Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TUTOR
JAIRO HERNANDEZ
1
Nota de aceptación.
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
Firma del jurado
________________________________________
Firma del tutor
2
AGRADECIMIENTOS
3
DEDICATORIA
Siempre ha sido mi inspiración, para enseñar que cada paso que se da confiado en Dios, es un éxito
inevitable, hermano mío, no dejes de desistir por lo que siempre has soñado, aun estas joven y fuerte
para llegar más alto de lo que yo he llegado, confía en lo eres, en los valores que nos han enseñado
nuestros padres.
Se fuerte y valiente como lo ha dicho el Señor y el te llevara más alla de lo que has soñado, mas Él
conoce nuestro corazón, nuestros sueños y anhelos, porque estos primero nacieron en el corazón de Dios.
4
RESUMEN
Por ultimo se encuentran las conclusiones, a las que se han llegado durante el
desarrollo del proyecto de grado y algunas recomendaciones sobre el uso del
prototipo, estas con el fin de emplear un uso adecuado a la herramienta.
5
ABSTRACT
This document present and amplify a risk management model, applying the eight
steps of Octave Allegro’s metodology on fiduciary sector, take like example the
Acción Fiduciaria Company located in Bogotá D.C, Identifying the more important
company’s actives.
In the first chapter is performed the project’s planning and organization, posing the
problem definition encompassing the fiduciary concerning the risk management,
indetifying the general and specifid objectives and the project´s scope.
In the second chapter is performed a general anlysis taking account the risk
analyst and infrastructure enginner’s Accion Fiduciaria interview.
In the third chapter is development a analysis on Octave Allegro metodology step
by step identify the possible menaces and vulnerabilities, with the purpose the
generate strategy that may shift, accept or mitigate the found risk.
In the fourth chapter, prototype analysis and implementation are performed, using
use cases, sequence diagrams, collaboration diagrams, activity diagrams, process
diagrams and the entity - relationship model.
Finally, there are the conclusions, which have been reached during the
development of the degree project and some recommendations on the use of the
prototype, in order to use appropriate use of the tool.
6
INTRODUCCIÓN
7
TABLA DE CONTENIDO
RESUMEN ..................................................................................................................... 5
ABSTRACT .................................................................................................................... 6
INTRODUCCIÓN ........................................................................................................... 7
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN ................................. 25
1.1 TITULO DEL PROYECTO: ..................................................................................... 25
1.2 TEMA ................................................................................................................... 25
1.3 DEFINICIÓN DEL PROBLEMA: ............................................................................. 25
1.3.1 Descripción: .................................................................................................... 25
1.3.2 Formulación:.................................................................................................... 26
1.4 OBJETIVOS: .......................................................................................................... 26
1.4.1 Objetivo general: ............................................................................................. 26
1.4.2 Objetivos específicos:...................................................................................... 26
1.5 ALCANCES Y LIMITACIÓN: .................................................................................. 27
1.5.1 Alcances:......................................................................................................... 27
1.5.2 Limitaciones: ................................................................................................... 30
1.6 JUSTIFICACIÓN: ................................................................................................... 30
1.7 MARCOS DE REFERENCIA .................................................................................. 31
1.7.1 Marcos histórico: ............................................................................................. 31
1.7.2 Marco teórico:.................................................................................................. 35
1.7.3 Marco metodológico: ....................................................................................... 37
1.7.3.1 Metodología RUP ............................................................................................. 37
1.7.4 Marco conceptual: ............................................................................................... 44
1.8 FACTIBILIDAD DE DESARROLLO: ....................................................................... 45
1.8.1 Técnica:........................................................................................................... 45
1.8.2 Operativa: ........................................................................................................ 45
1.8.3 Económica: ..................................................................................................... 46
1.8.4 Legal: .............................................................................................................. 47
1.8.5 Cronograma de actividades: ............................................................................ 48
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS ......................................................................................... 50
8
2.1. Evaluación de la seguridad de la información del caso estudio. ............................ 52
2.1.1. Dominio 5: Políticas de seguridad de la Información .......................................... 53
2.1.2. Dominio 6: Organización de la seguridad de la información ............................... 53
2.1.3. Dominio 7: Seguridad de los Recursos Humanos ............................................... 53
2.1.4 Dominio 8: Gestión de recursos .......................................................................... 54
2.1.5 Dominio 9: Gestión de acceso de usuario. .......................................................... 55
2.1.6 Dominio 10: Criptografía ...................................................................................... 55
2.1.7 Dominio: 11: Seguridad física y ambiental ........................................................... 56
2.1.8 Dominio 12: Seguridad Operacional .................................................................... 56
2.1.9. Dominio 13: Seguridad de las Comunicaciones................................................. 57
2.1.10 Dominio 15: Relaciones con los proveedores .................................................... 57
2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información ................ 57
2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio................................................................................................ 57
2.1.13. Dominio 18: Cumplimiento................................................................................ 58
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE .................................................... 59
3.2.1 Establecer criterio de medición de riesgos .......................................................... 61
3.2.2. Desarrollar un Perfil de los Activos Informáticos: ............................................... 63
3.2.3. Identificar los Contenedores de los Activos Informáticos: ................................. 67
3.2.4. Identificar las áreas de preocupación ................................................................ 70
3.2.6. Identificación de Riesgos.................................................................................... 80
3.2.7. Análisis de Riesgos ............................................................................................ 82
3.2.8. Enfoque de mitigación ........................................................................................ 86
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO ................................................. 92
4.1 Fase De Requerimientos ........................................................................................ 92
4.1.1. Descripción y diagramas de proceso .................................................................. 92
4.1.1.1. Diagramas de proceso para Activos ................................................................ 92
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo............................. 94
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto .................................... 95
4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos.............................. 95
4.1.1.5 Diagramas de Proceso Configuración de Contenedores .................................. 96
9
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores .......................... 98
4.1.1.7 Diagramas de Proceso para Áreas de Preocupación ....................................... 98
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo ........................................ 100
4.1.1.9 Diagramas de proceso Enfoque de Mitigación................................................ 100
4.1.1.10 Diagramas de Proceso Generación de Reportes .......................................... 102
4.1.1.11 Diagramas de Proceso Administrar Usuarios ............................................... 102
4.2 Requerimientos funcionales y no funcionales ....................................................... 104
4.2.1.Requerimientos Funcionales ............................................................................. 104
4.2.2 Requerimientos no funcionales ......................................................................... 105
4.3. Fase de análisis .................................................................................................. 106
4.3.1 Definición de Actores ........................................................................................ 106
4.3.2 Lista preliminar de casos de uso ....................................................................... 107
4.3.3 Depuración de casos de uso ............................................................................. 107
4.3.4 Documentación de Casos De Uso ..................................................................... 111
4.3.5 Diagrama de secuencia ..................................................................................... 114
4.3.6. Diagramas de Actividad .................................................................................... 117
4.3.7. Diagramas de estado ....................................................................................... 119
4.3.8 Modelo Objeto Relacional ................................................................................. 122
4.3.9. Diccionario de datos ......................................................................................... 123
4.4 . Implementación .................................................................................................. 127
4.5 Pruebas................................................................................................................ 129
CONCLUSIONES ...................................................................................................... 142
RECOMENDACIONES .............................................................................................. 143
REFERENCIAS ......................................................................................................... 144
10
TABLA DE FIGURAS
11
Tabla 38 Tabla de consecuencias de AcciónBack ................................................. 80
Tabla 39 Tabla de consecuencias de la Intranet.................................................... 81
Tabla 40 Puntaje para determinar riesgos según el área de preocupaciónt ......... 82
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo ........... 83
Tabla 42 Puntaje para determinar riesgos exposición de los activos . ................... 83
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad. ................ 83
Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet . 83
Tabla 45 Puntaje para determinar riesgos Falla en los componentes. .................. 84
Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas ....... 84
Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software ................. 84
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio . ................. 85
Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal ................... 85
Tabla 50 Puntaje para determinar Desastres Naturales ........................................ 85
Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales 85
Tabla 52 Matriz de riesgos relativos ...................................................................... 86
Tabla 53 Mitigación de riesgo según el activo Intranet .......................................... 87
Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo .................. 89
Tabla 55 Definición de Actores ............................................................................ 106
Tabla 56 Lista preliminar de casos de uso ........................................................... 107
Tabla 57 Documentación de caso de uso crear activo ........................................ 111
Tabla 58 Documentación de caso de uso consultar activos ................................ 112
Tabla 59 Documentación de caso de uso Actualizar activo ................................. 112
Tabla 60 Documentación de caso de uso Eliminar Activo ................................... 113
Tabla 61 Prueba Menú Activos ............................................................................ 129
Tabla 62 Prueba Menú Activos Críticos ............................................................... 130
Tabla 63 Prueba Menú Criterios de Medida de Riesgo ....................................... 131
Tabla 64 Prueba Menú Priorizar Áreas de Impacto ............................................. 132
Tabla 65 Prueba Menú Contenedores ................................................................. 133
Tabla 66 Prueba Menú Asociar Activos a Contenedores ..................................... 134
Tabla 67 Prueba Menú Áreas de Preocupación .................................................. 135
Tabla 68 Prueba Menú Puntaje de Riesgo Relativo ............................................ 136
Tabla 69 Prueba Menú Enfoque de Mitigación .................................................... 137
Tabla 70 Prueba Menú Descarga de Reportes .................................................... 139
Tabla 71 Prueba Menú Administración de Usuarios ............................................ 140
Tabla 72 Perfilamiento del activo Bases de datos AcciónBack ............................ 148
Tabla 73 Perfilamiento del activo Centro de negocios ......................................... 148
Tabla 74 Perfilamiento del activo Sistema AcciónBack ....................................... 149
Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos ........ 149
Tabla 76 Perfilamiento del activo Documentos .................................................... 150
12
Tabla 77 Perfilamiento del activo Sistema Inveracción ........................................ 150
Tabla 78 Perfilamiento del activo Directorio Activo .............................................. 151
Tabla 79 Perfilamiento del activo Servidor de aplicaciones ................................. 151
Tabla 80 Perfilamiento del activo servidor de desarrollo...................................... 152
Tabla 81 Perfilamiento del activo servidor de Pruebas ........................................ 152
Tabla 82 Perfilamiento del activo Control de acceso ........................................... 153
Tabla 83 Área de preocupación Exposición de los activos de información, ......... 154
Tabla 84 Exposición de los activos de información, Exposición de los activos. ... 154
Tabla 85 Exposición de los activos de información, Desconocimiento en el ...... 154
Tabla 86 Interrupción en el servicio de energía electrónica ................................. 155
Tabla 87 Problemas de conectividad en la red interna de la organización .......... 155
Tabla 88 Interrupción en el servicio internet ....................................................... 155
Tabla 89 Falla en los componentes de hardware en los equipos informáticos .... 155
Tabla 90 Desactualización de los sistemas ......................................................... 156
Tabla 91 Alta rotación de Personal ...................................................................... 156
Tabla 92 Desastres naturales ............................................................................. 156
Tabla 93 Falla o defecto de software ................................................................... 156
Tabla 94 Exposición de los activos de información, acceso no autorizado .......... 157
Tabla 95 Exposición de los activos de información, acceso no autorizado. ......... 157
Tabla 96 Desconocimiento en el manejo de los sistemas o equipos ................... 157
Tabla 97 Interrupción en el servicio de energía electrónica ................................. 157
Tabla 98 Problemas de conectividad en la red interna de la organización .......... 158
Tabla 99 Interrupción en el servicio internet ........................................................ 158
Tabla 100 Falla en los componentes de hardware en los equipos informáticos .. 158
Tabla 101 Desactualización de los sistemas ....................................................... 158
Tabla 102 Alta rotación de Personal .................................................................... 159
Tabla 103 Desastres naturales ............................................................................ 159
Tabla 104 Falla o defecto de software ................................................................. 159
Tabla 105 Exposición de los activos de información, acceso no autorizado ........ 159
Tabla 106 Exposición de los activos de información, acceso no autorizado. ....... 160
Tabla 107 Desconocimiento en el manejo de los sistemas o equipos ................. 160
Tabla 108 Interrupción en el servicio de energía electrónica ............................... 160
Tabla 109 Problemas de conectividad en la red interna de la organización ........ 160
Tabla 110 Interrupción en el servicio internet ...................................................... 161
Tabla 111 Falla en los componentes de hardware en los equipos informáticos .. 161
Tabla 112 Desactualización de los sistemas ....................................................... 161
Tabla 113 Alta rotación de Personal .................................................................... 162
Tabla 114 Desastres naturales ............................................................................ 162
Tabla 115 Falla o defecto de software ................................................................. 162
13
Tabla 116 Exposición de los activos de información, acceso no autorizado ........ 162
Tabla 117 Exposición de los activos de información, acceso no autorizado ........ 163
Tabla 118 Desconocimiento en el manejo de los sistemas o equipos ................. 163
Tabla 119 Interrupción en el servicio de energía electrónica ............................... 163
Tabla 120 Problemas de conectividad en la red interna de la organización ........ 163
Tabla 121 Interrupción en el servicio internet ...................................................... 164
Tabla 122 Falla en los componentes de hardware en los equipos informáticos .. 164
Tabla 123 Desactualización de los sistemas ....................................................... 164
Tabla 124 Alta rotación de Personal .................................................................... 165
Tabla 125 Desastres naturales ............................................................................ 165
Tabla 126 Falla o defecto de software ................................................................. 165
Tabla 127 Exposición de los activos de información, acceso no autorizado. ....... 165
Tabla 128 Exposición de los activos de información, acceso no autorizado. ....... 166
Tabla 129 Área de preocupación desconocimiento en el manejo ........................ 166
Tabla 130 Interrupción en el servicio de energía electrónica ............................... 166
Tabla 131 Problemas de conectividad en la red interna de la organización ........ 167
Tabla 132 Interrupción en el servicio internet ...................................................... 167
Tabla 133 Falla en los componentes de hardware en los equipos informáticos .. 167
Tabla 134 Desactualización de los sistemas ....................................................... 167
Tabla 135 Alta rotación de Personal .................................................................... 168
Tabla 136 Desastres naturales ............................................................................ 168
Tabla 137 Falla o defecto de software ................................................................. 168
Tabla 138 Exposición de los activos de información, acceso no autorizado a lo . 168
Tabla 139 Exposición de los activos de información, acceso no autorizado. ....... 169
Tabla 140 Desconocimiento en el manejo de los sistemas o equipos ................. 169
Tabla 141 Interrupción en el servicio de energía electrónica ............................... 169
Tabla 142 Problemas de conectividad en la red interna de la organización ........ 170
Tabla 143 Interrupción en el servicio internet ...................................................... 170
Tabla 144 Falla en los componentes de hardware en los equipos informáticos .. 170
Tabla 145 Desactualización de los sistemas ....................................................... 170
Tabla 146 Alta rotación de Personal .................................................................... 171
Tabla 147 Desastres naturales ............................................................................ 171
Tabla 148 Falla o defecto de software ................................................................. 171
Tabla 149 Exposición de los activos de información, acceso no autorizado ........ 171
Tabla 150 Exposición de los activos de información, acceso no autorizado ........ 172
Tabla 151 Desconocimiento en el manejo de los sistemas o equipos ................. 172
Tabla 152 Interrupción en el servicio de energía electrónica ............................... 172
Tabla 153 Problemas de conectividad en la red interna de la organización ........ 172
Tabla 154 Interrupción en el servicio internet ...................................................... 173
14
Tabla 155 Falla en los componentes de hardware en los equipos informáticos .. 173
Tabla 156 Desactualización de los sistemas ....................................................... 173
Tabla 157 Alta rotación de Personal .................................................................... 173
Tabla 158 Desastres naturales ............................................................................ 174
Tabla 159 Falla o defecto de software ................................................................. 174
Tabla 160 Exposición de los activos de información, acceso no autorizado. ....... 174
Tabla 161 Exposición de los activos de información, acceso no autorizado ........ 174
Tabla 162 Desconocimiento en el manejo de los sistemas o equipos ................. 175
Tabla 163 Interrupción en el servicio de energía electrónica ............................... 175
Tabla 164 Problemas de conectividad en la red interna de la organización ........ 175
Tabla 165 Interrupción en el servicio internet ...................................................... 176
Tabla 166 Falla en los componentes de hardware en los equipos informáticos .. 176
Tabla 167 Desactualización de los sistemas ....................................................... 176
Tabla 168 Alta rotación de Personal .................................................................... 176
Tabla 169 Desastres naturales ............................................................................ 177
Tabla 170 Falla o defecto de software ................................................................. 177
Tabla 171 Exposición de los activos de información, acceso no autorizado ........ 177
Tabla 172 Exposición de los activos de información, acceso no autorizado ........ 177
Tabla 173 Desconocimiento en el manejo de los sistemas o equipos ................ 178
Tabla 174 Interrupción en el servicio de energía electrónica ............................... 178
Tabla 175 Problemas de conectividad en la red interna de la organización ........ 178
Tabla 176 Interrupción en el servicio internet ...................................................... 178
Tabla 177 Falla en los componentes de hardware en los equipos informáticos .. 179
Tabla 178 Desactualización de los sistemas ....................................................... 179
Tabla 179 Alta rotación de Personal .................................................................... 179
Tabla 180 Desastres naturales ............................................................................ 179
Tabla 181 Falla o defecto de software ................................................................. 180
Tabla 182 Exposición de los activos de información, acceso no autorizado ........ 180
Tabla 183 Exposición de los activos de información, acceso no autorizado ........ 180
Tabla 184 Desconocimiento en el manejo de los sistemas o equipos ................. 180
Tabla 185 Interrupción en el servicio de energía electrónica ............................... 181
Tabla 186 Problemas de conectividad en la red interna de la organización ........ 181
Tabla 187 Interrupción en el servicio internet ...................................................... 181
Tabla 188 Falla en los componentes de hardware en los equipos informáticos .. 182
Tabla 189 Desactualización de los sistemas ....................................................... 182
Tabla 190 Alta rotación de Personal .................................................................... 182
Tabla 191 Desastres naturales ............................................................................ 182
Tabla 192 Falla o defecto de software ................................................................. 183
Tabla 193 Exposición de los activos de información, acceso no autorizado ........ 183
15
Tabla 194 Exposición de los activos de información, acceso no autorizado ........ 183
Tabla 195 Desconocimiento en el manejo de los sistemas o equipos ................183
Tabla 196 Interrupción en el servicio de energía electrónica ............................... 184
Tabla 197 Problemas de conectividad en la red interna de la organización ........ 184
Tabla 198 Interrupción en el servicio de internet ................................................. 184
Tabla 199 Falla en los componentes de hardware en los equipos informáticos .. 184
Tabla 200 Desactualización de los sistemas ....................................................... 185
Tabla 201 Alta rotación de Personal .................................................................... 185
Tabla 202 Desastres naturales ............................................................................ 185
Tabla 203 Fallo o defecto de software ................................................................. 185
Tabla 204 Interrupción en el servicio de energía electrónica ............................... 186
Tabla 205 Interrupción en el servicio internet ...................................................... 186
Tabla 206 Desconocimiento en el manejo de los sistemas o equipos ................. 186
Tabla 207 Problemas de conectividad en la red interna de la organización ........ 186
Tabla 208 Falla en los componentes de hardware en los equipos informáticos .. 187
Tabla 209 Desactualización de los sistemas ....................................................... 187
Tabla 210 Desastres naturales ............................................................................ 187
Tabla 211 Alta rotación de Personal .................................................................... 188
Tabla 212 Exposición de los activos de información, acceso no autorizado ........ 188
Tabla 213 Falla o defecto de software ................................................................. 188
Tabla 214 Exposición de los activos de información, acceso no autorizado ........ 188
Tabla 215 Árbol de Amenaza Correo Electrónico ................................................ 189
Tabla 216 Árbol de Amenaza Directorio Activo ................................................... 189
Tabla 217 Árbol de Amenaza Base de datos AcciónBack ................................... 189
Tabla 218 Árbol de Amenaza Servidor de desarrollo ........................................... 190
Tabla 219 Árbol de Amenaza Servidor de pruebas ............................................. 190
Tabla 220 Árbol de Amenaza Servidor de Aplicaciones ...................................... 190
Tabla 221 Árbol de Amenaza Documentos ......................................................... 191
Tabla 222 Árbol de Amenaza Intranet ................................................................. 191
Tabla 223 Consecuencias del centro de negocios............................................... 192
Tabla 224 Consecuencias de la plataforma de recaudo ...................................... 192
Tabla 225 Consecuencias de las bases de datos de AcciónBack ....................... 193
Tabla 226 Consecuencias del correo electrónico ................................................ 193
Tabla 227 Consecuencias del digitalizador de documentos ................................ 194
Tabla 228 Consecuencias de Inveracción ........................................................... 195
Tabla 229 Consecuencias del servidor de aplicaciones ...................................... 195
Tabla 230 Consecuencias del servidor de desarrollo .......................................... 196
Tabla 231 Consecuencias del servidor de pruebas ............................................. 196
Tabla 232 Consecuencias del directorio activo .................................................... 197
16
Tabla 233 Consecuencias del control de acceso ................................................. 197
Tabla 234 Consecuencias de documentos .......................................................... 198
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición. ......... 199
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento .... 199
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento....199
Tabla 238 Análisis de riesgo del centro de negocios según Problemas . ............ 199
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción ........... 200
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los ............ 200
Tabla 241 Análisis de riesgo del centro de negocios según Desactualizació ...... 200
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto....... 200
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción. ........... 200
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación .......... 201
Tabla 245 Análisis de riesgo del centro de negocios según Desastres ............... 201
Tabla 246 Análisis de riesgo del centro de negocios ........................................... 201
Tabla 247 Análisis de riesgo de la plataforma de recaudo .................................. 201
Tabla 248 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 249 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 250 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 251 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 252 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 253 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 254 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 255 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 256 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 257 Análisis de riesgo de la plataforma de recaudo .................................. 204
Tabla 258 Análisis de riesgo de la plataforma de recaudo .................................. 204
Tabla 259 Análisis de riesgo de la Base de datos AcciónBack ............................ 204
Tabla 260 Análisis de riesgo de la Base de datos AcciónBack ............................ 204
Tabla 261 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 262 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 263 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 264 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 265 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 266 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 267 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 268 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 269 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 270 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 271 Análisis de riesgo del correo electrónico ............................................. 207
17
Tabla 272 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 273 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 274 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 275 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 276 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 277 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 278 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 279 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 280 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 281 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 282 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 283 Análisis de riesgo del sistema AcciónBack ......................................... 209
Tabla 284 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 285 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 286 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 287 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 288 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 289 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 290 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 291 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 292 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 293 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 294 Análisis de riesgo del sistema AcciónBack ......................................... 212
Tabla 295 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 296 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 297 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 298 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 299 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 300 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 301 Análisis de riesgo del sistema Inveracción.......................................... 213
Tabla 302 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 303 Análisis de riesgo del sistema Inveracción.......................................... 214
Tabla 304 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 305 Análisis de riesgo del sistema Inveracción.......................................... 214
Tabla 306 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 307 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 308 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 309 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 310 Análisis de riesgo del servidor de aplicaciones ................................... 215
18
Tabla 311 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 312 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 313 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 314 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 315 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 316 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 317 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 318 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 319 Análisis de riesgo del servidor de pruebas .......................................... 217
Tabla 320 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 321 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 322 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 323 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 324 Análisis de riesgo del servidor de pruebas.......................................... 218
Tabla 325 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 326 Análisis de riesgo del servidor de pruebas.......................................... 219
Tabla 327 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 328 Análisis de riesgo del servidor de pruebas.......................................... 219
Tabla 329 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 330 Análisis de riesgo del servidor de pruebas .......................................... 220
Tabla 331 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 332 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 333 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 334 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 335 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 336 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 337 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 338 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 339 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 340 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 341 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 342 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 343 Análisis de riesgo del directorio activo ................................................ 223
Tabla 344 Análisis de riesgo del directorio activo ................................................ 223
Tabla 345 Análisis de riesgo del directorio activo ................................................ 223
Tabla 346 Análisis de riesgo del directorio activo ................................................ 223
Tabla 347 Análisis de riesgo del directorio activo ................................................ 223
Tabla 348 Análisis de riesgo del directorio activo ................................................ 224
Tabla 349 Análisis de riesgo del directorio activo ................................................ 224
19
Tabla 350 Análisis de riesgo del directorio activo ................................................ 224
Tabla 351 Análisis de riesgo del directorio activo ................................................ 224
Tabla 352 Análisis de riesgo del directorio activo ................................................ 225
Tabla 353 Análisis de riesgo del directorio activo ................................................ 225
Tabla 354 Análisis de riesgo del directorio activo ................................................ 225
Tabla 355 Análisis de riesgo de los documentos ................................................. 225
Tabla 356 Análisis de riesgo de los documentos ................................................. 226
Tabla 357 Análisis de riesgo de los documentos ................................................. 226
Tabla 358 Análisis de riesgo de los documentos ................................................. 226
Tabla 359 Análisis de riesgo de los documentos ................................................. 226
Tabla 360 Análisis de riesgo de los documentos ................................................. 226
Tabla 361 Análisis de riesgo de los documentos ................................................. 227
Tabla 362 Análisis de riesgo de los documentos ................................................. 227
Tabla 363 Análisis de riesgo de los documentos ................................................. 227
Tabla 364 Análisis de riesgo de los documentos ................................................. 227
Tabla 365 Análisis de riesgo de los documentos ................................................. 227
Tabla 366 Análisis de riesgo de los documentos ................................................. 228
Tabla 367 Análisis de riesgo de los documentos ................................................. 228
Tabla 368 Análisis de riesgo de los documentos ................................................. 228
Tabla 369 Análisis de riesgo de los documentos ................................................. 228
Tabla 370 Análisis de riesgo de los documentos ................................................. 229
Tabla 371 Análisis de riesgo de los documentos ................................................. 229
Tabla 372 Análisis de riesgo de los documentos ................................................. 229
Tabla 373 Análisis de riesgo de los documentos ................................................. 229
Tabla 374 Análisis de riesgo de los documentos ................................................. 229
Tabla 375 Análisis de riesgo de los documentos ................................................. 230
Tabla 376 Análisis de riesgo de los documentos ................................................. 230
Tabla 377 Análisis de riesgo de los documentos ................................................. 230
Tabla 378 Análisis de riesgo de los documentos ................................................. 230
Tabla 379 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 380 Análisis de riesgo del digitalizador de documentos ............................ 231
Tabla 381 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 382 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 383 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 384 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 385 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 386 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 387 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 388 Análisis de riesgo del digitalizador de documentos ............................. 232
20
Tabla 389 Análisis de riesgo del digitalizador de documentos ............................. 233
Tabla 390 Análisis de riesgo del digitalizador de documentos ............................. 233
Tabla 391 Análisis de riesgo del control de acceso ............................................. 233
Tabla 392 Análisis de riesgo del control de acceso ............................................. 233
Tabla 393 Análisis de riesgo del control de acceso ............................................. 234
Tabla 394 Análisis de riesgo del control de acceso ............................................. 234
Tabla 395 Análisis de riesgo del control de acceso ............................................. 234
Tabla 396 Análisis de riesgo del control de acceso ............................................. 234
Tabla 397 Análisis de riesgo del control de acceso ............................................. 234
Tabla 398 Análisis de riesgo del control de acceso ............................................. 235
Tabla 399 Análisis de riesgo del control de acceso ............................................. 235
Tabla 400 Análisis de riesgo del control de acceso ............................................. 235
Tabla 401 Análisis de riesgo del control de acceso ............................................. 235
Tabla 402 Mitigación de riesgos Bases de datos ................................................. 236
Tabla 403 Mitigación de riesgos correo electrónico ............................................. 237
Tabla 404 Mitigación de riesgos centro de negocios ........................................... 239
Tabla 405 Mitigación de riesgos Accionback ....................................................... 241
Tabla 406 Mitigación de riesgos documentos ...................................................... 242
Tabla 407 Mitigación de riesgos digitalizador de documentos ............................. 244
Tabla 408 Mitigación de riesgos Inveracción ....................................................... 245
Tabla 409 Mitigación de riesgos directorio activo ................................................ 247
Tabla 410 Mitigación de riesgos servidor de desarrollo ....................................... 248
Tabla 411 Mitigación de riesgos servidor de aplicaciones ................................... 250
Tabla 412 Mitigación de riesgos servidor de pruebas .......................................... 252
Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo ...... 254
Tabla 414 Documentación de caso de uso consulta de criterios de Medida ...... 254
Tabla 415 Documentación de caso de uso Actualización de Criterios ................. 255
Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida..............255
Tabla 417 Documentación de caso de uso Consultar Priorización ...................... 256
Tabla 418 Documentación de caso de uso Actualizar Priorización...................... 256
Tabla 419 Documentación de caso de uso Creación de Activo crítico ............... 257
Tabla 420 Documentación de caso de uso Consulta de Activos Críticos ............ 257
Tabla 421 Documentación de caso de uso Actualización de Activo Crítico ......... 258
Tabla 422 Documentación de caso de uso Eliminar Activo Crítico ...................... 258
Tabla 423 Documentación de caso de uso Crear Contenedor ............................ 259
Tabla 424 Documentación de caso de uso Consultar Contenedores .................. 260
Tabla 425 Documentación de caso de uso Actualizar Contendor........................ 260
Tabla 426 Documentación de caso de uso Eliminar Contenedor ........................ 261
Tabla 427 Documentación de caso de uso Crear área de preocupación ............ 261
21
Tabla 428 Documentación de caso de uso Consultar área de Preocupación ...... 262
Tabla 429. Documentación de caso de uso Actualizar área de preocupación .... 262
Tabla 430 Documentación de caso de uso Eliminar área de preocupación. ...... 263
Tabla 431 Documentación de caso de uso Consultar Puntaje ............................ 263
Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación ..... 264
Tabla 433 Documentación de caso de uso Ver controles ................................... 264
Tabla 434 Documentación caso de uso Crear Control ........................................ 265
Tabla 435 Documentación de caso de uso Actualizar Control ............................. 265
Tabla 436 Documentación de caso de uso Eliminar Control ............................... 266
Tabla 437 Documentación de caso de uso Descargar Reportes ........................ 267
Tabla 438 Documentación de caso de uso Crear Usuario ................................... 267
Tabla 439 Documentación de caso de uso Consultar Usuarios .......................... 268
Tabla 440 Documentación de caso de uso Actualizar Usuario ............................ 268
Tabla 441. Documentación de caso de uso Eliminar Usuario ............................. 269
22
TABLA DE ILUSTRACIONES
23
Ilustración 36. Diagrama de proceso crear usuario................................................97
Ilustración 37. Diagrama de proceso listar
usuarios...............................................103
Ilustración 38. Diagrama de proceso Actualizar usuario.........................................98
Ilustración 39. Diagrama de proceso Eliminar usuario ......................................... 103
Ilustración 40. Depuración de caso de uso Gestionar Activo ............................... 107
Ilustración 41. Depuración de caso de uso Gestionar Criterios ........................... 108
Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico .................... 108
Ilustración 43. Depuración de caso de uso Gestionar Contenedores .................. 108
Ilustración 44. Depuración de caso de uso Gestionar Activos criticos ................. 109
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto ............... 109
Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación .... 109
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo .......... 110
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación ..... 110
Ilustración 49. Depuración de caso de uso Gestionar Usuarios........................... 110
Ilustración 50. Depuración de caso de uso Generar Reportes ............................ 111
Ilustración 51 Diagrama de secuencia crear activo.............................................. 114
Ilustración 52 Diagrama de secuencia crear activo critico ................................... 115
Ilustración 53 Diagrama de secuencia crear area de preocupación .................... 115
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación.............. 116
Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo ......... 116
Ilustración 56 Diagrama de actividad crear activo................................................ 117
Ilustración 57 Diagrama de actividad crear area de preocupación ...................... 117
Ilustración 58 Diagrama de actividad crear activo critico ..................................... 118
Ilustración 59 Diagrama de actividad consultar enfoque de mitigación ................ 118
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo ...................... 119
Ilustración 61 Diagrama de estado gestionar activo ............................................ 119
Ilustración 62 Diagrama de estado gestionar área de preocupación ................... 120
Ilustración 63 Diagrama de estado gestionar activo critico .................................. 120
Ilustración 64 Diagrama de estado Consultar puntajer de riesgo relativo ........... 121
Ilustración 65 Diagrama de estado consultar enfoque de mitigación .................. 121
Ilustración 66 Modelo entidad relación................................................................. 122
24
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN
1.2 TEMA
Fiduciarias: Es un mecanismo elástico por medio del cual una persona natural o
jurídica (Fideicomitente), entrega uno o más de sus bienes a una Sociedad
Fiduciaria para que los administre de conformidad con la finalidad establecida en
el contrato.
1.3.1 Descripción:
Hoy en día las fiduciarias son sectores de financieros a los que se les atribuye
grandes cantidades de dinero al igual que clientes, este sector maneja grandes
25
cantidades de información que son registrados en diferentes sistemas como lo son
fondos de inversión, pensiones voluntarias, proyectos inmobiliarios entre otros.
1.3.2 Formulación:
1.4 OBJETIVOS:
26
• Analizar la situación actual de las entidades del sector fiduciario con
respecto a la seguridad de la información.
• Aplicar la metodología OCTAVE Allegro para la gestión de riesgos.
• Desarrollar un prototipo de herramienta web que permita realizar la gestión
de riesgos bajo la metodología OCTAVE Allegro
• Realizar pruebas del prototipo de la herramienta web desarrollada
1.5.1 Alcances:
Con el fin de establecer claramente las áreas que abarca el proyecto, se han
identificado los aspectos que se tendrán en cuenta para el diseño y desarrollo del
mismo.
27
• Se realiza el desarrollo de unos perfiles de riesgo para los activos de
información los cuales son el resultado de la combinación de la posibilidad
de materialización de una amenaza y sus consecuencias.
• Se realiza a extensión de las áreas de preocupación a escenarios de
amenaza, lo que conllevará a la identificación de otras preocupaciones para
la organización que están relacionadas con sus activos de información
críticos y que no son visibles a primera vista
• Se realiza la identificación de riegos, realizando una descripción detallada
de la manera en que se ve afectada la organización
• Se realiza une medición cualitativa del grado en que la organización es
afectada por una amenaza asignado una puntuación a cada riesgo de cada
uno de los activos de la organización.
• Por último, se realiza una determinación de las opciones de tratamiento de
riesgos con base en el resultado de los análisis, se busca mitigar los riegos
que hayan obtenido la puntuación más alta y con una probabilidad de
ocurrencia alta.
El prototipo será diseñado con el fin de aplicar todas las fases de la metodología
de gestión de riesgos OCTAVE ALLEGRO.
28
• Seguridad/salud
• Multas/penas legales
También contará con una pestaña para la opción de priorización de estas áreas de
acuerdo con los intereses de la organización. La categoría más importante recibe
el puntaje más alto y la menos importante recibe la calificación más baja, con una
escala de 1 a 5.
Perfil de activos de información: Este módulo permite que el usuario registre los
activos de información de la organización realizando la descripción del activo y
especificando las razones por las cuales se elige.
A cada uno de estos activos se les puede asignar un usuario responsable el cual
debe llenar la información pertinente a los requisitos de seguridad necesarios para
el activo.
29
Identificación de Riesgos: En este módulo el usuario puede documentar el
impacto que tendría la organización sí se realiza un escenario de amenaza, en
este paso se define la prioridad realista de que ocurra la amenaza.
Enfoque de Mitigación: En este módulo podrá ver el resultado del análisis que
realiza la metodología basada en la información ingresada, y podrá determinar de
acuerdo a la matriz de riesgo usada y la puntuación obtenida, la sugerencia de si
debe aceptar, transferir, mitigar o aplazar el riesgo.
1.5.2 Limitaciones:
1.6 JUSTIFICACIÓN:
30
La información es la parte más importante y de mayor susceptibilidad en cualquier
empresa, para algunas entidades como lo son las del sector fiduciario un mal
manejo de la información se puede representar en pérdidas económicas
considerables y es por ello que en sus procesos se debe considerar la aplicación
de estrategias que establezcan controles de seguridad con el fin de asegurar el
cumplimiento de sus objetivos de negocio. La propuesta realizada se hace con el
fin de brindar una guía a las entidades del sector fiduciario en cuanto a la gestión
de riesgos de seguridad informática y proporcionar además una herramienta de
software que le permita realizar esta gestión de manera práctica y sencilla sin
necesidad de tener conocimientos avanzados en tecnología. Finalmente, el
desarrollo de este proyecto es una oportunidad para aportar a las entidades
fiduciarias y a la academia conocimientos que apuntan al avance colectivo a
través de la tecnología, además de incentivar a otros estudiantes a trabajar por
crear proyectos que nos enriquezcan como profesionales, sin olvidar que somos
parte de una gran sociedad que necesita soluciones oportunas a través del
desarrollo y uso de tecnología.
31
Dicha norma define la gestión del riesgo como “el termino aplicado a un método
lógico y sistematizado para el establecimiento del contexto, identificación, análisis,
evaluación, tratamiento, monitoreo y comunicación de los riesgos asociados con
cualquier actividad, función o proceso; de forma que posibilite que las
organizaciones minimicen perdidas y maximicen oportunidades. La gestión del
riesgo tiene que ver tanto con la identificación de oportunidades como con la
prevención o mitigación de pérdidas.
32
MSAT proporciona:
RISICARE
33
Fase 1: Establecimiento del contexto. -Primero se identifican y se clasifican los
activos, luego se establece un vínculo entre los procesos del negocio y finalmente
se cuantifican las vulnerabilidades de los activos.
Fase 4: Aceptación del Riesgo. - Definir medios para evitar, transferir y reducir el
riesgo.
PILAR
34
PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas
o tablas que se pueden agregar a una hoja de cálculo, logrando elaborar
diferentes tipos de informes y presentaciones de los resultados.
Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como
cuantitativos, logrando alternarse entre estos para extraer el máximo beneficio de
las posibilidades teóricas de cada uno de ellos.
35
Amenazas: Peligro latente de que un evento físico de origen natural, o causado, o
inducido por la acción humana de manera accidental, se presente con una
severidad suficiente para causar daños, pérdidas en los bienes e infraestructura,
básicamente, podemos agrupar las amenazas a la información en cuatro grandes
categorías: Factores Humanos (accidentales, errores), fallas en los sistemas de
procesamiento de información; desastres naturales y actos maliciosos o
malintencionados, algunas de estas amenazas son:
36
Spam: Recibo de mensajes no solicitados, principalmente por correo electrónico,
cuyo propósito es difundir grandes cantidades de mensajes comerciales Se han
presentado casos en los que los envíos se hacen a sistemas de telefonía celular.
Riesgos: Los sistemas se ven afectados por un sin número de acciones que se
valen de las deficiencias o limitantes de ellos y que de una u otra manera pueden
llegar a afectar los beneficios para los cuales fue creado. El riesgo es la
probabilidad de que un bien pueda sufrir un daño y por lo tanto se puede
cuantificar como alto, medio o bajo.
Modelado del negocio: Con este flujo de trabajo pretendemos llegar a un mejor
entendimiento de la organización donde se va a implantar el producto.
37
Los objetivos del modelado de negocio son:
Para lograr estos objetivos, el modelo de negocio describe como desarrollar una
visión de la nueva organización, basado en esta visión se definen procesos, roles
y responsabilidades de la organización por medio de un modelo de Casos de Uso
del negocio y un Modelo de Objetos del Negocio. Complementario a estos
modelos, se desarrollan otras especificaciones tales como un Glosario.
38
sistema, pero que no son una funcionalidad específica. Por ejemplo, requisitos de
facilidad de uso, fiabilidad, eficiencia, portabilidad, entre otras.
El análisis consiste en obtener una visión del sistema que se preocupa de ver qué
hace, de modo que sólo se interesa por los requisitos funcionales. Por otro lado, el
diseño es un refinamiento del análisis que tiene en cuenta los requisitos no
funcionales, en definitiva, cómo cumple el sistema sus objetivos.
El resultado final más importante de este flujo de trabajo será el modelo de diseño.
Consiste en colaboraciones de clases, que pueden ser agregadas en paquetes y
subsistemas.
39
Implementación: En este flujo de trabajo se implementan las clases y objetos en
ficheros fuente, binarios, ejecutables y demás. Además, se deben hacer las
pruebas de unidad: cada implementador es responsable de probar las unidades
que produzca. El resultado final de este flujo de trabajo es un sistema ejecutable.
En cada iteración habrá que hacer lo siguiente:
40
las pruebas en el proyecto, así como las estrategias y recursos con que se dotará
a esta tarea), o incluso antes con alguna evaluación durante la fase de inicio, y
continuará durante todo el proyecto.
El desarrollo del flujo de trabajo consistirá en planificar que es lo que hay que
probar, diseñar cómo se va a hacer, implementar lo necesario para llevarlos a
cabo, ejecutarlos en los niveles necesarios y obtener los resultados, de forma que
la información obtenida nos sirva para ir refinando el producto a desarrollar.
41
La planeación de un proyecto posee dos niveles de abstracción: un plan para las
fases y un plan para cada iteración.
Entorno: La finalidad de este flujo de trabajo es dar soporte al proyecto con las
adecuadas herramientas, procesos y métodos. Brinda una especificación de las
herramientas que se van a necesitar en cada momento, así como definir la
instancia concreta del proceso que se va a seguir.
En concreto las responsabilidades de este flujo de trabajo incluyen:
Metodología PHVA: también conocido como círculo PDCA (del inglés plan-do-
check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua,
es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un
concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de
gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la
información (SGSI).
42
El control de procesos, se establece a través del ciclo P.H.V.A, este ciclo está
compuesto por las cuatro fases básicas del control: planificar, ejecutar, verificar y
actuar correctivamente.
Hacer (H): En esta fase se enfoca en el análisis de las causas que provocaron la
aparición del problema y la búsqueda de alternativas de solución, para después
implementar las mejora, y de esta manera proporcionar la solución que se
considere más apropiada para resolver el problema. Durante todo este proceso se
recomienda que se utilice la toma de decisiones por consenso.
Verificar (V): En esta etapa se realiza el seguimiento tomando como base los
datos recolectados durante la ejecución, se compara el resultado obtenido con la
meta planificada, se miden los procesos y productos contra las políticas, los
objetivos y los requisitos, finalmente se informan los resultados. Las mismas
técnicas que fueron utilizadas durante la fase de planeación para evaluar y
detectar áreas de oportunidad para el mejoramiento pueden ser utilizadas durante
esta fase.
Actuar (A): Esta es la etapa en la cual el usuario detectó desvíos y toma acciones
para mejorar continuamente el desarrollo de los procesos de modo que el
problema no se repita nunca más, esta fase consiste en incorporar los ajustes
necesarios que se hayan evidenciado en la fase de verificación. En esta fase es
importante garantizar que la experiencia adquirida no solamente en el problema
analizado, sino también en la capacidad y habilidad para trabajar en equipo, sirve
de base para lograr una mayor efectividad en la solución de problemas futuros.
43
1.7.4 Marco conceptual:
44
1.8 FACTIBILIDAD DE DESARROLLO:
1.8.1 Técnica:
Técnica: Para el desarrollo del proyecto se cuenta con 2 computadores con las
siguientes características:
1.8.2 Operativa:
45
El proyecto cuenta con la participación del ingeniero Jairo Hernández, como
encargado de la asesoría en temas técnicos y metodologías durante la
elaboración del proyecto.
1.8.3 Económica:
46
$7800 x Grupo de
Desarrolladores
600 horas trabajo
Papelería, fotocopias, Grupo de
Otros $ 200.000 $ 200.000
transportes, trabajo
Imprevisto $429.000 $429.000
$
Costo Total del proyecto
9.009.000
Fuente: Propia
1.8.4 Legal:
Gracias a que todas las herramientas de software son libres (con Licencia Pública
General “GPL”), nosotros no tendremos que correr altercados con ninguna licencia
de uso para el desarrollo de este proyecto. Lo cual nos indica que el proyecto es
legalmente viable.
47
1.8.5 Cronograma de actividades:
48
Fuente: Propia
49
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS
50
La estructura del cableado horizontal cuenta con cable UTP, par trenzado
Categoría 6A, se usa tanto para el backbone vertical como el horizontal, la red
actual está diseñada bajo la tipología estrella en donde todos los segmentos de
cable de cada equipo están conectados a un punto central.
Fuente: Propia
51
2.1. Evaluación de la seguridad de la información del caso estudio.
52
2.1.1. Dominio 5: Políticas de seguridad de la Información
Las políticas de seguridad son analizadas por la junta directiva en la cual indican
claramente las necesidades que tiene la organización, en cuanto a la seguridad
de la información, teniendo en cuenta algunos riesgos presentados anteriormente
en la compañía, estas políticas van dirigidas a todo el personal de la compañía,
una vez elaboradas las políticas deben ser revisados y aprobadas por la junta
directiva, a su vez los empleados deben ser informados sobre las mismas y
publicadas en la intranet de la organización.
53
políticas, solo existe un acuerdo en el que indica que el área de recursos humanos
reporta por correo electrónico las salidas definitivas de los empleados.
54
2.1.5 Dominio 9: Gestión de acceso de usuario.
55
2.1.7 Dominio: 11: Seguridad física y ambiental
56
2.1.9. Dominio 13: Seguridad de las Comunicaciones
Acción fiduciaria cuenta con un Data Center, con control de acceso en el que se
cuenta con un área refrigerada para los servidores, así como una UPS, que
permite asegurar que los equipos se puedan apagar de manera correcta, a este
cuarto solo puede acceder personal autorizado, mediante un sistema biométrico.
También se encuentra segregada la red, para las diferentes áreas de la compañía,
como lo son administrativas, contabilidad, sistemas, entre otras.
57
Acción fiduciaria no cuenta con planes de contingencia para dar continuidad al
negocio, no ha implementado, por ejemplo: pararrayos, detectores de humo entre
otras. No se cuenta con un plan para restablecer la operación de la compañía
luego de un desastre natural.
De la misma manera todas las fiducias deben cumplir con la norma establecida
por el gobierno colombiano llamada SARO, en donde esta asegura el
cumplimiento y la mitigación de los riesgos operacionales a nivel de negocio.
Para los riesgos informáticos se realizan auditorías internas, para asegurar que se
estén cumpliendo con las políticas de seguridad establecidas, y se esté llevando a
cabo el registro y seguimiento de los incidentes reportados por los clientes.
58
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE
1
Administración de riesgos de tecnología de información de una empresa del sector informático,2005,
ennifer Dennise Maxitana Cevallos1, Bertha Alice Naranjo Sánchez Consultado el 1/03/2017
59
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto.
"El enfoque de OCTAVE Allegro está diseñado para permitir una evaluación
amplia del entorno de riesgo operacional de una organización con el objetivo de
producir resultados más sólidos sin la necesidad de un conocimiento extenso de
evaluación de riesgos, centrándose principalmente en los activos de información
en el contexto de cómo se utilizan, en la que se almacenan, transportan y
procesan, y la forma en que están expuestos a amenazas, vulnerabilidades y
perturbaciones como consecuencia de ello." 2 La metodología OCTAVE Allegro
también es adecuada para personas que desean realizar una evaluación de
riesgos sin una participación organizacional muy extensa.
Para la aplicación de esta metodología se tomará como referencia la Compañía
Acción Fiduciaria al igual que en la situación actual, este con el fin de realizar una
evaluación de riesgos completa para esto se tiene en cuenta los pasos de la
metodología que se describen con más detalle a continuación:
2
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process Richard A.
Caralli, James F. Stevens, Lisa R. Young, William R. Wilson Mayo 2017 Consultado el 1/03/2017
http://resources.sei.cmu.edu/asset_files/technicalreport/2007_005_001_14885.pdf
60
3.2.1 Establecer criterio de medición de riesgos
"El primer paso consiste en definir criterios que permitan conocer la postura de la
organización en cuanto a su propensión a los riesgos"3 .Los criterios de medición
del riesgo son un conjunto de medidas cualitativas para evaluar los efectos de un
riesgo realizado y constituir la base de una evaluación del riesgo de los activos de
la información.
3
http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/
61
No genere llamado de atención por Sanciones económicas
sanciones o parte de los 3entes de par al fiduciaria por
pérdidas control parte de autoridades
legal económicas legales o entes
significativas reguladores
para la fiduciaria
Seguridad incapacidad incapacidad entre 3 y incapacidad entre 181 y
/Salud menor a 3 días 180 días 540 días
interrupción de interrupción de las Destrucción parcial de
las operaciones operaciones de la las instalaciones físicas.
de la fiduciaria fiduciaria entre 8 y 16 Interrupción de las
por menos de 8 horas operaciones de la
Productividad horas fiduciaria entre 16 y 24
horas. No hay acceso a
las instalaciones de la
fiduciaria
Fuente: Propia
62
3.2.2. Desarrollar un Perfil de los Activos Informáticos:
63
Actividad 4 - Identificar Contenedores
El propósito de este paso es capturar una lista de todos los contenedores en los
que el activo se almacena, transporta o procesa y la lista asociada de los gestores
de dichos contenedores.
• Intranet
• PSE
• Base de datos AcciónBack
• Correo electrónico
• Centro de negocios
• AcciónBack
• Documentos
• Digitalizador
• Inveracción
• Directorio activo
• Control de acceso
• Cableado
• Red eléctrica
• Servidor de aplicaciones
• Servidor de producción
• Servidor de pruebas
64
3.2.2.1.1. Perfilamiento del activo correo electrónico
65
Titular del activo: Gerente de infraestructura, Gerente de tecnología.
Contenedores para los activos de información
Hardware: Servidor interno
Requerimientos de seguridad
Confidencialidad: Con un perfil, usuario y contraseña proporcionada por el área
de tecnología solo algunos usuarios pueden realizar modificaciones sobre la
intranet y los documentos que en ella se encuentran.
Integridad: Solo con un usuario y contraseña se puede acceder a la intranet y a
las respectivas aplicaciones.
Disponibilidad: La intranet debe estar siempre disponible para los empleados
de la compañía para puedan realizar las actividades diarias como: Registrar
clientes en el formulario de vinculación, consultar y modificar información de
clientes registrados en el formulario de vinculación, consultar saldos de los
clientes, consultar proyectos inmobiliarios entre otros.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La intranet debe estar disponible y accesible a todos los usuarios de la compañía
para acceder a los diferentes aplicativos, realizar consultas de los documentos
que se encuentran publicados y realizar las tareas diarias.
Fuente: Propia
66
Disponibilidad: La plataforma de recaudo debe estar disponible las 24 horas del
día debido a que la compañía tiene clientes a nivel nacional e internacional,
realizando los pagos de las obligaciones en cualquier momento del día.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La plataforma debe estar disponible todo el tiempo debido a que lo clientes
pueden realizar pagos en cualquier momento.
Fuente: Propia
4
http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html
5
https://technologyincontrol2.wordpress.com/2016/01/14/perfilado-de-activos-de-informacion/
67
Para el desarrollo de este modelo se tienen en cuenta los contenedores más
utilizados por la compañía, realizando una pequeña descripción e indicando el
directamente responsable sobre el contenedor.
68
Tabla 14 Contendor interno Compañia
Contenedor interno
Nombre- Descripción Propietario
Compañía: Instalación física donde residen los Gerente de la
empleados, la infraestructura y los aplicación CORE compañía
Fuente: Propia
69
3.2.4. Identificar las áreas de preocupación
La identificación de áreas de preocupación inicia con la elaboración de los perfiles
de riesgos de los activos de información, el cual contiene un componente
denominado amenaza a través de una ecuación de riesgo.
Por medio de una lluvia de ideas se realiza un análisis sobre las posibles
condiciones o situaciones que se pueden representar y poner en peligro los
activos de información de la organización, "estos escenarios en el mundo real se
denominan área de preocupación y se pueden representar en amenazas y causar
resultado indeseables para la compañía"6
Fuente: Propia
6
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
70
3.2.4.1. Áreas de preocupación sistema de digitalizador de documentos
sistemas informáticos
Tabla 20. Area de preocupación exposición de los activos de información, acceso no autorizado a los
sistemas informáticos en el Sistema de Digitalizador de Documentos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de Exposición de los activos de información, acceso no autorizado
preocupación: a los sistemas informáticos.
Actor: Personal interno.
Ingreso a la aplicación utilizando credenciales de otros usuarios
Medio:
internos de la compañía
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar a la aplicación, solo
Requisito de con autorización del jefe inmediato y con soportes de solicitud
Seguridad: del cliente podrá realizar cambios en la información.
Fuente: Propia
71
3.2.4.1.3. Desconocimiento en el manejo de los sistemas o equipos informáticos
72
3.2.4.1.5. Problemas de conectividad en la red interna de la organización
73
3.2.4.1.8. Falla en los componentes de hardware en los equipos informáticos
Tabla 26 Área de preocupación falla en los componentes de hardware en los equipos informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de Falla en los componentes de hardware en los equipos
preocupación: informáticos
Actor: Personal interno y externo
*Uso inadecuado de los equipos informáticos
Medio: *Conexión errónea de los equipos
*Falta de monitoreo de los equipos de hardware
Motivos: Falla de fabricación, mala manipulación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Los dispositivos no estarán disponibles durante la reposición y
Requisito de
configuración de los nuevos componentes de hardware por
seguridad:
parte del proveedor y del área de tecnología
Fuente: Propia
74
3.2.4.10. Alta rotación de Personal Sistema de Digitalizador de Documentos
75
*Incompatibilidad con el sistema operativo
Medio: *Eliminación o corrupción de los archivos de instalación
*Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de El sistema no estará disponible hasta que no se encuentre el
seguridad: fallo o se instale otro software.
Fuente: Propia
El análisis de cada una de las áreas de preocupación para cada uno de los activos
de información restantes se encuentra en el Anexo 3.
76
Esta categoría se refiere a las amenazas a los
activos de información son los problemas o
situaciones que están fueran del alcance de control
Otros de la organización. Incluye los desastres naturales
(inundaciones, terremotos, incendios) y los riesgos
de interdependencia por ejemplo fuente de
alimentación eléctrica.
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
77
eléctrica.
Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción
Fuente: Propia
78
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de
Interrupción
los equipos
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Interrupción en el servicio de energía
Interrupción
eléctrica.
Otros Problemas Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
79
Desconocimiento en el manejo de los
Modificación
sistemas o equipos informáticos
Actores Humanos Exposición de los activos de información,
utilizando medios acceso no autorizado a la infraestructura Interrupción
físicos. física.
Problemas de conectividad en la red interna
Interrupción
de la organización.
Interrupción en el servicio de internet Interrupción
Problemas
Falla en los componentes de hardware de los
técnicos Interrupción
equipos
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Interrupción en el servicio de energía Interrupción
eléctrica.
Otros Problemas Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
80
Problemas de conectividad en la red interna de la organización: AcciónBack
estará fuera de servicio mientras se restablece el servicio de red interna, el
personal autorizado presentaría retrasos en las operaciones de los negocios de
la fiduciaria
Interrupción en el servicio de internet: El correo electrónico estará fuera de
servicio mientras se restablece el servicio de red, el personal puede presentar
retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede
presentar retrasos en las consultas de planes de pagos, cesiones y
desistimientos presentando retrasos en las operaciones afectando a más de un
área.
Desactualización de los sistemas: La interfaz de AcciónBack presenta fallas
mostrando inconvenientes en los registros, las consultas de los planes de pagos,
cesiones o desistimientos.
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o
existe incompatibilidad en el servidor dedicado a AcciónBack
Interrupción en el servicio de energía eléctrica: AcciónBack estará fuera de
servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal presentara dificultades para registrar las
operaciones de los negocios, provocando retrasos en las actividades, afectando
una o varias áreas del negocio
Desastres Naturales: AcciónBack estaría fuera de servicio mientras se presenta
el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
81
Falla en los componentes de hardware de los equipos: Los usuarios
presentarían retrasos en las operaciones de la fiduciaria afectando a una o más
áreas
Desactualización de los sistemas: La interfaz de la intranet puede presentar
fallas mostrando dificultad en las descargas de los procedimientos o en el
acceso a las aplicaciones
Fallo o defecto de Software: El personal de la fiduciaria deja de laboral
parciamente si falla o existe incompatibilidad en el servidor dedicado de la
intranet
Interrupción en el servicio de energía eléctrica: La intranet estará fuera de
servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la
intranet y al contenido
Desastres Naturales: La intranet estaría fuera de servicio mientras se presenta
el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Tabla 40 Puntaje para determinar riesgos según el área de preocupación exposición de los activos de
información, acceso no autorizado a los sistemas informáticos del activo intranet
Hoja de trabajo Metodología Octave Allegro
Valor del
Área de preocupación Área de impacto Ranking Score
impacto
Exposición de los Consumidor financiero 5 Medio(2) 10
activos de información, Reputación 4 Medio(2) 8
acceso no autorizado a Legal 3 Medio(2) 6
los sistemas Productividad 2 Bajo (1) 2
informáticos. Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
82
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo de los sistemas informáticos
Hoja de trabajo Metodología Octave Allegro
Área de Valor del
Área de impacto Ranking Score
preocupación impacto
Consumidor financiero 5 Bajo (1) 5
Desconocimiento en Reputación 4 Bajo (1) 4
el manejo de los Legal 3 Bajo (1) 3
sistemas informáticos. Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 42 Puntaje para determinar riesgos exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Área de Valor del
Área de impacto Ranking Score
preocupación impacto
Exposición de los Consumidor financiero 5 Bajo (1) 5
activos de información, Reputación 4 Bajo (1) 4
acceso no autorizado Legal 3 Bajo (1) 3
a la infraestructura Productividad 2 Medio (2) 4
física. Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad en la red interna de la organización.
Hoja de trabajo Metodología Octave Allegro
Área de Valor del
Área de impacto Ranking Score
preocupación impacto
Consumidor financiero 5 Bajo (1) 5
Problemas de
conectividad en la red Reputación 4 Bajo (1) 4
interna de la Legal 3 Bajo (1) 3
organización. Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
83
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 45 Puntaje para determinar riesgos Falla en los componentes de hardware de los equipos.
Hoja de trabajo Metodología Octave Allegro
Área de Área de impacto Ranking Valor del Score
preocupación impacto
Consumidor financiero 5 Bajo (1) 5
Falla en los
Reputación 4 Bajo (1) 4
componentes de
Legal 3 Bajo (1) 3
hardware de los
Productividad 2 Medio (2) 4
equipos.
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
84
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio de energía eléctrica.
Hoja de trabajo Metodología Octave Allegro
Área de Valor del
Área de impacto Ranking Score
preocupación impacto
Consumidor financiero 5 Bajo (1) 5
Interrupción en el Reputación 4 Bajo (1) 4
servicio de Legal 3 Bajo (1) 3
energía eléctrica. Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
85
autorizado a los sistemas informáticos.
Fuente: 8 pasos para hacer una evaluación de riesgos Miguel Ángel Mendoza
86
La puntuación del riesgo se agrupa como se muestra en la siguiente figura.
Fuente: : Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo Propia
87
Área de preocupación: Exposición de los activos de información, acceso no
autorizado a la infraestructura física.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Solo el personal autorizado del área de sistemas y/o tecnología como lo es el
ingeniero de infraestructura y gerente de tecnología podrá accedes al
datacenter.
Área de preocupación: Problemas de conectividad en la red interna de la
organización.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con
la operación de la compañía.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 19 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con
la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la tomas de corriente
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo: 15 subjetiva: Bajo Grupo 4 Aceptar
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta
88
funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de
la intranet
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 19 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal
para continuar con las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 20 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la
intranet en otra ciudad, asegurando la continuidad de la operación
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales
como extinguidores, señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una
zona segura a una distancia prudencial
Fuente: Propia
89
Control
• Solo los clientes pueden acceder a la plataforma de recaudo.
• Los clientes deben ingresar a la plataforma con el número de identificación y la
contraseña.
• El sistema solicita el cambio de contraseña cada 30 a 45 días.
Área de preocupación: Desconocimiento en el manejo de los sistemas
informáticos.
Puntaje de riesgo Probabilidad Categoría: Acción: Mitigar o
relativo: 22 subjetiva: Medio Grupo 2 Transferir
Control:
• Se debe realizar un instructivo que permita al cliente ingresar y realizar
operaciones en la plataforma de recaudo.
• Se debe realizar capacitación al personal de servicio al cliente y
administradores de negocios sobre la plataforma de recaudo.
Área de preocupación: Exposición de los activos de información, acceso no
autorizado a la infraestructura física.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 22 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar
modificaciones sobre la plataforma.
• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a
la administrador de la plataforma de recaudo con un usuario y contraseña
Área de preocupación: Problemas de conectividad en la red interna de la
organización.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
90
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 22 subjetiva: Bajo Grupo 3 Aceptar
Control: Instalar actualizaciones en los equipos y servidores de la compañía.
• Se debe adquirir software licenciado.
• Se deben desinstalar los programas que no sean de uso corporativo.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 22 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Instalar las actualizaciones y parches de seguridad
• Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo.
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 29 subjetiva: Medio Grupo 2 Aceptar
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
91
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO
Esta fase se tiene como objetivó principal hacer un enfoque detallado en el diseño
en la que se definen los requisitos funcionales y no funcionales de la aplicación, se
realiza un análisis de los casos de uso y la respectiva documentación, se diseñan
los diagramas de secuencia, de actividad, colaboración para la implementación del
prototipo, se realizan pruebas funcionales con el fin de implementar mejoras para
obtener como resultado el éxito del proyecto.
Es una representación gráfica de los pasos que se siguen en toda una secuencia
de actividades, dentro de un proceso o un procedimiento, identificándolos
mediante símbolos de acuerdo con su naturaleza; incluye, además, toda la
información que se considera necesaria para el análisis.
92
Ilustración 7. Diagrama de proceso creación de Activo Ilustración 8. Diagrama de proceso Listar activos
Ilustración 9. Diagrama de proceso Actualizar Activo Ilustración 10. Proceso Eliminar Activo
93
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo
A continuación se listan los procesos que debe realizar el usuario para listar, crear,
actualizar y eliminar un criterio de Medida de Riesgo.
Ilustración 11. Diagrama de Proceso Agregar Medida Ilustración 12. Diagrama de Proceso eliminar Medidas de
de Riesgo Riesgo
94
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto
Fuente: Propia
Ilustración 16. Diagrama de proceso crear Activo Crítico Ilustración 17. Diagrama de proceso Listar Activos
Críticos
95
Ilustración 18. Diagrama de proceso Actualizar Ilustración 19. Diagrama de proceso Eliminar Activo
Activo Critico Crítico
96
Ilustración 20. Diagrama de proceso Crear Contenedor Ilustración 21. Diagrama de proceso Listar
Contenedores
Ilustración 22. Diagrama de proceso Actualizar Ilustración 23. Diagrama de proceso Eliminar Contendor
Contenedor
97
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores
Una vez identificados los contenedores existentes en la compañía el usuario debe
realizar de asociación de activo – contenedor para indicar a que contenedor
pertenece el activo.
Fuente: Propia
98
Ilustración 25. Diagrama de proceso crear área de Ilustración 26. Diagrama de proceso listar áreas de
Figura preocupación preocupación
Ilustración 27. Diagrama de proceso actualizar área de Ilustración 28. Diagrama de proceso eliminar área de
preocupación preocupación
99
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo
Una vez el usuario a diligenciado la información de su compañía, se realiza un
análisis de la información para generar el puntaje de riesgo relativo para cada una
de las áreas de preocupación definidas por el usuario.
Fuente: Propia
Fuente: Propia
100
Ilustración 31. Diagrama de proceso ver controles Ilustración 32. Diagrama de proceso agregar
control
Ilustración 33. Diagrama de proceso actualizar control Ilustración 34. Diagrama de proceso eliminar control
101
4.1.1.10 Diagramas de Proceso Generación de Reportes
El usuario tiene la opción de descargar algunos reportes que le servirán durante
su proceso de documentación, esta documentación está disponible en formato
PDF
Ilustración 35. Diagrama de proceso descargar reportes
Fuente: Propia
102
Ilustración 36. Diagrama de proceso crear usuario Ilustración 37. Diagrama de proceso listar
Ilustración 38. Diagrama de proceso Actualizar usuario Ilustración 39. Diagrama de proceso Eliminar usuario
103
4.2 Requerimientos funcionales y no funcionales
Los requerimientos funcionales son las condiciones o las funciones que debe
realizar el sistema, estas deben ser muy especificas ya que de estas dependen la
funcionalidad correcta del sistema, los requerimientos no funcionales tienen que
ver con características que de una u otra forma puedan limitar el sistema.
4.2.1.Requerimientos Funcionales
104
• La documentación de las áreas de preocupación podrá ser vista,
actualizada o modificada por el usuario.
• El aplicativo debe calcular el puntaje de riesgo relativo de acuerdo a la
priorización dada por el usuario al área de impacto y a la probabilidad que
haya dado el usuario en la documentación del área de preocupación. Este
puntaje será almacenado y no podrá ser modificado debido a que es un
cálculo que se realizar basado en la información que se ingresa. Si se
actualiza la documentación del área de preocupación el puntaje debe
calcularse nuevamente.
• El usuario podrá consultar el puntaje de riesgo relativo calculado por el
software para cada una de las áreas de preocupación definidas por el
usuario.
• Se debe calcular el enfoque de mitigación de acuerdo a la matriz de riesgo
definida por la metodología octave allegro y al puntaje de riesgo relativo
calculado.
• El usuario debe poder ingresar, modificar o eliminar los controles que
considere pertinentes para cada uno de los enfoques de mitigación
sugeridos por la metodología.
• El usuario debe poder descargar documentos en formato PDF en donde se
encuentre, la documentación de los criterios de medida de riesgo, perfil de
los activos críticos, documentación de las áreas de preocupación, riesgo
relativo y enfoque de mitigación.
• Deben manejarse perfiles dentro de la aplicación, se manejara perfil
administrador y usuario de consulta.
• El usuario con perfil administrador tiene acceso a todas las opciones de
todos los menús, así como a la administración de los usuarios en el
sistema. El usuario con perfil de consulta únicamente puede ver los menús
que permiten listar y consultar, sin poder realizar cambios persistentes en el
aplicativo, y únicamente podrá modificar la información propia de su
usuario.
105
• El usuario debe permanecer con sesión activa hasta el momento que desee
realizar logout.
• Se debe pedir confirmación antes de realizar cualquier eliminación.
• La contraseña de los usuarios debe ser aleatoria y enviada por correo.
• El código debe estar documentado.
En esta fase se definen cuales son los principales actores que interactúan con el
sistema, se realiza una lista preliminar para cada una de las funciones que
realizan los actores sobre la aplicación. Luego se realiza una representación
gráfica de cómo interactúa el actor sobre la funcionalidad y se documenta el flujo
de la interacción paso a paso, indicando cuales son los requerimientos iniciales
para ejecutar la función y las excepciones que se deben presentar al ejecutar
dicha funcionalidad.
106
4.3.2 Lista preliminar de casos de uso
Fuente: Propia
107
Ilustración 41. Depuración de caso de uso Gestionar Criterios de Medida de Riesgo
Fuente: Propia
Fuente: Propia
Fuente: Propia
108
Ilustración 44. Depuración de caso de uso Gestionar Activos críticos y contenedores
Fuente: Propia
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto
Fuente: Propia
Fuente: Propia
109
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo Relativo
Fuente: Propia
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación
Fuente: Propia
Fuente: Propia
110
Ilustración 50. Depuración de caso de uso Generar Reportes
Fuente: Propia
111
se han registrado activos.
Flujo Alterno
112
3.Hacer clic en el icono ver sistema
5.Dar clic en el botón Actualizar 4. Mostrar el formulario de creación con
7.Dar clic en el botón aceptar del los campos diligenciados con la
mensaje Activo creado correctamente información del activo
6.Retornar mensaje Activo Actualizado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los
activos creados, con la actualización del
activo
Manejo de situaciones Excepcionales
3. Si no existen activos creados, se debe mostrar un mensaje que diga: no
se han registrado activos.
Flujo Alterno
113
Manejo de situaciones Excepcionales
4. Si no existen activos creados, se debe mostrar un mensaje que diga: no
se han registrado activos.
Flujo Alterno
1. Si en el cuadro de confirmación el usuario da clic en cancelar, se
debe cerrar el cuadro de confirmación y mostrar nuevamente la lista
de activos creados.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Fuente: Propia
114
Ilustración 52 Diagrama de secuencia crear activo critico
Fuente: Propia
Fuente: Propia
115
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación
Fuente: Propia
Fuente: Propia
116
4.3.6. Diagramas de Actividad
Fuente: Propia
Fuente: Propia
117
Ilustración 58 Diagrama de actividad crear activo critico
Fuente: Propia
Fuente: Propia
118
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo
Fuente: Propia
Fuente: Propia
119
Ilustración 62 Diagrama de estado gestionar área de preocupación
Fuente: Propia
Fuente: Propia
120
Ilustración 64 Diagrama de estado Consultar puntaje de riesgo relativo
Fuente: Propia
Fuente: Propia
121
4.3.8 Modelo Objeto Relacional
Ilustración 66 Modelo entidad relación
Fuente: Propia
122
4.3.9. Diccionario de datos
A continuación se presentan las tablas existentes para almacenar todas la información del
sistema.
4.3.9.1 Activo
Ilustración 67 Activo
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id activo
Nombre Varchar(256) NO Nombre del activo
Descripción Varchar(500) SI Descripción del activo
Determina si el activo fue
Is_archived TINYINT No Default 0
eliminado
Fuente: Propia
4.3.9.2. Activo_Contenedor
Ilustración 68 Activo Contenedor
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Activo_id INT NO FK REF activo(Id) Id del activo
Contenedor_id INT NO FK REF Id del contenedor en donde se
contendor(id) encuentra el activo
Fuente: Propia
4.3.9.3 Activo_Critico
Ilustración 69 Activo Critico
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
FK REF
Activo_id INT NO Id del activo
activo(id)
VARCHAR(5 Justificación del por qué el
Justificación SI
00) activo es crítico
VARCHAR(5
Descripción SI Descripción del activo
00)
VARCHAR(2
Propietarios SI Propietarios del activo
50)
Confidencialid VARCHAR(5 Como se ve afectada en el
SI
ad 00) activo
VARCHAR(5 Como se ve afectaba en el
Integridad SI
00) activo
Requisitos_im VARCHAR(5 Requisitos importantes de
SI
portantes 00) seguridad para el activo
VARCHAR(5 Como se ve afectada en el
disponibilidad SI
00) activo
Determina si el activo crítico es
Is_archived TINYINT NO
eliminado o no
Fuente: Propia
123
4.3.9.4 Area_consecuencias
Ilustración 70 Area consecuencias
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Área_preocupacio INT NO FK REF Id del área de
n_id área_preocupacion preocupación
(id)
Consecuencia_id INT NO FK consecuencias Id de la consecuencia
(id) relacionada con el área
de preocupación
Fuente: Propia
4.3.9.5 Area_impacto
Ilustración 71 Area impacto
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id área de impacto
nombre VARCHAR(256) NO Nombre del área de impacto
indice INT NO Prioridad del área de impacto
Fuente: Propia
4.3.9.6 Area_preocupacion
Ilustración 72 Area preocupación
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id área de preocupación
NO FK REF Id del activo crítico
Activo_critico
INT activo_critic relacionado
_id
o(id)
NO Nombre del área de
Nombre VARCHAR(256)
preocupación
Actor VARCHAR(256) SI Actor de amenaza
SI Motivo por el que puede
Motivo VARCHAR(256)
ocurrir la amenaza
Requisitos_se SI Requisitos de seguridad
VARCHAR(256)
guridad necesarios
SI Resultado de la ejecución
Resultado VARCHAR(256)
de la amenaza
SI Probabilidad de que ocurra
Probabilidad VARCHAR(256)
la amenaza
Acción VARCHAR(10) SI Acción a tomar
Determina si el área de
Is_archived TINYINT NO
preocupación se eliminó
Fuente: Propia
4.3.9.7 Consecuencias
Ilustración 73 Consecuencias
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id consecuencia
Nombre VARCHAR(250) NO Nombre consecuencia
124
Descripción VARCHAR(250) NO Descripción consecuencia
INT NO FK REF Id del área de impacto
Área_impacto_id área_imp afectada
acto(id)
INT NO Valor cualitativo de la
Valor_impacto
consecuencia
Puntaje INT NO Puntaje de riesgo relativo
Fuente: Propia
4.3.9.8 Contenedor
Ilustración 74 Contenedor
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id contenedor
Nombre VARCHAR(45) NO Nombre del contenedor
Descripción_inter VARCHAR(50 Descripción interna del
SI
o 0) contenedor
Propietario_inter VARCHAR(50 Propietario interno del
SI
no 0) contenedor
Descripción_exte VARCHAR(50 Descripción externa del
SI
rno 0) contenedor
Propietario_exter VARCHAR(50 Propietario externo del
SI
no 0) contenedor
Tipo_contenedor INT SI Tipo físico, técnico, personas
TINYINT Determina si el contenedor se
Is_archived NO
eliminó
Fuente: Propia
4.3.9.9 Controles
Ilustración 75 Controles
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id del control
FK REF Id área de
Área_preocupaci
INT NO área_preocupacion preocupación del
on_id
(id) control
VARCHAR(1 Descripción del
control NO
280) control
FK REF Id del control
Suggested_contr
INT SI suggested_control( sugerido por la
ol_id
id) metodología
Fuente: Propia
4.3.9.10 criterios_riesgo_seleccionado
Ilustración 76 criterios riesgo seleccionado
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
INT FK REF Id del área de
Área_impacto_id NO
área_impacto(id) impacto
Bajo VARCHAR(500) NO Descripción de
125
impacto bajo
VARCHAR(500) Descripción de
Medio NO
impacto medio
VARCHAR(500) Descripción de
Alto NO
impacto alto
Fuente: Propia
4.3.9.11Profile
Ilustración 77 Profile
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
id INT NO PK Id del perfil
name VARCHAR(100) NO Nombre del perfile
Fuente: Propia
4.3.9.12 Suggested_control
Ilustración 78 Suggested_control
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT PK Id del control
NO
sugerido
Área_preocupacio INT FK REF Id de área de
n_id área_preocu preocupación a la
NO
pacion(id) que pertenece el
control
Name VARCHAR(200) Nombre del control
NO
sugerido
Description VARCHAR(500) Descripción del
NO
control sugerido
Fuente: Propia
4.3.9.13. User
Ilustración 79 User
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id del usuario
Name VARCHAR(50) NO Nombre del usuario
Lastname VARCHAR(100) NO Apellido del usuario
Username VARCHAR(100) NO Login del usuario
Password VARCHAR(252) NO Contraseña del usuario
Profile INT NO FK REF Perfil del usuario
profile(id) administrador o de consulta
sessionActive TINYINT NO Indica si tiene una sesión
activa
Is_archived TINYINT NO Indica si el usuario fue
eliminado
Fuente: Propia
126
4.4. Implementación
Fuente: Propia
127
interfaz. La vista que en este caso puede ser por navegador o aplicación móvil
consulta la información a través de servicios REST que expone el Backend, y este
quien se comunica con la base de datos y retorna la información que será
presentada en el FrontEnd.
Fuente: Propia
Fuente: Propia
128
4.5 Pruebas
Estas pruebas también se realizaron con el fin de recibir una retroalimentación por
parte de la analista, en cuanto a la presentación y diseño grafico de la aplicación.
129
campos la actualización debe ser
guardada en base de datos
Al eliminarse el activo se debe
pedir confirmación al usuario de
Opción
la acción, si no está de acuerdo
Eliminar Activo Eliminar de OK
el activo no debe eliminarse, si
cada activo
acepta se debe quitar el activo de
la lista de activos
El textArea en donde se diligencia la descripción del activo,
ERRORES tenía un tamaño muy pequeño, haciendo difícil la lectura de
la descripción
CORRECCIONES Se aplica estilo para ampliar el tamaño del textArea
Fuente: Propia
4.5.2. Prueba Menú Activos Críticos
130
Crítico Eliminar de confirmación al usuario de la acción,
cada activo si no está de acuerdo el activo crítico
crítico no debe eliminarse, si acepta se debe
quitar el activo crítico de la lista de
activos
El selector de activo no mostraba completo el nombre del
ERRORES
activo
Se ajusta selector para que muestre el nombre del activo
CORRECCIONES
seleccionado completo.
Fuente: Propia
131
de Medida de Eliminar de de riesgo se debe pedir
Riesgo cada criterio confirmación al usuario de la
de Medida de acción, si no está de acuerdo el
Riesgo criterio no debe eliminarse, si
acepta se debe quitar el criterio de
la lista de criterios configurados
Cuando se selecciona el área de impacto Reputación y
ERRORES confianza del cliente el texto no se ve completo en el
selector
Se ajusta estilo para que se vea completo el nombre del
CORRECCIONES
área de preocupación
Fuente: Propia
132
correctamente.
Se hace ajuste para la correcta visualización tanto en web
CORRECCIONES
como en móvil.
Fuente: Propia
133
luego de abrir un contenedor para editarlo y hacer clic en
crear uno todos los campos se muestran antes de
seleccionar el contenedor
Se agrega validación al momento de cerrar el modal para
CORRECCIONES que se limpie el modelo y funcione de la misma manera que
en crear
Fuente: Propia
134
Asociación asociación de los activos debe
persistirse en base de datos
En la lista de activos se muestran los que se encuentran con
ERRORES
estado archivado
Se ajusta consulta de base de datos para agregar
CORRECCIONES
condicional de estado archivado en false
Fuente: Propia
135
Al eliminarse un área de
preocupación se debe pedir
Opción
confirmación al usuario de la
Eliminar Área de Eliminar de
acción, si no está de acuerdo el OK
Preocupación cada área de
área de preocupación no debe
preocupación
eliminarse, si acepta se debe
quitar el contenedor de la lista
-Al momento de diligenciar una consecuencia el selector de
área de impacto no muestra el nombre completo del área de
impacto
- Cuando se consulta un área de preocupación al momento
de ver las consecuencias no se está mostrando el valor de
ERRORES
impacto ni la descripción ingresada
- Al seleccionar el activo crítico el selector no muestra el
nombre del activo crítico completo
-Al actualizar el área de preocupación el mensaje que
muestra dice que la acción fue Guardar
-Se cambia el estilo del selector para mostrar el nombre
completo
-Se ajusta la asignación de datos durante la consulta para
que se muestre la descripción y el valor del impacto
CORRECCIONES seleccionado
-Se cambia el estilo del selector del activo crítico para que el
nombre se muestre completo
-Se ajusta mensaje para que la acción se muestre
correctamente
Fuente: Propia
136
Prueba
El usuario debe visualizar para
cada área de preocupación cual
Lista de Puntaje es el puntaje de riesgo relativo y
Consultar Puntaje Relativo por la probabilidad subjetiva de
OK
de Riesgo Relativo área de acuerdo a las consecuencias
preocupación que agregó durante la
documentación del área de
preocupación
-Cuando no hay áreas de preocupación, no se muestra nada
al dar clic en el menú
ERRORES - Se guarda cache de la consulta realizada a base de datos
al momento de modificar el área de preocupación no se
actualiza el puntaje ni la probabilidad
-Se añade mensaje indicando que no se han creado áreas
de preocupación
CORRECCIONES
-Se deshabilita opción de guardar cache en la vista de
puntaje de probabilidad de riesgo
Fuente: Propia
137
Controles controles de existen, los controles registrados
cada uno de para la acción sugerida por la
los enfoques metodología
de mitigación
El usuario puede seleccionar o no
un control sugerido de acuerdo al
Formulario de
anexo A de la norma ISO 27000 o
Crear Control registro de OK
puede crear un control propio, esta
control
información debe quedar
registrada en la base de datos
Cuando el usuario quiera editar
uno de los controles, se debe
mostrar el formulario con los datos
Actualizar Formulario de que el usuario diligenció en el
OK
Control Actualización momento de la creación del
control, todos los campos deben
estar llenos, la actualización debe
ser guardada en la base de datos
Opción Ver de El usuario podrá ver la información
cada uno de completa del control, podrá
Consultar Control OK
los controles identificar si seleccionó o no un
listados control predeterminado
Al eliminar un control se debe
Opción
pedir confirmación al usuario de la
Eliminar de
acción, si está de acuerdo el
Eliminar Control cada uno de OK
control debe eliminarse y no
los controles
mostrarse más en la lista de
listados
controles
-Cuando no se han creado áreas de preocupación, no se
muestra nada en la pantalla
-Se guarda cache de los datos , entonces cuando se actualiza
ERRORES
un área preocupación no se muestra el enfoque actualizado
- Al guardar un control sin Id de control sugerido sale error en
Backend
Se añade mensaje indicando que no se han creado áreas de
preocupación aún
CORRECCIONES
-Se deshabilita la opción de guardar caché en la vista
- Se ajusta Backend para que guarde con o sin id de control
138
sugerido
Fuente: Propia
139
contenido completo
Fuente: Propia
140
Opción Se le debe pedir confirmación al
Eliminar de usuario de la acción , si el usuario
Eliminar Usuario cada uno de acepta se debe eliminar el usuario OK
los usuarios y quitarlo de la lista
listados
El usuario puede modificar sus
Actualizar Datos datos, cambiar su contraseña, si
Ver y
del usuario cambia la contraseña, se debe
actualizar OK
logueado en el enviar un correo notificando el
información
sistema cambio de contraseña, el usuario
no podrá modificar su perfil
No se notifica cuando se intenta crear un usuario con un
ERRORES
correo que ya existe
Se agrega notificación cuando el correo ya está registrado en
CORRECCIONES
el sistema
Fuente: Propia
141
CONCLUSIONES
El análisis de riesgo fue un elemento muy importante, dentro del desarrollo del
proyecto, ya que permitió que tanto el analista de riesgo como el ingeniero de
infraestructura, realizaran un análisis más extenso, identificando riesgos que no se
habían contemplado.
142
RECOMENDACIONES
143
REFERENCIAS
144
● Julián Pérez Porto y Ana Gardey, 2015 Concepto de seguridad - Definición,
Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/activo-
financiero/.
● María Fernanda Molina Miranda, (2015) Propuesta de un plan de Gestión
de Riesgos de tecnología aplicado en la escuela superior politécnica del
litoral, Universidad Politécnica de Madrid Escuela Técnica Superior de
Ingenieros de Telecomunicación,13/08/16 Recuperado: http://www.dit.upm
.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Mi
randa_2015 .pdf.
● Maria Esperanza Bulla Pinzón, (2014). Riesgo Operativo En Cartera De
Una Sociedad Fiduciaria, Universidad Militar Nueva Granada 13/08/2016,
Recuperado: http://repository.unimilitar.edu.co/bitstream/10654/12755/1/EN
SAYO%20OPCION%20GRADO%202014%20definitivo.pdf.
● Markus Erb, 2003, Gestión de Riesgo en la Seguridad Informática
13/08/2016 Recuperado:https://protejete.wordpress.com/gdr_principal/ame
naza _vulne rabilidades/
● Marta Mejia, 2014, ISO27001 2013 - Anexo a - En Tabla Excel, 30/06/2017,
Recuperado:https://es.scribd.com/doc/232787821/ISO27001-2013-Anexo-a-
En-Tabla-Excel.
● Maxitana Cevallos, Jennifer Dennise, 2005, Administración de riesgos de
tecnología de información de una empresa del sector informático 1/03/2017,
Recuperado: http://www.dspace.espol.edu.ec/handle/123456789/25283
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/29/8-pasos-evaluacion-de-riesgos-1/
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/30/8-pasos-evaluacion-de-riesgos-2/
● Miguel A. Sánchez, 2016, Perfilado de Activos de Información, 01/03/2017
Recuperado: https://technologyincontrol2.wordpress.com/2016/01/14/perfila
do-de-activos-de-información/
● Richard A. Caralli James F. Stevens Lisa R. Young William R. Wilson, 2007,
Introducing OCTAVE Allegro: Improving the Information Security Risk
Assessment Process, 1/03/2017, Recuperado: http://resources.sei.cmu.edu
/asset_files/technicalreport/2007_005_001_14885.pdf.
145
Anexo 1.
146
¿Existe un proceso para la información oportuna de los eventos de seguridad de la
información?
¿Existe un proceso para revisar y tratar los informes de manera oportuna?
¿Existe un proceso para asegurar que los eventos de seguridad de la información
sean debidamente evaluados y clasificados?
¿Está incluida la seguridad de la información en los planes de continuidad de la
organización?
¿El enfoque de las organizaciones para gestionar la seguridad de la información
está sujeto a una revisión independiente regular?
147
Anexo 2
148
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en el centro de negocios debe ser válida y confiable ya que se trata de
recaudos realizados por los clientes a la inmobiliaria.
Fuente: Propia
149
Disponibilidad: Este sistema debe estar disponible ya que en él se encuentra información sensible que
puede afectar las actividades diarias debidas que en este sistema reposa información para validación de
documentos de clientes.
Valoración:
Confidencialidad: X Integridad: Disponibilidad:
La información que reposa en este sistema no puede ser expuesta a terceros debido a que puede causar
problemas para la compañía tanto legales como financieros.
Fuente: Propia
150
Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña
asignado por el área de sistema para realizar operaciones.
Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar
unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas
operaciones, solo personal autorizado puede ingresar a realizar consultas.
Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el
cual reposa información sensible para los clientes y los fideicomitentes, pagos, movimientos de encargos y
traslado de dineros a diferentes entidades bancarias.
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan
operaciones de traslado de dineros entre fondo y entidades bancarias, consulta de información de
movimientos de pagos realizados por los clientes.
Fuente: Propia
151
Integridad: Todas las aplicaciones alojadas en el servidor deben funcionar de manera correcta, la
información alojada en el servidor debe ser verídica ya que estas aplicaciones contienen información muy
valiosa.
Disponibilidad: El servidor de aplicaciones debe estar disponible debido a que la información y las
aplicaciones alojadas, debe ser consultada por cualquier usuario de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El servidor de aplicaciones debe estar disponible ya que aloja las aplicaciones Core de la compañía, por
tanto son consultadas por los usuarios de la compañía.
Fuente: Propia
152
Integridad: Todas las validaciones y pruebas implementadas por los desarrolladores de sistemas deben
estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores y gerente de
proyectos.
Disponibilidad: El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas
por el personal de QA del área de sistemas.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de
QA del área de sistemas.
Fuente: Propia
153
ANEXO 3
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo AcciónBack.
Tabla 83 Área de preocupación Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos sistema AcciónBack.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema AcciónBack
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar a la aplicación y realizar las
Requisito de seguridad:
operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 84 Exposición de los activos de información, Exposición de los activos de información, acceso no
autorizado a la infraestructura física sistema AcciónBack.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
El servidor de - AcciónBack solo puede ser modificado por el área de sistemas
Requisito de seguridad:
con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 85 Exposición de los activos de información, Desconocimiento en el manejo de los sistemas o equipos
informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo los usuarios autorizados pueden ingresar al Sistema AcciónBack con
Requisito de seguridad:
usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
154
Tabla 86 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
*Descarga eléctrica
Medio:
*Falta de pago al proveedor
*Causas naturales
Motivos:
*Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Los activos deberán contar con equipos ups y una planta de energía que supla
Requisito de seguridad:
la necesidad mientras se restablece el servicio
Fuente: Propia
155
Tabla 90 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
al no realizar las actualizaciones a los diferentes sistemas el Sistema
Requisito de seguridad: AcciónBack puede ser incompatible con las actualizaciones y puede presentar
fallas en el servicio
Fuente: Propia
156
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Inveracción
Tabla 94 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar a la aplicación y realizar las
Requisito de seguridad:
operaciones y modificaciones correspondientes.
Fuente: Propia
157
Los activos deberán contar con equipos ups y una planta de energía que supla
Requisito de seguridad:
la necesidad mientras se restablece el servicio
Fuente: Propia
158
al no realizar las actualizaciones a los diferentes sistemas, Inveracción puede
Requisito de seguridad:
ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo centro de
negocios
Tabla 105 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos.
159
Actor: Personal interno
Medio: Centro de negocios
Motivos: Intereses personales, robo
Resultados: Divulgación Modificación: X Destrucción: Interrupción:
Solo personal autorizado puede ingresar al Centro de negocios con un usuario
Requisito de seguridad:
y contraseña asignado por el área de sistemas.
Fuente: Propia
Tabla 106 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
El servidor de Centro de negocios solo puede ser modificado por el área de
Requisito de seguridad:
sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
160
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas puede manipular los dispositivos internos de
Requisito de seguridad:
comunicación
Fuente: Propia
161
Tabla 113 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
El Centro de negocios solo puede ser utilizado por el personal autorizado, ya
Requisito de seguridad:
que al información alojada es confidencial
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Correo
electrónico
Tabla 116 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos.
Actor: Personal interno
Medio: Correo electrónico
162
Motivos: Intereses personales, robo
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de Solo personal autorizado puede ingresar al correo electrónico con un usuario y
seguridad: contraseña asignado por el área de sistemas
Fuente: Propia
Tabla 117 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de El servidor de correo electrónico solo puede ser modificado por el área de
seguridad: sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
163
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas puede manipular los dispositivos internos de
Requisito de seguridad:
comunicación
Fuente: Propia
164
Tabla 124 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
El correo electrónico solo puede ser utilizado por el personal autorizado, ya que
Requisito de seguridad:
la información alojada puede ser modificada y enviada al cliente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Directorio
Activo
Tabla 127 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
165
compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar a la aplicación y realizar las
Requisito de seguridad:
operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 128 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Directorio Activo solo puede ser modificado por el área de sistemas con un
usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 129 Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo el administrador de infraestructura puede ingresar a Directorio Activo con
Requisito de seguridad:
usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
166
Tabla 131 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas y el administrador de infraestructura puede manipular
Requisito de seguridad:
los dispositivos internos de comunicación
Fuente: Propia
167
Tabla 135 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Directorio Activo solo puede ser utilizado por el personal autorizado, ya que al
Requisito de seguridad:
información alojada es confidencial
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Bases de datos
AcciónBack
Tabla 138 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
168
compañía
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup
de la base de datos de AcciónBack.
Fuente: Propia
Tabla 139 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup
de la base de datos de AcciónBack
Fuente: Propia
169
Tabla 142 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas puede manipular los dispositivos internos de
Requisito de seguridad:
comunicación
Fuente: Propia
170
Tabla 146 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema presentara modificaciones ni alteraciones hasta que se tenga un
nuevo administrador de bases de datos
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Plataforma de
recaudo
Tabla 149 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes.
171
Motivos: Intereses personales
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Solo los usuarios autorizados podrán ingresar a la plataforma de recaudo y
Requisito de seguridad:
realizar los pagos correspondientes.
Fuente: Propia
Tabla 150 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema no estará disponible hasta que no se restablezca el sistema de
recaudo
Fuente: Propia
172
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas puede manipular los dispositivos internos de
Requisito de seguridad:
comunicación.
Fuente: Propia
173
*Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre reemplazo
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
desarrollo
Tabla 160 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las
Requisito de seguridad:
actividades correspondientes.
Fuente: Propia
Tabla 161 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
174
Activo Critico: Servidor de desarrollo
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
El Servidor de desarrollo solo puede ser modificado por el área de sistemas
Requisito de seguridad:
con un usuario y contraseña otorgados por el área.
Fuente: Propia
175
Tabla 165 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Interrupción en el servicio internet.
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Para el Servidor de desarrollo deberán contar con un proveedor de
Requisito de seguridad: contingencia que pueda suplir la necesidad de internet mientras se restablece
el servicio.
Fuente: Propia
176
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
pruebas
Tabla 171 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno.
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía.
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las
Requisito de seguridad:
actividades correspondientes.
Fuente: Propia
Tabla 172 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Actor: Personal interno.
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
177
Motivos: Intereses personales.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Servidor de pruebas solo puede ser modificado por el área de sistemas con
un usuario y contraseña otorgados por el área.
Fuente: Propia
178
Resultados: Divulgación: Modificación: Destrucción: Interrupción
Para el Servidor de pruebas deberán contar con un proveedor de contingencia
Requisito de seguridad:
que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia
179
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El servidor de pruebas no estará disponible mientras se presentan algún
fenómeno natural.
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
aplicaciones
Tabla 182 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Exposición de los activos de información, acceso no autorizado a los
Área de preocupación:
sistemas informáticos.
Actor: Personal interno.
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía.
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar
Requisito de seguridad:
las actividades correspondientes.
Fuente: Propia
Tabla 183 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura física.
Actor: Personal interno.
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
El Servidor de aplicaciones solo puede ser modificado por el área de sistemas
Requisito de seguridad:
con un usuario y contraseña otorgados por el área.
Fuente: Propia
180
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Actor: Personal interno y externo.
Medio: Ingreso al Sistema AcciónBack.
Motivos: Intereses personales, divulgación información, falta de conocimiento.
Resultados: Divulgación: Modificación Destrucción: Interrupción: X
Solo el personal autorizado del área de aplicaciones puede ingresar al servidor
Requisito de seguridad:
con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia
181
Tabla 188 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.
Actor: Personal interno y externo.
Medio: Manipulación en los equipos informáticos.
Motivos: Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el personal sistemas puede realizar una revisión de Servidor de
Requisito de seguridad: aplicaciones y los dispositivos hardware y software que puedan interrumpir el
servicio.
Fuente: Propia
182
Tabla 192 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Falla o defecto de software.
Actor: Personal interno o externo.
*Incompatibilidad con el sistema operativo.
Medio: *Eliminación o corrupción de los archivos de instalación.
*Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Servidor de aplicaciones estará disponible cuando se encuentre la falla o se
Requisito de seguridad:
instale un nuevo software que permita que el servicio funcione correctamente.
Fuente: Propia
Tabla 193 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Medio: Correo electrónico.
Motivos: Intereses personales, robo.
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Solo personal autorizado puede ingresar a la aplicación con un usuario y
Requisito de seguridad: contraseña asignado por el área de sistemas, realizando consultas e
impresión de documentos solo con autorización del jefe inmediato
Fuente: Propia
Tabla 194 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura informáticos.
Actor: Personal interno.
Ingreso a los sistemas de generación de documentos con credenciales de
Medio:
otros usuarios
Motivos: Intereses personales, falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Todos los usuarios deben contar con un usuario y contraseña para generar los
Requisito de seguridad:
documentos en los sistemas de información.
Fuente: Propia
183
prohibida la divulgación de accesos a la aplicación.
Fuente: Propia
184
* Falta de capacitación
Motivos:
* Defecto de fabricación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Los componente de hardware como impresoras, computadores estarán
Requisito de seguridad: disponibles para la generación e impresión de documentos cuando se
encuentre y se resuelva la falla.
Fuente: Propia
185
Los sistemas de generación de documentos no están disponibles mientras
Requisito de seguridad:
los defectos de software sean solucionados.
Fuente: Propia
186
Intereses personales
Motivos:
Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Solo el área de sistemas puede manipular los dispositivos internos de
Requisito de seguridad:
comunicación
Fuente: Propia
187
Tabla 211 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
la intranet no estará disponible hasta que no se encuentre la persona con
Requisito de seguridad:
conocimiento suficientes para realizar modificaciones en la intranet
Fuente: Propia
Tabla 212 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Exposición de los activos de información, acceso no autorizado a la
Área de preocupación:
infraestructura informáticos.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
La intranet no estará disponible hasta que no se restablezca el servicio y se
Requisito de seguridad:
encuentre la falla en el datacenter.
Fuente: Propia
Tabla 213 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
*Incompatibilidad con el sistema operativo
Medio: *Eliminación o corrupción de los archivos de instalación
*Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
La intranet no estará disponible hasta que no se encuentre el fallo y se realice
Requisito de seguridad:
el ajuste necesario para continuar con la operación de la compañía
Fuente: Propia
Tabla 214 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Actor: Personal interno
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes
Motivos: Intereses personales
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Solo los usuarios autorizados podrán ingresar a la intranet, solo el área de
Requisito de seguridad:
sistemas puede realizar modificaciones en la intranet.
Fuente: Propia
188
Anexo 4
189
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Interrupción en el servicio de energía eléctrica. Interrupción
Otros Problemas Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción
Fuente: Propia
190
Actores Humanos Exposición de los activos de información, acceso no autorizado a la
utilizando medios infraestructura física. Modificación
físicos.
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Problemas técnicos Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Interrupción en el servicio de energía eléctrica. Interrupción
Otros Problemas Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
191
Anexo 5
Centro Negocios
Tabla 223 Consecuencias del centro de negocios
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El
personal de sistemas deberán ejecutar el backup de la base de datos del centro negocios para regresar al
estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para
instruir al cliente al ingreso a la plataforma
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de
sistemas no pueden ingresar al centro de negocios hasta no encontrar la interrupción del servicio
Problemas de conectividad en la red interna de la organización: El centro de negocios estará fuera de
servicio mientras se restablece el servicio de red interna, los administradores presentaría retrasos en los
informes solicitados por el cliente
Interrupción en el servicio de internet: El centro de negocios estará fuera de servicio mientras se
restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por
los clientes
Falla en los componentes de hardware de los equipos: Los administradores presentarían retrasos en las
consultas afectando al área de servicio al cliente
Desactualización de los sistemas: La interfaz del centro de negocios presenta fallas mostrando
inconvenientes en las descargas de los reportes o en el acceso al centro de negocios
Fallo o defecto de Software: Los administradores dejan de laboral parciamente si falla o existe
incompatibilidad en el servidor dedicado al centro de negocios
Interrupción en el servicio de energía eléctrica: El centro de negocios estará fuera de servicio mientras
se restablece el servicio de energía
Alta Rotación de Personal: Los administradores presentan dificultades para ingresar y realizar consultas al
centro de negocios
Desastres Naturales: El centro de negocios estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Plataforma de recaudo
192
Falla en los componentes de hardware de los equipos: Los administradores y los usurarios autorizados
presentarían retrasos en las consultas afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la plataforma presenta fallas mostrando inconvenientes
en el pago de los compromisos
Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente
si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo
Interrupción en el servicio de energía eléctrica: La plataforma de recaudo estará fuera de servicio
mientras se restablece el servicio de energía
Alta Rotación de Personal: Los administradores y los usuarios autorizados presentan dificultades para
ingresar y realizar consultas en la plataforma de recaudo
Desastres Naturales: La plataforma de recaudo estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Base de datos
Correo electrónico
193
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta
dificultad para realizar consultas y envió de correos electrónicos
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de
sistemas no pueden ingresar al servidor de correo electrónico
Problemas de conectividad en la red interna de la organización: El correo electrónico estará fuera de
servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las
operaciones de la fiduciaria
Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se
restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las
consultas de los correo electrónico afectando a una o más áreas
Desactualización de los sistemas: La interfaz del correo electrónico presenta fallas mostrando
inconvenientes en las consultas, descargas y envió de archivos por correo.
Fallo o defecto de Software: El persona deja de laboral parciamente si falla o existe incompatibilidad en el
servidor dedicado a la plataforma de correo electrónico
Interrupción en el servicio de energía eléctrica: El correo electrónico estará fuera de servicio mientras se
restablece el servicio de energía
Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y
realizar consultas sobre la base de datos
Desastres Naturales: El correo electrónico estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Digitalizador de documentos
194
Inveracción
Servidor de aplicaciones
195
mientras se restablece el servicio de energía
Alta Rotación de Personal: El servidor presentara dificultades para que el personal pueda acceder a las
aplicaciones, presentando retrasos en las operaciones de la fiduciaria
Desastres Naturales: El servidor de aplicaciones estaría fuera de servicio mientras se presenta el
fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de desarrollo
Servidor de pruebas
Tabla 231 Consecuencias del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos:
El personal de sistemas deberá restablecer la configuración del servidor de pruebas para restablecer el
servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de pruebas de la fiduciaria
presenta dificultad para realizar la configuración del servidor
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de
sistemas no pueden ingresar al servidor de pruebas
Problemas de conectividad en la red interna de la organización: El servidor de pruebas estará fuera de
servicio mientras se restablece el servicio de red interna, el personal QA presentaría retrasos en las pruebas
de las aplicaciones implementadas
196
Interrupción en el servicio de internet: El servidor de pruebas estará fuera de servicio mientras se
restablece el servicio de red, el personal de QA puede presentar retrasos en las pruebas de las aplicaciones
de los proyectos
Falla en los componentes de hardware de los equipos: El personal de QA puede presentar retrasos en
las pruebas de implementación de los proyectos debido a las fallas presentadas en los componentes
Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando
inconvenientes en el acceso al servidor
Fallo o defecto de Software: El personal de aplicaciones deja de laboral parciamente si falla o existe
incompatibilidad en el servidor.
Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio
mientras se restablece el servicio de energía
Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de QA pueda acceder al
servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de
entrenamiento al nuevo personal
Desastres Naturales: El servidor de pruebas estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Directorio Activo
Control de acceso
197
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de
sistemas debe trabajar largas horas para identificar el problema
Problemas de conectividad en la red interna de la organización: Los usuarios no pueden acceder a las
aplicaciones
Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones
Falla en los componentes de hardware de los equipos: El control de acceso puede presentar fallas
debido a la configuración de los equipos de hardware
Desactualización de los sistemas: El control de acceso puede presentar incompatibilidad con los sistemas
debido a la desactualización de los mismos
Fallo o defecto de Software. El control de acceso puede presentar fallas por defecto o mala instalación es
el equipo
Interrupción en el servicio de energía eléctrica: El control de acceso estará fuera de servicio mientras se
restablece el servicio de energía
Alta Rotación de Personal: El control de acceso puede presentar fallas de configuración y afectar al
personal debido a que el personal encargado no conoce la herramienta
Desastres Naturales: El control de acceso estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Documentos
198
Anexo 6
Centro de negocios
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición de los activos de información, acceso
no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Exposición de los activos
Reputación 4 Bajo (1) 4
de información, acceso
Legal 3 Bajo (1) 3
no autorizado a los
Productividad 2 Medio (2) 4
sistemas informáticos.
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Desconocimiento en el Reputación 4 Bajo (1) 4
manejo de los sistemas Legal 3 Bajo (1) 3
informáticos. Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Exposición de los activos
Reputación 4 Bajo (1) 4
de información, acceso
Legal 3 Bajo (1) 3
no autorizado a la
Productividad 2 Medio (2) 4
infraestructura física.
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 238 Análisis de riesgo del centro de negocios según Problemas de conectividad en la red interna de la
organización.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Problemas de
Reputación 4 Bajo (1) 4
conectividad en la red
Legal 3 Bajo (1) 3
interna de la
Productividad 2 Medio (2) 4
organización.
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
199
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción en el servicio de internet
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Interrupción en el
Legal 3 Bajo (1) 3
servicio de internet
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 31
Fuente: Propia
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los componentes de hardware de los
equipos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Falla en los Reputación 4 Bajo (1) 4
componentes de Legal 3 Bajo (1) 3
hardware de los equipos Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 241 Análisis de riesgo del centro de negocios según Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Desactualización de los
Legal 3 Bajo (1) 3
sistemas
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto de Software
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción en el servicio de energía eléctrica.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Interrupción en el
Reputación 4 Bajo (1) 4
servicio de energía
Legal 3 Bajo (1) 3
eléctrica.
Productividad 2 Alto (3) 6
200
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 245 Análisis de riesgo del centro de negocios según Desastres Naturales
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Desastres Naturales
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 34
Fuente: Propia
Plataforma de recaudo
201
sistemas informáticos. Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
202
componentes de Reputación 4 Bajo (1) 4
hardware de los equipos Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
203
Tabla 257 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Desastres Naturales
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
204
Tabla 261 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto(3) 15
Exposición de los activos
Reputación 4 Bajo (1) 4
de información, acceso
Legal 3 Bajo (1) 3
no autorizado a la
Productividad 2 Medio (2) 4
infraestructura física.
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
205
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
206
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas
Medio 22
informáticos.
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Exposición de los activos de información, acceso no autorizado a la infraestructura
Medio 27
física.
Problemas de conectividad en la red interna de la organización. Medio 29
Interrupción en el servicio de internet Medio 29
Falla en los componentes de hardware de los equipos Bajo 22
Desactualización de los sistemas Bajo 27
Fallo o defecto de Software Bajo 22
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 15
Desastres Naturales Alto 37
Fuente: Propia
Correo electrónico
207
conectividad en la red Reputación 4 Bajo (1) 4
interna de la Legal 3 Bajo (1) 3
organización. Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
208
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Interrupción en el servicio
Legal 3 Medio (2) 6
de energía eléctrica.
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 32
Fuente: Propia
AcciónBack
209
Consumidor financiero 5 Medio (2) 10
Exposición de los activos
Reputación 4 Bajo (1) 4
de información, acceso no
Legal 3 Bajo (1) 3
autorizado a los sistemas
Productividad 2 Medio (2) 4
informáticos.
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
210
Consumidor financiero 5 Bajo (1) 5
Falla en los Reputación 4 Bajo (1) 4
componentes de Legal 3 Bajo (1) 3
hardware de los equipos Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
211
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Desastres Naturales Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Inveracción
212
de información, acceso no Reputación 4 Bajo (1) 4
autorizado a la Legal 3 Bajo (1) 3
infraestructura física. Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
213
Tabla 302 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
214
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 15
Desastres Naturales Alto 37
Fuente: Propia
Servidor de aplicaciones
215
Tabla 311 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Interrupción en el servicio
Legal 3 Bajo (1) 3
de internet
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
216
Tabla 316 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Alta Rotación de Personal Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Servidor de pruebas
217
Tabla 320 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el Consumidor financiero 5 Bajo (1) 5
manejo de los sistemas Reputación 4 Bajo (1) 4
informáticos. Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
218
Tabla 325 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Desactualización de los
Legal 3 Bajo (1) 3
sistemas
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
219
Tabla 330 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas
Bajo 15
informáticos.
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 17
Problemas de conectividad en la red interna de la organización. Bajo 15
Interrupción en el servicio de internet Bajo 17
Falla en los componentes de hardware de los equipos Bajo 15
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Bajo 17
Alta Rotación de Personal Bajo 17
Desastres Naturales Bajo 15
Fuente: Propia
Servidor de Producción
220
Tabla 334 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto(3) 15
Problemas de
Reputación 4 Bajo (1) 4
conectividad en la red
Legal 3 Bajo (1) 3
interna de la
Productividad 2 Alto(3) 6
organización.
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
221
Tabla 339 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Alto (3) 15
Interrupción en el Reputación 4 Bajo (1) 4
servicio de energía Legal 3 Bajo (1) 3
eléctrica. Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
222
Directorio Activo
223
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
224
Tabla 352 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Digitalizador de Documentos
225
Tabla 356 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Desconocimiento en el Reputación 4 Bajo (1) 4
manejo de los sistemas Legal 3 Bajo (1) 3
informáticos. Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
226
Tabla 361 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Desactualización de los
Legal 3 Bajo (1) 3
sistemas
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
227
Tabla 366 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas
Medio 22
informáticos.
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 22
Problemas de conectividad en la red interna de la organización. Medio 24
Interrupción en el servicio de internet Medio 24
Falla en los componentes de hardware de los equipos Bajo 15
Desactualización de los sistemas Medio 22
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 24
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 38
Fuente: Propia
Documentos
228
Tabla 370 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Problemas de
Reputación 4 Bajo (1) 4
conectividad en la red
Legal 3 Bajo (1) 3
interna de la
Productividad 2 Medio (2) 4
organización.
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
229
Tabla 375 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Interrupción en el servicio
Legal 3 Bajo (1) 3
de energía eléctrica.
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
230
Digitalizador
231
Tabla 384 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Falla en los componentes Reputación 4 Bajo (1) 4
de hardware de los Legal 3 Bajo (1) 3
equipos Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
232
Tabla 389 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Reputación 4 Medio (2) 8
Desastres Naturales Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 33
Fuente: Propia
Control de acceso
233
Tabla 393 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 15
Exposición de los activos
Reputación 4 Bajo (1) 4
de información, acceso no
Legal 3 Bajo (1) 3
autorizado a la
Productividad 2 Medio (2) 4
infraestructura física.
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
234
Tabla 398 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Interrupción en el servicio
Legal 3 Bajo (1) 3
de energía eléctrica.
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
235
Anexo 7
236
Control:
• Instalar actualizaciones en los equipos y servidor de base de datos.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría:
Acción: Transferir o Aceptar
22 subjetiva: Bajo Grupo 3
Control:
• Instalar antivirus en cada uno de los equipos y en el servidor de base de datos.
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de las bases de datos
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de las bases de datos.
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría:
Acción: Mitigar o Transferir
29 subjetiva: Medio Grupo 2
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Aceptar
15 subjetiva: Bajo Grupo 4
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Mitigar
37 subjetiva: Alto Grupo 1
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la base de datos en otra ciudad,
asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
237
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura
física.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
19 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el correo
electrónico.
• Todas las modificaciones realizadas en el correo electrónico deben quedar registradas en una bitácora.
• Para acceder al datacenter se ingresar con la clave y huella.
• Registrar en una bitácora la fecha y hora de ingreso al datacenter.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Transferir o Aceptar
19 subjetiva: Bajo Grupo 3
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre la red interna de la compañía.
• Registrar todos los eventos de interrupción o modificación de la red interna.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Implementar un manual que indique el uso adecuado de los equipos.
• Realizar mantenimiento preventivo y correctivo para cada uno de los equipos.
• Instalar el sistema operativo adecuado para cada uno de los equipos.
• Instalar en los equipos antivirus para la prevención de ataques e intrusos.
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Transferir o Aceptar
17 subjetiva: Bajo Grupo 3
Control:
• Instalar actualizaciones en los equipos y en el servidor de correo electrónico.
• Desinstalar programas que no sean de uso exclusivo de la empresa.
• Las actualizaciones deben ser compatibles con los sistemas operativos
• Instalar parches de seguridad.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos en los que se instalara el correo electrónico.
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del correo electrónico.
• Instalar de manera correcta el correo electrónico en los equipos de la compañía.
• Instalar todas las actualizaciones correspondientes al correo electrónico.
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
32 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
238
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
37 subjetiva: Alto Grupo 1 Mitigar
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de los correos electrónicos de todos los
usuarios de la compañía en otra ciudad, asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
239
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos en los que se usará el centro de negocios en los equipos de la
compañía
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar actualizaciones en los equipos y en el servil
• Desinstalar programas que no sean de uso exclusivo de la empresa.
• Las actualizaciones deben ser compatibles con los sistemas operativos
• Instalar parches de seguridad.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos en los que se usara el centro de negocios en la compañía
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
• Instalar todas las actualizaciones correspondientes que permitan la correcta operación del centro de negocios
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
34 subjetiva: Grupo 2 Mitigar o Transferir
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad del centro de negocios en otra ciudad,
asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
240
Tabla 405 Mitigación de riesgos Accionback
Nombre del activo: Accionback
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación.
• Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas.
• La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
• El usuario y contraseña debe personal e intransferible.
• El usuario es responsable de las operaciones o movimientos realizados en la aplicación.
241
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría:
Acción: Transferir o Aceptar
17 subjetiva: Bajo Grupo 3
Control:
• Instalar antivirus en cada uno de los equipos y en el servidor de AcciónBack
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de Accionback
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de Accionback
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría:
Acción: Mitigar o Transferir
29 subjetiva: Medio Grupo 2
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Mitigar
31 subjetiva: Alto Grupo 1
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
242
• Realizar un instructivo que permita al personal guiarlo en cada paso del uso de la herramienta para generar
documentos.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura
física.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor con un usuario y
contraseña
Solo con el usuario y contraseña pueden acceder al datacenter y realizar modificaciones sobre el servidor.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Capacitar al personal para el uso adecuado de los equipos de cómputo e impresoras
• Realizar mantenimientos preventivos tanto a los equipos como a las impresoras
• Adquirir repuestos compatible con los equipos e impresoras con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Instalar las actualizaciones en los equipos e impresoras
• Desinstalar los programas que no sean de uso operativo de la compañía para generar documentos.
• Adquirir software licenciado
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos
• Desinstalar los programas que no sean necesarios para la operatividad de la compañía
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta para la generación de
documentos
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
243
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
39 subjetiva: Alto Grupo 1 Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
244
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar actualizaciones en los equipos
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Instalar antivirus en cada uno de los equipos
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del digitalizador de
documentos
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del digitalizador de documentos
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:19 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:33 subjetiva: Alto Grupo 1 Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
245
• Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas.
• La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
• El usuario y contraseña debe personal e intransferible.
• El usuario es responsable de las operaciones o movimientos realizados en la aplicación.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Capacitar al personal de manera virtual y presencialmente en la aplicación.
• Implementar un manual de usuario para el uso adecuado de la aplicación
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura
física.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
19 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la
aplicación.
• Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora.
• Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
19 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna.
• Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la
compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos de la compañía.
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la aplicación.
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la aplicación
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría:
Acción: Mitigar o Transferir
relativo:29 subjetiva: Medio Grupo 2
Control:
246
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
37 subjetiva: Alto Grupo 1 Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de la aplicación de Inveracción en
otra ciudad, asegurando la continuidad de la operación
Fuente: Propia
247
Control:
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Instalar antivirus en cada uno de los equipos de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del directorio activo
• Instalar el sistema operativo adecuado
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:29 subjetiva: Grupo 2 Mitigar o Transferir
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo Probabilidad Categoría: Grupo 3 Acción:
relativo:38 subjetiva: Alto Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
248
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor.
• Registrar todas las modificaciones realizadas en el servidor.
• Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas.
• La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Capacitar al personal de manera virtual y presencialmente en la aplicación.
• Implementar un manual de usuario para el uso adecuado de la aplicación.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura
física.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor.
• Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora.
• Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna.
• Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:22 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Capacitar al personal para el uso adecuado de los servidores
• Realizar mantenimientos preventivos a los servidores
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la toma corriente
• El servidor debe de trabajar en un ambiente con Aire Acondicionado
• ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:15 subjetiva: Bajo Grupo 4 Aceptar
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor
249
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
29 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
37 subjetiva: Alto Grupo 1 Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
250
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:29 subjetiva: Alto Grupo 2 Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna.
• Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
29 subjetiva: Alto Grupo 2 Mitigar o Transferir
Control:
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Capacitar al personal para el uso adecuado de los servidores
• Realizar mantenimientos preventivos a los servidores
• Verificar la ventilación de los equipos.
• El servidor debe de trabajar en un ambiente con Aire Acondicionado
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la toma corriente
• Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:22 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
• Instalar antivirus en cada uno de los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor
Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
27 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
38 subjetiva: Alto Grupo 1 Mitigar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
251
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
252
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor
Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
15 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
253
Anexo 8
1.Seleccionar el menú Configurar criterios de 2.Desplegar los criterios de medida de riesgo configurados
medida de riesgo 4. Mostrar el formulario con los campos necesarios para
3.Hacer clic en el botón Agregar Medida de Riesgo crear la Medida de Riesgo
5.Dar clic en el botón Guardar 6.Retornar mensaje Criterio de Medida de Riesgo
7.Dar clic en el botón aceptar del mensaje Criterio Registrado Correctamente
de Medida de Riesgo registrado correctamente 7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
creados, incluyendo el nuevo
Manejo de situaciones Excepcionales
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
254
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
255
3.Hacer clic en el icono Eliminar del criterio de 4.Se debe mostrar un cuadro de confirmación,
medida de riesgo preguntándole al usuario si está seguro de eliminar el
5.Dar clic en el botón Aceptar del mensaje de criterio de medida de riesgo
confirmación 6.Retornar mensaje Criterio de Medida de Riesgo
7.Dar clic en el botón aceptar del mensaje Criterio Eliminado Correctamente
de Medida de Riesgo Eliminado correctamente 7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
de riesgo excepto el eliminado
Manejo de situaciones Excepcionales
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y ver listados
los criterios de medida de riesgo
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
1.Seleccionar el menú Priorizar áreas de impacto 2.Listar las áreas de impacto en el orden de prioridad,
la primera será la que tenga la prioridad más alta
Manejo de situaciones Excepcionales
Flujo Alterno
256
Acciones del Actor Acciones del Sistema
1.Seleccionar el menú Priorizar áreas de impacto 2.Listar las áreas de impacto en el orden de
3.reorganizar las áreas de impacto de acuerdo a la prioridad, la primera será la que tenga la prioridad
prioridad que se quiera asignar más alta
4. Dar clic en el botón Guardar 5.Mostrar mensaje Priorización Guardada
6. Dar clic en el botón aceptar el mensaje Priorización
Correctamente
guardada correctamente 7.Listar las áreas de impacto con el orden ya
establecido
Manejo de situaciones Excepcionales
Flujo Alterno
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados
3.Hacer clic en el botón Agregar Activo Crítico 4. Mostrar el formulario con los campos necesarios
5.Dar clic en el botón Guardar para crear un activo crítico
7.Dar clic en el botón aceptar del mensaje Activo 6.Retornar mensaje Activo Crítico Registrado
Crítico registrado correctamente Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, incluyendo el nuevo
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
257
Descripción: Se listan todos los activos críticos
Precondiciones:
- Deben existir activos críticos registrados en el sistema
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor Acciones del Sistema
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados,
con las opciones ver y eliminar en cada uno de los
activos críticos listados
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados
3.Hacer clic en el icono Ver del Activo Crítico 4. Mostrar el formulario de creación con todos los
5.Dar clic en el botón Actualizar campos diligenciados con la información del activo
7.Dar clic en el botón aceptar del mensaje Activo crítico
Crítico Actualizado correctamente 6.Retornar mensaje Activo Crítico Actualizado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, incluyendo la actualización realizada
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
258
Precondiciones:
- Deben existir activos críticos registrados en el sistema
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor Acciones del Sistema
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados
3.Hacer clic en el icono Eliminar del Activo Crítico 4. Mostrar un mensaje de confirmación
5.Dar clic en el botón Aceptar del cuadro de preguntándole al usuario si está seguro de eliminar el
confirmación activo crítico
7.Dar clic en el botón aceptar del mensaje Activo 6.Retornar mensaje Activo Crítico Eliminado
Crítico Eliminado correctamente Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, excepto el activo crítico eliminado
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y listar los
activos críticos.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
259
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
260
Lorena Rojas 26/06/17 1.0
Fuente: Propia
261
preocupación registradas, incluyendo la nueva.
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
262
Correctamente preocupación registradas, incluyendo la actualización
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
263
1.Seleccionar el menú Ver Puntaje de Riesgo 2.Mostrar El puntaje de riesgo relativo junto con la
Relativo probabilidad subjetiva para cada una de las áreas de
preocupación registradas en el sistema
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
1.Seleccionar el menú Ver Enfoque de 2.Mostrar el análisis con la acción y el grupo al que pertenece
Mitigación cada una de las áreas de preocupación, junto con la opción
ver controles en cada una de las áreas de preocupación
listadas
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
1.Seleccionar el menú Ver Enfoque de Mitigación 2.Mostrar el análisis con la acción y el grupo al que
3.Dar clic en ver controles de alguna de las áreas de pertenece cada una de las áreas de preocupación,
Preocupación junto con la opción ver controles en cada una de las
264
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
Manejo de situaciones Excepcionales
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
1.Seleccionar el menú Ver Enfoque de Mitigación 2.Mostrar el análisis con la acción y el grupo al que
3.Dar clic en ver controles de alguna de las áreas de pertenece cada una de las áreas de preocupación,
Preocupación junto con la opción ver controles en cada una de las
5 Dar clic en el botón Agregar Control áreas de preocupación listadas
6.Dar clic en el botón Guardar 4. Mostrar la lista de controles registrados para el
7. Dar clic en botón aceptar el mensaje control área de preocupación, junto con la opción Ver y
registrado correctamente Eliminar en cada uno de los controles listados
5. Mostrar formulario con los campos necesario para
crear el control
6. Mostrar mensaje control registrado correctamente
7. Mostrar la lista de controles, junto con el nuevo
control creado
Manejo de situaciones Excepcionales
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
265
Flujo de Eventos
Acciones del Actor Acciones del Sistema
1.Seleccionar el menú Ver Enfoque de Mitigación 2.Mostrar el análisis con la acción y el grupo al que
3.Dar clic en ver controles de alguna de las áreas de pertenece cada una de las áreas de preocupación,
Preocupación junto con la opción ver controles en cada una de las
5 Dar clic en el icono Ver del Control Seleccionado áreas de preocupación listadas
7.Dar clic en el botón Actualizar 4. Mostrar la lista de controles registrados para el
7. Dar clic en botón aceptar el mensaje control área de preocupación, junto con la opción Ver y
actualizado correctamente Eliminar en cada uno de los controles listados
6. Mostrar el formulario con los campos diligenciados
con la información del control
6. Mostrar mensaje control actualizado correctamente
7. Mostrar la lista de controles, junto con la
actualización realizada
1.Seleccionar el menú Ver Enfoque de Mitigación 2.Mostrar el análisis con la acción y el grupo al que
3.Dar clic en ver controles de alguna de las áreas depertenece cada una de las áreas de preocupación,
Preocupación junto con la opción ver controles en cada una de las
5 Dar clic en el icono Eliminar del Control áreas de preocupación listadas
Seleccionado 4. Mostrar la lista de controles registrados para el
7.Dar clic en el botón Aceptar del cuadro de área de preocupación, junto con la opción Ver y
confirmación Eliminar en cada uno de los controles listados
8. Dar clic en botón aceptar el mensaje control 6. Se Muestra un cuadro de confirmación
eliminado correctamente preguntándole al usuario si está seguro que desea
eliminar el control
7. Mostrar mensaje control eliminado correctamente
9. Mostrar la lista de controles, excepto el control
eliminado
Manejo de situaciones Excepcionales
266
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro
y mostrar la lista de controles
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Flujo Alterno
-Si el usuario da clic en CERRAR no se mostrará el PDF y quedará en el listado de opciones de reporte.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
267
hayan sido diligenciados correctamente
7. Se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario creado Correctamente
9.Limpiar todos los campos
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario nuevo
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Flujo Alterno
268
7.Dar clic en el botón aceptar del mensaje usuario información del usuario
actualizado Correctamente 6. Se valida que el email y todos los demás campos
hayan sido diligenciados correctamente
7. Sí se marcó la opción generar contraseña nueva
se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario actualizado
Correctamente
9.Limpiar todos los campos
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario con su actualización
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Flujo Alterno
-Si el usuario hace clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar la
ventana y se debe mostrar la lista de usuarios.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
269
270