorizado a una base de datos en el segundo
caso.

10
Vulnerabilidades: Son ciertas condiciones inherentes a los activos o presentes en
su entorno que facilitan que las amenazas se materialicen llevan a esos activos a
ser vulnerables. Mediante el uso de las debilidades existentes es que las
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se
citan las siguientes: falta de conocimiento del usuario, tecnología
inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una
vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al
virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza
(virus) si bien potencialmente seguiría existiendo no podría materializarse.

Activos: Los activos a reconocer son aquellos relacionados con sistemas de

información. Ejemplos típicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos.

Impactos: las consecuencias de la ocurrencia de las distintas amenazas son

siempre negativas. Las pérdidas generadas pueden ser financieras, no
financieras, de corto plazo o de largo plazo.

3.1 Seguridad de Información

Seguridad de información es determinar qué hay que proteger y por qué, de qué
se debe proteger y cómo protegerlo. La información de cualquier organización es
uno de los activos más valiosos y debe protegerse al máximo usando los
estándares de seguridad de la información que existen y que le sean pertinentes.
Los riesgos de pérdidas, hurtos o uso inadecuado de los datos pueden ocasionar
daños representativos; dichos riesgos son latentes no sólo desde medios externos
sino que internamente pueden ser aún más vulnerables.

La Seguridad de la Información se entiende como la preservación, aseguramiento

y cumplimiento de las siguientes características de la información:

 Confidencialidad: los activos de información solo pueden ser custodiados

y accedidos por usuarios que tengan permisos para ello.

11
  Integridad: El contenido de los activos de información debe permanecer
inalterado y completo. Las modificaciones realizadas deben ser registradas
asegurando su confiabilidad.

 Disponibilidad: Los activos de información sólo pueden ser obtenidos a

corto plazo por los usuarios que tengan los permisos adecuados.

Para ello es necesario considerar aspectos tales como:

 Confiabilidad de la Información: Es fiable el contenido de los activos de

información que conserven la confidencialidad, integridad, disponibilidad,
autenticidad y legalidad.

 Posibilidad de Auditoría: Se mantienen evidencias de todas las

actividades y acciones que afectan a los activos de información.

 Protección a la duplicación: Los activos de información son objeto de

clasificación, y se llevan registros de las copias generadas de aquellos
catalogados como confidenciales.

 Autenticidad: Los activos de información los crean, editan y custodian

usuarios reconocidos autorizados quienes validan su contenido.

 Legalidad: Los activos de información cumplen los parámetros legales,

normativos y estatutarios de la empresa.

 No repudio: Los autores, propietarios y custodios de los activos de

información se pueden identificar plenamente.

12
4. METODOLOGÍA DE ANÁLISIS DE RIESGOS

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Fase 7 Fase 8

Identificar Realizar la Identificar Estimación de Probabilidad Estimación de Calcular el Documentar el

activos de valoración de riesgos impacto de la de ocurrir unaimpacto de la riesgo proceso
información los activos amenaza amenaza amenaza inherente y el
de la riesgo
organización marginal

4.1 Identificar activos de información de la organización

Los activos de información e informáticos son todos los elementos que una
organización posee para el tratamiento de la información (hardware, software,
recurso humano, etc.). Para el caso de ejemplo de la empresa de consultoría de
Simón los activos se agruparon en varios tipos de acuerdo a la función que
ejercen en el tratamiento de la información. En la tabla No. 1 se relacionan cada
tipo de activos.

 Tipos de Descripción
activos
Activo de Bases de datos, documentación (manuales de usuario, libros
información contables, contratos, normativas, etc.)
Software o Sistemas de información, herramientas de desarrollo, aplicativos
aplicación desarrollados y en desarrollo,  sistemas operativos, aplicaciones
de servidores etc.
Hardware Equipos de oficina (PC, portátiles, servidores, dispositivos
móviles, etc.)
Red Dispositivos de conectividad de redes (router, swicth,
concentradores, etc.)
Equipamient UPS,
o auxiliar
Instalación Cableado estructurado, instalaciones eléctricas.
Servicios Conectividad a internet, servicios de mantenimiento, etc.
Personal Personal de empleados de la empresa, usuarios finales y
personal externo técnico de soporte.

Tabla No. 1 Relación de activos de información e informática

13
El levantamiento de la información de los activos y la respectiva clasificación es la
primera actividad que se debe realizar en un análisis de riesgos. Esta
identificación se debe hacer en conjunto con las personas directamente
responsables de manejar en la organización todo el sistema de información y
comunicaciones.

4.2 Valoración de los activos

Cada activo de información tiene una valoración distinta en la empresa, puesto

que cada uno cumple una función diferente en la generación, almacenaje o
procesamiento de la información. Pero al momento de valorarlos no sólo debemos
tener en cuenta cuanto le costó a la empresa adquirirlo o desarrollarlo, sino que
además debemos contemplar el costo  por la función que ella desempeña y el
costo que genera ponerlo nuevamente en marcha en caso de que éste llegase a
dañarse o deteriorarse. 
Es por ello que se hace necesario tener en cuenta diferentes variables a la hora de
darle valor a un activo. En libro I en la metodología MAGERIT expone que los
activos se deben valorar de acuerdo 5 dimensiones de seguridad (confiabilidad,
integridad, disponibilidad, autenticidad y trazabilidad).

La metodología MARGERIT contempla dos tipos de valoraciones, cualitativa y

cuantitativa. La primera hace referencia al de calcular un valor a través de una
escala cualitativa donde se valora el activo  de acuerdo al impacto que puede
causar en la empresa su daño o perdida, en consecuencia la escala se refleja en:  

 Muy Alto (MA)

 Alto (A)
 Medio (M)
 Bajo (b)
 Muy bajo (MB)

En el libro III,  “guía técnica”, se encuentra en detalle esta valoración. En cuanto a

la valoración cuantitativa es necesario también que se realice una escala de
valores que permita a la empresa estimar su costo que no sólo es el costo que
tuvo inicialmente el activo sino  teniendo en cuenta variables de valor inicial, costo
de reposición, costo de configuración, costo de uso del activo y valor de perdida
de oportunidad. En la guía técnica se explica esta valoración cuantitativa pero no
en profundidad, por lo tanto se detalla los términos en que se podría valorar un
activo en miles de pesos.

14
  Valor de reposición
 Valor de configuración o puesta a punto
 Valor de uso del activo
 Valor de pérdida de oportunidad

De acuerdo a dicha valoración es preciso que se estime 5 escalas que podríamos

asignar a cada activo de acuerdo a la valoración cualitativa dada. En la tabla 8, se
relaciona la escala cuantitativa.

Escala cuantitativa

Valoración Escala de valor Valor cuantitativo Activos de la

cualitativa cuantitativo empresa de
expresado en Simón
millones
Muy Alto (MA) >  $ 200 300.000 Bases de
Datos,
Información
de clientes.
Contabilidad.
Alto (A)  200 <valor> 100 $ 150.000 Bases de
datos
Medio (M)  100 <valor> 50.000 $ 50.000 Software
Contables
Bajo (b)  50.000 <valor> $ 20.000 Servidores
20.000
Muy bajo (MB)  20.000 <valor> $ 10.000 Equipos de
10.000 oficina (PC,
portátiles,
servidores,
dispositivos
móviles, etc.)

4.3 Identificar los riesgos

Acuerdo Anexo “Matriz de Riesgos”

15
5. CONCLUSIONES

 Entre las conclusiones que se dan en base al desarrollo del presente

trabajo se han determinado diferentes amenazas a las cuales se ven
afectada la empresa están las naturales como lo son el fuego es decir
peligro a incendios que puedan causar estragos o incluso acabar con los
recurso de sistemas de información con los cuales cuentan equipos
informáticos entendiéndose por esto hardware debido a que se han
identificado diferentes vulnerabilidades con las que se ve relacionada esta
amenaza siendo las principales que no existen suficientes extintores de
incendios también de no contar con sensores de humo o alarmas de
incendios además el personal no cuenta con un método o procedimientos a
seguir ante un siniestro de esta naturaleza.

 Otra amenaza que se ha identificado de origen industrial es la de no contar

con suministro eléctrico optimo que la empresa necesita debido a que
existe la vulnerabilidades de no contar todos los equipos informáticos son
alimentados eléctricamente por un UPS. Viéndose afectados cuando un
corte de energía eléctrica se dé ya que no existirá disponibilidad de los
servicios de información durante este problema se dé o dure el corte de
energía además de presentarse el riesgo de que los sistemas eléctricos
podrían ser susceptibles a cortos circuitos que podrían provocar la
interrupción del suministro total o parcial, debido a la quema de fusibles de
protección entre otros.

 Una amenaza muy evidente en considera es que podían haber ataques

intencionados como robo de información entre las vulnerabilidades que se
tomaron en cuenta era que no existen sistemas de detección y prevención
de intrusos en la empresa que pudiera detectar movimientos o patrones de
conducta anormales en el entorno de la red, orientados a alterar la
configuración de los sistemas de información. No se han implementado a
nivel de las políticas de seguridad el uso de contraseñas.

 Además de Destrucción la información por parte intencional del personal

con ánimo de obtener un beneficio o causar un perjuicio. Esta amenaza
sólo se identifica sobre datos en general, pues cuando la información está
en algún soporte informático, hay amenazas específicas.

16
6. BIBLIOGRAFÍA

Álvaro Gómez Vietes (2013). Auditoría de Seguridad Informática. Bogotá:

Ediciones de la U.

Álvaro Gómez Vietes (2013). Enciclopedia de la Seguridad Informática.(2da.

Edición) Bogotá: Alfa Omega.

ROJAS, José Luis Y VELA, Juan José, Planificación estratégica y plan de seguridad
informática de Fabril Fame S.A. Sangolquí: Escuela Politécnica del Ejército, 2011. 2 P.

CERINI, María Dolores y PRÁ, Pablo Ignacio. Plan de Seguridad informática. Córdoba:
Universidad Católica De Córdoba, 2002. 98 p.

RAMÍREZ BRAVO, Pía y DONOSO JAURÈS, Felipe. Metodología ITIL. Santiago:

Universidad de Chile, 2006. 3 p.

IT GOVERNANCE INSTITUTE, COBIT 4.1 versión en español. EE.UU: 2007.12 p.

ISO/IEC 27001, Sistema de Gestión de Seguridad de la Información. Primera Edición.

Ginebra: 2005. 12 p.

17