Estados Unidos Mexicanos

Universidad Internacional La Rioja

Programa de Maestría de Seguridad de la Información

Análisis de Riesgos Informáticos

Tarea 3
Elaboración de Metodología de Gestión de Riesgos de Seguridad de la
Información de una organización.

Edgar A. Mendieta

29 de enero 2023
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Introducción.

Bajo la premisa que dice que la información es lo más valioso hoy en día, también se
debe tomar en cuenta que cualquier dispositivo que gestione los datos que serán
utilizados para generar información puede representar una variable de riesgo; por lo
que su estudio y análisis cauteloso se debe dar de forma obligatoria, de tal manera
que nos de como resultado una información integra, confiable, disponible y que
estemos seguro de su uso.

Existen una gran serie de normas que brindan un marco o apoyo para la
implementación de una estructura adecuada para la gestión del riesgo de seguridad
de la información. Pero, esto también debe tener en cuenta las leyes existentes y
sobre todo los procesos del negocio.

En este trabajo se tomará la Universidad Interamericana de Panamá como objeto de

estudio para levantar un documento metodológico de gestión de riesgos de
seguridad de la información; de igual forma haremos referencia a las normas OCTAVE
e ISO/IEC 27005:2011, de igual forma se estarán consultando las diferentes leyes
según localidades de la organización seleccionada.

1
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

1. Objetivo.
Elaborar un documento que muestre una metodología de gestión de riesgos de
seguridad de la información, utilizando como punto de estudio la Universidad
Interamericana de Panamá.

2. La Organización.
Para realizar este estudio se toma como referencia a la Universidad Interamericana
de Panamá. La cual es una institución de estudios superior, de índole privada. Con
sede en la República de Panamá.

3. Alcance.
El presente documento está dirigido a todas las personas que tienen acceso a los
datos o información recopilados y almacenados dentro de la universidad; incluyendo
aquellos que directa o indirectamente usen sistemas y/o herramientas de hardware
o software para accederla. Este documento tiene alcance en todos los campus de la
universidad en todo el territorio de la República de Panamá.

4. Términos y Definiciones.
Se procede a dar definición de terminologías a utilizar durante el documento.

4.1. Amenaza. Situación o acontecimiento que pueda causar daño a los activos
informáticos. Esto puede ser una persona, programa malicioso o suceso natural
o de otra índole que y que representen posibles atacante o factores que inciden
negativamente sobre las vulnerabilidades del sistema.
4.2. Vulnerabilidad. Punto de debilidad de un sistema informático, el cual es
susceptible a ser atacado y/o comprometer la seguridad.
4.3. Riesgo. Es una probabilidad de que una amenaza se materialice sobre una
vulnerabilidad de un sistema informático, causando un impacto negativo en la
organización.

2
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

4.4. Activo Informático. Es un recurso tecnológico o de un sistema informático,

necesario para que la organización pueda gestionar los datos o información.
4.5. Impacto. Daño que se produce por la materialización de una amenaza.

5. Referencias Normativas y Legales.

5.1. OCTAVE. (Operationally Critical Threat, Asset and Vulnerability Evaluation).

Metodología de análisis y gestión de riesgos. Describe un conjunto de criterios
para desarrollar métodos que se adhieran a guías especificas de evaluación y
administración de riesgos. Se evalúan los riesgos de seguridad de la información
y propone un plan de mitigación de los mismos dentro de una organización. Sus
objetivos se encuentran enfocados básicamente en concientizar a la organización
en cuanto a que la seguridad informática no es un asunto solamente técnico, y
presentar los estándares internacionales que guían la implementación de
seguridad de aquellos aspectos no técnicos.
5.2. ISO/IEC 27005:2011. Estándar internacional que se ocupa de la gestión de
riesgos de seguridad de información. La norma suministra las directrices para la
gestión de riesgos de seguridad de la información en una empresa, apoyando
particularmente los requisitos del sistema de gestión de seguridad de la
información definidos en ISO 27001.
5.3. Ley 81 de Protección de Datos Personales de la República de Panamá.
Constituye el marco general de defensa del derecho a la protección de datos
personales en la República de Panamá.

6. Desarrollo.

6.1. Identificación de Activos Informáticos.

✓ Redes de Comunicación: Cableadas, Inalámbricas, Routers, Switches,
Firewall.

3
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

✓ Bases de Datos: Datos de estudiantes, datos administrativos.

✓ Hardware: Servidores, Computadoras de usuarios académicos, usuarios
administrativos.
✓ Software: aplicaciones de matrícula, aplicaciones de finanzas, gestores de
bases de datos
✓ Procesos. Proceso de matrícula, proceso de planilla, proceso de contratación
docente, proceso de cobranza, procesos de registros académicos.
✓ Recurso Humano. Personal Interno, Estudiantes y proveedores.
✓ Infraestructura. Edificio principal, sedes secundarias

6.2. Análisis de los Activos.

✓ Alto: Activo sumamente importante para la universidad, o mejor conocido
como crítico. Se utilizan en todos los procesos.
✓ Medio alto: es requerido para los procesos y la operación; pero no es crítico.
Afecta menos del 80% de la operación.
✓ Medio Bajo: la operación lo requiere, pero puede seguir operando si llega a
tener problemas.
✓ Bajo: Activo secundario para la operación.

Tabla 1: Importancia de los Activos

Grupo Activo Importancia
Redes de Comunicación Cable Medio Alto
W-LAN Medio Alto
Router Externo Medio Bajo
Switches Core Alto
Bases de Datos Datos estudiantes Alto
Datos administrativos Alto
Hardware Servidores de bases de Alto
datos

4
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Servidores de aplicativos. Medio alto

Computadores de usuarios Medio Alto
académicos
Computadores de usuarios Medio bajo
administrativos.
Computadoras de Bajo.
estudiantes.
Software Gestor de base de datos Medio alto
Aplicativos de finanzas. Alto
Aplicaciones de matricula Alto
Procesos Matricula Alto
Planilla Alto
Contratación docente Medio Alto
Cobranza Alto
Registros notas Alto
Recursos Humano Administrativo Medio Alto
Académicos Alto
estudiantes Alto
Infraestructura Edificio principal Alto
Sedes secundarias Media bajo

5
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Tabla 2: Vulnerabilidades y Amenazas

Grupo Activo Importancia Vulnerabilidad Amenazas
Redes de Cable Medio Alto Acceso al cableado Desconexiones.
Comunicación W-LAN Medio Alto Claves de red no segura. Intromisiones a la red y recursos.
Router Externo Medio Bajo Bajones eléctricos Daño del equipo.
Switches Core Alto Bajones eléctricos Daño del equipo
Bases de Datos Datos estudiantes Alto Acceso de seguridad Robo de datos.
Datos administrativos Alto Acceso de seguridad Perdida de datos
Hardware Servidores de bases de Alto Bajones eléctricos. Daños al equipo.
datos
Servidores de Medio alto Bajones eléctricos. Daños al equipo.
aplicativos.
Computadores de Medio Alto Falta de antivirus. Perdida de información.
usuarios académicos
Computadores de Medio bajo Falta de antivirus. Perdida de información.
usuarios administrativos.
Computadoras de Bajo. Falta de antivirus. Perdida de información.
estudiantes.
Software Gestor de base de datos Medio alto Accesos de seguridad Robo de datos.
Aplicativos de finanzas. Alto Accesos de seguridad Robo de datos.
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Aplicaciones de Alto Accesos de seguridad Robo de datos.

matricula
Procesos Matricula Alto Error de programación Información corrupta.
Planilla Alto Error de ejecución Información corrupta.
Contratación docente Medio Alto Docentes inadecuados. Mal educación.
Cobranza Alto Error de ejecución. Información corrupta.
Registros notas Alto Error de ejecución. Información corrupta.
Recursos Humano Administrativo Medio Alto Falta de precauciones Perdidas de información.
Académicos Alto Contraseñas fáciles Perdida de información
estudiantes Alto Contraseñas faciles Perdida de información
Infraestructura Edificio principal Alto Terremotos daños en la estructura.
Sedes secundarias Media bajo Desastres naturales Daños estructurales.
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

6.3. Impacto y probabilidad de ocurrencia.

Tabla 3: Valoración de Impacto.
Nivel Descripción
4 Muy importante.
3 Moderado
2 Bajo
1 Insignificante

Tabla 4: Probabilidad de Ocurrencia

Nivel Detalle
4 Siempre
3 Frecuentemente
2 A veces
1 nunca

6.4. Análisis de Riesgos.

Probabilidad
Impacto Siempre Frecuentemente A Veces nunca
4 3 2 1
Muy 4 16 12 8 4
Importante
Moderado 3 12 9 6 3
Bajo 2 8 6 4 2
Insignificante 1 4 3 2 1

1
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Tabla 5: Criterios.
Niveles Acción
1-3 Bajo: Se asume el riesgo.
4-8 Medio: Remediación
9 - 16 Alto: Evitar

6.5. Evaluación y Monitoreo.

Presentado el riesgo, y si este se da; se debe evaluar con respecto a la criticidad del
evento y los activos afectados. De igual forma, tomada la acción deben darse
procesos de monitoreo de la acción tomada y que el riesgo no se dé nuevamente.

Conclusión

El analizar los riesgos existentes en los sistemas informáticos podemos colaborar con
la mitigación de los mismos, para que la información pueda continuar de forma
íntegra, disponible y ser siempre confiable.

Por otro lado, tener identificado los riesgos, vulnerabilidades y amenazas, podemos
girar información más veraz y detallada a otros grupos de la organización, de tal
forma que se involucren y que no solamente sea el departamento de IT o tecnología
quien se encargue de dar solución. Los análisis de riesgos se hacen de forma estricta
e integra.

2
 Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Mendieta
2023.01.29
Informáticos Nombre: Edgar Alfonso

Referencias Bibliográfica

ISO/IEC 27005:201. https://www.iso.org/standard/56742.html

Gaceta Oficial
DS-22-14 DE 12 DE FEBRERO DE 2014, “POR LA CUAL SE MODIFICA EL
PROCEDIMIENTO PARA LA CERTIFICACIÓN DE NORMAS LEGALES DE LA
PROCURADURÍA DE LA ADMINISTRACIÓN, ADOPTADO MEDIANTE RESOLUCIÓN
131-01 DE 20 DE DICIEMBRE DE 2001”, EMITIDA POR LA PROCURADURÍA DE LA
ADMINISTRACIÓN, PUBLICADA EN LA GACETA OFICIAL NO. 27479 DE 20 DE
FEBRERO DE 2014.
https://www.gacetaoficial.gob.pa