Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cátedra:
Gerencia, Operación y Planificación de la Ciberseguridad.
Docente:
Ing. Freddy Villavicencio B., MSI.
Estudiante:
Barba Salazar Joel.
PROYECTO FINAL
Fecha de elaboración:
21 de febrero del 2022
Guayaquil – Ecuador
Contenido
1. Antecedentes ............................................................................................................. 3
3. Desarrollo .................................................................................................................. 4
4. Conclusiones ........................................................................................................... 18
5. Recomendaciones .................................................................................................... 18
2
1. Antecedentes
producto son los dispositivos de rastreo GPS los cuales son instalados en los vehículos de
los clientes que contratan su servicio. De esta forma los vehículos son monitoreados 24/7
1.2 Misión
1.3 Visión
Ser percibidos como un aliado estratégico, que tiene como único objetivo conseguir un
determinar que controles se pueden aplicar para mitigar el riesgo. Finalmente, con los
3
3. Desarrollo
objetivo tiene una importancia crítica en los objetivos de la organización tanto a nivel
Se procedió a realizar el análisis de los riesgos que afectan la consecución del objetivo de
TI seleccionado. Lo primero que se encontró es que debido a que la empresa tiene menos
de 6 meses en el mercado, no ha establecido controles para mitigar los riesgos, así mismo
4
Riesgo Inherente TRATAMIENTO Riesgo Residual
Objetivo de TI Riesgo Probabilidad Impacto Nivel de Riesgo Control Probabilidad Impacto Nivel de Riesgo
5
A continuación, se muestra el mapa de calor de los riesgos identificados antes y después
GRAVEDAD (IMPACTO)
Antes de aplicar controles
MUY BAJO 1 BAJO 2 MEDIO 3 ALTO 4 MUY ALTO 5
MUY ALTA 5 R5,R10 R2,R9 R1,R6,R8
ALTA 4
PROBABILIDAD MEDIA 3 R7 R3
BAJA 2 R4
MUY BAJA 1
Riesgo muy grave por lo que se deben tomar medidas preventivas urgentes debido al
impacto negativo que puede tener si el riesgo ocurre para lograr los objetivos del negocio.
GRAVEDAD (IMPACTO)
Después de aplicar controles
MUY BAJO 1 BAJO 2 MEDIO 3 ALTO 4 MUY ALTO 5
MUY ALTA 5 R3,R4
ALTA 4
PROBABILIDAD MEDIA 3 R10 R1,R8
BAJA 2 R5,R7 R2,R9 R6
MUY BAJA 1
Tras aplicar los controles elegidos vemos como sólo 2 de los 10 riesgos evaluados
permanecen en Riesgo muy grave mientras que 2 ahora están en riesgo importante y los
cada uno de los controles mencionados en la matriz de riesgo indicando las actividades a
6
a los actores responsables, aprobadores, expertos y quién debe ser informado en el
2. Pago de firewall R I A
con su licencia
3. Instalación de I I A.C R
firewall
4.Configuración I I A,C R
de firewall
7
RACI C3: Compra de generador de electricidad para continuar con las
operaciones.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Seleccionar el
generador A R
requerido
2. Pago de R A I
generador
3. Instalación de I A R
generador
4.Activación de I I A R
generador cuando
es necesario
8
RACI C6: Establecer perímetro y controles de acceso estrictos al centro de
cómputo (accesos, cámaras de seguridad)
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaborar plan A I R
de acción
2. Aprobar I R I
presupuesto
3. Supervisar
adecuación de A,I I R
área de centro de
cómputo
4. Supervisar
Instalación de A,I I R
controles de
acceso
5. Supervisar
Instalación de A,I I R
cámaras de
seguridad
9
RACI C8: Realizar copias de seguridad diarias y almacenarlas en un disco
externo resguardado.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Cotización de I A R
discos externos
2. Pago de equipo R A
3. Planificación de
copias de A R
seguridad
5. Prueba y
resguardo de I R
copia de
seguridad
RACI C9: Políticas de que los usuarios deben cerrar sesión en todos los
sistemas y estaciones de trabajo cuando no se encuentren.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaboración de A I R
políticas
2. Aprobación de R A I
políticas
3. Socialización
con todo el A I R I
personal.
3. Monitoreo de
flujo de I A R
información en
apps y mensajería
10
3.4 Prácticas, Entradas/Salidas y Actividades de la aplicación de controles.
C2: Implementación de
Firewall Fortigate para Red insegura ante Red segura ante
Interno Interno
controlar el acceso y flujo de ciber atacantes ciber atacantes
datos en la red interna.
Actividades
1. Seleccionar el firewall requerido
2. Pago de firewall con su licencia
3. Instalación de firewall
4.Configuración de firewall
11
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A
Caída de
C3: Compra de generador de Continuidad de
Interno operaciones ante Interno
electricidad para continuar con operaciones
corte eléctricos
las operaciones.
Actividades
1. Seleccionar el generador requerido
2. Pago de generador
3. Instalación de generador
4.Activación de generador cuando es necesario
1. Elaboración de políticas
2. Aprobación de políticas
3. Configuración de políticas en estaciones de trabajo.
4. Socialización con todo el personal.
12
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A
13
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A
Políticas
C9: Políticas de que los usuarios Cero controles sobre
sobre control
deben cerrar sesión en todos los Interno los logins en los Interno
de logins en
sistemas y estaciones de trabajo sistemas
los sistemas
cuando no se encuentren.
Actividades
1. Elaboración de políticas
2. Aprobación de políticas
3. Socialización con todo el personal.
A continuación, se detallan las KPI utilizados para medir la efectividad de los controles
14
Control KPI
C7: Los equipos deben tener un Número de equipos que presentan daños
resguardado.
C9: Políticas de que los usuarios deben Número de personas que dejan equipo
15
estaciones de trabajo cuando no se
encuentren.
controladas.
A continuación, se detallará el plan de acción para mitigar los riesgos evaluados. Cabe
C1: Implementación de
Ataque de
R1 Rojo software EDR en las Jefe de TI 27/3/2022 Rojo
Ransomware
estaciones de trabajo.
C2: Implementación de
Acceso no
Firewall Fortigate para
autorizado a la
R2 Rojo controlar el acceso y Jefe de TI 27/3/2022 Amarillo
red interna de
flujo de datos en la red
la organización
interna.
C3: Compra de
Pérdida de
generador de electricidad
R3 suministro Rojo Administradora 16/6/2022 Amarillo
para continuar con las
eléctrico
operaciones.
16
C5: Establecer políticas
Extracción de de no autorización de
información medios extraíbles y
R5 Rojo Jefe de TI 12/5/2022 Amarillo
por medios realizar las respectivas
extraíbles configuraciones en las
estaciones de trabajo.
Daños de
hardware en C7: Los equipos deben
R7 estaciones de Ámbar tener un mantenimiento Jefe de TI 15/3/2022 Amarillo
trabajo de los preventivo cada 6 meses.
usuarios
C10: Control y
supervisión sobre la
Filtración de
información en los
información
correos institucionales,
R10 confidencial Rojo Jefe de TI 11/5/2022 Ámbar
así como la prohibición
por canales de
de otras apps de
mensajería
mensajería no
controladas.
17
4. Conclusiones
En base a los resultados del análisis de los riesgos del objetivo de TI Seguridad de la
informal.
5. Recomendaciones
los procesos críticos del negocio y estos sean socializados con todo el personal.
a que la empresa maneja información muy crítica sobre los clientes y sus activos.
18