Empleo de Metodologías Avanzadas de Análisis de Riesgos

Cabiativa Sandoval Jennifer Alejandra

Graham Verástegui Stuart

Palomino Martínez Nury Andrea

Torres Juan
UNIR La universidad en Internet

07585 - Gestión Tecnológica TI (PS) - PER 8315

Dr. José Ramón Coz Fernández

Febrero de 2024
Tabla de Contenido
Introducción

En el presente informe, se aborda el análisis avanzado de riesgos relacionados con la seguridad de la

información en el contexto del proyecto eMarisma. Este análisis se centra en varios aspectos clave, que
incluyen la cobertura de controles, la discusión de las amenazas identificadas, los resultados del análisis
de riesgos, las medidas del plan de tratamiento, la planificación de acciones de mejora y las conclusiones
obtenidas.
Cobertura de controles.

La cobertura de controles en un análisis simplificado de riesgos implica evaluar la efectividad y la

adecuación de los controles existentes para mitigar los riesgos identificados y garantizar una protección
adecuada de la organización contra posibles amenazas.
Se ha realizado el chequeo de la cobertura de los controles y se ha revisado que todos los controles
cumplan, desde el A.5 hasta los controles del A.18.

Discusión de las amenazas.

Teniendo en cuenta el análisis Simplificado de los Riesgos del proyecto se ha identificado una amplia
gama de posibles amenazas que podrían afectar la seguridad y el funcionamiento del sistema. Estas
amenazas van desde ataques cibernéticos hasta desastres naturales y errores humanos. A continuación,
se presentan algunas de las amenazas más significativas:

Acceso no autorizado: Esta amenaza representa el riesgo de que personas no autorizadas puedan
obtener acceso al sistema, comprometiendo la confidencialidad, integridad y disponibilidad de la
información.

Denegación de servicio (DoS): La denegación de servicio implica la interrupción o degradación del

servicio del sistema, lo que puede provocar una pérdida de productividad, ingresos y reputación de la
organización.

Fugas de información: La fuga de información implica la divulgación no autorizada de datos

confidenciales o sensibles, lo que puede tener graves consecuencias legales, financieras y de reputación
para la organización.

Errores de secuencia: Los errores de secuencia representan el riesgo de que se produzcan fallos o
incoherencias en la secuencia de procesos del sistema, lo que puede afectar su funcionamiento y
rendimiento.

Desastres naturales: Los desastres naturales como incendios, inundaciones y terremotos representan
una amenaza para la infraestructura física del sistema, lo que puede provocar interrupciones
significativas en su funcionamiento.

Ataques destructivos: Los ataques destructivos implican la destrucción deliberada de datos, sistemas o
infraestructura, lo que puede tener graves consecuencias para la continuidad del negocio y la seguridad
de la información.

Nuestro equipo de gestión de riesgos del proyecto evalúa cada una de estas amenazas en términos de su
probabilidad de ocurrencia, impacto potencial y medidas de mitigación disponibles. Si se materializan, se
deben establecer planes de respuesta y continuidad del negocio para afrontar estas amenazas.

Se han identificado valores para cada riesgo, que se categorizan en dos:

Probabilidad de ocurrencia: La posibilidad de que el riesgo ocurra.

Porcentaje de degradación: En qué medida el activo pierde valor

Discusión de los resultados del análisis de riesgos

En el análisis de riesgos se han identificado que los que tienen más frecuencia de ocurrir son por daños
por agua, debido a que el nuevo ambiente habilitado para los servidores del CMR ClientConnect se
encuentra en un ambiente cercano a tuberías de agua.

Los accesos no autorizados son un riesgo importante, ya que se ha identificado que muchos problemas
de TI se deben a contraseñas compartidas sin autorización y a brechas en puntos débiles en la
infraestructura de la seguridad perimetral.
Análisis de las 3 primeras medidas del plan de tratamiento

Se hizo el cálculo del plan de tratamiento con un Valor de Riesgo (VR) de 6 y eMarisma arrojó que no
existen riesgos para ese Valor de Riesgo. Se ha vuelto a recalcular con un VR de 10 y el cálculo indica que
tampoco hay riesgo para este VR.

En este contexto, para las amenazas que tienen una mayor frecuencia e impacto, como el Daño por
agua, se ha optado por mitigar la amenaza, instalando controler, infraestructura y recursos que permiten
reducir la probabilidad y daño del agua en los activos. De esa manera se reducen tanto la frecuencia
como el impacto. Transferir el riesgo con un seguro por daños a la infraestructura es una forma de
reducir el impacto del daño de los activos, aunque no los evita, pero es adecuada para TechSoluciones.

La amenaza de Accesos no autorizados puede afectar grandemente los activos y los datos, por lo que
una respuesta adecuada es mitigar el riesgo, fortaleciendo procesos de roles y permisos para los
sistemas y mejorar los controles de los accesos, ya que TechSoluciones cuenta con un departamento de
seguridad, la transferencia de subcontratar un servicio de seguridad no sería necesaria.

Para la mayoría de otras amenazas, debido al poco impacto y baja probabilidad, la empresa ha decidido
aceptarlas. TechSoluciones es una empresa sólida en el control de sus sistemas y cuenta con la capacidad
de enfrentar la mayoría de los riesgos y la seriedad para tomarlos en cuenta.

Planificación de las acciones de mejora

Reevaluación de las amenazas de mayor frecuencia e impacto: Para las amenazas con una mayor
frecuencia e impacto, como el Daño por agua y los Accesos no autorizados, es importante continuar
evaluando y mejorando las medidas de mitigación existentes. Esto puede incluir revisar y fortalecer los
controles y procesos de seguridad implementados, así como considerar nuevas medidas de mitigación si
es necesario.
Fortalecimiento de los procesos de roles y permisos: Dado que la amenaza de Accesos no autorizados
puede tener un gran impacto en los activos y datos de la empresa, es fundamental fortalecer los
procesos de roles y permisos para garantizar que solo las personas autorizadas tengan acceso a la
información sensible. Esto puede incluir revisar y actualizar regularmente los permisos de acceso, así
como implementar controles adicionales, como la autenticación de múltiples factores.

Exploración de opciones de transferencia de riesgos: Aunque se menciona que TechSoluciones ha

decidido aceptar la mayoría de las amenazas debido a su bajo impacto y probabilidad, es importante
explorar opciones de transferencia de riesgos para aquellas amenazas que podrían tener consecuencias
significativas. Esto podría incluir considerar la posibilidad de adquirir seguros específicos para ciertos
riesgos o explorar acuerdos de subcontratación con proveedores especializados en gestión de riesgos.

Monitoreo continuo y revisión del plan de tratamiento de riesgos: Es fundamental establecer un proceso
de monitoreo continuo para el plan de tratamiento de riesgos, que incluya la revisión regular de las
medidas implementadas y la evaluación de su efectividad. Esto garantizará que el plan de tratamiento de
riesgos esté alineado con los objetivos y necesidades cambiantes de la empresa, y que se puedan realizar
ajustes según sea necesario para mejorar la gestión de riesgos en el tiempo.

Conclusiones

Para concluir, TechSoluciones cuenta con los controles y la identificación adecuada de los riesgos y ha
planificado en consecuencia, de forma tal que pueda mantener un sistema CRM funcionando
adecuadamente. TechSoluciones se enorgullece de su larga experiencia y trayectoria en el mercado y es
muy importante para ella mantener el nivel en el servicio, por lo que este análisis de los riesgos se lo está
tomando en serio y va a llevar las recomendaciones indicadas en el plan de tratamiento de los riesgos.

Anexos
Anexo eMarisma_Activos_X_Amenazas

Anexo eMarisma_Amenazas

Anexo eMarisma_AnálisisRiesgos