Actividades

Actividad: Gestión de riesgos legales: seguridad jurídica de los

proyectos de los programas informáticos

Eres el director de seguridad de la información en una empresa de mantenimiento de

computadoras para grandes corporativos, como parte del servicio te llevas las máquinas
a tus instalaciones para dar soporte o cambiarlas, generas respaldos de información en
diversos medios y cambias equipo obsoleto por nuevo.

Identifica los riesgos en temas de seguridad de la información, privacidad y

propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la
información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo
de documentos.

Crea un sistema de gestión de riesgos enfocado a su identificación y atención.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
Introducción

Como director de seguridad de la información de una empresa de

mantenimiento para empresas grandes, se tendrá que realizar la identificación
de riesgos relacionados con las actividades en las cuales se involucra el manejo
de información privada y/o confidencial de estas empresas, la cual se deberá
garantizar su seguridad (integridad, confidencialidad, disponibilidad), a las
empresas contratantes.

Contexto
Las empresas que se encargan del área de soporte técnico y/o mantenimiento de
equipos de cómputo, son comúnmente contratadas por las pequeñas e incluso,
medianas y grandes empresas, lo cual involucra en estas, el establecimiento de
métodos, políticas, controles y medidas que garanticen no solo la prestación
correcta del servicio, sino también el aseguramiento de la información guardada
en los equipos. A continuación se describen los siguientes riesgos a los que estas
empresas están expuestas, riesgos que pueden perjudicar las diferentes
actividades del negocio, o bien, hasta la existencia de la misma empresa.

Desarrollo
Los riesgos identificados se pueden clasificar en los siguientes alcances:
 Seguridad de la información
Información específica de redes y sistemas de cómputo (configuraciones,
información de usuarios, accesos, permisos, contraseñas, detección de
vulnerabilidades) que puede usarse para realizar actividades relacionadas
con delitos informáticos.
 Privacidad
Información privada y/o confidencial (datos personales, datos fiscales,
datos bancarios, etc.) que pueden permitir la realización de actividades
perjudiciales tanto para la empresa como para su personal.
 Propiedad Intelectual
Información clasificada relacionada con productos y servicios. Esta
información puede estar expuesta a su revelación y mal uso de terceros.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
Todos estos riesgos derivan en un riesgo legal, en el cual temas como el de la
propiedad intelectual y la privacidad son muy claros. En México, leyes como la
de protección de datos personales en posesión de particulares, de la propiedad
industrial, y como la del código penal federal, pueden fundamentar bien
nuestras políticas en cuanto a la contratación y presentación de servicios de
soporte técnico o mantenimiento de equipo de cómputo.

Identificación de riesgos

 Seguridad de la información
o Daño a propiedad privada
o Espionaje
o Robo
o Suplantación o falsificación de identidad
o Fraude

 Privacidad
o Secuestro
o Problemas legales
o Extorsión
o Divulgación de información privada y/0 confidencial

 Propiedad Intelectual
o Plagio
o Piratería
o Robo de regalías

Sistema de Gestión de Riesgos

Planificación

 QUÉ
Que es lo que se debe proteger, en nuestro caso la información que se
encuentra en los Activos de equipo de cómputo.
 DÓNDE
Localización o ubicación de estos activos.
 CÓMO
Métodos, políticas, controles y medidas para el aseguramiento de estos
activos.
 CUÁNDO
Casos específicos, como en este, en el cual equipo de cómputo es expuesto
a terceros.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
En base a lo anterior, procedemos a definir un diagnóstico, para entender la
situación actual y así proceder a nuestros objetivos específicos:

1. QUE
Computadoras personales, portátiles, servidores e impresoras.
Información guardada en los discos duros:
o Archivos de usuarios
 Personales
 Laborales
 Programas
 Base de datos
 Correo electrónico
 Cuentas bancarias
 Documentos
o Información de sistema
 Acceso a recursos de red
 Acceso a sistemas
o Información de usuarios
 Cuentas
 Permisos
o Programas
 Aplicaciones
 Sistemas

2. DONDE
Equipo de cómputo de las diferentes áreas y departamentos de la
empresa, con prioridad a aquellos con actividades clave o críticas.

3. COMO
Métodos, políticas, controles y medidas para el aseguramiento de estos
activos. Estos serán definidos en los contratos de servicio con la empresa,
especificando responsabilidades en ambas partes con los fundamentos
legales aplicables para prevenir los riesgos identificados. En estas se
definirán como por ejemplo, perfiles del personal de soporte técnico,
inventario de equipos e información, control de revisiones a equipos,
código de ética, etc.
Estos deberán cumplirse, teniendo controles que se estarán revisando
periódicamente a través de auditorías que permitan un control del
servicio por parte de la empresa al proveedor.
4. CUANDO
Intervención del personal de la empresa:
o Mantenimiento preventivo y correctivo
o Reparación de equipos

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 o Instalación de equipos

Objetivos
Los objetivos son enfocados en garantizar al cliente:
 Seguridad (Confidencialidad, Integridad, Disponibilidad, ) de la
información
 Privacidad de la información
 Prestación correcta del servicio
 Prevención de delitos relacionados con el manejo de la información
 Resguardo de la información
 Preservación de la información

Evaluación de Riesgos

Ya que tenemos identificados nuestros riesgos, hay que proceder a evaluarlos

bajo parámetros de impacto y probabilidad para determinar el riesgo inherente
de estos así como su umbral para medición.
Se definen a continuación los parámetros de impacto para medición de riesgos:

Nivel de Impacto Descripción de la Escala de Evaluación

Consecuencia
Significativo El evento tendrá un efecto 5
catastrófico. (Pérdidas
financieras, de clientes e
imagen, que considera un
alto impacto para la
organización).
Alto El evento tendrá efectos 4
considerables para la
organización. (Pérdidas
altas, con un impacto
importante a nivel de la
organización).
Moderado El evento tendrá efectos de 3
menor impacto que pueden
ser asumidos sin mayores
problemas.
Bajo El evento tendrá efectos de 2
mínimo impacto que
pueden ser asumidos sin
mayores problemas por las
áreas.
Limitado El evento tendrá efectos 1
poco significativos

La tabla presentada a continuación, define los parámetros de probabilidad para

la medición de riesgos:

Nivel de Probabilidad Descripción de la Escala de evaluación

probabilidad de ocurrencia
Esperado Muy alta 5
90% a 100%
Muy probable Alta 4
TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 60% a 89%
Probable Media 3
30% a 59%
Poco probable Baja 2
10% a 29%
Leve Muy baja 1
1% a 9%

A continuación, se específica los parámetros de umbral de riesgos:

Umbrales de Riesgos Límite inferior Límite superior

Alto 6 10
Medio 3 5
Bajo 1 3

Nomenclatura de las áreas involucradas en las actividades de servicio:

Nomenclatura Áreas de negocios

DG Dirección general
GR Gerencia
ST Soporte técnico
CL Cliente

Análisis de riesgos

En base a los parámetros de evaluación de riesgos, se presenta un análisis donde

se pueden identificar los riesgos de manera medibles, con valores que serán
nuestros indicadores para realizar las acciones correctivas necesarias para la
prevención de incidentes:

Área de Riesgo identificado Nivel de Probabilidad Total Valor

negocios impacto
Seguridad de la
información
1. Daño a 4 1 5 Medio
propiedad
privada
2. Espionaje 5 3 8 Alto
ST
3. Robo 5 3 8 Alto
4. Suplantación o 5 3 8 Alto
falsificación de
identidad
5. Fraude 5 3 8 Alto

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Privacidad
1. Secuestro 4 1 7 Medio
2. Problemas
legales 4 1 5 Medio
3. Extorsión 4 1 7 Medio
4. Divulgación de
información 4 2 6 Alto
privada y/0
confidencial

Privacidad
1. Plagio 4 1 5 Medio
2. Piratería 5 2 7 Alto
3. Robo de 4 1 5 Medio
regalías

Monitoreo

Es indispensable la revisión de los indicadores por medio de auditorías internas

e externas que de manera periódica, estén evaluando el cumplimiento de los
métodos, políticas, controles y medidas para el aseguramiento de la información
por parte de la empresa prestadora de servicio de soporte técnico, esto ayudará
no solo a mantener la confianza del cliente hacía la empresa, si no como se ha
dicho la prevención y atención de incidentes.

Conclusiones

Este sistema de gestión de riesgos, como hemos visto, facilita la prevención de

incidentes que pueden ser tan perjudiciales para la empresa prestadora de
servicio, como para la compañía contratante. Para su buen funcionamiento es
necesario su ciclo continuo, el cual involucra el cumplimiento de las diferentes
actividades que garanticen la seguridad de la información, como la gestión a
través de auditorías que tienen como función específica, monitorear los
procesos a fin de detectar anomalías o incumplimientos, ayudando a su pronta
acción correctiva.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
A mi punto de vista, en las grandes empresas, como requisito indispensable
para estas empresas prestadoras de soporte técnico, es necesario que estas
tengan implementado algún sistema de gestión de riesgos como de seguridad de
la información, que garanticen el correcto uso de la información por parte de
ellos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)