Entrega 2

IMPLEMENTACIÓN DE UN ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN EN LA EMPRESA CONFAMILIAR HUILA
Carlos Andrés Cruz Quiza - candrecruz@poligran.edu.co

Hector Evans Rodriguez Pinzón - herodriguez@poligran.edu.co
Marzo de 2023.
Tutor: ALEXANDRA PEÑA DAZA

TERCER BLOQUE – VIRTUAL - OPCIÓN DE GRADO 2 - [GRUPO Q01]
ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
POLITECNICO GRANCOLOMBIANO.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
RESUMEN
La empresa COMFAMILIAR HUILA es la caja de compensación familiar que presta sus
servicios en el departamento del Huila, cuyo propósito central es brindar bienestar y
felicidad a la población afiliada y sus familias.
La finalidad de este proyecto es sustentar la importancia de construir un documento que
contenga el análisis de riesgos de seguridad de la empresa COMFAMILIAR HUILA; y
como base para el estudio se tiene el trabajo GAP ANÁLISIS COMFAMILIAR HUILA
(análisis de brechas de seguridad), presentado por los profesionales Carlos Andres Cruz,
Sergio Alejandro Diaz, Jose Bayardo Malaver y Luz Mery Zambrano en el año 2022, y en
el cual se ha realizado observación de necesidades que permite evidenciar que este proceso
no ha sido generado y por lo tanto existe un bajo porcentaje de cumplimiento En el estudio
de Carlos Andres Cruz, Sergio Alejandro Diaz, Jose Bayardo Malaver Y Luz Mery
Zambrano (2022) relacionado con políticas de la seguridad de la información para
establecer la forma más adecuada de tratar los aspectos de seguridad mediante la
conjugación de los recursos humanos y técnicos, respaldados por medidas administrativas,
que garanticen la instauración de controles efectivos para lograr el nivel de seguridad
necesario en correspondencia con los objetivos de la organización, de manera que se
mantenga siempre el riesgo por debajo del nivel asumible por la propia entidad. En la
actualidad esta compañía presenta grandes falencias de seguridad de todo lo relacionado
con la información en las diferentes áreas de la entidad, por lo tanto, es preciso revisar las
diferentes vulnerabilidades, sus causas y las consecuencias que éstas generan para poder
crear los mecanismos que mitiguen o eliminen el daño a la empresa. Por esta razón se hace
necesario implementar un análisis de riesgos de seguridad de la información que permita
evaluar los diferentes problemas que se puedan presentar en la entidad y el desarrollo de
mecanismos que ayuden a mitigar los impactos de estos.
Palabras claves: riesgo, información, seguridad, análisis, vulnerabilidad, mejora.
ABSTRACT
The purpose of this project is to support the importance of building a document that
contains the analysis of security risks of the company COMFAMILIAR HUILA and within
this process of continuous improvement of the entity there is a GAP ANÁLISIS
COMFAMILIAR HUILA work (analysis of security gaps), presented by the professionals
Carlos Andres Cruz, Sergio Alejandro Diaz, Jose Bayardo Malaver and Luz Mery
Zambrano in the year 2022, and in which a needs analysis has been carried out, showing
that this process has not been generated and in which there is evidence of a low percentage
of compliance related to information security policies in order to define an information
security policy. At present, this company presents great deficiencies in information security
in the different areas of the entity, therefore, it is necessary to review the different
vulnerabilities that appear in information security. Due to the above, it is necessary to
implement an information security risk analysis in order to evaluate the different problems
that may arise in the entity in terms of information security and the development of
mechanisms that help mitigate its impacts.
Keywords: risk, information, security, analysis, vulnerability, improvement.

CONTENIDO
RESUMEN..............................................................................................................................2
ABSTRACT............................................................................................................................3
CONTENIDO.........................................................................................................................4
INTRODUCCIÓN..................................................................................................................5
PROBLEMA Y JUSTIFICACIÓN.........................................................................................6
PLANTEAMIENTO DEL PROBLEMA...........................................................................6
JUSTIFICACION...............................................................................................................6
OBJETIVOS...........................................................................................................................8
OBJETIVO GENERAL......................................................................................................8
OBJETIVOS ESPECÍFICOS..............................................................................................8
ESTADO DEL ARTE.............................................................................................................9
CRONOGRAMA:.................................................................................................................14
PRESUPUESTO...................................................................................................................15
Presupuesto Resumido:.....................................................................................................15
Presupuesto Detallado:......................................................................................................16
MARCO METODOLÓGICO...............................................................................................17
TIPO Y DISEÑO DE LA INVESTIGACIÓN.................................................................17
POBLACION Y MUESTRA............................................................................................17
VARIABLES................................................................................................................18
TECNICAS DE INVESTIGACION.................................................................................18
DESCRIPCION DE LOS INSTRUMENTOS..................................................................19
ENCUESTAS................................................................................................................19
ENTREVISTAS............................................................................................................19
BIBLIOGRAFIA..................................................................................................................20
INTRODUCCIÓN
El uso de las tecnologías de la información (de ahora en adelante TI) se ha intensificado

en las organizaciones independiente de la naturaleza y actividad de las mismas. Estas
tecnologías se encuentran en constante evolución adaptándose a las nuevas necesidades de
las organizaciones y dando lugar al surgimiento de otras relacionadas con su operación
diaria. Su masificación las ha convertido en blanco de ataques y los riesgos asociados a
estos se intensifican y transforman, es por eso que se hace necesario crear y adaptar
constantemente los medios y métodos utilizados para conservar la seguridad de la
información que las organizaciones quieren proteger.
El riesgo de origen tecnológico puede incidir sobre las metas y objetivos organizacionales y
ser causa de otro tipo de riesgos al ser intrínseco al uso de tecnología. Por ello el daño,
interrupción, alteración o falla derivada del uso de TI puede implicar pérdidas significativas
en las organizaciones, pérdidas financieras, multas o acciones legales, afectación de la
imagen de una organización y causar inconvenientes a nivel operativo y estratégico.
Actualmente son diversos los riesgos y las amenazas a las que se puede enfrentar cualquier
compañía por eso es un tema importante, determinar y definir los recursos que están más
propensos a sufrir un daño para posteriormente realizar la gestión de riesgos y tomar las
decisiones y medidas adecuadas para la superación de vulnerabilidades y la reducción de
amenazas.
Lo que se pretende con este proyecto es presentar a la organización COMFAMILIAR
HUILA las razones por las cuales es fundamental realizar un análisis de riesgos.
PROBLEMA Y JUSTIFICACIÓN
PLANTEAMIENTO DEL PROBLEMA

¿Cuál es el problema principal para la caja de compensación COMFAMILIAR HUILA al
no contar con una identificación clara de cuáles son los riesgos en el manejo de los datos e
información en su empresa?
JUSTIFICACION
Debido a los vertiginosos cambios sufridos en los mercados, las empresas para volverse
más competitivas incorporaron tecnologías informáticas que facilitan el uso y
administración de los datos con el objetivo de brindar a la alta gerencia y mandos medios
mejoras en los procesos de toma de decisiones, por lo que, todas las empresas incluso las
Pymes requieren la elaboración de un análisis de riesgos para la seguridad de los sistemas
de información.
Estos sistemas buscan ser una herramienta eficaz que permita acceder a los datos relevantes
de manera frecuente y oportuna brindando la oportunidad de obtener grandes ventajas,
incrementar la capacidad de organización de la empresa y tornarla más competitiva ante el
mercado.
Este cambio ha generado una necesidad de controlar y salvaguardar todos los datos y
asegurar que no salgan del sistema establecido por la empresa. Es importante entender que,
sin importar el tamaño de esta, se manejan datos confidenciales bien sea de clientes,
trabajadores, proveedores o terceros involucrados en el proceso.
En consecuencia, en pleno siglo XXI la seguridad de la información es un aspecto
relevante en el entorno empresarial, porque no protegerla puede acarrear adversas
consecuencias en todas las áreas de la organización, ocasionando problemas no solo
financieros sino también productivos, por lo tanto, toda empresa debe velar por definir una
matriz de riesgos de seguridad de la información que permita identificar los principales
riesgos y clasificarlos de acuerdo con su criticidad.
Según el estudio de Carlos Andres Cruz, Sergio Alejandro Diaz, Jose Bayardo Malaver Y
Luz Mery Zambrano (2022), por el trabajo GAP ANÁLISIS COMFAMILIAR HUILA
(análisis de brechas de seguridad), el 29 % de las empresas que enfrentan una violación de
datos terminan teniendo también una pérdida de ingresos, siendo esta una de las principales
consecuencias de una perdida de datos empresarial. También se encuentran: daño de
reputación de marca, perdida de propiedad intelectual, costes ocultos y vandalismo en línea.
Con el objeto minimizar los riesgos de seguridad de la información se han creado los
sistemas de gestión de seguridad de la información, que como su nombre lo dice busca
gestionar eficientemente los recursos garantizando la accesibilidad y asegurando la
confidencialidad, integridad y disponibilidad de los activos de información.
COMFAMILIAR HUILA, Buscando ser sostenible y perdurable en el tiempo ha

establecido un sistema de gestión de la calidad que promueve y mejora continuamente los
procesos con el propósito principal de cumplir con sus objetivos.
Dentro de este proceso de mejora continua se ha realizado un análisis de necesidades que
evidenció un bajo porcentaje de cumplimiento (6%) relacionado con políticas de la
seguridad de la información que obliga a la empresa a hacer en primera instancia un
análisis de los riesgos y vulnerabilidades con el objeto de definir los procedimientos que
permitan mitigar el impacto de estos en la seguridad de la información, para hacerla más
competitiva en el mercado.
La finalidad de este proyecto es argumentar la importancia de construir un documento que
contenga el análisis de riesgos y la implementación de procedimientos para la empresa
COMFAMILIAR HUILA que permita eliminarlos y/o controlar sus consecuencias.
Con el fin de cumplir con el levantamiento de esta matriz, se requiere contar con un
profesional en ingeniería de sistemas o afines, que apoye proyectos de solución y desarrolle
servicios de monitoreo y un plan de auditorías en proyectos de seguridad de información.
OBJETIVOS
OBJETIVO GENERAL
Proponer la implementación de un plan de gestión de riesgos de seguridad de la

información basado en el estándar de Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información Magerit Versión 3, estructurado en la norma ISO 27005, para la
empresa CONFAMILIAR HUILA que permita, al finalizar el proyecto, identificar y
ponderar el 90% de los riesgos a los que está expuesta la información de la compañía.
OBJETIVOS ESPECÍFICOS
1. Evaluar el estado actual mediante una auditoría del sistema de gestión de seguridad
de la información de la empresa CONFAMILIAR HUILA.
2. Definir un plan de del sistema de gestión de riesgos basado en la Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información MAGERIT Versión 3.
3. Determinar los activos relevantes para la Organización, su interrelación y su valor,
mediante Magerit y su catálogo de elementos.
4. Establecer mediante una matriz DOFA las diferentes vulnerabilidades de la
compañía generando una matriz de impacto que caracterice las diferentes vulnerabilidades
en una escala de valor que permita identificar en que escala se encuentran los riesgos,
valorándolos del más grave al de menor impacto.
5. Identificar mediante una tabla de control de riesgos las recomendaciones o controles
que se deben hacer como parte de los resultados.
6. Generar un plan de tratamiento de gestión de riesgos para evaluación y control de
los mismos.
ESTADO DEL ARTE
Para la auditoria y como base del primer objetivo específico se tomarán como base los
siguientes trabajos:
En el trabajo (Basaldúa, 2005) Seguridad en informática (auditoría de sistemas), se toma
como una referencia el capítulo IV de auditoria en sistemas donde se reflejan las bases que
debe llevar dicha auditoria para su aplicación en la empresa COMFAMILIAR HUILA.
En el estudio de (ESAP, 2020) Plan de tratamiento de riesgos de seguridad de la
información hecho por la Oficina de Sistemas e Informática, se referenciarán tanto el
modelo de auditoria como el mapa de calor de ubicación de los riesgos mostrado en las
páginas 6 y 7 del estudio.
En la guía técnica (MINTIC, 2016), Guía para la Implementación de Seguridad de la
Información en una MIPYME, basaremos los pasos para definir como realizar un
inventario de activos de información, así como la identificación de amenazas que puede
tener la compañía.
En cuanto a las metodologías de gestión de riesgos que comprende el proceso de
identificación, análisis, tratamiento y monitoreo de los riesgos que debe realizarse en toda
organización con el fin de determinar su probabilidad de ocurrencia y el impacto que
generaría a los activos (hardware y software) y a la organización una materialización del
mismo.
Para cumplir con nuestro segundo objetivo específico existen diversas metodologías y
normas que brindan una guía para la correcta implementación de la gestión de riesgos en
una organización, a continuación, se describen 3 de ellas que fueron elegidas como
referencia para la elaboración de este proyecto:
METODOLOGIA 1: NTC ISO 31000 (ISO 31000, 2018)
Es la metodología más reconocida y utilizada ya que brinda los principios y las directrices
genéricas sobre la gestión del riesgo.
Esta metodología puede ser utilizada por cualquier tipo de empresa y no es específica para
ninguna industria o sector, además se puede aplicar en toda la organización y a un amplio
rango de actividades que va desde las estrategias hasta productos, servicios y activos.
Además, se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, bien sea
que tenga consecuencias positivas o negativas.
El marco de referencia ayuda a la gestión eficaz del riesgo a través de la aplicación del
proceso para la gestión del riesgo en los diversos niveles y en contextos específicos de la
organización.
El proceso para la gestión del riesgo debería: ser parte integral de la gestión, estar incluido
en la cultura y las prácticas, y estar adaptado a los procesos de negocio de la organización.
Aunque es muy utilizada su metodología de proceso por estar enfocada al ámbito social y
relacional, no tiene gran enfoque y adaptabilidad a la gestión de activos que es base para el
proceso de la identificación y análisis de riesgos y, aunque se tendrá en cuenta para
referencia, no se tendrá como metodología base.
METODOLOGIA 2: MAGERIT
(RAE, 2012)
Responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4
(“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos
de ISO 31000.
Magerit propone dos grandes tareas a realizar:
1. Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo
que podría pasar.
2. Tratamiento de los riesgos, que permite organizar la defensa concienzuda y
prudente, para que no pase nada malo y al tiempo estar preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones;
como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección
asume.
Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión
de Riesgos.
El análisis de riesgos considera los siguientes elementos:
1. ACTIVOS: que son los elementos del sistema de información (o estrechamente
relacionados con este) que soportan la misión de la Organización
2. AMENAZAS: que son cosas que les pueden pasar a los activos causando un
perjuicio a la Organización
3. SALVAGUARDAS (o contra medidas): que son medidas de protección desplegadas
para que aquellas amenazas no causen daño.
Con los elementos mencionados se puede estimar el impacto: lo que podría pasar y el
riesgo: lo que probablemente pase; basados en el trabajo (Universidad de Murcia, 2015), el
método Magerit, para el análisis de riesgos esta metodología recomienda una seria de pasos
a seguir que son:
 Determinar los activos relevantes para la Organización, su interrelación y su valor,
en el sentido de qué perjuicio (coste) supondría su degradación.
 Determinar a qué amenazas están expuestos aquellos activos.

 Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
 Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
 Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o
expectativa de materialización) de la amenaza.
En el estudio Cruz Lara (2015), se cita un aporte importante para considerar esta
metodología como base para nuestro trabajo:
“MAGERIT persigue los siguientes objetivos:
1. Hacer conscientes a los responsables de los sistemas de información de la existencia
de riesgos y de la necesidad de atajarlos a tiempo.
2. Proveer un método sistemático para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas pertinentes para mantener los riesgos bajo
control.
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso”
METODOLOGIA 3: NIST SP 800-30 (Toro, 2021)
Proporciona una base para el desarrollo de un programa eficaz de gestión de riesgos, que
contiene tanto las definiciones y la orientación práctica necesaria para evaluar y mitigar los
riesgos identificados dentro de los sistemas de TI.
La gestión del riesgo puede estar dirigida a los tres niveles de la jerarquía de gestión del
riesgo (Organización, Procesos de misión o negocio y sistemas de información) siendo la
valoración del riesgo un componente clave en el proceso de gestión de riesgo que se realiza
a nivel holístico en una organización. Dicho proceso de gestión de riesgo incluye:
Demarcar los riesgos, evaluar los riesgos, responder a los riesgos y monitorear los riesgos
(NIST SPECIAL PUBLICATION 800-30, 2012)
 El primer componente de la gestión del riesgo es como la organización enmarca el
riesgo o establece el contexto del mismo.
 El segundo componente indica cómo se debe evaluar el riesgo con base en el
contexto definido en el marco del riesgo.
 El tercer componente se trata de cómo la organización responde al riesgo una vez es
determinado por la evaluación de riesgo.
 El cuarto componente trata de cómo a la organización monitoreara el riesgo a través

del tiempo.
Una metodología de evaluación del riesgo incluye un proceso de evaluación de riesgo, un
modelo de riesgo explicito, una aproximación de evaluación especificando el rango de
valores que esos riesgos pueden tomar durante la evaluación y como las combinaciones de
factores de riesgo son identificadas/analizadas y como pueden ser combinados para evaluar
y un aproximación de análisis que describe como la combinación de factores de riesgo
pueden asegurar una adecuada cobertura a un determinado nivel de detalle. Esta
metodología se tendrá en cuenta como referencia, pero al ser enfocada en el proceso y no
en la identificación y análisis de riesgos no será la metodología base de la propuesta.
Para nuestro tercer objetivo se establecerá primordialmente de la referencia
METODOLOGIA 2: MAGERIT (RAE, 2012), en la cual se presenta un catalogo de activos
para su identificación en la empresa CONFAMILIAR HUILA. También se tomara (del
Carmen Munguía Alfaro, 2011) como una referencia la pagina 123, MATRIZ DE
PRUEBA Y RESULTADO, donde podemos apoyarnos en revisar inversión, uso y
asignación de los activos de TI para determinar los activos relevantes. A su vez. en el
trabajo (Mina Calderón, 2015), se toma como una referencia la pagina 47, Identificación y
clasificación de los activos de información del Centro de Control con ello podemos
determinar tanto el valor del activo de la empresa.
Siguiendo el orden, para el cuarto objetivo nos apoyaremos en el trabajo (Parada, 2018)
Gestión de riesgos en Seguridad informática, el cual en la página 2 punto III ¿Qué es
gestión del riesgo en seguridad informática?, nos aporta las características principales de
tener en cuenta cuando se realice el DOFA mediante tres niveles, con su análisis de impacto
que indica la afectación o perdida de integridad, disponibilidad o confidencialidad,
analizando el impacto de la misión y evaluando la criticidad de un activo o un dato y su
sensibilidad al uso indebido. En el trabajo (Sarria, 2018), Diseño de un sistema de gestión
de seguridad informática – SGSI para la fundación sabemos cuidarte en la ciudad de
Popayán, nos podemos apoyar en la página 79 punto 10.9 Valoración del riesgo, para con
ello poder tener una caracterización como amenaza o fortaleza en la valorización del activo
en cuanto a probabilidad, impacto y riesgo teniendo en cuenta las tablas medición de daño y
frecuencia de daño encontradas en la página 70 del trabajo en mención.
Para el quinto objetivo en el trabajo (de Buenaventura, 2022) de Buenaventura, O. T. A. D.
(2022). PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD
DE LA INFORMACIÓN. Gov.co., se referencian la identificación de controles existentes
para la evaluación de riesgos de manera cualitativa lo que permitirá enumerar los controles
y recomendaciones para los resultados que se encuentren en el ejercicio de identificación.
En el documento (de la Colombia, 2021). MATRIZ DE RIESGOS SISTEMA DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. Gov.co. se toma como
referencia la tabla del Sistema de Gestión de la Seguridad de la Información que permite
definir los controles relativos a los riesgos que se identifiquen en el análisis.
Y por último para el sexto objetivo se toman como referencias el documento (de
Buenaventura, 2022) PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN se tomará como referencia para realizar el plan de
tratamiento de gestión de riesgos de acuerdo a las opciones que se indican en la página 18
para poder tratar los riesgos focalizados para la empresa Comfamiliar Huila.
En el documento (Universidad de Murcia, 2015) El método MAGERIT. en el capítulo 4
describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de
gestión de riesgos que sirva como referencia para el plan de tratamiento que se formulará
en la empresa Comfamiliar Huila.
Del trabajo (Lorena Garibello Brand, Elkin Alexander Oviedo Ruiz, Dairo Yesid, Sierra
Joiro, 2020) Análisis de riesgos informáticos en la implementación de un plan de
contingencias para el software de atención al cliente en una empresa de
telecomunicaciones, se tendrá en cuenta la tabla de lecciones aprendidas en donde se
categorizan los riesgos, con nombre de problema, impacto y recomendación; ya que como
indican en su trabajo “Estas lecciones son categorizadas por área de conocimiento
describiendo su impactos y las recomendaciones se ofrecen para su la consideración en
proyectos futuros”.
De la referencia (Análisis de Riesgos Informáticos, 2018) se tomará referencia que debe
incluir un plan de recuperación de desastres que incluye una serie de medidas que ayuda a
las empresas a contrarrestar los efectos de algún tipo de desastre tecnológico o natural que
interrumpa o paralice parcial o completamente el funcionamiento de una empresa.
CRONOGRAMA:
El siguiente es el cronograma por fases del proyecto:
CRONOGRAMA DEL PROYECTO
DURACION FECHA DE AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE ENERO FEBRERO MARZO ABRIL
ID TAREA A REALIZAR FECHA FIN
EN DIAS COMIENZO
1 1 Analisis GAP 20 3/08/2022 23/08/2022
2 1.1 Verificacion de los controles encontrados 10 3/08/2022 13/08/2022
3 1.2 Validacion de las observaciones dadas 10 13/08/2022 23/08/2022
4 2 Inventario 40 24/08/2022 3/10/2022
5 2.1 Verificacion de los datos entregados por la entidad - Recoleccion 15 24/08/2022 8/09/2022
6 2.2 Revision y clasificacion de acuerdo al Catalogo MAGERIT 25 8/09/2022 3/10/2022
7 3 Auditoria 60 4/10/2022 3/12/2022
8 3.1 Diagnostico 25 4/10/2022 29/10/2022
9 3.2 Entrevista 5 29/10/2022 3/11/2022
10 3.3 Encuesta 10 3/11/2022 13/11/2022
11 3.4 Revision fisica 20 13/11/2022 3/12/2022
12 4 Analisis de datos 45 4/12/2022 18/01/2023
13 4.1 Identificacion de Vulnerabilidades, amenazas y riesgos 20 4/12/2022 24/12/2022
14 4.2 Analisis de vulnerabilidades 25 24/12/2022 18/01/2023
15 5 Analisis de riesgos 75 19/01/2023 4/04/2023
16 5.1 Catalogacion de los riesgos 10 19/01/2023 29/01/2023
17 5.2 Analisis cuantitativo 15 29/01/2023 13/02/2023
18 5.3 Analisis Cualitativo 20 13/02/2023 5/03/2023
19 5.4 Identificacion del riesgo puro y el riesgo residual 15 5/03/2023 20/03/2023
20 5.5 Controles y salvaguardas validados para los activos 15 20/03/2023 4/04/2023
21 6 Verificacion de los resultados 20 5/04/2023 25/04/2023
PRESUPUESTO
Presupuesto Resumido:
PRESUPUESTO GENERAL ANALISIS DE RIESGOS COMFAMILIAR
VALOR TOTAL EN
DESCRIPCION DE COSTOS POR FASES COSTO DE INVERSION
PESOS
FASE I: ANALISIS GAP E INVENTARIO

Verificacion de los controles encontrados $ 490.100
Validacion de las observaciones dadas $ 176.500
Verificacion de los datos entregados por la entidad - Recoleccion $ 190.000
Revision y clasificacion de acuerdo al Catalogo MAGERIT $ 91.500
TOTAL FASE I $ 948.100
FASE II: REALIZACION DE LA AUDITORIA

Diagnostico $ 122.500
Entrevista $ 333.000
Encuesta $ 494.600
Revision fisica $ 302.100
TOTAL FASE II $ 1.252.200
FASE III: ELABORACION DEL ANALISIS Y PRESENTACION DE RESULTADOS

Identificacion de Vulnerabilidades, amenazas, riesgos por cada activo
$ y Analisis de165.500
vulnerabilidades
Analisis Cualitativo y cuantitativo de los riesgos $ 70.200
Identificacion del riesgo puro, el riesgo residual y los riesgos adicionales
$ 142.500
Controles y salvaguardas validados para los activos y Validacion de los
$ resultados 90.500
TOTAL FASE III $ 468.700
SUB TOTAL PRESUPUESTO GENERAL $ 2.669.000

IMPREVISTOS 5% $ 133.450
TOTAL PRESUPUESTO GENERAL $ 2.802.450

Presupuesto Detallado:
PRESUPUESTO GENERAL ANALISIS DE RIESGOS COMFAMILIAR
FASE I: ANALISIS GAP E INVENTARIO
Verificacion de los controles Validacion de las observaciones Verificacion de los datos entregados Revision y clasificacion de acuerdo
ACTIVIDADES
encontrados dadas por la entidad - Recoleccion al Catalogo MAGERIT
ITEMS TOTAL ITEMS FASE I
UNIDAD DE COSTO COSTO COSTO COSTO
CANT. TOTAL CANT. TOTAL CANT. TOTAL CANT. TOTAL
MEDIDA UNITARIO UNITARIO UNITARIO UNITARIO
SUMINISTRO RECURSOS MATERIALES
Lapiceros Caja 1 $ 12.500 $ 12.500 $ - $ - $ - $ - $ - $ - $ 12.500

Libretas Unidad 2 $ 7.500 $ 15.000 $ - $ - $ - $ - $ - $ - $ 15.000
Papel Carta Resma 1 $ 11.200 $ 11.200 $ - $ - $ - $ - $ - $ - $ 11.200
Esferos Caja 1 $ 18.000 $ 18.000 $ - $ - $ - $ - $ - $ - $ 18.000
USB Unidad 2 $ 36.000 $ 72.000 $ - $ - $ - $ - $ - $ - $ 72.000
SUMINISTRO DE SCANNER, COPIAS E IMPRESIONES
Copias Hoja 50 $ 100 $ 5.000 50 $ 100 $ 5.000 30 $ 100 $ 3.000 30 $ 100 $ 3.000 $ 16.000
Impresiones Hoja 410 $ 400 $ 164.000 100 $ 400 $ 40.000 60 $ 400 $ 24.000 15 $ 400 $ 6.000 $ 234.000
Scanner Hoja $ - $ - $ - $ - $ - $ - $ - $ - $ -
TRANSPORTE Y VIATICOS
Transporte Persona 7 $ 12.000 $ 84.000 3 $ 12.000 $ 36.000 3 $ 12.000 $ 36.000 3 $ 12.000 $ 36.000 $ 192.000
Alimentacion Persona 2 $ 14.000 $ 28.000 3 $ 14.000 $ 42.000 3 $ 14.000 $ 42.000 3 $ 14.000 $ 42.000 $ 154.000
SERVICION Y ALQUILER DE EQUIPOS
Internet Hora 12 $ 2.200 $ 26.400 8 $ 4.500 $ 36.000 6 $ 4.500 $ 27.000 1 $ 4.500 $ 4.500 $ 93.900
Telefonia Recarga 3 $ 10.000 $ 30.000 $ - $ - 3 $ 10.000 $ 30.000 $ - $ - $ 60.000
Equipo PC Hora 2 $ 12.000 $ 24.000 5 $ 3.500 $ 17.500 8 $ 3.500 $ 28.000 $ - $ - $ 69.500
RECURSOS HUMANOS (ANTICIPO DE 50%)
Honorarios Personal
Tecnico 2 Personas x 1
2 $ 1.800.000 $ 3.600.000 $ - $ - $ - $ - $ - $ - $ 3.600.000
$ 1.800.000 x Mes Meses
c/u 240 Hrs x Mes
TOTAL Por Actividad $ 490.100 $ 176.500 $ 190.000 $ 91.500 $ 948.100
FASE II: REALIZACION DE LA AUDITORIA
ACTIVIDADES Diagnostico Entrevista Encuesta Revision fisica

ITEMS TOTAL ITEMS FASE II
Folders Unidad $ - $ - 3 $ 500 $ 1.500 3 $ 500 $ 1.500 3 $ 500 $ 1.500 $ 4.500

USB Unidad $ - $ - 1 $ 2.500 $ 2.500 $ - $ - 1 $ 2.500 $ 2.500 $ 5.000
Copias Hoja 15 $ 100 $ 1.500 60 $ 100 $ 6.000 69 $ 100 $ 6.900 39 $ 100 $ 3.900 $ 18.300
Scanner Hoja $ - $ - 30 $ 1.900 $ 57.000 30 $ 1.900 $ 57.000 30 $ 1.900 $ 57.000 $ 171.000
Internet Hora 6 $ 4.500 $ 27.000 9 $ 4.500 $ 40.500 9 $ 4.500 $ 40.500 9 $ 4.500 $ 40.500 $ 148.500
Telefonia Recarga $ - $ - 3 $ 10.000 $ 30.000 1 $ 10.000 $ 10.000 3 $ 10.000 $ 30.000 $ 70.000
Equipo PC Hora 4 $ 3.500 $ 14.000 9 $ 3.500 $ 31.500 9 $ 3.500 $ 31.500 9 $ 3.500 $ 31.500 $ 108.500
TOTAL Por Actividad $ 122.500 $ 333.000 $ 494.600 $ 302.100 $ 1.252.200
FASE III: ELABORACION DEL ANALISIS Y PRESENTACION DE RESULTADOS
Identificacion de Vulnerabilidades, Analisis Cualitativo y cuantitativo de Identificacion del riesgo puro, el Controles y salvaguardas validados
ACTIVIDADES amenazas, riesgos por cada activo y los riesgos riesgo residual y los riesgos para los activos y Validacion de los
ITEMS Analisis de vulnerabilidades adicionales resultados TOTAL ITEMS FASE III

Folders Unidad 3 $ 500 $ 1.500 $ - $ - 3 $ 500 $ 1.500 4 $ 500 $ 2.000 $ 5.000

Copias Hoja 30 $ 100 $ 3.000 $ - $ - 30 $ 100 $ 3.000 $ - $ - $ 6.000

Scanner Hoja 30 $ 1.900 $ 57.000 3 $ 1.900 $ 5.700 $ - $ - $ - $ - $ 62.700
Internet Hora 6 $ 4.500 $ 27.000 3 $ 4.500 $ 13.500 1 $ 4.500 $ 4.500 1 $ 4.500 $ 4.500 $ 49.500
Telefonia Recarga $ - $ - $ - $ - $ - $ - $ - $ - $ -
Equipo PC Hora 6 $ 3.500 $ 21.000 6 $ 3.500 $ 21.000 9 $ 3.500 $ 31.500 $ - $ - $ 73.500
TOTAL Por Actividad $ 165.500 $ 70.200 $ 142.500 $ 90.500 $ 468.700

MARCO METODOLÓGICO
TIPO Y DISEÑO DE LA INVESTIGACIÓN
Se generará en modo auditoria con un tipo de investigación mediante una metodología

cuantitativa y cualitativa tomando como referencia los anexos de la ISO/IEC 27001:2013.
Línea de investigación. Como referencia para el desarrollo del trabajo se utilizó la norma
ISO/IEC 27001:2013, abordando los temas de tecnología de la información, gestión de la
seguridad y seguridad de la información.
Instrumentos de recolección de información. Para el desarrollo del trabajo se utilizó el
cuestionario, entrevistas y la observación de los funcionarios en el desarrollo de sus
actividades. También fue utilizado diferentes fuentes de información, tales como tesis,
textos, revistas, etc., en medios electrónicos.
Fases metodológicas. Para la realización de los entregables se desarrolló dos (2) test, en
base a la norma ISO/IEC 27001:2013, los cuales se utilizaron Anexos y capítulos.
El tipo de muestreo a utilizar en nuestro estudio será el Probabilístico sistemático, este es
un método de muestreo (muestreo se refiere al estudio o el análisis de grupos pequeños de
una población) que utiliza formas de métodos de selección aleatoria.
El requisito más importante del muestreo probabilístico es que todos en una población
tengan la misma oportunidad de ser seleccionados y debido a que los usuarios serán
elegidos de forma aleatoria con el fin de realizar la validación de los ítems mencionados en
la encuesta.
Este método utiliza la teoría estadística para seleccionar al azar un pequeño grupo de
personas (muestra) de una gran población existente y luego predecir que todas las
respuestas juntas coincidirán con la población en general.
El muestreo sistemático es una implementación extendida de la mismísima técnica de
probabilidad en la cual, cada miembro de un grupo es seleccionado en periodos regulares
para formar una muestra. Cuando se utiliza este método de muestreo, existe una
oportunidad igual para que cada miembro de una población sea seleccionado.
POBLACION Y MUESTRA
Actualmente en la empresa hay 37 funcionarios en el área de tecnología a este personal se

les desarrollará una entrevista y no forman parte del grupo de población para el desarrollo
de la encuesta.
VARIABLES
Los datos a tener en cuenta para el tamaño de la muestra serán los siguientes:
Tamaño de la población: 1342
Nivel de confianza: 95%
Margen de error: 5%
Se utilizará la ecuación estadística para proporciones poblacionales:
2
z ( p∗q)
n= 2
2 (z ( p∗q ) )
e+
N
Ecuación 1. ecuación estadística para proporciones poblacionales
En donde:
n = Tamaño de la muestra, el cual es el resultado de la ecuación.
z = Nivel de confianza deseado, en este caso utilizaremos un 99%
p = Es la proporción de la población con característica deseada (éxito), en este caso
utilizaremos un 50%
q = Es la proporción de la población sin la característica deseada (fracaso), en este caso
utilizaremos un 50%
e = Nivel de error dispuesto a cometer, en este caso es el 10%
N = Tamaño de la población que en este caso es
Haciendo el cálculo con la fórmula obtenemos que el tamaño de la muestra es de 299
encuestas.
TECNICAS DE INVESTIGACION
La técnica que utilizaremos se efectuará mediante análisis estadísticos y un estudio
correlacional del caso, identificando una oportunidad para entender mejor los conceptos
definidos en los estándares mencionados para gestión dándole un enfoque a los riesgos
tecnológicos. Nos brindara un mapa de ruta para la aplicación del proceso de gestión de
riesgos de 27005 evitando los vacíos y ambigüedades que tienen los estándares ISO, dando
indicaciones sobre cómo llevar a cabo las acciones que estos mencionan.
DESCRIPCION DE LOS INSTRUMENTOS

Los instrumentos serán la entrevista con el personal de infraestructura y sistemas de la
empresa y la encuesta desarrollada para una población de 84 personas.
ENCUESTAS
Las encuestas para los usuarios finales cuentan con 10 preguntas, cuentan con una
calificación de 1 a 5 dependiendo del contexto de la pregunta basados en nuestra matriz de
riesgos donde las tenemos especificadas para cada riesgo (hardware, origen físico, nivel de
usuario, datos, software, infraestructura, políticas y redes).
ENTREVISTAS
Las entrevistas serán realizadas por el personal de infraestructura y sistemas de la empresa

las cuales cuentan con preguntas, las cuales cuentan con una calificación de 1 a 5
dependiendo del contexto de las preguntas basadas en nuestra matriz de riesgos donde
tenemos especificadas para cada riesgo (hardware, origen físico, nivel de usuario, datos,
software, infraestructura, políticas y redes).
AUDITORIA
Se identificaron los siguientes puntos para la ejecución de la auditoria:

No. Descripción Proceso
1. Objetivos de la Identificar los diferentes escenarios que se utilizan con
auditoría. carácter objetivo, crítico, sistemático y selectivo con el fin
de evaluar la eficacia y eficiencia del uso adecuado de los
recursos informáticos, de la gestión informática y si estas
han brindado el soporte adecuado a los objetivos y metas
planteadas.
2. Alcance de la Comfamiliar Huila
auditoria
3 Identificación del Planta general de Comfamiliar Huila
cliente de auditoría
4 Identificación del líder de grupo y 2 auditores conformados por el
equipo auditor coordinador de sistemas, coordinador de infraestructura y
5 Fechas y lugares Se realizará en las dependencias donde tiene y procesan
donde se realizaron toda la información para que se vea la transparencia de lo
las actividades de que se hace y se realizara el día 28/09/2022 al 25/12/2022.
auditoría
6 Criterios de Análisis de seguridad de hardware, software y red.

auditoría Cumplimiento de las políticas y procedimientos de
seguridad informática.
Cumplimiento de las normativas en ciberseguridad y
protección de datos.
Análisis de la formación del personal en seguridad
informática.
Análisis de los protocolos de actuación en ciberseguridad.
BIBLIOGRAFIA
Basaldúa, L. D. A. (2005). Seguridad en informática (auditoría de sistemas). Uia.mx.

http://www.bib.uia.mx/tesis/pdf/014663/014663_s.pdf
de Buenaventura, O. T. A. D. (2022). PLAN DE TRATAMIENTO DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. Gov.co.
https://www.buenaventura.gov.co/images/multimedia/20220131_plan_de_tratamiento_de_r
iesgos_de_seguridad_y_privacidad_de_la_informacion_2022.pdf
de la Colombia, P. (2021, noviembre). MATRIZ DE RIESGOS SISTEMA DE GESTIÓN

DE LA SEGURIDAD DE LA INFORMACIÓN. Gov.co.
https://dapre.presidencia.gov.co/dapre/Documents/MATRIZ-RIESGOS-SISTEMA-
SEGURIDAD-SEGURIDAD-INFORMACION.pdf
del Carmen Munguía Alfaro, K. V. M. G. C. R. G. U. A. (2011). AUDITORÍA DE

SEGURIDAD INFORMATICA APLICANDO EL ESTANDAR INTERNACIONAL
COBIT 4.1 EVALUANDO LA DIRECCION INFORMATICA, RECURSOS TI,
OUTSOURCING Y RIESGO INFORMATICO PARA EL AREA DE INFORMATICA
DE MS — AMERICA CENTRAL EN EL AÑO 2010. Edu.ni.
https://repositorio.unan.edu.ni/5844/1/93510.pdf
ESAP. (2020). PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN. Edu.co.
https://www.esap.edu.co/portal/wp-content/uploads/2019/03/Plan-de-Tratamiento-de-
Riesgos-de-Seguridad-y-Privacidad-de-la-Informaci%C3%B3n-v_1.0.pdf
ISO 31000. (2018). Iso.org. https://www.iso.org/obp/ui
Lara, R. J. C. (2015). Sistema para el Análisis y Gestión de Riesgos de Seguridad

Informática en la Facultad 4. Uci.cu.
https://repositorio.uci.cu/jspui/bitstream/123456789/7336/1/TD_08111_15.pdf
Lorena Garibello Brand, Elkin Alexander Oviedo Ruiz, Dairo Yesid, Sierra Joiro. (2020).
ANÁLISIS DE RIESGOS INFORMÁTICOS EN LA IMPLEMENTACIÓN DE UN
PLAN DE CONTINGENCIAS PARA EL SOFTWARE DE ATENCIÓN AL CLIENTE
EN UNA EMPRESA DE TELECOMUNICACIONES. Edu.co.
https://repository.unimilitar.edu.co/bitstream/handle/10654/10125/
GaribelloBrandLorena2013.pdf?sequence=2&isAllowed=y
Mina Calderón, L. M. (2015). Auditoria de seguridad de la información e infraestructura de

ti de la empresa de energía de Arauca Enelar E.S.P. del departamento de Arauca. Edu.co.
https://repository.ucc.edu.co/bitstream/20.500.12494/304/1/AUDITORIA%20DE
%20SEGURIDAD%20DE%20LA%20INFORMACI%c3%93N.pdf
MINTIC. (2016). Guía para la Implementación de Seguridad de la Información en una

MIPYME. Gov.co. https://www.mintic.gov.co/gestionti/615/articles-
5482_Guia_Seguridad_informacion_Mypimes.pdf
PAE. (2012, octubre). MAGERIT v.3: Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Gob.es.
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html
Parada, I. P. (2018). Gestión de riesgos en Seguridad informática. Edu.co.

http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2840/Gestion%20del
%20riesgo%20en%20seguridad%20informatica.pdf?sequence=1&isAllowed=y
Sarria, S. A. B. (2018). DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD

INFORMÁTICA -SGSI PARA LA FUNDACIÓN SABEMOS CUIDARTE EN LA
CIUDAD DE POPAYÁN. Edu.co.
https://repository.unad.edu.co/bitstream/handle/10596/21306/76322153.pdf;jsessionid=045
DD7AA3D53587C1D1EEBC8AF17FB91.jvm1?sequence=1
Toro, R. (2021, agosto 26). Metodología NIST SP 800 – 30 para el análisis de Riesgos en
SGSI. PMG SSI - ISO 27001. https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-
30-para-el-analisis-de-riesgos-en-sgsi/
Universidad de Murcia. (2015). El método MAGERIT. Www.um.es.

https://www.um.es/docencia/barzana/GESESI/GESESI-Metodo-MAGERIT.pdf
Universidad Nacional de Córdoba. (2019). Política de Seguridad de la Información para la

Universidad Nacional de Córdoba. Edu.ar.
https://www.unc.edu.ar/sites/default/files/PoliticadeSeguridad08.pdf
Análisis de Riesgos Informáticos. (2018, junio 25). TechConsulting - Ciberserguridad y
Ciberdefensa a su servicio; Techconsulting - Informática y Ciberseguridad.
https://techconsulting.es/analisis-de-riesgos-informaticos/

Entrega 2

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Entrega 2

Cargado por

Copyright:

Formatos disponibles

IMPLEMENTACIÓN DE UN ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN EN LA EMPRESA CONFAMILIAR HUILA

Carlos Andrés Cruz Quiza - candrecruz@poligran.edu.co

Tutor: ALEXANDRA PEÑA DAZA

Keywords: risk, information, security, analysis, vulnerability, improvement.

El uso de las tecnologías de la información (de ahora en adelante TI) se ha intensificado

PLANTEAMIENTO DEL PROBLEMA

COMFAMILIAR HUILA, Buscando ser sostenible y perdurable en el tiempo ha

Proponer la implementación de un plan de gestión de riesgos de seguridad de la

ESTADO DEL ARTE

 Determinar a qué amenazas están expuestos aquellos activos.

 El cuarto componente trata de cómo a la organización monitoreara el riesgo a través

El siguiente es el cronograma por fases del proyecto:

CRONOGRAMA DEL PROYECTO

PRESUPUESTO GENERAL ANALISIS DE RIESGOS COMFAMILIAR

FASE I: ANALISIS GAP E INVENTARIO

FASE II: REALIZACION DE LA AUDITORIA

FASE III: ELABORACION DEL ANALISIS Y PRESENTACION DE RESULTADOS

SUB TOTAL PRESUPUESTO GENERAL $ 2.669.000

TOTAL PRESUPUESTO GENERAL $ 2.802.450

Lapiceros Caja 1 $ 12.500 $ 12.500 $ - $ - $ - $ - $ - $ - $ 12.500

TOTAL Por Actividad $ 490.100 $ 176.500 $ 190.000 $ 91.500 $ 948.100

FASE II: REALIZACION DE LA AUDITORIA

ACTIVIDADES Diagnostico Entrevista Encuesta Revision fisica

Folders Unidad $ - $ - 3 $ 500 $ 1.500 3 $ 500 $ 1.500 3 $ 500 $ 1.500 $ 4.500

TOTAL Por Actividad $ 122.500 $ 333.000 $ 494.600 $ 302.100 $ 1.252.200

FASE III: ELABORACION DEL ANALISIS Y PRESENTACION DE RESULTADOS

UNIDAD DE COSTO COSTO COSTO COSTO

Folders Unidad 3 $ 500 $ 1.500 $ - $ - 3 $ 500 $ 1.500 4 $ 500 $ 2.000 $ 5.000

Copias Hoja 30 $ 100 $ 3.000 $ - $ - 30 $ 100 $ 3.000 $ - $ - $ 6.000

TOTAL Por Actividad $ 165.500 $ 70.200 $ 142.500 $ 90.500 $ 468.700

Se generará en modo auditoria con un tipo de investigación mediante una metodología

Actualmente en la empresa hay 37 funcionarios en el área de tecnología a este personal se

DESCRIPCION DE LOS INSTRUMENTOS

Las entrevistas serán realizadas por el personal de infraestructura y sistemas de la empresa

Se identificaron los siguientes puntos para la ejecución de la auditoria:

6 Criterios de Análisis de seguridad de hardware, software y red.

Basaldúa, L. D. A. (2005). Seguridad en informática (auditoría de sistemas). Uia.mx.

de Buenaventura, O. T. A. D. (2022). PLAN DE TRATAMIENTO DE RIESGOS DE

de la Colombia, P. (2021, noviembre). MATRIZ DE RIESGOS SISTEMA DE GESTIÓN

del Carmen Munguía Alfaro, K. V. M. G. C. R. G. U. A. (2011). AUDITORÍA DE

ESAP. (2020). PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA

ISO 31000. (2018). Iso.org. https://www.iso.org/obp/ui

Lara, R. J. C. (2015). Sistema para el Análisis y Gestión de Riesgos de Seguridad

Mina Calderón, L. M. (2015). Auditoria de seguridad de la información e infraestructura de

MINTIC. (2016). Guía para la Implementación de Seguridad de la Información en una

Parada, I. P. (2018). Gestión de riesgos en Seguridad informática. Edu.co.

Sarria, S. A. B. (2018). DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD

Universidad de Murcia. (2015). El método MAGERIT. Www.um.es.

Universidad Nacional de Córdoba. (2019). Política de Seguridad de la Información para la

También podría gustarte