TRABAJO DE GRADO

TÍTULO COMPLETO DEL TRABAJO DE GRADO

EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA

EMPRESA MAKOTO S.A.S BASADA EN LA NORMA ISO 27005:2018

ROLAND LEONIDAS FAJARDO ROJAS

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2021
 TRABAJO DE GRADO

TÍTULO COMPLETO DEL TRABAJO DE GRADO

EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA

EMPRESA MAKOTO S.A.S BASADA EN LA NORMA ISO 27005:2018

ROLAND LEONIDAS FAJARDO ROJAS

Trabajo de grado presentado para optar al título de Especialista en Seguridad de

la Información

Docente

MSC: ALFONSO LUQUE ROMERO

Docente especialización

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2021
 Dedicatoria

En memoria a mis padres

Agradecimientos

A mi familia, Compañeros y a los ingenieros de la Universidad por su compromiso incondicional

3
https://creativecommons.org/licenses/by-nc/4.0/deed.es

4
 TABLA DE CONTENIDO

Pág.

1. Introducción 7
2. Generalidades 9
2.1. Línea de Investigación 9
2.2. Planteamiento del Problema 9
2.2.1. Antecedentes del problema 9
2.2.2. Pregunta de investigación 11
2.2.3. Variables del problema 11
2.2.4. Justificación 11
3. Objetivos 13
3.1. Objetivo general 13
3.2. Objetivos específicos 13
4. Marcos de referencia 14
4.1. Marco conceptual 14
4.2. Marco teórico 19
4.3. Marco jurídico 28
4.4. Marco geográfico 28
4.5. Estado del arte 29
5. Metodología 31
5.1. Fases del trabajo de grado 31
5.2. Instrumentos o herramientas utilizadas 32
5.3. Alcances y limitaciones 32
6. Productos a entregar 33
7. ENTREGA DE RESULTADOS E IMPACTOS 34
8. NUEVAS ÁREAS DE ESTUDIO 58
9. CONCLUSIONES 59
10. BIBLIOGRAFÍA 62

5
 FIGURAS
Pág.

Figura No.1 de Identificación de las consecuencias de riesgo………….…..….…..15

Figura No.2 de Descripción del riesgo….…………………………..……….………...15

Figura No.3 ISO 27005:2018…..……………………………………………………….16

Figura No.4 de Identificación de las consecuencias……….…..…….…….……...…17

Figura No.5 de Evaluación del riesgo………………….……..…………….………….21

Figura No.6 de Tratamiento de los riesgos……….………..………………….………23

Figura No.7 de Probabilidad………………….………………………………...……….24

Figura No.8 de Impacto….……….………………………………………………..…….25

Figura No.9 de Tabla de riesgos……....………………………………………………..25

Figura No.10 de Valoración del impacto………………………….………….………..26

Figura No.11 de Tipo de amenazas………………………….…………..…..………..27

Figura No.12 de Ubicación geográfica……………….………………………………..28

Figura No.13 de porcentaje de ataques ………………………………………………29

Figura No. 14 del Proceso gestión del riesgo…………………………………………34

Figura No.15 de Tabla de riesgos inherentes………….……………………………..52

Figura No.16 de Riesgos residuales…………….……………………………………..52

Figura No.17 de Matriz de riesgos residual y calificación….………………………..53

Figura No.18 de Tabla de riesgos y valores inherentes …………………………….55

6
 1. INTRODUCCIÓN

La protección de la información es una de las mayores preocupaciones que desafían

las organizaciones; debido a la globalización y al internet de las cosas, las entidades
públicas y privadas se enfrentan a amenazas y riesgos emergentes ya que existen
personas y organizaciones inescrupulosas que aprovechan las necesidades
actuales creadas por la tecnología, tratando de acceder con elementos maliciosos
con el objetivo de buscar vulnerabilidades en las aplicaciones con intención de
obtener, robar o manipular la información y se necesita crear un diseño de gestión
de seguridad aplicado al área de TI, que permita asegurar procesos, tecnología,
instalaciones y factor humano que armonicen con los objetivos estratégicos
trazados por las directivas; ya que, estos factores deben tener un equilibrio en la
cadena de la seguridad de la información puesto que, de la gestión de ellos,
depende el nivel de aseguramiento de los activos de información.

Los riesgos asociados a procesos y tecnología se pueden mitigar y gestionar por

intermedio de controles y parametrización, que permitan que sean más seguros,
pero el verdadero problema radica en el factor humano ya que se debe tener en
cuenta aspectos como las creencias, comportamientos y las actitudes que tengan
respecto a los activos de información, lo cual puede generar problemas de alto
impacto en la seguridad de la información. Por lo anterior, es importante generar
estrategias que permitan cambiar ese comportamiento de colaboradores,
proveedores y clientes, que incrementen los niveles de concienciación, apropiación
y cumplimiento de políticas y normas implementadas por las entidades que
conduzcan al aseguramiento de la información.

Por lo consiguiente, la seguridad de la información depende en gran medida de la

cultura de seguridad que tengan los usuarios finales y la interacción con los activos
de información de la organización. La implantación adecuada de una Evaluación del
riesgo de gestión de seguridad es la mejor solución para lograr una gestión segura
de la información, los activos de información y el recurso humano, al generar
cambios en los hábitos y comportamientos de los colaboradores, proveedores y
clientes de las entidades, es decir, se concentra en la forma como perciben los
activos de información para generar un impacto que conlleve a considerar los
usuarios finales no como una amenaza para la cadena de la seguridad, sino como
una barrera de protección para los activos de información de la organización.

Por lo anterior, y de acuerdo con estudios realizados con organismos

internacionales y por expertos en temas de seguridad como por ejemplo la
concienciación, capacitación, formación, educación y cultura, son herramientas
imprescindibles para implementar programas de seguridad de la información en
cualquier institución, así como la gestión adecuada de los activos de información y
la infraestructura tecnológica que los soporta. Por lo cual se convierte en una
prioridad, ya que permite el cambio de comportamiento y de mentalidad de la

7
sociedad frente a los temas de seguridad.

El presente documento se elaboró bajo los lineamientos de la norma ISO

27005:2018, esta norma brinda los requisitos para adaptar una apropiada
evaluación de riesgos sobre los activos de tecnología críticos en la empresa, con el
fin de mejorar la seguridad de la información en los activos y para ello combina las
mejores prácticas y recomendaciones a nivel legislativo y normativo que
fundamentan los procesos de gestión en seguridad. (1)

8
 2. GENERALIDADES

2.1. LÍNEA DE INVESTIGACIÓN

La línea de trabajo en la cual se desarrollará esta tesis de grado es software

inteligente y convergencia tecnológica.

2.2. PLANTEAMIENTO DEL PROBLEMA

Teniendo en cuenta que la empresa privada Makoto S.A.S en sus sistemas requiere
y, es de vital importancia que se desarrolle una evaluación de los riesgos a sus
activos los cuales están expuestos constantemente, y por consiguiente fortalecer
sus procesos, protocolos, políticas y lineamientos de seguridad existentes y que son
el pilar fundamental para el proceso de estructuración corporativa y de seguridad.

Por lo anterior, se evidenció la importancia de proteger sus datos que pueden ser
utilizados para acciones delictivas y el robo de su información por lo pertinente se
debe realizar la implementación de métodos o normas de aseguramiento que
permitan minimizar los riesgos a los activos de información, ya que se busca
preservar la confidencialidad, disponibilidad e integridad de la información para que
su operación sea continua con el fin de atender las necesidades de los empleados
de manera oportuna y efectiva.

2.2.1. ANTECEDENTES DEL PROBLEMA

Uno de los principales objetivos al establecer cualquier sistema de gestión es

alinearse a los objetivos organizacionales, misión, visión estrategia, en resumen, al
contexto empresarial. La implementación de buenas prácticas de seguridad de la
información tiene como objetivo principal, propender por el resguardo de los
principios de disponibilidad, integridad y confidencialidad de los activos de
información para empresa, sus proveedores, clientes, colaboradores e interesados
Bajo estándares reconocidos y aceptados tal como la norma ISO 27005:2018. Por
lo cual Makoto S.A.S podrá contar con una ventaja competitiva permitiéndole
acceder a más mercados y ofrecer nuevos servicios de valor agregado la empresa
a través de la alta gerencia busca en la evaluación del riesgo desarrollado para la
gestionar la seguridad de la información, una herramienta de crecimiento que le
otorgue un valor agregado ante sus clientes y el mercado, más que un requisito
obligatorio de cumplimiento, y por tal razón, acoplará apartes de las mejores
recomendaciones y evaluaciones del riesgo, así como las recomendaciones
establecidas por los entes de gobierno como Ministerio de las Tecnologías y las
Telecomunicaciones y su propuesta de evaluación de Seguridad y Privacidad de la
Información (MSPI).

9
Un SGSI (Sistema Gestión de Seguridad de la Información) es un estándar
internacional ISO 27001 el cual nos permite hacer un enfoque sistemático para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información de una organización y lograr sus objetivos comerciales
y/o de servicio, podría decirse que es una guía de comportamiento de sus
colaboradores en todos sus procesos.

Para la mayoría de las empresas el principal inconveniente al que se enfrentan es

a la falta de cultura o desconocimiento sobre la importancia de la seguridad de la
información esto conllevaría, Contrariamente perciben el riesgo como algo remoto
y que únicamente sucede a otras empresas de mayor tamaño y de sectores con
mayores recursos tanto económicos como tecnológicos. El desconocimiento
también impide que se tomen medidas adecuadas y oportunas, situación que tiende
a generalizarse en las empresas por la falta de inversión la cual demanda altos
costos en el aseguramiento con herramientas y soluciones de seguridad, la cual no
es contemplada en sus presupuestos.

El Informe sobre las Amenazas para la Seguridad en Internet de febrero 2019, en

dicho informe que en el 2018 era más probable que los empleados de pequeñas
organizaciones se vieran afectados por amenazas de correo electrónico, incluidos
el spam, el phishing y el malware de correo electrónico, que los de las grandes
organizaciones. También descubrimos que los niveles de spam continuaron
aumentando en 2018, como lo han hecho todos los años desde 2015, y el 55% de
los correos electrónicos recibidos en 2018 se clasificaron como spam. Mientras
tanto, la tasa de malware de correo electrónico se mantuvo estable, mientras que
los niveles de phishing disminuyeron, pasando de 1 en 2.995 correos electrónicos
en 2017 a 1 en 3.207 correos electrónicos en 2018. La tasa de phishing ha
disminuido cada año durante los últimos cuatro años. También observamos menos
URL utilizadas en correos electrónicos maliciosos, ya que los grupos de ataque se
centraron en el uso de archivos adjuntos de correo electrónico maliciosos como un
vector de infección primario. El uso de URL maliciosas en los correos electrónicos
había saltado a 12,3% en 2017, pero se redujo a 7,8% en 2018. La telemetría de
Symantec refleja que los usuarios de Microsoft Office son los que corren más riesgo
de ser víctimas de malware basado en correo electrónico. Los archivos de Office
representan el 48% de los archivos adjuntos de correo electrónico maliciosos,
siendo que este porcentaje era solo 5% en 2017.(2)

Una vez definidos los objetivos del proyecto se realiza una búsqueda de información
adecuada con la metodología para la evaluación del riesgo organizacional en
seguridad de la información en los siguientes motores de búsqueda:

10
  Ministerio de Tecnologías de la Información y las Comunicaciones de
Colombia.
 Google Académico (https://scholar.google.com)
 Biblioteca virtual, recursos electrónicos
 Bases de datos de la Universidad Católica
 Repositorios digitales
 Libros electrónicos.

La norma ISO 27005:2018 es una norma internacional que proporciona directrices

recomendaciones lineamientos de métodos y técnicas de evaluación para la gestión
de riesgos de seguridad de la información, además, está diseñada para ayudar a la
implementación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos; es aplicable a todo tipo de organización; por ejemplo,
empresas comerciales, agencias gubernamentales y organizaciones sin ánimo de
lucro que intentan gestionar riesgos que pueden comprometer la seguridad de la
información en la organización.(4)

2.2.2. PREGUNTA DE INVESTIGACIÓN

¿Cómo implementar una metodología de evaluación de los riesgos que afectan la

seguridad de la información en empresas del sector privado, tomando como base la
norma ISO 27005:2018 como parte del proceso de gestión de seguridad de la
Información?

2.2.3. VARIABLES DEL PROBLEMA

Para el desarrollo del proyecto se consideran las siguientes variables:

 Activos de información crítica o misional de la entidad.

 Riesgos y vulnerabilidades asociados a los activos de información.
 Medición Cualitativa para la valoración de los riesgos.

2.2.4. JUSTIFICACIÓN

Con base en la consecuencias negativas de robo de la información que podrían

tener las empresas con relación a las tendencias de riesgos, al hacer una
evaluación de riesgos de seguridad de la información para la empresa Makoto
S.A.S, bajo la norma ISO 27005: 2018, que sirve de apoyo y guía para tratar los
riesgo, y es una de las formas de concientizar a los empleados sobre el manejo de
la información sensible que tiene la empresa.

A raíz del incremento acelerado de la tecnología nos vemos abocados en gestionar

herramientas, que nos permitan no ser presas fáciles para los delincuentes

11
cibernéticos, es indispensable contar con medios económicos para el diseño de
estrategias de seguridad así como que proveedores y clientes del mercado bancario
y privado exigen a empresas prestadoras de servicios de seguridad de la
información, tener sus riesgos identificados y gestionados, al ser Makoto S.A.S, una
empresa de este tipo, es estratégico contar con una evaluación del riesgo propuesto
y tener en sus objetivos la implementación de la norma ISO 27005:2018.

12
 3. OBJETIVOS

3.1. OBJETIVO GENERAL

Desarrollar una evaluación de riesgos de la seguridad de la información dirigida a la

empresa Makoto S.A.S, basada en la norma ISO 27005:2018

3.2. OBJETIVOS ESPECÍFICOS

 Efectuar una evaluación cualitativa de los riesgos en seguridad de la

información a los que puede estar expuesta la empresa.

 Efectuar una valoración de activos, y la evaluación del impacto en la empresa

 Generar recomendaciones donde se evidencien hallazgos que permitan

definir estrategias en la gestión de riesgo.

13
 4. MARCOS DE REFERENCIA

4.1. MARCO CONCEPTUAL

Por tratarse de una evaluación de los riesgos se requiere obtener conocimientos

sobre dirección, seguridad, riesgo y control en las áreas de TI de las empresas ya
sean de índole privada o gubernamentales, así como de los principios generales y
marcos de referencia que soportan la gestión de dichos aspectos. Para tal fin se
requiere conocer los conceptos asociados con la gestión, gerencia y gobierno de la
seguridad de la información para facilitar su efectivo direccionamiento en las
organizaciones.

Las empresas deben saber sobre las mejores prácticas, tendencias y marcos de
referencia de la industria que ayudan a su implementación en seguridad de la
información se implementara las diferentes etapas y con la ayuda de las
herramientas que permiten llevar a cabo una evaluación de riesgos reales que
permitan establecer alternativas de prevención y corrección, acerca de los
principios, lineamientos y lecciones aprendidas que se deben tener en cuenta para
la implementación efectiva de una evaluación riesgos de seguridad de la
información se identificará la estructura organizacional, roles y responsabilidades
que se deben definir para la implementación de técnicas y herramientas para el
apoyo de los procesos de implementación y evaluación de riesgos de acuerdo a la
norma a seguir.

Principios de seguridad.

En la primera dimensión, la cual se refiere a los principios de seguridad se

analizarán por separado cada uno de estos principios, los cuales son
confidencialidad, integridad y disponibilidad, en algunos libros se utiliza el acrónimo
de CID por sus siglas en inglés.

El término de confidencialidad se relaciona al vocablo de privado, este dato o

información, no puede o debe ser compartido o no debe ser publicado para que esté
en conocimiento de todos; estos datos pueden referirse tanto a personas, como a
empresas u organizaciones.

Existen varios métodos para proteger la información o los datos, contra el uso no
permitido, estos son: el cifrado o encriptación, la autenticación y el control de
acceso.

Siguiendo con los principios de seguridad es evidente habla de integridad, este

concepto se relaciona a la completitud del dato, en otras palabras, que éste se
conserve como se captó en un principio, es decir que mantenga su estructura y su

14
información, exactamente igual en cualquier momento que se haga la consulta; para
garantizar la integridad se pueden utilizar métodos como la función hash, las
comprobaciones de validación de datos, las comprobaciones de consistencia de los
datos y los controles de acceso.(3)

Principio de disponibilidad

Este se relaciona a cuán disponible está una información, en un sistema o un

servicio, para que éste pueda ser consultada en cualquier instante; para que se
pueda garantizar disponibilidad existen varios métodos disponibles entre ellos, la
redundancia de sistemas, las copias de seguridad del sistema, mayor
recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos y
software actualizados y planes para recuperarse rápidamente de desastres no
planificados.

Identificación y análisis a la gestión de riesgos de seguridad

Esta es una de las actividades básicas y estratégicas y que son establecidas en los
estándares de seguridad para la protección de la información, sobre las amenazas
obtenidas de los propietarios, los usuario, de la revisión de incidentes y de otras
fuentes, se debe identificar las amenazas y su origen, una amenaza tiene el
potenciar de causar daños a activos como información, procesos y sistemas y a las
organizaciones, estas puedes ser de origen natural o humano y ser accidentales o
deliberadas.

En los riesgos se afecta la confidencialidad, integridad o disponibilidad de la

información activo primario debido a que la amenaza exploto la vulnerabilidad sobre
el activo secundario con una posible consecuencia

Ejemplos de una lista de amenazas con la identificación del tipo y el origen de la

amenaza.(4)

15
 Figura No.1 de identificación de riesgo - Autor

Descripción del riesgo

Área de impacto + Evento de riesgo + Causa

Figura No.2 de descripción del riesgo - Autor

Existen dos tipos de eventos de amenazas que se caracterizan por:

Deliberados: la intención y el método dirigidos a la explotación de una

vulnerabilidad.

16
Accidentales: Es una situación y un método que puede explotar accidentalmente
una vulnerabilidad.

Tipo de amenazas o riesgos:

 Ataques físicos o cibernéticos

 Errores humanos de omisión o comisión
 Fallas estructurales de los recursos controlados por la organización ( ejemplo
Hardware, Software y Controles ambientales)
 Desastres naturales y provocados por el hombre, accidentales y fallas fuera
del control de la organización

Para saber el contexto general del riesgo es importante tener en cuenta las
siguientes definiciones el proceso que se encarga de identificar y cuantificar la
probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de
riesgo para la organización, considerando el impacto potencial de un incidente no
deseado, Otra explicación es el riesgo como la amenaza, determinando el grado de
exposición a la ocurrencia de una pérdida, con la probabilidad de que la amenaza
se materialice utilizando vulnerabilidades existentes en un activo, generando
pérdidas o daños en los activos se encuentran relacionados, directa o
indirectamente, con las demás entidades según el siguiente esquema. (16)

Figura No.3 Fuente ISO.27005 y Autor

En términos del estándar ISO 27005:2018, un riesgo es la probabilidad de que se

produzca in impacto determinado a un activo de información está asociado también
en la materialización de una amenaza aprovechando la vulnerabilidad de un activo.

Entrada: alcance y límites para la valoración del riesgo lista de los componentes
(propietarios, ubicación y funciones).

Acción: identificar los activos dentro del alcance establecido con un nivel adecuado
de detalle, con información suficiente para la valoración del riesgo. Se debe
identificar al propietario de cada activo – responsabilidad y rendición de cuentas

17
Salidas: Lista de los activos que van a estar sometidos a gestión del riesgo y una
lista de los procesos del negocio relacionados con los activos y su importancia.

Ejemplos de consecuencias:

Figura No.4 Identificación de las consecuencias – ISO 27005:2008

Gestión de Riesgos en Tecnologías de la Información

El proceso de gestión del riesgo implica la aplicación sistemática de políticas,

procedimientos y prácticas a las actividades de comunicación y consulta,
establecimiento de contexto y evaluación, tratamiento, seguimiento, revisión,
registro e informe del registró. Donde se debe cumplir con unos objetivos del
programa de gestión del riesgo como son; Apoyar las actividades de gestión del
riesgo, garantizar el cumplimiento de la organización con los requisitos legales,
regulatorios y contractuales y evidenciar la debida diligencia Objetivos de la
valoración del riesgo; Cumplir con los requisitos legales, contractuales y
regulatorios, elaborar un plan de respuesta a incidentes, preparar un plan de
continuidad del negocio y establecer requisitos previos para un proyecto, producto
o servicio.

Contexto de la Gestión de Riesgos de Seguridad

Su propósito es adaptar el proceso de gestión de riesgo, para emitir una evaluación

del riesgo eficaz y un tratamiento apropiado, para establecer el contexto y los
criterios del proceso de gestión de riesgo, permitiendo la valoración del mismo
modo y el adecuado tratamiento, la alta dirección y los órganos de supervisión,
cuando proceda deberían garantizar que la gestión de riesgo está integrada en

18
todas las actividades de la organización y se debería demostrar su liderazgo y
compromiso.

Luego de conocer los conceptos relacionados, la organización debería especificar

la cantidad y el tipo de riesgos que se pueden o no tomar, en relación a los objetivos
se debe definir los criterios para evaluar la importancia de los riesgos y para apoyar
los procesos de toma de decisión.

En el ámbito de los riesgos, se tiene como propósito principal mitigar la

materialización de amenazas, y para ello se realizan distintas actividades
(identificación, análisis y evaluación de riesgos) y fases (valoración, tratamiento y
aceptación de los mismos).

4.2. MARCO TEÓRICO

Estándares de seguridad de la información y seguridad.

A continuación, se hablará de manera más detallada de los estándares de ISO,

relacionados con seguridad, para conocer un poco de que se tratan; estos
estándares serán los de la familia ISO 27000.

ISO/27005: 2018. Gestión de Riesgos de Seguridad de la Información. Brinda

soporte a la ISO 27001 Parte de las normas ISO 27000 cubre otras áreas fuera del
alcance de seguridad de la información, como la 27032: Gestión de la
Ciberseguridad, 27033: Seguridad en la red, 27034: Seguridad de Aplicaciones,
27037: Norma para la identificación, recopilación, adquisición y preservación de
evidencia digital.(2)

Esta norma proporciona las directrices para la gestión de riesgos en la seguridad de

la información de una organización, apoyando los requisitos generales del SGSI
definidos en la ISO 27001 y 27002 el conocimiento de los conceptos, modelos,
procesos y términos descritos en estas normas es complemento necesario para el
entendimiento de la norma ISO 27005:2018; fue diseñada para aplicar de forma
satisfactoria la seguridad de la información con enfoque en gestión de riesgos. Es
aplicable a cualquier tipo de organización donde se pretenda gestionar los riesgos
como empresas comerciales, entes gubernamentales u organizaciones sin fines de
lucro. Esta norma no proporciona o recomienda una metodología específica, aquello
depende de factores como el alcance del SGSI, tamaño o sector productivo de la
organización.(6)

Al tratarse de un proceso de mejora continua, se consideran otras fases y

actividades durante la gestión de riesgos. Por ejemplo, ISO 27005:2018 (que define
un proceso de gestión de riesgos de seguridad), incluye una fase previa a la
valoración, denominada ‘establecer el contexto’, donde se deben definir (entre otros
elementos), los criterios para su aceptación y priorización. También, considera

19
actividades transversales: monitoreo, revisión, comunicación y consulta. De
acuerdo con las actividades, la identificación pretende conocer los activos más
importantes para una organización junto con las amenazas que podrían afectarlos.
Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos
para luego ser evaluados de forma cualitativa o cuantitativa en función de los
criterios. Todo esto se considera dentro de la fase de valoración. (16)

Reducción del riesgo mediante la selección de controles, de tal manera que el riesgo
residual se pueda revaluar como aceptable, los controles se deberían seleccionar
tomando en consideración los requisitos identificados en la valoración y el
tratamiento del riesgo, la selección debería tener en cuenta los criterios de
aceptación del riesgo, los controles pueden brindar uno o más de los siguientes
tipos de protección: corrección, eliminación, prevención, minimización del impacto,
disuasión, detección, recuperación, monitoreo y toma de conciencia.

Retención del riesgo: por tratarse de un tratamiento del riesgo la decisión sobre la
retención del riesgo sin acción posterior de debería tomar dependiendo de la
evaluación del riesgo, la norma ISO 27001 establece aceptar los riesgos con
conocimiento y objetividad, siempre y cuando satisfagan claramente la política y los
criterios de la organización para la aceptación de los riesgos, si el nivel del riesgo
satisface los criterios de aceptación, no es necesario implementar controles
adicionales y el riesgo se puede retener.

Evitación del riesgo: la acción se debería evitar la actividad o la acción que da origen
al riesgo particular, aplicable con frecuencia cuando los riesgos identificados se
consideran muy altos, o si los costos para implementar otras opciones de
tratamiento del riesgo exceden los beneficios.

Transferencia del riesgo: ES una alternativa de financiación en la cual se transferir

los riesgos a otra parte que pueda gestionar de manera más eficaz el riesgo
particular dependiendo de la evaluación del riesgo, la trasferencia del riesgo
involucra una decisión para compartir algunos riesgos con las partes externas, esta
transferencia puede crear riesgos nuevos o modificar los riesgos identificados
existentes.

Comunicación y Consulta

La comunicación del riesgo se debería realizar con el fin de lograr lo siguiente:

 Proporcionar seguridad del resultado de la gestión del riesgo de la

organización.
 Recolectar información del riesgo.
 Compartir los resultados dela valoración del riesgo y presentar el plan para
el tratamiento del riesgo.

20
  Evitar o reducir tanto la ocurrencia como la consecuencia de las brechas de
seguridad de la información debido a la falta de entendimiento entre quienes
toman las decisiones de las partes interesadas.
 Brindar soporte para la toma de decisiones.
 Obtener conocimientos nuevos sobre la seguridad de la información.
 Coordinar con otras partes y planificar las respuestas para reducir las
consecuencias de cualquier incidente.
 Dar a quienes toman las decisiones y a las partes involucradas en sentido de
responsabilidad acerca de los riesgos.
 Mejorar la toma de conciencia.

Monitoreo y Revisión

El propósito del monitoreo y revisión es asegurar y mejorar la calidad y eficiencia

del diseño, implementación y resultados del proceso que se debe hacer:

Verificar, supervisión, observación critica o determinación continúas del estado con

el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.
Los riesgos y sus factores deberían monitorear y revisar con el fin de identificar todo
cambio en el contexto de la organización en una etapa temprana, y para mantener
una visión general de la perspectiva completa del riesgo, los indicadores son claves
de riesgo deberían mostrar las tendencias de los factores que tienen incidencia
sobre la probabilidad de ocurrencia o el impacto del riesgo.

Tipo indicadores claves del riesgo:

 El porcentaje de usuarios con acceso a sistemas sensibles sin autorización

formal
 Número de violaciones de acceso en el periodo.
 Porcentaje de personas capacitado en el manejo de los recursos de TI.
 Porcentaje de vulnerabilidades del riesgo solucionados.
 Porcentaje de actualizaciones de seguridad aplicada a plataformas.
 Porcentaje del personal entrenado en técnicas de gestión de riesgos críticos.
 Porcentaje críticos del negocio no cubierto por un análisis de riesgos.

Registro e informe:

Para gestionar efectivamente los riesgos, se requiere de una documentación

adecuada y fácilmente disponible, que debería incluir;

 Políticas, procedimientos, estándares, y directrices.

 Resultados y análisis de riesgos.
 Registro de riesgos para cada riesgo identificado.
 Base de datos de mitigación de riesgos.

21
  Reporte y tableros de control.
 Material de entretenimiento.

Documentación de la política para la gestión de riesgo se puede incluir:

 Objetivos de la política y razón para la gestión de riesgos.

 Ámbito de aplicación y estatutos de gestión de riesgos y los planes de
negocio tanto estratégico como corporativo de la organización.
 Alcance y variedad de temas a los que se aplica la política.
 Orientación sobre lo que puede considerarse cono riesgo aceptable.
 Responsabilidades sobre la gestión de los riesgos.
 Conocimientos profesionales de apoyo disponibles para ayudar a los
responsables de la gestión del riesgo.
 Plan para revisar el cumplimiento de la política de gestión de riesgos.
 Niveles de severidad de incidentes y eventos.
 Procedimiento de reporte y escalamiento de riesgos, formato y frecuencia.

Que se debe incluir en la documentación para la gestión de los riesgos

 Un registro de riesgo por cada riesgo identificado.

 Consecuencia y probabilidad.
 Clasificación inicial del riesgo.
 Vulnerabilidad a factores internos/externos.
 Un inventario de los activos de información.
 Un plan de acción de mitigación de riesgos.
 Documentos de auditoria y monitoreo.

Evaluación del Riesgo:

Figura No. 5 Evaluación del riesgo - Autor

22
¿Qué es tratamiento del riesgo?

Se debe evaluar los niveles de riesgos con propiedad de acuerdo con los criterios
de evaluación del riesgo, con relación a los escenarios de incidente que llevan a
tales riesgos, se debe seleccionar controles para reducir, retener, evitar o trasferir
los riesgos y se debe definir un plan para su tratamiento del riesgo. Se debe
gestionar un tratamiento del riesgo y riesgo residuales sujetos a la decisión de
aceptación de los directores de la organización.

Opciones para el tratamiento del riesgo:

 Evitar el riesgo
 Aceptar o aumentar el riesgo
 Eliminar la fuente del riesgo
 Modificar la probabilidad
 Modificar las consecuencias
 Compartir el riesgo
 Retener el riesgo (decisión informada)

Figura No.6 Tratamiento de los riesgos - Autor

Definición de activos

Activo es Cualquier cosa que tiene un valor significante para la organización; la

norma ISO 27000, define los siguientes: para el cumplimiento de sus objetivos.

23
Los activos son todos los elementos que una organización posee para el tratamiento
de la información (Información, Servicios, Intangibles, hardware, software,
recurso humano, entre otros). Es importante tener en cuenta que los activos se
deben agrupar en varios tipos de acuerdo a la función que ejercen en el tratamiento
de la información.

Valoración detallada de los riesgos en la seguridad de la información

El proceso de valoración establece la posibilidad de ocurrencia del riesgo y el nivel

de consecuencia o impacto, con el fin de estimar la de riesgo inicial, se denomina
riesgo inherente, con esto se busca confrontar los resultados del análisis de riesgo
inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo
final o residual.

Los resultados de estas actividades se utilizan para evaluar los riesgos y luego
identificar su tratamiento. Las consecuencias se pueden evaluar de varias maneras,
incluyendo el uso de medidas cuantitativas, por ejemplo monetarias y cualitativas
(las cuales se pueden basar en el uso de adjetivos tales como moderado o grave)
o una combinación de ambas. Para evaluar la probabilidad de ocurrencia o una
amenaza, se debería establecer el marco temporal en el cual el activo tendrá valor
o necesitara protección.

La probabilidad de ocurrencia de una amenaza específica está afectada por los

siguientes aspectos:

 Lo atractivo que es el activo, o el impacto posible aplicable cuando se toma

en consideración una amenaza humana deliberada.

 La facilidad de transformar en beneficio, la explotación de una vulnerabilidad

del activo, aplicable cuando se toma en consideración una amenaza humana
deliberada.

 Las capacidades técnicas del agente amenazador, aplicable a amenazas

humana deliberadas.

 La susceptibilidad de la vulnerabilidad a la explotación, aplicable tanto a

vulnerabilidades técnica como no técnicas.

Relación entre Impacto, Probabilidad y Riesgo

Teniendo en cuenta lo descrito en la valoración detallada de los riesgos, lo que se

busca con este análisis de riesgo es identificar la relación existente entre el riesgo
evidenciado, la probabilidad de que ocurra y el impacto que puede tener este riesgo

24
en cada uno de los activos que ya se identificaron previamente.

A continuación se muestran las tablas utilizadas para el análisis de riesgo realizado

para este proyecto.

 Probabilidad Valores:

Niveles
Descripción
de
Probabilidad
Riesgo cuya materialización es
5 Muy alta
recurrente (Casi seguro).
Riesgo que puede materializarse de
4 Alta
manera habitual (Probable).
Riesgo que se presenta de forma casual
3 Moderada
o accidental (Posible).
Riesgo que puede presentarse de
2 Baja
manera eventual (Raro).
Riesgo cuya probabilidad de
1 Muy baja
materializarse es mínima (Improbable).

Figura No.7 de Probabilidad Valores - Autor

 Impacto: Calculo del impacto de Valores

SEGURIDAD Y PRIVACIDAD DE LA
NIVEL CONCEPTO DESCRIPCIÓN
INFORMACIÓN
Si el hecho llegara a presentarse tendría consecuencias
1 Muy Bajo Afecta a una actividad del proceso.
o efectos mínimos sobre la organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto
2 Bajo persona, grupo de personas o algunas
o efecto sobre la organización.
actividades del proceso.
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos personales o
3 Moderado
consecuencias o efectos sobre la organización. el proceso.
Si el hecho llegara a presentarse tendría altas Afecta varios conjuntos de datos
4 Alto
consecuencias o efectos sobre la organización. personales o procesos de la organización.
Afecta toda la organización. Multas por
Si el hecho llegara a presentarse tendría desastrosas incumplimiento de la Legislación.
5 Muy Alto
consecuencias o efectos sobre la organización. Suspensión de las actividades misionales
de la organización.

Figura No.8 de Cálculo de Impacto - Autor

25
  Nivel de riesgo: Nivel Probabilidad X Impacto: Valores

Probabilidad/ Impacto Valor

Muy Alto 5
Alto 4
Moderado 3
Bajo 2
Muy Bajo 1

Figura No. 9 de Tabla riesgo - Autor

Criterios para la valoración de activos

Según la Norma ISO 27005:2018, Cuando se habla de estimación de los riesgo

dentro de la empresa este método es el más empleado, porque nos ayuda a
describir la magnitud del impacto por medio de atributos calificativos por ejemplo:
Muy alto, Alto, Moderado, Bajo y Muy bajo, y en general este método interactúa con
las amenazas, las vulnerabilidades el impacto ante la ocurrencia de una amenaza y
los tipos de controles que se vayan a aplicar.

Valoración del impacto

Generalmente se encuentran más controles que disminuyen directamente la

probabilidad que el impacto. Esta sería una muestra de los valores de impacto de
acuerdo a la norma.

Figura No.10 de Valoración del impacto - Autor

26
Identificación de amenazas:

Una amenaza es aquella que tiene un potencial para hacer daño a los activos de
una organización, tales como, información, procesos, sistemas y perjuicio en la
organización, se asocia con el aspecto negativo de riesgo.

De acuerdo con el Anexo D la ISO 27005 brinda una topología de clasificación de

las vulnerabilidades que pueden ser utilizadas como estas:

 Daño Físico.
 Desastre natural.
 Perdida de servicios esenciales.
 Trastornos caudados por la radiación.
 Información comprometida.
 Fallas técnicas
 Acciones no autorizada.

Tipos de amenazas

Se clasifica las amenazas según su naturaleza, la lista se puede utilizar durante el

proceso de valorización de amenazas. Estas pueden ser deliberadas, accidentales
o ambientales (naturales) y pueden dar como resultado, por ejemplo, daño o perdida
de los servicios esenciales.

Para cada uno de los tipos de amenazas, la siguiente lista indica los casos en que
D (deliberadas), A (accidentales) y E (ambientales) son pertinentes. La letra D se
utiliza para todas la acciones deliberadas que tienen como objetivo los activos de la
información, A se utiliza para las acciones humanas que puedan dañar
accidentalmente los activos de información y E se utiliza para los accidentes que no
se basa en las acciones humanas. Los grupos de amenaza no están en orden de
prioridad. Ejemplo de amenazas:

Figura No.11 Tipo de Amenazas - Autor

27
 4.3. MARCO JURÍDICO

 Ley 527 de 1999 – Comercio Electrónico Por medio de la cual se define y

reglamenta el acceso y uso de los mensajes de datos, del comercio
electrónico y de las firmas digitales y se establecen las entidades de
certificación y se dictan otras disposiciones.

 Ley 599 de 2000 – Código de procedimiento penal en cuanto al Código de

Procedimiento Penal, su contenido es en esencia una articulación de la
manera como el Estado investigará, acusará y juzgará a los presuntos
infractores de la ley penal. Por eso aunque regula un aspecto de la ejecución
del Código Penal, al fijar las reglas para hacerlo respetar, el procedimiento
penal regula las formas y los plazos a los cuales deben sujetarse de manera
rigurosa quienes deben ejecutar la política criminal.

 Ley 1341 de 2009 - Por la cual se definen principios y conceptos sobre la

sociedad de la información y la organización de las Tecnologías de la
Información y las Comunicaciones TIC, se crea la Agencia Nacional del
Espectro y se dictan otras disposiciones.

 Ley 1273 del 2009 - Delitos Informáticos El 5 de enero de 2009, el Congreso

de la República de Colombia promulgó la Ley 1273 “Por medio del cual se
modifica el Código Penal, se crea un nuevo bien jurídico tutelado –
denominado “De la Protección de la información y de los datos”- y se
preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones

 Ley 1581 de 2012 - Se expidió el Régimen General de Protección de Datos

Personales, el cual, de conformidad con su artículo 1, tiene por objeto
Desarrollar el derecho constitucional que tienen todas las personas a
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre
ellas en bases de datos o archivos, y los demás derechos, libertades y
garantías constitucionales a que se refiere el artículo 15 de la Constitución
Política; así como el derecho a la información consagrado en el artículo 20
de la misma.

4.4. MARCO GEOGRÁFICO

El desarrollo del presente documento tiene como objetivo principal entregar una
evaluación de gestión de seguridad de la información, el cual se implementó en la
sede principal de la empresa Makoto S.A.S, la cual está ubicada en la ciudad de
Bogotá Colombia en Ak. 70 #51-63 a 51-61.

28
 Figura No.12 de ubicación empresa

4.5. ESTADO DEL ARTE

De acuerdo con el informe semana económica de Asobancaria, hoy en día existen

retos de Colombia en seguridad, allí informa que la dinámica de la tecnología ha
propiciado que las personas y empresas migren la realización de sus actividades
diarias a tecnologías digitales y a que las transacciones se realicen, cada vez más,
a través de servicios en línea. En Colombia, el Gobierno ha realizado valiosos
esfuerzos para conectar a la población con plataformas digitales, especialmente en
las regiones más apartadas del territorio. También este informe relaciona los
siguientes retos;

En el caso particular de Colombia, el Gobierno ha realizado importantes esfuerzos

para conectar a la población del país a plataformas digitales, especialmente en las
regiones más apartadas del territorio. La mayor conectividad también ha provocado
un aumento en los ataques cibernéticos. De acuerdo con el Centro Cibernético
Policial de la DIJIN, en 2017, el cibercrimen en el país registró un aumento del 28,3%
respecto al 2016. A nivel sectorial.

Asobancaria se encuentra en el proceso de crear el Centro de Respuesta a

Incidentes de Seguridad (CSIRT) del sector financiero que permita establecer un
enfoque organizado y estructural de la gestión de incidentes digitales y desarrollar
una gestión proactiva de las amenazas cibernéticas. Para lograr una correcta
implementación del Convenio de Budapest es hacer frente a los delitos informáticos
y los de delitos en internet mediante la armonización de leyes entre naciones, el
Estado deberá fijar una hoja de ruta clara para armonizar su legislación interna a las
exigencias penales y judiciales internacionales con el fin de combatir la amenaza de
la ciberdelincuencia.

Según la organización ColCERT se presentaron los siguientes datos sobre los tipos
de ataques cibernéticos en Colombia en el año 2017. Según la figura 13 se
evidencia que el ataque más frecuente es el defacement con el 64%, seguido del

29
phishing con el 25.3 %, y el tipo de ataque menos frecuente es la vulnerabilidad
DNS.

Figura No.13 de porcentaje de ataques- Elaboración Asobancaria

30
 5. METODOLOGÍA

5.1. FASES DEL TRABAJO DE GRADO

Para el desarrollo del presente proyecto, se utilizará una metodología de tratamiento de

riesgos basado en la norma ISO 27005:2018, la cual permite efectuar el análisis y
valoración de riesgos de los activos de información, cuyas fases están conformadas
por:

Fase 1- Tipo de activos: De acuerdo a la norma ISO 27005:2018 los activos se

pueden clasificar en dos categorías así:

 Los activos primarios:

 Actividades y procesos del negocio.

 Información.
 Los activos de soporte son los siguientes:

 Hardware Software
 Redes Personas
 Ubicación Estructura de la organización.

Fase 2. Identificación de activos: Se realizará la valoración de cada uno de ellos

en términos de valor para el negocio según: Disponibilidad, Integridad y
confidencialidad

Fase 3. La valoración de los activos: hardware, información, infraestructura,

personas, servicios. Software.

Fase 4. Valoración de activos por tipos: Se realizó con base a la tabla de criterio y la
valoración del activo.

Fase 5. Valorización del impacto de activos: El impacto se relaciona con el grado

de éxito del incidente.

Fase 6. Valorización del impacto: Se considera que el impacto tiene un efecto

inmediato (operacional) o un efecto futuro (en el negocio) que tiene consecuencias
monetarias y de mercado.

Fase 7. Identificación de amenazas: Esta fase se encuentra referenciada como

proceso en la norma ISO 27005. Las amenazas pueden ser de origen natural o
humano y podrían ser accidentales o deliberadas.

31
Fase 8. Origen de las amenazas: Teniendo en cuenta la valoración de amenazas
realizada, es necesario determinar el origen de las amenazas, las cuales pueden ser
deliberadas, accidentales o ambientales (naturales).

Fase 9. Identificación de vulnerabilidades: Se realiza la identificación y valoración

de las vulnerabilidades identificadas en cada una de las amenazas por tipo de activo
identificado, todo esto en base a la norma ISO 27005:2018.

Fase 10. Matriz de Riesgo: La matriz de riesgos, llamada también matriz de

probabilidad e impacto, es una herramienta de gestión que permite identificar, de
manera rápida y visual, las posibilidades de que ocurra un accidente, para tomar las
medidas preventivas.

5.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS

Se propone utilizar en el desarrollo de este proyecto, entrevistas, metodologías de

activos y riesgos, formatos para la elaboración de entregables, normas, controles
que son implementados y el estándar internacional de la ISO 27005:2018 de
buenas prácticas y el universo se compone de los empleados de Makoto S.A.S, y
la muestra a tener en cuenta para el proyecto se restringe al proceso de TI.

5.3. ALCANCES Y LIMITACIONES

El alcance:

Su implementación de diseño será bajo la norma ISO 27005:2018 Guía para la

gestión de riesgos de seguridad de información.

El alcance de este proyecto es diseñar una evaluación de riesgos que sirva como
modelo para concienciar a los empleados, para mitigar la materialización de los
riesgos asociados y que afectan la confidencialidad, integridad y disponibilidad de
la información que aquí se maneja.

Norma ISO 27005: 2013 Requisitos para la implementación del sistema gestión de
seguridad de la información.

Este proyecto es un marco de referencia para la reducir de riesgos mas no será

implantado.

Limitaciones:

Dentro de las limitaciones definidas, cabe mencionar que solo se hará la evaluación
Cuantitativa de los riesgos y se pondrá a prueba con los encargados del área de IT,
más no con todos los empleados.

32
 6. PRODUCTOS A ENTREGAR

Al finalizar la ejecución del proyecto, se contará con los siguientes entregables:

Se entregara un documento de trabajo de grado.

Los productos a entregar una vez finalizado el proyecto son:

1. Articulo IEEE.
2. Archivo de evaluación del riesgo.
3. Archivo de matriz de riesgo.

33
 7. ENTREGA DE RESULTADOS E IMPACTOS

Con la implementación adecuada de controles efectivos en el manejo de los riesgos

de seguridad de la información en las organizaciones que son el pilar y por ende la
seguridad de la información y depende de la cultura que tengan los usuarios finales
y la interacción con los activos que posee la organización, por esta razón es
importante que las empresas tomen conciencia de la necesidad de alinear sus
objetivos institucionales, asegurar el flujo de información en optimizar recursos y
garantizar la confidencialidad, disponibilidad e integridad de la información y la
reducción en los factores de riesgo.

34
Figura. Proceso de gestión del riesgo en seguridad de la información de la norma
NTC-ISO 27005:2018

Figura No.14 Proceso Gestión del Riesgo ISO 27005:2018

Fase 1. TIPOS DE ACTIVOS:

Para realizar la valoración de los activos, es necesario que la organización

identifique sus activos con un grado adecuado de detalle. Se puede diferenciar dos
clases de activos de acuerdo a la ISO 27005:2018 se definen así:

Los activos primarios

 Actividades y procesos del negocio

 Información

Los activos de soporte:

 Hardware
 Software
 Redes
 Personal
 Ubicación
 Estructura de la organización

35
 CODIFICACIÓN O ETIQUETACIÓN DE LOS ACTIVOS

Su codificación se estable de acuerdo a la guía ISO 27005:2018 de la siguiente forma

Hardware Personal
Software Ubicación
Redes Estructura de la organización

Fase 2 - IDENTIFICACIÓN DE ACTIVOS:

Los activos son todos los componentes y dispositivo o dato que la organización
posee para el tratamiento de la información, estos se deben de agrupar en varios
tipos de acuerdo a la función que ejercen en el tratamiento de la información, estos
son los activos de la empresa de acuerdo a la norma ISO 27005:2018.

Tabla No.1 Equipos Informáticos de la empresa:

ACTIVO HARDWARE
Servidores:
Computadores de escritorio:
Portátiles:
Dispositivos móviles:
Impresoras:
AS400:
Equipos multifuncional:
Router:
Teléfonos:
Módems:
Memoria USB:
CD/DVD:
Dispositivo portables:
Cámaras de seguridad
seleccionados por la empresa:
Lector Huellas Dactilar:
Televisores:
Fuente: Autor

36
 Tabla No.2 Activos de información datos

Los activos de datos e información que posee la empresa y que se deben tener
en cuenta:

Tabla No.3 Activos de información Infraestructura

Los activos de infraestructura con que la organización y que se deben cuenta:

Tabla No.4 Activos de información personas

Los activos de información de personal que se tiene en cuenta en la organización

son:

37
 Tabla No.5 Activos de información servicios

Los activos de servicios que posee la empresa y se deben de tener en cuenta:

Tabla No.6 Activos de información software

Los activos de software o aplicaciones que posee la empresa y se tienen en

cuenta son:

38
 Tabla No.7 Etiquetación tipo de activos

Tipos de etiquetación para tener en cuenta son:

Tabla 8: Etiquetación tipo de activos

Fase 3. La valoración de los activos:

Según la norma ISO 27005:2018, se debe pactar la escala que se va a utilizar y los
criterios para la asignación de una ubicación particular en esa escala para cada uno
de los activos, esta es la tabla para el nivel de valor, que va desde 0 hasta 5 para
establecer su valor y tipo de daño que está expuesto los activos.

39
 Tabla No.9 Criterios de valoración de activos nivel de valor

Fase 4 - Valoración de Activos por tipo

A continuación se muestra cada uno de los activos con su respectiva valoración de

acuerdo a su clasificación y su respectivo valor según escala de valoración.

Tabla No.10 Valoración de Activos de Hardware

40
 Tabla No.11 Valoración de activos de información

Tabla No.12 Valoración de activos de infraestructura

41
 Tabla No.13 Valoración de activos de personas

Tabla No.14 Valoración de activos de servicio

Tabla No.15 Valoración de activos de software

Fase 5 - VALORACIÓN DEL IMPACTO

Es la consecuencia de una acción de manera intensa, en la que se la proyectara

un tratamiento o conjunto de tratamientos de datos concretos sobre los objetivos,

42
información o personas que son afectadas. El impacto es la relación con el grado
de éxito del incidente y tiene un efecto inmediato (operacional) o un efecto futuro
(en el negocio) que incluye consecuencias financieras y de mercado y estos son
los valores para cada uno de los activos, ya sea de índole: Directo e Indirecto.

Tabla No.16 Valoración de impacto Hardware

Tabla No.17 Valoración de impacto Información

43
 Tabla No.18 Valoración de impacto Personas

Tabla No.19 Valoración de impacto Infraestructura

Tabla No.20 Valoración de impacto de servicio

44
 Tabla No.21 Valoración de impacto Software

Fase 6. IDENTIFICACION DE AMENAZAS

Con base en la norma ISO 27005:2018 se define las siguientes procedencias de las
amenazas clasificadas así, de acuerdo a la guía; es importante clasificar las
amenazas según su tipo y naturaleza, ya sea su origen: Deliberadas, Ambiental y
Accidental.

Tabla No.22 Amenazas de tipo acciones no autorizadas

45
Tabla No.23 Amenazas de tipo Compromiso de la Información

Tabla No.24 Amenazas de tipo Compromiso de las Funciones

Tabla No.25 Amenazas de tipo daño físico

46
 Tabla No.26 Amenazas de tipo eventos naturales

Tabla No.27 Amenazas de tipo fallas técnicas

Tabla No.28 Amenazas de tipo perdida de los servicios esenciales

47
Fase 7 - Origen de las Amenazas

Teniendo en cuenta la valoración de amenazas realizadas, es importante determinar

el origen de las amenazas las cuales pueden ser deliberadas, accidentales o
ambientales (naturales) y pueden dar como resultado, daño o perdida de los
servicios esenciales.

Tabla No.29 Origen de las Amenazas

Tabla No.30 Eventos naturales y su origen

48
 Tabla No.31 Acciones no autorizadas y su origen

Tabla No.32 Compromiso de la información y su origen

49
Tabla No.33 Compromiso de las funciones y su origen

Tabla No.34 Daño físico y su origen

50
 Tabla No.35 Fallas técnicas y su origen

Tabla No.36 Pérdida de los servicios esenciales y su origen

Fase 8. IDENTIFICACION DE VULNERABILIDADES

Para iniciar con las vulnerabilidades y habiendo identificado las amenazas y con la
lista de activos, se puede establecer las debilidades en los activos y que pueden ser
explotadas por una amenaza para causar daño a los activos.

51
 Tabla No.37 Identificación de vulnerabilidades

La sola presencia de una vulnerabilidad no causa daño por sí misma, dado que es
necesario que haya una amenaza presente para explotarla. Una vulnerabilidad que
no tiene una amenaza correspondiente puede no requerir de la implementación de
un control, pero es recomendable reconocerla y monitorearla para determinar los
cambios.

A partir de la identificación de las vulnerabilidades se encuentra que se deben

documentar y mejorar los procesos y procedimientos que manejan en la empresa,
como el control de acceso por parte de los usuarios la manera de ubicar los equipos
y dispositivos en áreas adecuadas y la manera de salvaguardar la información de
cada uno de los asegurados, esto es en base a la norma ISO 27005:2018.

En virtud de lo anterior se establece que, una amenaza es una causa potencial para
general un incidente no deseado el cual puede ocasionar daño a un activo el cual
puede ser vulnerado por una debilidad por falta de un control y este es explotado
por una amenaza.

Tabla No.38 Vulnerabilidades por Hardware

52
 Tipo de activo Amenaza Vulnerabilidad
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área
susceptible de
inundación
Hardware Daño por fuego Ubicación en un área
susceptible
Error en el uso Configuración
incorrecta de
parámetros
Falla del equipo Mantenimiento
insuficiente
Mal funcionamiento del equipo Contaminación
mecánica
Perdida de suministro de No hay energía para el
energía funcionamiento de los
dispositivos y
continuar con el
Hardware proceso de trabajo
Polvo, corrosión, Deterioro del hardware
congelamiento
Uso no autorizado del equipo Falta de revisiones
regulares por parte de
la gerencia
Destrucción del Equipo o de Falta de esquemas de
los Medios reemplazo periódico
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área
susceptible de
inundación
Fuente: Autor.

Tabla No.39 Vulnerabilidades por Infraestructura

53
Fase 9 MATRIZ DE RIESGO

Esta matriz nos permitió establecer un contexto y análisis de los riesgos existentes
en los activos de información y con base a su resultado se selecciona los más
relevantes para aplicarles los controles y así determinar los riesgos y consecuencias
para los activos de información que posee la empresa.

Figura No. 14 de Tabla de Riesgo inherente

IMPACTO
Insignificante Menor Moderado Mayor Catastrófico
1 4 9 16 25
Casi 5 20 45 80 125
Seguro
5
PROBA Probable 4 4 16 36 64 100
BILIDAD Posible 3 3 12 27 48 75
Improbab 2 8 18 32 50
le
2
Raro 1 1 4 9 16 25

Fuente: Autor.

La grafica de matriz de riesgo de activos nos permitió identificar los controles para
este trabajo como es el caso de los riesgos residuales.

54
 Figura No. 15 de Tabla de riesgos residuales

IMPACTO
Insignifica
Menor Moderado Mayor Catastrófico
nte
1 4 9 16 25
Casi 0 0 0 0 0
5
PROBABILIDAD

Seguro
Probable 4 0 0 0 0 0
0 R04 - R03 - R01 - 0
R05 - R04 -
Posible 3
R05 -

Improba 0 0 0 R02 - 0
ble
2
Raro 1 0 0 0 0 0

Fuente: Autor.

Figura No. 16 de Matriz de riesgo residual y calificación

Se deja como anexo aparte

Fuente: Autor.

55
 RECOMENDACIONES

La empresa atendió los riesgos de seguridad que le permitió visualizar el contexto

para identificar las oportunidades de mejora, encaminar las actividades y adaptar
las mejores prácticas y estándares para obtener una metodología única y aplicable
para el área de TI de la empresa Makoto Lo anterior se debe a la aplicación de la
Norma ISO 27005:2018 que permite ver el porqué, el qué y el cómo para que las
empresas sean capaces de gestionar sus riesgos sobre seguridad de la información
de forma efectiva según los requisitos. Al mismo tiempo, ayuda a demostrar a los
clientes, accionistas o partes interesadas de una empresa la exigencia de los
procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y
probando que son la empresa con la que deberían trabajar.

 Para establecer el proceso, se estableció la matriz de gestión de riesgo para el área

de TI, que nos permitió ver los diferentes riesgos para esta área, mejorar los
controles existentes, evaluar los riesgos, establecer acciones de tratamiento de
riesgos residuales y establecer responsables para el monitoreo y control de los
riesgos como:

 Ataques.
 Código malicioso.
 Denegación de Servicio (DoS) o Denegación de Servicio Distribuida
(DDoS).
 Acceso no autorizado, robo o pérdida de datos.
 Pruebas y reconocimientos.
 Daños físicos.
 Robo de contraseñas.
 Prácticas de ingeniería social.
 El borrado de información a terceros.
 La utilización de fallas en los procesos de autenticación para obtener accesos
indebidos.
 La utilización de fallas en los procesos de autenticación para obtener
accesos indebidos.
 La introducción de código malicioso en la infraestructura tecnológica de una
entidad (virus, troyanos, gusanos, malware en general)
 La alteración de información de terceros.
 Prácticas de ingeniería social

Con base a la información seleccionada se utilizó la herramienta de análisis de

riesgo, donde se registra los activos y con base a la información obtenida se
selecciona y se les aplico los controles. Ver figura

56
La matriz de riesgos, será administrada por el equipo de tecnología, a quienes,
en conjunto con los líderes y responsables por cada proceso, pondrán en
conocimiento respectivo a la gerencia, sobre aquellas situaciones que sean
propensas a materializar esos riesgos sobre los activos de información,
proponiendo los mejores mecanismos de protección con el fin, que se evalué y
aprueben los recursos que sean necesarios.

Implementación del procedimiento de seguridad operativa. En este se trazan los

mecanismos, herramientas y actividades para garantizar de manera relativa, la
operación de los sistemas de procesamiento y se establecen controles para código
malicioso, copias de seguridad, accesos no autorizados, instalación de software.

Figura No. 17 de Tabla del riesgo y valoración inherente

Se deja como anexo aparte

Fuente: Autor.

57
 8. NUEVAS ÁREAS DE ESTUDIO

Entre los lineamientos de futuros trabajos a desarrollarse se debería considerar un

análisis de riesgos de tipo cuantitativo considerando varios aspectos, como son: las
consecuencias económicas de la materialización de una amenaza en cada activo,
el costo del despliegue y mantenimiento de las salvaguardas; y estimar la
probabilidad de ocurrencia de amenazas basándose en registros reales. También
considerar los períodos de tiempo de recuperación de los procesos antes que las
pérdidas se conviertan en irreparables y un análisis de aplicaciones críticas para
definir prioridades de procesos.

58
 9. CONCLUSIONES

El proyecto se realizó bajo la norma ISO 27005:2018 donde se realizó un análisis

cualitativo a la situación de la empresa, en cuanto a su información que es uno de
los tres pilares básicos de confidencialidad, integridad y disponibilidad, las diferentes
empresas la consideran como la mejor aplicación de prácticas aceptadas en el
mercado, en el caso de la familia de la norma ISO 27000, nos permite controlar
riesgos, amenazas y vulnerabilidades de manera aceptable, previniendo los riesgos,
debilidades y fortalezas de seguridad ya sean sensibles y confidenciales de la
empresa.

Se realizó una evaluación a los activos de información que nos permitió gestionar
en el área de TI, sus proceso tecnología, instalaciones y el factor humano que se
armonizo con los objetivos estratégicos trazados por la junta, estos factores tienen
el equilibrio en la cadena de seguridad de la información y de acuerdo a eso la
gestión de ellos dependía el nivel de aseguramiento a los activos.

Se debe generar una política general de seguridad de información a través de toda

la empresa y un conjunto de políticas específicas como una responsabilidad en el
manejo de la información, mediante directrices entre los empleados y actores
externos.

Es relevante ver la necesidad de generar en este proyecto la integración de un SGSI

(sistema de gestión de la seguridad de la información), este es de gran ayuda para
la empresa, nos ayuda a reducir los riesgos a los que se pueden ver expuesta la
información, ya sea en forma deliberada o accidental al ser expuesta o modificada,
divulgada o utilizada indebidamente.

Se logró determinar los controles más apropiados que permiten salvaguardar

de manera más específica, la integridad, disponibilidad y confidencialidad en
cada activo utilizado para la gestión de la información, haciendo participes a
los responsables de la misma, de manera que, al involucrarlos activamente al
proyecto, se apropiaron del mismo y ahora son conscientes acerca de la Importancia
que representa para la empresa al velar adecuadamente por la seguridad de los
activos de información:

 Políticas de seguridad de la información

 Seguridad de los recursos humanos.
 Gestión de activos.
 Controles de acceso.
 Seguridad física y ambiental.
 Criptografía – Cifrado y gestión de claves.
 Seguridad de las comunicaciones.
 Gestión de incidentes de seguridad de información.

59
Los controles son obligatorios según la aplicabilidad en cada organización. Los
encargados de la seguridad de la información son quienes deben definir cuáles son
los que se van a poner en marcha para garantizar la protección de datos entre
algunos tenemos los siguientes:

 Se debe generar controles que garantizar las integridad y consecuencia de

los backup realizados.
 Se debe definir esquemas de alta disponibilidad para las bases de datos de
las aplicaciones que estén acorde con las necesidades del negocio.
 Se debe identificar las bases de datos personales que se registran de la SIC.
 Dentro de las aprobaciones de los cambios se debe incluir actividades que
permitan garantizar las modificaciones a nivel documental.
 Se debe definir revisiones periódicas a los procesos de TI, de dichas
revisiones se deben generar actas o evidencias.
 Se debe definir mecanismo de pares o técnicas de transferencia de
conocimiento.
 Actualización de las maquinas e identificación de los incidentes más
comunes por este tipo de sucesos.
 Se debe definir e implementar un BCP.

Es indispensable generar una capacitación sobre esta norma para establecer los
controles adecuados en la gestión de la seguridad de la información adicional a eso
de debe:

 Definir responsabilidades para administrar los controles.

 Medir y monitorear la efectividad de los controles.
 Implementar acciones correctivas cuando se detecten fallos en los controles,
de tal forma que se asegure el logro de los objetivos propuestos.

En conclusión, Esta y en general todas las organizaciones deben priorizar los

riesgos y sus activos de información con el fin de:

 Atender las necesidades y expectativas de las partes interesadas,

accionistas, trabajadores, clientes y proveedores.

 La junta debe definir y cuantificar al final del año el tipo de tolerancia al riesgo
residual para así tomar medidas de prevención al apetito del riesgo.

 Otorgar a los empleados la confianza en el manejo de contraseñas seguras

y que estas sean cambiadas periódicamente como protección de los datos.

60
 Realizar capacitaciones frecuentemente al grupo de facilitadores de las
diferentes sesiones de la empresa en temas de SGSI, para mejorar y
proteger los activos de la empresa.

 Asignar personal al área de seguridad de la información.

 Crear un comité de seguridad de la información.

 Involucrar tanto personal técnico, como directivos de la empresa, o a la alta

gerencia en temas de seguridad.

 Fijar objetivos para la salvaguarda de la información.

61
 10. BIBLIOGRAFÍA

1. ISO 27005 y su aporte a la continuidad de negocios. En: Ingeniería, Vol. 16,

No. 2, pág. 56-66.

2. ®. C. 2. -. T. l. d. reservados, «Asobancaria,» 2019. [En línea]. Available:

https://comparabien.com.co/sponsor/asobancaria. [Último acceso: 30 09
2019].

3. MinTic. (07 de 2016). Gobierno de Colombia - MinTic - Modelo de Seguridad

y Privacidad de la Información. Obtenido de
https://www.mintic.gov.co/gestionti/615/article5482_Modelo_de_Seguridad_
Privacidad.pdf

4. ISO/ (2018). International Standard ISO/ 27005.

5. NTC-ISO 27005 [en línea]. [Revisado el 15 de mayo de 2020]. Disponible en

internet

6. https://www.google.com/search?rlz=1C1GCEU_esCO887CO887&lei=7RWk
YZjnIsKuwbkPloyG4A0&q=iso%2027005%20%C3%BAltima%20versi%C3
%B3n&ved=2ahUKEwjYkeH8n7z0AhVCVzABHRaGAdwQsKwBKAN6BAhI
EAQ&biw=1366&bih=625&dpr=1.

7. Actualidad, Seis ataques cibernéticos que sacudieron al mundo. En linea.5

enero de 2019. Disponible en: https://www.dw.com/es/seis-ataques-
cibern%C3%A9ticos-que-sacudieron-el-mundo/a-46967214

8. NTC-ISO/ 27000:2014, Tecnología de la Información. Técnicas de Seguridad

Sistemas de gestión de seguridad de información. Descripción y vocabulario.

9. ICONTEC, NTC-ISO/27001:2013, Tecnología de la Información. Técnicas de

Seguridad. Sistemas de Gestión de la Seguridad de la Información.
Requisitos.

10. NTC-ISO/27005:2011, Tecnología de la Información. Técnicas de Seguridad.

Administración de Riesgos de Seguridad de la Información.

11. https://www.ealde.es/iso-27005-gestion-de-riesgos/

62
12. International Organization for Standarization, Tecnología de información.

13. Técnicas de seguridad. Gestión del Riesgo de la Seguridad de la Información

14. (ISO/ 27005:2018). Geneva: ISO, 2018.

15. MOLANO, Diego. Ley 1581 de 2012. En línea. 17 octubre de 2012. 25 abril
de 2020. Disponible en: https://ucatolica-leyex
info.ucatolica.basesdedatosezproxy.com /normativa /detalle/ley-1581-de-
2012-24760/pdf.

16. https://es.scribd.com/document/327461427/Ejemplo-Vulnerabilidades-y-
Amenazas-Iso-27005

17. Ministerio de Tecnologías de la Información y las Comunicaciones de

Colombia. (2016). instrumentos de identificación de la línea base de
seguridad. Obtenido de https://www.mintic.gov.co/gestionti /
615/articles5482_Instructivo_instrumento_Evaluacion_MSPI.pdfMinisterio
de Tecnologías de Información y las Comunicaciones.

18. MinTic - Colombia. (2016). Plan de Capacitación, sensibilización y

Comunicación de la Seguridad de la Información. Obtenido de
https://www.mintic.gov.co/:

19. https://repository.udistrital.edu.co/bitstream/handle/11349/8322/TapieroTapi
eroHawinAndrei2019.pdf?sequence=1&isAllowed.

20. MinTic. (2017). Gobierno de Colombia - MinTic - Modelo Nacional de Gestión

de Riesgos de Seguridad Digital. Obtenido de
https://mintic.gov.co/portal/604/articles-61854_documento.docx

21. MinTic. (04 de 2018). Gobierno de Colombia - Archivo general - Manual Para
Implementación de Gobierno Digital. Obtenido de
http://www.archivogeneral.gov.co/sites/default/files/2018-05/articles-
3081_documento.pdf

22. repository.udistrital.edu.co.

23. Naranjo, R. (09 de 2019). Obtenido de Escuela superior de Guerra - ISO /

63
 27000 - Gestión de riesgos: https://avafp.blackboard.com/bbcswebdav/pid-
2101593-dt-
contentrid_24679164_1/courses/ESDEGUE_MCYC_2019_1_S3_GERECI/
03ISO27000%283%29.pdf

24. Naranjo, R. (2019). Estándares, Escuela superior de Guerra. Obtenido de

https://avafp.blackboard.com/bbcswebdav/pid-2101592-dt-content-rid_
25021304_1/courses/ESDEGUE_MCYC_2019_1_S3_GERECI/02
ModelosDeGerenciaDeTI%288%29.pdf

25. Parada, P. (2013). Pascual parada. Obtenido de

http://www.pascualparada.com/analisis-pestel-una-herramienta-de-estudio-
del-entorno

26. TAPIERO, Hawin - SUAREZ. Heiner, Propuesta del modelo de gestión de

riesgos de la seguridad de la información en empresas del sector asegurados
utilizado la Norma NTC-27005. Bogotá: Universidad Distrital Francisco José
de Caldas, Faculta de Tecnología Ingeniería de Telemática, Trabajo de grado
para optar el título Ingeniero de Sistemas, Bogotá, 2017. P. 14.

27. PALACIOS, Viviana – PÁEZ, Cristian. Propuesta de tablero de control para

la gestión de indicadores de los procesos de la central de esterilización del
hospital San José. Bogotá: Universidad Católica de Colombia. Facultad de
Ingeniería Industrial, Modalidad Trabajo de Investigación, 2018, p.54 – 55

28. CARDENAS, Luis. Propuesta del modelo de Gestión de riesgo para el

proceso de limpieza, desinfección y esterilización basado en la NTC
31000:2018 y la guía de administración del riesgo del DAFP – 2018, en el
Hospital San José. Bogotá: Universidad Católica de Colombia. Facultad de
Ingeniería Industrial, Trabajo de Grado para optar al título de Ingeniero
Industrial 2019, p.51 – 53

29. PÉREZ Sandra - CRUZ Camilo. Análisis de riesgos del Módulo Predis del
aplicativo Sicapit@l Implementado en la Personaría de Bogotá, D.C. Bogotá:
Universidad Católica de Colombia, Faculta de Ingeniería. Trabajo de grado
para optar al título de Especialista en Auditoría de sistemas de Información
2015, p. 22 – 24

30. GUZMAN SOLANO, SANDRA LILIANA, guía para la implementación de la

norma ISO 27032, (2019), pág. (38), trabajo de grado, para optar el título
Especialización en seguridad de la Información, Universidad Católica de
Colombia, faculta de sistemas.

64
31. ALARCÓN TAPIERO Cristina, CANTILLO MIRANDA Lilis Johanna
CASTILLO TORRES Wilson, Adaptación de los procesos del marco de
referencia Cobit V5 para pyme del sector salud, Bogotá, (2018), pág. (21,23)
Universidad Católica de Colombia, Faculta de Sistemas

32. CASTRO BOLAÑOS Duvan Ernesto y ROJAS MORA Ángela Dayana,

Riesgos, amenazas y vulnerabilidades de los sistemas de información
geográfica, Bogotá (2013) pág., (25, 26) trabajo de grado, Universidad
Católica de Colombia, faculta de sistemas.

33. GUZMAN FLORES, Camilo, ANGARITA PINZON Cristian, protocolos para la

mitigación de ciberataques en el hogar, Bogotá, (2017), pág., (26, 27,28),
trabajo de grado para optar el título Especialización en seguridad de la
Información, Universidad Católica de Colombia, faculta de sistemas.

34. TORRES GALÁN, Leonardo (2020). Diseño de una metodología que permita
integrar la NTC 9001:2015, el MIPG y el MECI para la gestión en la
Superintendencia de Notariado y Registro. Tesis de Grado. Universidad
Católica de Colombia. Facultad de Ingeniería. Maestría en Ingeniería y
Gestión de la Innovación. Bogotá, Colombia.

35. MATIZ CUESTAS, Juan Pablo.& RUEDA RUEDA, Miguel Arturo,.

(2020).Diseño de un modelo de seguridad y privacidad de la información para
las empresas de empleo temporal basado en la norma ISO 27001, pág., (43,
44,45), Trabajo de Grado. Universidad Católica de Colombia. Facultad de
Ingeniería. Programa de Ingeniería de Sistemas. Especialización en
Seguridad de la Información. Bogotá, Colombia.

36. MORALES CORREDOR Edgar CORREDOR Isauro “ANALISIS Detallado de

vulnerabilidades en la aplicación web de administración de tokens bancarios
de una entidad financiera en Colombia, Trabajo de Grado. Universidad
Católica de Colombia. Facultad de Ingeniería. Programa de Ingeniería de
Sistemas. Especialización en Seguridad de la Información. Bogotá,
Colombia.

37. M.CUESTA J.P Y RUEDA.M.A M.CUESTAS Y J.P RUEDA

https://repository.ucatolica.edu.co/bitstream/10983/24876/1/DISE%C3%91O
%20DE%20UN%20MODELO%20DE%20SEGURIDAD%20Y%20PRIVACI
DAD%20DE%20LA%20INFORMACI%C3%93N%20PARA%20LAS%20EM

65
 PRESAS%20DE%20EMPLEO%20TEMPORAL%20BASADO%20EN%20L
A%20NORMA%20ISO%20270.pdf. . [Último acceso: 04 mayo 2021].

38. González Sánchez Rony Mitshiu & Colo Matoma José Humberto, (2019,
Diseñar un modelo para implementar un sistema de gestión de seguridad de
la información para una PYME del sector privado, pág.4., Trabajo de Grado.
Universidad Católica de Colombia. Facultad de Ingeniería. Programa de
Ingeniería de Sistemas. Especialización en Seguridad de la Información.
Bogotá, Colombia.

66