Torres Morales Sandra Milena 2017

MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE
ALLEGRO EN ENTIDADES DEL SECTOR FIDUCIARIO
SANDRA MILENA TORRES MORALES

CÓDIGO: 20151678016
JEIMY LORENA ROJAS CRUZ

CÓDIGO: 20151678014
PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR POR EL TÍTULO

DE INGENIERÍA EN TELEMÁTICA
MODALIDAD DE MONOGRAFIA
TUTOR
JAIRO HERNANDEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
BOGOTA D.C.
2017
1
Nota de aceptación.
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
Firma del jurado
________________________________________
Firma del tutor
2
AGRADECIMIENTOS
Agradecemos primeramente a DIOS por sembrar en nuestro corazón el sueño de

ser Ingenieras, por permitirnos ser mejores cada día, por ayudarnos a confiar en
nosotras mismas y en nuestras capacidades de lograr cada meta que nos
proponemos, por darnos la fuerza para seguir adelante y correr la milla extra.
Durante el desarrollo del este proyecto, quiero agradecer infinitamente a cada

docente que influyo de manera directa o indirecta durante las dos carreras
ejercidas en la Universidad Distrital Francisco José de Caldas, a nuestro tutor
Jairo Hernández por la paciencia y por compartir sus conocimientos en nuestro
proyecto por poner su confianza en nosotras.
Agradecemos infinitamente a nuestros padres por apoyarnos durante esta etapa

tan importante de nuestra vida, por ser nuestro apoyo en los momentos difíciles,
por acompañarnos en las noches largas que hoy dan fruto al esfuerzo y a la
confianza que han puesto en nosotras, a nuestros hermanos menores, queremos
ser el ejemplo de persistencia.
3
DEDICATORIA
Siempre ha sido mi inspiración, para enseñar que cada paso que se da confiado en Dios, es un éxito
inevitable, hermano mío, no dejes de desistir por lo que siempre has soñado, aun estas joven y fuerte
para llegar más alto de lo que yo he llegado, confía en lo eres, en los valores que nos han enseñado
nuestros padres.
Se fuerte y valiente como lo ha dicho el Señor y el te llevara más alla de lo que has soñado, mas Él
conoce nuestro corazón, nuestros sueños y anhelos, porque estos primero nacieron en el corazón de Dios.
“Mira que te mando que te esfuerces y seas valiente; no temas ni desmayes.

Porque Jehová tu Dios estará contigo en dondequiera que vayas” Josué 1:7
4
RESUMEN
En el presente trabajo de grado se presenta y se desarrolla un modelo de gestión

de riesgos, aplicando los ocho pasos de la metodología Octave Allegro en el
sector fiduciario, tomando como ejemplo la compañía Acción Fiduciaria ubicada en
Bogotá D.C, identificando los activos más importantes de la empresa.
En el primer capítulo se realiza la planeación y organización del proyecto,

planteando la definición del problema que abarca las fiduciarias en cuanto la
gestión de riesgos, se identifica los objetivos tanto generales como específicos
que se pretenden alcanzar y el alcance del proyecto.
En el segundo capítulo se realiza un análisis general teniendo en cuenta que se

realizó con base a una entrevista en la cual fue dada por la analista de riesgos y el
ingeniero de infraestructura de Acción Fiduciaria.
En el tercer capítulo se desarrolla el análisis basado en la metodología Octave

Allegro en los diferentes ochos pasos el cual nos permite identificar las amenazas
y las vulnerabilidades que se puedan presentar, y así generar estrategias que
puedan transferir, aceptar o mitigar los riesgos encontrados.
En el cuarto capítulo se realiza el analisis y la implementacion del prototipo,

utilizando casos de uso, diagramas de secuencia, diagramas de colaboración,
diagramas de actividad, diagramas de proceso y el modelo entidad - relación.
Por ultimo se encuentran las conclusiones, a las que se han llegado durante el
desarrollo del proyecto de grado y algunas recomendaciones sobre el uso del
prototipo, estas con el fin de emplear un uso adecuado a la herramienta.
5
ABSTRACT
This document present and amplify a risk management model, applying the eight
steps of Octave Allegro’s metodology on fiduciary sector, take like example the
Acción Fiduciaria Company located in Bogotá D.C, Identifying the more important
company’s actives.
In the first chapter is performed the project’s planning and organization, posing the
problem definition encompassing the fiduciary concerning the risk management,
indetifying the general and specifid objectives and the project´s scope.
In the second chapter is performed a general anlysis taking account the risk
analyst and infrastructure enginner’s Accion Fiduciaria interview.
In the third chapter is development a analysis on Octave Allegro metodology step
by step identify the possible menaces and vulnerabilities, with the purpose the
generate strategy that may shift, accept or mitigate the found risk.
In the fourth chapter, prototype analysis and implementation are performed, using
use cases, sequence diagrams, collaboration diagrams, activity diagrams, process
diagrams and the entity - relationship model.
Finally, there are the conclusions, which have been reached during the
development of the degree project and some recommendations on the use of the
prototype, in order to use appropriate use of the tool.
6
INTRODUCCIÓN
La gestión de riesgos contempla el desarrollo e implementación de metodologías

que permiten identificar, cuantificar, mitigar y monitorear los diferentes riesgos que
pueden atribuirse en una Fiduciaria, con el fin de minimizar las amenazas y
vulnerabilidades que se pueden tener con respecto a la seguridad de la
información, en la que encierra diferentes activos de una compañía como
software, bases de datos hardware y todo lo que la organización valore como un
activo.
La información para la organización debe ser un elemento intangible de mucho

valor y debe estar administrada por personal capacitado que la organización
determine, evitando que personal ajeno a la compañía tenga acceso o la
manipule, la información también debe estar disponible en el momento oportuno,
teniendo respaldos o copias de seguridad por si la información es borrada, robada
o alterada.
En la actualidad el plan de continuidad es una necesidad para cualquier empresa

sea grande o pequeña debido a que la tecnología avanza y es cambiante, exige
buscar alternativas que garanticen la continuidad operacional de la organización.
Para el análisis de riesgos de este proyecto se trabajó con la metodología Octave

Allegro que se centra en los activos de información. Los activos importantes de
una organización son identificados y evaluados en base a los activos de
información. OCTAVE Allegro consta de ocho etapas organizadas en cuatro fases:
• Desarrollar criterios de medición de riesgo consistentes con la misión de la

organización, los objetivos objetivos y los factores críticos de éxito.
• Cree un perfil de cada activo de información crítico que establezca límites
claros para el activo, identifique sus requisitos de seguridad e identifique
todos sus contenedores.
• Identificar las amenazas a cada activo de información en el contexto de sus
contenedores.
• Identificar y analizar los riesgos de los activos de información y comenzar a
desarrollar enfoques de mitigación.
7
TABLA DE CONTENIDO
RESUMEN ..................................................................................................................... 5
ABSTRACT .................................................................................................................... 6
INTRODUCCIÓN ........................................................................................................... 7
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN ................................. 25
1.1 TITULO DEL PROYECTO: ..................................................................................... 25
1.2 TEMA ................................................................................................................... 25
1.3 DEFINICIÓN DEL PROBLEMA: ............................................................................. 25
1.3.1 Descripción: .................................................................................................... 25
1.3.2 Formulación:.................................................................................................... 26
1.4 OBJETIVOS: .......................................................................................................... 26
1.4.1 Objetivo general: ............................................................................................. 26
1.4.2 Objetivos específicos:...................................................................................... 26
1.5 ALCANCES Y LIMITACIÓN: .................................................................................. 27
1.5.1 Alcances:......................................................................................................... 27
1.5.2 Limitaciones: ................................................................................................... 30
1.6 JUSTIFICACIÓN: ................................................................................................... 30
1.7 MARCOS DE REFERENCIA .................................................................................. 31
1.7.1 Marcos histórico: ............................................................................................. 31
1.7.2 Marco teórico:.................................................................................................. 35
1.7.3 Marco metodológico: ....................................................................................... 37
1.7.3.1 Metodología RUP ............................................................................................. 37
1.7.4 Marco conceptual: ............................................................................................... 44
1.8 FACTIBILIDAD DE DESARROLLO: ....................................................................... 45
1.8.1 Técnica:........................................................................................................... 45
1.8.2 Operativa: ........................................................................................................ 45
1.8.3 Económica: ..................................................................................................... 46
1.8.4 Legal: .............................................................................................................. 47
1.8.5 Cronograma de actividades: ............................................................................ 48
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS ......................................................................................... 50
8
2.1. Evaluación de la seguridad de la información del caso estudio. ............................ 52
2.1.1. Dominio 5: Políticas de seguridad de la Información .......................................... 53
2.1.2. Dominio 6: Organización de la seguridad de la información ............................... 53
2.1.3. Dominio 7: Seguridad de los Recursos Humanos ............................................... 53
2.1.4 Dominio 8: Gestión de recursos .......................................................................... 54
2.1.5 Dominio 9: Gestión de acceso de usuario. .......................................................... 55
2.1.6 Dominio 10: Criptografía ...................................................................................... 55
2.1.7 Dominio: 11: Seguridad física y ambiental ........................................................... 56
2.1.8 Dominio 12: Seguridad Operacional .................................................................... 56
2.1.9. Dominio 13: Seguridad de las Comunicaciones................................................. 57
2.1.10 Dominio 15: Relaciones con los proveedores .................................................... 57
2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información ................ 57
2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio................................................................................................ 57
2.1.13. Dominio 18: Cumplimiento................................................................................ 58
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE .................................................... 59
3.2.1 Establecer criterio de medición de riesgos .......................................................... 61
3.2.2. Desarrollar un Perfil de los Activos Informáticos: ............................................... 63
3.2.3. Identificar los Contenedores de los Activos Informáticos: ................................. 67
3.2.4. Identificar las áreas de preocupación ................................................................ 70
3.2.6. Identificación de Riesgos.................................................................................... 80
3.2.7. Análisis de Riesgos ............................................................................................ 82
3.2.8. Enfoque de mitigación ........................................................................................ 86
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO ................................................. 92
4.1 Fase De Requerimientos ........................................................................................ 92
4.1.1. Descripción y diagramas de proceso .................................................................. 92
4.1.1.1. Diagramas de proceso para Activos ................................................................ 92
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo............................. 94
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto .................................... 95
4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos.............................. 95
4.1.1.5 Diagramas de Proceso Configuración de Contenedores .................................. 96
9
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores .......................... 98
4.1.1.7 Diagramas de Proceso para Áreas de Preocupación ....................................... 98
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo ........................................ 100
4.1.1.9 Diagramas de proceso Enfoque de Mitigación................................................ 100
4.1.1.10 Diagramas de Proceso Generación de Reportes .......................................... 102
4.1.1.11 Diagramas de Proceso Administrar Usuarios ............................................... 102
4.2 Requerimientos funcionales y no funcionales ....................................................... 104
4.2.1.Requerimientos Funcionales ............................................................................. 104
4.2.2 Requerimientos no funcionales ......................................................................... 105
4.3. Fase de análisis .................................................................................................. 106
4.3.1 Definición de Actores ........................................................................................ 106
4.3.2 Lista preliminar de casos de uso ....................................................................... 107
4.3.3 Depuración de casos de uso ............................................................................. 107
4.3.4 Documentación de Casos De Uso ..................................................................... 111
4.3.5 Diagrama de secuencia ..................................................................................... 114
4.3.6. Diagramas de Actividad .................................................................................... 117
4.3.7. Diagramas de estado ....................................................................................... 119
4.3.8 Modelo Objeto Relacional ................................................................................. 122
4.3.9. Diccionario de datos ......................................................................................... 123
4.4 . Implementación .................................................................................................. 127
4.5 Pruebas................................................................................................................ 129
CONCLUSIONES ...................................................................................................... 142
RECOMENDACIONES .............................................................................................. 143
REFERENCIAS ......................................................................................................... 144
10
TABLA DE FIGURAS
Tabla 1 Características técnicas ............................................................................ 45

Tabla 2 Características de software ....................................................................... 45
Tabla 3 Recursos economicos ............................................................................... 46
Tabla 4 Criterios de medición de riesgos ............................................................... 61
Tabla 5 Areas de impacto ...................................................................................... 62
Tabla 6 Perfilamiento del activo correo electrónico................................................ 65
Tabla 7 Perfilamiento del activo Intranet ................................................................ 65
Tabla 8 Perfilamiento del activo Plataforma de pagos ........................................... 66
Tabla 9 Contendor interno bases de datos ............................................................ 68
Tabla 10 Contendor interno plataforma de correo ................................................. 68
Tabla 11 Contendor interno directorio activo ......................................................... 68
Tabla 12 Contendor interno data center ................................................................ 68
Tabla 13 Contendor interno servidor de aplicaciones ............................................ 68
Tabla 14 Contendor interno Compañia .................................................................. 69
Tabla 15 Contendor interno usb............................................................................. 69
Tabla 16 Contendor interno impresora .................................................................. 69
Tabla 17 Contendor interno disco duro .................................................................. 69
Tabla 18 Contendor interno computador ............................................................... 69
Tabla 19 Contendor interno areas de preocupación .............................................. 70
Tabla 20. Area de preocupación exposición de los activos de información .......... 71
Tabla 21 Área de preocupación exposición de los activos de información, ........... 71
Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas .. 72
Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica ...... 72
Tabla 24 Area de preocupación problemas de conectividad en la red interna ....... 73
Tabla 25 Área de preocupación interrupción del servicio de internet ..................... 73
Tabla 26 Área de preocupación falla en los componentes de hardware. ............... 74
Tabla 27 Area de preocupación desactualización de los sistemas ........................ 74
Tabla 28 Área de preocupación alta rotación de personal ..................................... 75
Tabla 29 Área de preocupación desastres naturales ............................................. 75
Tabla 30 Área de preocupación falla o defecto de software .................................. 75
Tabla 31 Árbol de amenazas ................................................................................. 76
Tabla 32 Probabilidad de amenaza ....................................................................... 77
Tabla 33 Árbol de amenaza plataforma de recaudo .............................................. 77
Tabla 34 Árbol de amenaza sistema de documentación de clientes ..................... 78
Tabla 35 Árbol de amenaza centro de negocios .................................................... 78
Tabla 36 Árbol de Amenaza AcciónBack ............................................................... 79
Tabla 37 Árbol de Amenaza Inveracción ............................................................... 79
11
Tabla 38 Tabla de consecuencias de AcciónBack ................................................. 80
Tabla 39 Tabla de consecuencias de la Intranet.................................................... 81
Tabla 40 Puntaje para determinar riesgos según el área de preocupaciónt ......... 82
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo ........... 83
Tabla 42 Puntaje para determinar riesgos exposición de los activos . ................... 83
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad. ................ 83
Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet . 83
Tabla 45 Puntaje para determinar riesgos Falla en los componentes. .................. 84
Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas ....... 84
Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software ................. 84
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio . ................. 85
Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal ................... 85
Tabla 50 Puntaje para determinar Desastres Naturales ........................................ 85
Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales 85
Tabla 52 Matriz de riesgos relativos ...................................................................... 86
Tabla 53 Mitigación de riesgo según el activo Intranet .......................................... 87
Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo .................. 89
Tabla 55 Definición de Actores ............................................................................ 106
Tabla 56 Lista preliminar de casos de uso ........................................................... 107
Tabla 57 Documentación de caso de uso crear activo ........................................ 111
Tabla 58 Documentación de caso de uso consultar activos ................................ 112
Tabla 59 Documentación de caso de uso Actualizar activo ................................. 112
Tabla 60 Documentación de caso de uso Eliminar Activo ................................... 113
Tabla 61 Prueba Menú Activos ............................................................................ 129
Tabla 62 Prueba Menú Activos Críticos ............................................................... 130
Tabla 63 Prueba Menú Criterios de Medida de Riesgo ....................................... 131
Tabla 64 Prueba Menú Priorizar Áreas de Impacto ............................................. 132
Tabla 65 Prueba Menú Contenedores ................................................................. 133
Tabla 66 Prueba Menú Asociar Activos a Contenedores ..................................... 134
Tabla 67 Prueba Menú Áreas de Preocupación .................................................. 135
Tabla 68 Prueba Menú Puntaje de Riesgo Relativo ............................................ 136
Tabla 69 Prueba Menú Enfoque de Mitigación .................................................... 137
Tabla 70 Prueba Menú Descarga de Reportes .................................................... 139
Tabla 71 Prueba Menú Administración de Usuarios ............................................ 140
Tabla 72 Perfilamiento del activo Bases de datos AcciónBack ............................ 148
Tabla 73 Perfilamiento del activo Centro de negocios ......................................... 148
Tabla 74 Perfilamiento del activo Sistema AcciónBack ....................................... 149
Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos ........ 149
Tabla 76 Perfilamiento del activo Documentos .................................................... 150
12
Tabla 77 Perfilamiento del activo Sistema Inveracción ........................................ 150
Tabla 78 Perfilamiento del activo Directorio Activo .............................................. 151
Tabla 79 Perfilamiento del activo Servidor de aplicaciones ................................. 151
Tabla 80 Perfilamiento del activo servidor de desarrollo...................................... 152
Tabla 81 Perfilamiento del activo servidor de Pruebas ........................................ 152
Tabla 82 Perfilamiento del activo Control de acceso ........................................... 153
Tabla 83 Área de preocupación Exposición de los activos de información, ......... 154
Tabla 84 Exposición de los activos de información, Exposición de los activos. ... 154
Tabla 85 Exposición de los activos de información, Desconocimiento en el ...... 154
Tabla 86 Interrupción en el servicio de energía electrónica ................................. 155
Tabla 87 Problemas de conectividad en la red interna de la organización .......... 155
Tabla 88 Interrupción en el servicio internet ....................................................... 155
Tabla 89 Falla en los componentes de hardware en los equipos informáticos .... 155
Tabla 90 Desactualización de los sistemas ......................................................... 156
Tabla 91 Alta rotación de Personal ...................................................................... 156
Tabla 92 Desastres naturales ............................................................................. 156
Tabla 93 Falla o defecto de software ................................................................... 156
Tabla 94 Exposición de los activos de información, acceso no autorizado .......... 157
Tabla 95 Exposición de los activos de información, acceso no autorizado. ......... 157
Tabla 96 Desconocimiento en el manejo de los sistemas o equipos ................... 157
Tabla 97 Interrupción en el servicio de energía electrónica ................................. 157
Tabla 98 Problemas de conectividad en la red interna de la organización .......... 158
Tabla 99 Interrupción en el servicio internet ........................................................ 158
Tabla 100 Falla en los componentes de hardware en los equipos informáticos .. 158
Tabla 101 Desactualización de los sistemas ....................................................... 158
Tabla 102 Alta rotación de Personal .................................................................... 159
Tabla 103 Desastres naturales ............................................................................ 159
Tabla 104 Falla o defecto de software ................................................................. 159
Tabla 105 Exposición de los activos de información, acceso no autorizado ........ 159
Tabla 106 Exposición de los activos de información, acceso no autorizado. ....... 160
Tabla 107 Desconocimiento en el manejo de los sistemas o equipos ................. 160
Tabla 108 Interrupción en el servicio de energía electrónica ............................... 160
Tabla 109 Problemas de conectividad en la red interna de la organización ........ 160
Tabla 110 Interrupción en el servicio internet ...................................................... 161
13
Tabla 129 Área de preocupación desconocimiento en el manejo ........................ 166
Tabla 138 Exposición de los activos de información, acceso no autorizado a lo . 168
14
Tabla 173 Desconocimiento en el manejo de los sistemas o equipos ................ 178
15
Tabla 195 Desconocimiento en el manejo de los sistemas o equipos ................183
Tabla 198 Interrupción en el servicio de internet ................................................. 184
Tabla 203 Fallo o defecto de software ................................................................. 185
Tabla 215 Árbol de Amenaza Correo Electrónico ................................................ 189
Tabla 216 Árbol de Amenaza Directorio Activo ................................................... 189
Tabla 217 Árbol de Amenaza Base de datos AcciónBack ................................... 189
Tabla 218 Árbol de Amenaza Servidor de desarrollo ........................................... 190
Tabla 219 Árbol de Amenaza Servidor de pruebas ............................................. 190
Tabla 220 Árbol de Amenaza Servidor de Aplicaciones ...................................... 190
Tabla 221 Árbol de Amenaza Documentos ......................................................... 191
Tabla 222 Árbol de Amenaza Intranet ................................................................. 191
Tabla 223 Consecuencias del centro de negocios............................................... 192
Tabla 224 Consecuencias de la plataforma de recaudo ...................................... 192
Tabla 225 Consecuencias de las bases de datos de AcciónBack ....................... 193
Tabla 226 Consecuencias del correo electrónico ................................................ 193
Tabla 227 Consecuencias del digitalizador de documentos ................................ 194
Tabla 228 Consecuencias de Inveracción ........................................................... 195
Tabla 229 Consecuencias del servidor de aplicaciones ...................................... 195
Tabla 230 Consecuencias del servidor de desarrollo .......................................... 196
Tabla 231 Consecuencias del servidor de pruebas ............................................. 196
Tabla 232 Consecuencias del directorio activo .................................................... 197
16
Tabla 233 Consecuencias del control de acceso ................................................. 197
Tabla 234 Consecuencias de documentos .......................................................... 198
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición. ......... 199
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento .... 199
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento....199
Tabla 238 Análisis de riesgo del centro de negocios según Problemas . ............ 199
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción ........... 200
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los ............ 200
Tabla 241 Análisis de riesgo del centro de negocios según Desactualizació ...... 200
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto....... 200
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción. ........... 200
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación .......... 201
Tabla 245 Análisis de riesgo del centro de negocios según Desastres ............... 201
Tabla 246 Análisis de riesgo del centro de negocios ........................................... 201
Tabla 247 Análisis de riesgo de la plataforma de recaudo .................................. 201
Tabla 259 Análisis de riesgo de la Base de datos AcciónBack ............................ 204
Tabla 271 Análisis de riesgo del correo electrónico ............................................. 207
17
Tabla 283 Análisis de riesgo del sistema AcciónBack ......................................... 209
Tabla 295 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 301 Análisis de riesgo del sistema Inveracción.......................................... 213
Tabla 307 Análisis de riesgo del servidor de aplicaciones ................................... 215
18
Tabla 319 Análisis de riesgo del servidor de pruebas .......................................... 217
Tabla 324 Análisis de riesgo del servidor de pruebas.......................................... 218
Tabla 331 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 343 Análisis de riesgo del directorio activo ................................................ 223
19
Tabla 355 Análisis de riesgo de los documentos ................................................. 225
Tabla 379 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 380 Análisis de riesgo del digitalizador de documentos ............................ 231
20
Tabla 391 Análisis de riesgo del control de acceso ............................................. 233
Tabla 402 Mitigación de riesgos Bases de datos ................................................. 236
Tabla 403 Mitigación de riesgos correo electrónico ............................................. 237
Tabla 404 Mitigación de riesgos centro de negocios ........................................... 239
Tabla 405 Mitigación de riesgos Accionback ....................................................... 241
Tabla 406 Mitigación de riesgos documentos ...................................................... 242
Tabla 407 Mitigación de riesgos digitalizador de documentos ............................. 244
Tabla 408 Mitigación de riesgos Inveracción ....................................................... 245
Tabla 409 Mitigación de riesgos directorio activo ................................................ 247
Tabla 410 Mitigación de riesgos servidor de desarrollo ....................................... 248
Tabla 411 Mitigación de riesgos servidor de aplicaciones ................................... 250
Tabla 412 Mitigación de riesgos servidor de pruebas .......................................... 252
Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo ...... 254
Tabla 414 Documentación de caso de uso consulta de criterios de Medida ...... 254
Tabla 415 Documentación de caso de uso Actualización de Criterios ................. 255
Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida..............255
Tabla 417 Documentación de caso de uso Consultar Priorización ...................... 256
Tabla 418 Documentación de caso de uso Actualizar Priorización...................... 256
Tabla 419 Documentación de caso de uso Creación de Activo crítico ............... 257
Tabla 420 Documentación de caso de uso Consulta de Activos Críticos ............ 257
Tabla 421 Documentación de caso de uso Actualización de Activo Crítico ......... 258
Tabla 422 Documentación de caso de uso Eliminar Activo Crítico ...................... 258
Tabla 423 Documentación de caso de uso Crear Contenedor ............................ 259
Tabla 424 Documentación de caso de uso Consultar Contenedores .................. 260
Tabla 425 Documentación de caso de uso Actualizar Contendor........................ 260
Tabla 426 Documentación de caso de uso Eliminar Contenedor ........................ 261
Tabla 427 Documentación de caso de uso Crear área de preocupación ............ 261
21
Tabla 428 Documentación de caso de uso Consultar área de Preocupación ...... 262
Tabla 429. Documentación de caso de uso Actualizar área de preocupación .... 262
Tabla 430 Documentación de caso de uso Eliminar área de preocupación. ...... 263
Tabla 431 Documentación de caso de uso Consultar Puntaje ............................ 263
Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación ..... 264
Tabla 433 Documentación de caso de uso Ver controles ................................... 264
Tabla 434 Documentación caso de uso Crear Control ........................................ 265
Tabla 435 Documentación de caso de uso Actualizar Control ............................. 265
Tabla 436 Documentación de caso de uso Eliminar Control ............................... 266
Tabla 437 Documentación de caso de uso Descargar Reportes ........................ 267
Tabla 438 Documentación de caso de uso Crear Usuario ................................... 267
Tabla 439 Documentación de caso de uso Consultar Usuarios .......................... 268
Tabla 440 Documentación de caso de uso Actualizar Usuario ............................ 268
Tabla 441. Documentación de caso de uso Eliminar Usuario ............................. 269
22
TABLA DE ILUSTRACIONES
Ilustración 1 Cronograma de actividades ............................................................... 48

Ilustración 2 Diagrama de red actual ..................................................................... 51
Ilustración 3 Perfilamiento de activos ..................................................................... 63
Ilustración 4 Contenedores de información ............................................................ 67
Ilustración 5 Ecuación de riesgo ............................................................................ 70
Ilustración 6 Enfoque de mitigación según el grupo............................................... 87
Ilustración 7. Diagrama de proceso creación de Activo..........................................93
Ilustración 8. Diagrama de proceso Listar activos.................................................. 93
Ilustración 9. Diagrama de proceso Actualizar Activo.............................................88
Ilustración 10. Proceso Eliminar Activo .................................................................. 93
Ilustración 11. Diagrama de Proceso Agregar Medida de Riesgo.......................... 94
Ilustración 12. Diagrama de Proceso eliminar Medidas de Riesgo ........................ 94
Ilustración 13 Diagrama de Proceso Actualizar......................................................89
Ilustración 14. Diagrama de Proceso listarMedidas de Riesgo............................. 94
Ilustración 15. Diagrama de proceso priorizar área de impacto ............................. 95
Ilustración 16. Diagrama de proceso crear Activo Crítico.......................................90
Ilustración 17. Diagrama de proceso Listar Activos Críticos .................................. 95
Ilustración 18. Diagrama de proceso Actualizar Activo Critico ............................... 96
Ilustración 19. Diagrama de proceso Eliminar Activo Crítico ................................. 96
Ilustración 20. Diagrama de proceso Crear Contenedor .......................................92
Ilustración 21. Diagrama de proceso Listar Contenedores.....................................97
Ilustración 22. Diagrama de proceso Actualizar.....................................................92
Ilustración 23. Diagrama de proceso Eliminar Contendor Contenedor .................. 97
Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores .................. 98
Ilustración 25. Diagrama de proceso crear área de Figura preocupación ............. 99
Ilustración 26. Diagrama de proceso listar áreas de preocupación........................ 99
Ilustración 27. Diagrama de proceso actualizar área de preocupación .................. 99
Ilustración 28. Diagrama de proceso eliminar área de preocupación ................... 99
Ilustración 29. Diagrama de proceso puntaje de riesgo relativo........................... 100
Ilustración 30. Diagrama de proceso ver enfoque de mitigación ......................... 100
Ilustración 31. Diagrama de proceso ver controles .............................................. 101
Ilustración 32. Diagrama de proceso agregar control .......................................... 101
Ilustración 33. Diagrama de proceso actualizar control ....................................... 101
Ilustración 34. Diagrama de proceso eliminar contro ........................................... 101
Ilustración 35. Diagrama de proceso descargar reportes .................................... 102
23
Ilustración 36. Diagrama de proceso crear usuario................................................97
Ilustración 37. Diagrama de proceso listar
usuarios...............................................103
Ilustración 38. Diagrama de proceso Actualizar usuario.........................................98
Ilustración 39. Diagrama de proceso Eliminar usuario ......................................... 103
Ilustración 40. Depuración de caso de uso Gestionar Activo ............................... 107
Ilustración 41. Depuración de caso de uso Gestionar Criterios ........................... 108
Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico .................... 108
Ilustración 43. Depuración de caso de uso Gestionar Contenedores .................. 108
Ilustración 44. Depuración de caso de uso Gestionar Activos criticos ................. 109
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto ............... 109
Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación .... 109
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo .......... 110
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación ..... 110
Ilustración 49. Depuración de caso de uso Gestionar Usuarios........................... 110
Ilustración 50. Depuración de caso de uso Generar Reportes ............................ 111
Ilustración 51 Diagrama de secuencia crear activo.............................................. 114
Ilustración 52 Diagrama de secuencia crear activo critico ................................... 115
Ilustración 53 Diagrama de secuencia crear area de preocupación .................... 115
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación.............. 116
Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo ......... 116
Ilustración 56 Diagrama de actividad crear activo................................................ 117
Ilustración 57 Diagrama de actividad crear area de preocupación ...................... 117
Ilustración 58 Diagrama de actividad crear activo critico ..................................... 118
Ilustración 59 Diagrama de actividad consultar enfoque de mitigación ................ 118
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo ...................... 119
Ilustración 61 Diagrama de estado gestionar activo ............................................ 119
Ilustración 62 Diagrama de estado gestionar área de preocupación ................... 120
Ilustración 63 Diagrama de estado gestionar activo critico .................................. 120
Ilustración 64 Diagrama de estado Consultar puntajer de riesgo relativo ........... 121
Ilustración 65 Diagrama de estado consultar enfoque de mitigación .................. 121
Ilustración 66 Modelo entidad relación................................................................. 122
24
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN
1.1 TITULO DEL PROYECTO:
Modelo De Gestión De Riesgos Aplicando Metodología Octave Allegro En

Entidades Del Sector Fiduciario
1.2 TEMA
Gestión de Riesgos: Enfoque estructurado para manejar la incertidumbre relativa

a una amenaza, a través de una secuencia de actividades humanas que incluyen
evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del
riesgo utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo
a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar
algunas o todas las consecuencias de un riesgo particular.
Metodología OCTAVE Allegro: Metodología que permite una amplia evaluación

del entorno del riesgo operativo sin la necesidad de un amplio conocimiento de
evaluación de riesgos y requiere menos tiempo de implementación.
Fiduciarias: Es un mecanismo elástico por medio del cual una persona natural o
jurídica (Fideicomitente), entrega uno o más de sus bienes a una Sociedad
Fiduciaria para que los administre de conformidad con la finalidad establecida en
el contrato.
1.3 DEFINICIÓN DEL PROBLEMA:
1.3.1 Descripción:
Hoy en día las fiduciarias son sectores de financieros a los que se les atribuye
grandes cantidades de dinero al igual que clientes, este sector maneja grandes
25
cantidades de información que son registrados en diferentes sistemas como lo son
fondos de inversión, pensiones voluntarias, proyectos inmobiliarios entre otros.
Estos sistemas contienen información valiosa en la cual si no se cuenta con

controles de seguridad adecuados puede estar expuesta y generar grandes
amenazas para la compañía, estas amenazas se pueden representar en hacking,
interrupción de servicios, fallas criticas de infraestructura y perdida de sistemas
centrales, permitiendo que la confidencialidad, integridad y disponibilidad sea
vulnerable.
Según un estudio realizado por Cisco Colombia es un país débil en seguridad

informática, la nación obtuvo la calificación más baja en el Índice de Seguridad
Cisco, quien evaluó la seguridad de la información en seis países más de la
región, según el estudio el 35% de las empresas colombianas tienen la aprobación
de las políticas de seguridad por la junta directiva y no por ingenieros
especializados. De esta forma se puede concluir que muchas compañías aun no
reconocen que la seguridad también puede ser una gran estrategia para el
negocio.
Teniendo en cuenta lo expresado anteriormente surge la pregunta: ¿Podría un

modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad de la
información en el sector fiduciario en Colombia?
1.3.2 Formulación:
¿Podría un modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad

de la información en el sector fiduciario en Colombia?
1.4 OBJETIVOS:
1.4.1 Objetivo general:

• Desarrollar un Modelo de Gestión de Riesgos para el sector Fiduciario en
Colombia.
1.4.2 Objetivos específicos:
26
• Analizar la situación actual de las entidades del sector fiduciario con
respecto a la seguridad de la información.
• Aplicar la metodología OCTAVE Allegro para la gestión de riesgos.
• Desarrollar un prototipo de herramienta web que permita realizar la gestión
de riesgos bajo la metodología OCTAVE Allegro
• Realizar pruebas del prototipo de la herramienta web desarrollada
1.5 ALCANCES Y LIMITACIÓN:
1.5.1 Alcances:
Con el fin de establecer claramente las áreas que abarca el proyecto, se han
identificado los aspectos que se tendrán en cuenta para el diseño y desarrollo del
mismo.
A continuación, se describen dichos aspectos realizando la división

correspondiente entre el documento que contiene el desarrollo del modelo de
gestión de riesgos y el prototipo de herramienta web:
Modelo de Gestión de riesgos:
A continuación, se realiza una descripción de la información que contendrá el

documento entregado.
• Definición de criterios que permiten conocer la postura de las

organizaciones fiduciarias en cuanto a su propensión a los riegos a través
de los cuales se puede medir el grado en que la organización se verá
afectada cuando se materializa una amenaza.
• Se realiza la documentación de los activos más representativos de las
organizaciones asignando los requisitos de seguridad para cada uno de
ellos.
• Se realiza una identificación de los contenedores de los activos de
información especificados de acuerdo a las características propias de cada
uno.
27
• Se realiza el desarrollo de unos perfiles de riesgo para los activos de
información los cuales son el resultado de la combinación de la posibilidad
de materialización de una amenaza y sus consecuencias.
• Se realiza a extensión de las áreas de preocupación a escenarios de
amenaza, lo que conllevará a la identificación de otras preocupaciones para
la organización que están relacionadas con sus activos de información
críticos y que no son visibles a primera vista
• Se realiza la identificación de riegos, realizando una descripción detallada
de la manera en que se ve afectada la organización
• Se realiza une medición cualitativa del grado en que la organización es
afectada por una amenaza asignado una puntuación a cada riesgo de cada
uno de los activos de la organización.
• Por último, se realiza una determinación de las opciones de tratamiento de
riesgos con base en el resultado de los análisis, se busca mitigar los riegos
que hayan obtenido la puntuación más alta y con una probabilidad de
ocurrencia alta.
Prototipo de Herramienta Web
La herramienta contará con una interfaz de login para el acceso al aplicativo y el

correspondiente módulo de registro y modificación de usuarios.
Además, se tendrá la opción de exportar informes en archivos PDF para ser

impresos y sirvan de material de soporte para la implementación del modelo de
gestión de riesgos.
El prototipo será diseñado con el fin de aplicar todas las fases de la metodología
de gestión de riesgos OCTAVE ALLEGRO.
A continuación, se describen los módulos que tendrá la herramienta web:
Criterios de medición de riesgos: Este módulo permite la creación de un

conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del
riesgo contra la misión y objetivos de la organización en 5 categorías:
• Reputación/confianza del cliente

• Financiera
• Productividad
28
• Seguridad/salud
• Multas/penas legales
En este módulo el usuario ingresará la información de cada uno de los riesgos

agrupándolos en áreas de impacto, es decir, indicando cómo la compañía se verá
afectada por algún incidente de seguridad, el usuario debe definir el impacto que
se generará (bajo, medio, alto) esto será configurable en la herramienta.
También contará con una pestaña para la opción de priorización de estas áreas de
acuerdo con los intereses de la organización. La categoría más importante recibe
el puntaje más alto y la menos importante recibe la calificación más baja, con una
escala de 1 a 5.
Perfil de activos de información: Este módulo permite que el usuario registre los
activos de información de la organización realizando la descripción del activo y
especificando las razones por las cuales se elige.
A cada uno de estos activos se les puede asignar un usuario responsable el cual
debe llenar la información pertinente a los requisitos de seguridad necesarios para
el activo.
Contenedores de activos de información: En este módulo el usuario podrá

crear los contenedores de los activos, es decir cada uno de los lugares en donde
se almacena la información y así mismo tendrá la opción de asignar cada activo
creado a uno de estos contenedores.
Áreas de preocupación: En este módulo el usuario puede crear los perfiles de

riesgo para cada uno de los activos creados, en donde se podrán documentar las
condiciones que preocupan a la organización en cuanto a su información crítica,
realizando el registro de la información sobre quien podría llevar a cabo esta
amenaza (actores), los medios por los cuales se podría ejecutar, motivos y
resultados.
Escenarios de Amenaza: En este módulo el usuario podrá configurar los

escenarios de amenaza para cada una de las áreas de preocupación que creó en
el paso anterior relacionándolas con los activos críticos, en este paso se puede
documentar el actor, motivo y consecuencia de que se materialice la amenaza.
29
Identificación de Riesgos: En este módulo el usuario puede documentar el
impacto que tendría la organización sí se realiza un escenario de amenaza, en
este paso se define la prioridad realista de que ocurra la amenaza.
Análisis de Riesgos: En este módulo el usuario puede medir de manera

cualitativa el grado en que la organización es afectada por una amenaza y se
calcula una puntuación para cada riesgo de cada área de preocupación.
Enfoque de Mitigación: En este módulo podrá ver el resultado del análisis que
realiza la metodología basada en la información ingresada, y podrá determinar de
acuerdo a la matriz de riesgo usada y la puntuación obtenida, la sugerencia de si
debe aceptar, transferir, mitigar o aplazar el riesgo.
El prototipo estará desarrollado bajo las siguientes herramientas:
• Lenguaje de Programación NodeJS, IONIC, AngularJS

• Motor de Base de Datos MYSLQ
• Sistema Operativo Ubuntu
1.5.2 Limitaciones:
La gestión de riesgos desarrollada será aplicada únicamente al sector fiduciario en

Bogotá - Colombia.
El prototipo Web que servirá para aplicar la metodología OCTAVE Allegro

únicamente abarcará todas las 8 etapas de la metodología.
El prototipo web funcionará únicamente en navegador Firefox versión 47.0 o

superior y navegador Chrome versión 51.0 o superior.
Las pruebas de la aplicación móvil serán realizadas únicamente en sistema

Android 6.0
1.6 JUSTIFICACIÓN:
30
La información es la parte más importante y de mayor susceptibilidad en cualquier
empresa, para algunas entidades como lo son las del sector fiduciario un mal
manejo de la información se puede representar en pérdidas económicas
considerables y es por ello que en sus procesos se debe considerar la aplicación
de estrategias que establezcan controles de seguridad con el fin de asegurar el
cumplimiento de sus objetivos de negocio. La propuesta realizada se hace con el
fin de brindar una guía a las entidades del sector fiduciario en cuanto a la gestión
de riesgos de seguridad informática y proporcionar además una herramienta de
software que le permita realizar esta gestión de manera práctica y sencilla sin
necesidad de tener conocimientos avanzados en tecnología. Finalmente, el
desarrollo de este proyecto es una oportunidad para aportar a las entidades
fiduciarias y a la academia conocimientos que apuntan al avance colectivo a
través de la tecnología, además de incentivar a otros estudiantes a trabajar por
crear proyectos que nos enriquezcan como profesionales, sin olvidar que somos
parte de una gran sociedad que necesita soluciones oportunas a través del
desarrollo y uso de tecnología.
1.7 MARCOS DE REFERENCIA
1.7.1 Marcos histórico:
ESTUDIO DEL RIESGO OPERACIONAL EN EL SECTOR FIDUCIARIO, UN

ENFOQUE PARA FIDUCIARIA BOGOTA S.A.
Investigación realizada por estudiantes de La Universidad de la Salle en agosto de

2007 para la facultad de Economía. En este estudio los estudiantes realizan la
investigación del riesgo operativo de las compañías fiduciarias en Colombia el cual
definen como la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones, en el recurso humano, los procesos, la tecnología, la
infraestructura o por la ocurrencia de acontecimientos externos.
Se realiza una breve descripción de los métodos establecidos internacional y

nacionalmente para tratar los riegos operativos en las compañías fiduciarias, para
el caso de las medidas establecidas nacionalmente describen que en Colombia el
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), emitió la
norma NTC 5254 la cual es una guía para la gestión del riesgo.
31
Dicha norma define la gestión del riesgo como “el termino aplicado a un método
lógico y sistematizado para el establecimiento del contexto, identificación, análisis,
evaluación, tratamiento, monitoreo y comunicación de los riesgos asociados con
cualquier actividad, función o proceso; de forma que posibilite que las
organizaciones minimicen perdidas y maximicen oportunidades. La gestión del
riesgo tiene que ver tanto con la identificación de oportunidades como con la
prevención o mitigación de pérdidas.
Finalmente realizan el desarrollo de la gestión del riesgo operativo para la

Fiduciaria Bogotá S.A en donde se realiza en cada una de las fases a manera
explicativa como se debe implementar el modelo de gestión de riesgos y que
cosas se deben tener en cuenta para realizar su mantenimiento sin aplicar ningún
tipo de salvaguardas ni hacer una identificación de amenazas reales en la
fiduciaria Bogotá S.A.
RIESGO OPERATIVO EN CARTERA DE UNA SOCIEDAD FIDUCIARIA
Ensayo realizado por estudiante de la universidad Militar como opción de grado en

contaduría pública en 2014, en este ensayo se realiza una investigación a cerca
de cada uno de los métodos de medición para el riesgo operativo, y se realiza una
profundización en la norma NTC 5254 especificando cada una de sus etapas. En
desarrollo de la gestión de riesgo en cartera de una Fiduciaria se dan las pautas
generales de la aplicación del SARO (Sistema de Administración de Riesgo
Operativo) y del SARLAFT (Sistema de Administración de Riesgo de Lavado) y
finalmente se realiza un desglose de los perfiles de riesgo y se realiza la matriz de
riesgo de la cartera fiduciaria.
Herramienta de Evaluación de Seguridad de Microsoft (MSAT)
Esta herramienta gratuita de Microsoft emplea un enfoque integral para la

medición de la seguridad para temas que abarcan tanto personas, procesos y
tecnología; ofreciendo información y recomendaciones para la seguridad del
ambiente informático de empresa con menos de 1000 empleados, a fin de
ayudarles a comprender los riesgos potenciales que afrontan y el nivel de madurez
de seguridad de la organización. Utiliza el concepto de defensa en profundidad
para implementar capas de defensa que incluyen controles técnicos, estándares
organizativos y operativos, basándose en las mejores prácticas aceptas para
reducir el riesgo en ambientes de TI como son ISO 17799 y NIST -800.x
32
MSAT proporciona:
• Conocimiento constante, complejo y fácil de utilizar acerca del nivel de

seguridad.
• Marco de defensa de profundidad con análisis comparativos del sector.
• Informes detallados y actuales comparando el plan inicial con los avances
Obtenidos.
• Recomendaciones comprobadas y actividades prioritarias para mejorar la
seguridad.
• Consejos estructurados de Microsoft y de la industria.
La evaluación de riesgos consiste en dos partes:
• Un perfil de los riesgos comerciales (BRP). - Consta de alrededor 200

preguntas distribuidas sobre el modelo de la empresa para calcular el
riesgo.
• Una evaluación para determinar las medidas de seguridad formadas por
capas de defensa compuesta por cuatro áreas de análisis: infraestructura,
aplicaciones, operaciones y usuarios.
RISICARE
Es una herramienta basada en el método MEHARI que mejora la productividad y

la precisión de un enfoque de gestión de riesgos especialmente en contexto de
empresas 24 medianas. RISICARE define un perímetro de procesos claves para
optimizar el proceso y los recursos sean internos o externos, apoyado en los
siguientes parámetros:
• Utilizar el método MEHARI desarrollado dentro de CLUSIF.
• Personalizar la base de conocimientos e incluso construir su propia base de
conocimiento.
• Relacionar la cuantificación de los escenarios de riesgo con una posible
auditoría.
• Desarrollar planes coherentes para optimizar la reducción de riesgos
generales.
• Ser una herramienta potente y de fácil uso integrándose con Windows
RISICARE consta de 4 fases:
33
Fase 1: Establecimiento del contexto. -Primero se identifican y se clasifican los
activos, luego se establece un vínculo entre los procesos del negocio y finalmente
se cuantifican las vulnerabilidades de los activos.
Fase 2: Análisis de lo Existente. - Se mide el nivel de madurez de la empresa en

función de la taxonomía de temas de auditoría de CLUSIF 2010.
Fase 3: Tratamiento de Riesgos. - Se garantiza el cumplimiento de la norma ISO
27005, realizando planes de acción destinados a reducir la gravedad de los
riesgos.
Fase 4: Aceptación del Riesgo. - Definir medios para evitar, transferir y reducir el
riesgo.
PILAR
Es una herramienta desarrollada para soportar el análisis y la gestión de riesgos

de sistemas de información siguiendo la metodología MAGERIT. Las siglas de
PILAR provienen de “Procedimiento Informático Lógico para el Análisis de
Riesgos”. Analiza los riesgos en varias dimensiones: confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad. Para tratar el riesgo se proponen:
salvaguarda o contramedidas, normas y procedimientos de seguridad.
Esta herramienta soporta las fases del método MAGERIT:
• Caracterización de los activos: identificación, clasificación, dependencias y

valoración.
• Caracterización de las amenazas
• Evaluación de las salvaguardas.
Evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual,

presentándolo de forma que permita el análisis de por qué se da cierto impacto o
cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporación
a un mismo modelo de diferentes situaciones temporales. Se puede incorporar el
resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del
plan de seguridad, monitorizando la mejora del sistema.
34
PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas
o tablas que se pueden agregar a una hoja de cálculo, logrando elaborar
diferentes tipos de informes y presentaciones de los resultados.
Finalmente, la herramienta calcula calificaciones de seguridad respecto a normas

ampliamente conocidas, como son UNE-ISO/IEC 27002:2009: sistemas de gestión
de seguridad, RD 1720/2007: datos de carácter personal y RD 3/2010: Esquema
Nacional de Seguridad.
Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como
cuantitativos, logrando alternarse entre estos para extraer el máximo beneficio de
las posibilidades teóricas de cada uno de ellos.
1.7.2 Marco teórico:
Aplicaciones Web: Una aplicación web es un tipo esencial de aplicación

cliente/servidor, donde tanto el cliente (el navegador, explorador o visualizador)
como el servidor (el servidor web) y el protocolo mediante el cual se comunican
(HTTP) están estandarizados y no han de ser creados por el programador de
aplicaciones.
El protocolo HTTP forma parte de la familia de protocolos de comunicaciones

TCP/IP, que son empleados en Internet. Estos protocolos permiten la conexión de
sistemas heterogéneos, lo que facilita el intercambio de información entre distintos
ordenadores. HTTP se sitúa en el nivel 7 (aplicación) del modelo OSI
El cliente: El cliente Web es un programa con el que se interactúa para solicitar a

un servidor web el envío de los recursos que desea obtener mediante HTTP.
La parte cliente de las aplicaciones web suelen estar formadas por el código
HTML de la página web, mas algo de código ejecutable realizado en el lenguaje
script (Java Script) o mediante pequeños programas (applets) realizados en java.
También se suelen emplear plagios que permiten visualizar otros contenidos
multimedia.
El servidor: El servidor web es un programa que está esperando

permanentemente las solicitudes de conexión mediante HTTP por parte de los
clientes WEB.
35
Amenazas: Peligro latente de que un evento físico de origen natural, o causado, o
inducido por la acción humana de manera accidental, se presente con una
severidad suficiente para causar daños, pérdidas en los bienes e infraestructura,
básicamente, podemos agrupar las amenazas a la información en cuatro grandes
categorías: Factores Humanos (accidentales, errores), fallas en los sistemas de
procesamiento de información; desastres naturales y actos maliciosos o
malintencionados, algunas de estas amenazas son:
• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje
Algunas principales amenazas son:
Spyware: (Programas espías): Código malicioso cuyo principal objetivo es recoger

información sobre las actividades de un usuario en un computador, para permitir el
despliegue sin autorización, o para robar información personal (p.ej. números de
tarjetas de crédito).
Troyanos, virus y gusanos: Son programas de código malicioso, que de

diferentes maneras se alojan en los computadores con el propósito de permitir el
acceso no autorizado a un atacante, o permitir el control de forma remota de los
sistemas.
Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es

obtener de manera fraudulenta datos conﬁdenciales de un usuario, especialmente
ﬁnancieros, aprovechando la forma en que operan y la oferta de servicios en
algunos casos con pocos conocimientos que éste tiene en los servicios
tecnológicos y en medidas de seguridad.
36
Spam: Recibo de mensajes no solicitados, principalmente por correo electrónico,
cuyo propósito es difundir grandes cantidades de mensajes comerciales Se han
presentado casos en los que los envíos se hacen a sistemas de telefonía celular.
Botnets (Redes de robots): Son máquinas infectadas y controladas

remotamente, que se comportan como “zombis”, quedando incorporadas a redes
distribuidas de computadores llamados robot, los cuales envían de forma masiva
mensajes de correo “spam”.
Gestión del riesgo: Es el proceso social de planeación, ejecución, seguimiento y

evaluación de políticas y acciones permanentes para el conocimiento del riesgo y
promoción de una mayor conciencia del mismo, impedir o evitar que se genere,
reducirlo o controlarlo cuando ya existe y para prepararse y manejarlas situaciones
de desastre, así como para la posterior recuperación.
Vulnerabilidad: es la capacitad y posibilidad de un sistema de responder o

reaccionar a una amenaza o de recuperarse de un daño. Las vulnerabilidades
están en directa interrelación con las amenazas porque si no existe una amenaza,
tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un daño. La vulnerabilidad es el punto o aspecto del sistema que es
susceptible de ser atacado o de dañar la seguridad del mismo, Representan las
debilidades o aspectos falibles o atacables en el sistema informático.
Riesgos: Los sistemas se ven afectados por un sin número de acciones que se
valen de las deficiencias o limitantes de ellos y que de una u otra manera pueden
llegar a afectar los beneficios para los cuales fue creado. El riesgo es la
probabilidad de que un bien pueda sufrir un daño y por lo tanto se puede
cuantificar como alto, medio o bajo.
1.7.3 Marco metodológico:
1.7.3.1 Metodología RUP
Modelado del negocio: Con este flujo de trabajo pretendemos llegar a un mejor
entendimiento de la organización donde se va a implantar el producto.
37
Los objetivos del modelado de negocio son:
• Entender la estructura y la dinámica de la organización para la cual el

sistema va ser desarrollado (organización objetivo).
• Entender el problema actual en la organización objetivo e identificar
potenciales mejoras.
• Asegurar que clientes, usuarios finales y desarrolladores tengan un
entendimiento común de la organización objetivo.
• Derivar los requisitos del sistema necesarios para apoyar a la organización
objetivo.
Para lograr estos objetivos, el modelo de negocio describe como desarrollar una
visión de la nueva organización, basado en esta visión se definen procesos, roles
y responsabilidades de la organización por medio de un modelo de Casos de Uso
del negocio y un Modelo de Objetos del Negocio. Complementario a estos
modelos, se desarrollan otras especificaciones tales como un Glosario.
Requisitos: Este es uno de los flujos de trabajo más importantes, porque en él se

establece qué tiene que hacer exactamente el sistema que construyamos. En esta
línea los requisitos son el contrato que se debe cumplir, de modo que los usuarios
finales tienen que comprender y aceptar los requisitos que especifiquemos.
Los objetivos del flujo de datos Requisitos son:
• Establecer y mantener un acuerdo entre clientes sobre lo que el sistema

podría hacer.
• Proveer a los desarrolladores un mejor entendimiento de los requisitos del
sistema
• Definir el ámbito del sistema.
• Proveer una base para la planeación de los contenidos técnicos de las
iteraciones.
• Proveer una base para estimar costos y tiempo de desarrollo del sistema.
• Definir una interfaz de usuarios para el sistema, enfocada a las
necesidades y metas del usuario.
Los requisitos se dividen en dos grupos. Los requisitos funcionales representan la

funcionalidad del sistema. Se modelan mediante diagramas de Casos de Uso. Los
requisitos no funcionales representan aquellos atributos que debe exhibir el
38
sistema, pero que no son una funcionalidad específica. Por ejemplo, requisitos de
facilidad de uso, fiabilidad, eficiencia, portabilidad, entre otras.
Para capturar los requisitos es preciso entrevistar a todos los interesados en el

proyecto, no sólo a los usuarios finales, y anotar todas sus peticiones. A partir de
ellas hay que descubrir lo que necesitan y expresarlo en forma de requisitos.
En este flujo de trabajo, y como parte de los requisitos de facilidad de uso, se

diseña la interfaz gráfica de usuario. Para ello habitualmente se construyen
prototipos de la interfaz gráfica de usuario que se contrastan con el usuario final.
Análisis y Diseño: El objetivo de este flujo de trabajo es traducir los requisitos a

una especificación que describe cómo implementar el sistema.
Los objetivos del análisis y diseño son:
• Transformar los requisitos al diseño del futuro sistema.

• Desarrollar una arquitectura para el sistema.
• Adaptar el diseño para que sea consistente con el entorno de
implementación, diseñando para el rendimiento.
El análisis consiste en obtener una visión del sistema que se preocupa de ver qué
hace, de modo que sólo se interesa por los requisitos funcionales. Por otro lado, el
diseño es un refinamiento del análisis que tiene en cuenta los requisitos no
funcionales, en definitiva, cómo cumple el sistema sus objetivos.
Al principio de la fase de elaboración hay que definir una arquitectura candidata:

crear un esquema inicial de la arquitectura del sistema, identificar clases de
análisis y actualizar las realizaciones de los Casos de Uso con las interacciones
de las clases de análisis. Durante la fase de elaboración se va refinando esta
arquitectura hasta llegar a su forma definitiva. En cada iteración hay que analizar
el comportamiento para diseñar componentes. Además, si el sistema usará una
base de datos, habrá que diseñarla también, obteniendo un modelo de datos.
El resultado final más importante de este flujo de trabajo será el modelo de diseño.
Consiste en colaboraciones de clases, que pueden ser agregadas en paquetes y
subsistemas.
Otro producto importante de este flujo es la documentación de la arquitectura de

software, que captura varias vistas arquitectónicas del sistema.
39
Implementación: En este flujo de trabajo se implementan las clases y objetos en
ficheros fuente, binarios, ejecutables y demás. Además, se deben hacer las
pruebas de unidad: cada implementador es responsable de probar las unidades
que produzca. El resultado final de este flujo de trabajo es un sistema ejecutable.
En cada iteración habrá que hacer lo siguiente:
• Planificar qué subsistemas deben ser implementados y en qué orden deben

ser integrados, formando el Plan de Integración.
• Cada implementador decide en qué orden implementa los elementos del
subsistema.
• Si encuentra errores de diseño, los notifica.
• Se prueban los subsistemas individualmente.
• Se integra el sistema siguiendo el plan.
La estructura de todos los elementos implementados forma el modelo de

implementación. La integración debe ser incremental, es decir, en cada momento
sólo se añade un elemento. De este modo es más fácil localizar fallos y los
componentes se prueban más a fondo. En fases tempranas del proceso se
pueden implementar prototipos para reducir el riesgo. Su utilidad puede ir desde
ver si el sistema es viable desde el principio, probar tecnologías o diseñar la
interfaz de usuario. Los prototipos pueden ser exploratorios (desechables) o
evolutivos. Estos últimos llegan a transformarse en el sistema final.
Pruebas: Este flujo de trabajo es el encargado de evaluar la calidad del producto

que estamos desarrollando, pero no para aceptar o rechazar el producto al final
del proceso de desarrollo, sino que debe ir integrado en todo el ciclo de vida.
Esta disciplina brinda soporte a las otras disciplinas. Sus objetivos son:
• Encontrar y documentar defectos en la calidad del software.

• Generalmente asesora sobre la calidad del software percibida.
• Provee la validación de los supuestos realizados en el diseño y
especificación de requisitos por medio de demostraciones concretas.
• Verificar las funciones del producto de software según lo diseñado.
• Verificar que los requisitos tengan su apropiada implementación.
Las actividades de este flujo comienzan pronto en el proyecto con el plan de

prueba (el cual contiene información sobre los objetivos generales y específicos de
40
las pruebas en el proyecto, así como las estrategias y recursos con que se dotará
a esta tarea), o incluso antes con alguna evaluación durante la fase de inicio, y
continuará durante todo el proyecto.
El desarrollo del flujo de trabajo consistirá en planificar que es lo que hay que
probar, diseñar cómo se va a hacer, implementar lo necesario para llevarlos a
cabo, ejecutarlos en los niveles necesarios y obtener los resultados, de forma que
la información obtenida nos sirva para ir refinando el producto a desarrollar.
Despliegue: El objetivo de este flujo de trabajo es producir con éxito

distribuciones del producto y distribuirlo a los usuarios. Las actividades implicadas
incluyen:
• Probar el producto en su entorno de ejecución final.

• Empaquetar el software para su distribución
• Distribuir el software.
• Instalar el software.
• Proveer asistencia y ayuda a los usuarios.
• Formar a los usuarios y al cuerpo de ventas.
• Migrar el software existente o convertir bases de datos.
Este flujo de trabajo se desarrolla con mayor intensidad en la fase de transición, ya

que el propósito del flujo es asegurar una aceptación y adaptación sin
complicaciones del software por parte de los usuarios. Su ejecución inicia en fases
anteriores, para preparar el camino, sobre todo con actividades de planificación,
en la elaboración del manual de usuario y tutoriales.
Gestión del proyecto: La Gestión del proyecto es el arte de lograr un balance al

gestionar objetivos, riesgos y restricciones para desarrollar un producto que sea
acorde a los requisitos de los clientes y los usuarios.
Los objetivos de este flujo de trabajo son:
Proveer un marco de trabajo para la gestión de proyectos de software intensivos.

Proveer guías prácticas realizar planeación, contratar personal, ejecutar y
monitorear el proyecto.
Proveer un marco de trabajo para gestionar riesgos.
41
La planeación de un proyecto posee dos niveles de abstracción: un plan para las
fases y un plan para cada iteración.
Configuración y control de cambios: La finalidad de este flujo de trabajo es

mantener la integridad de todos los artefactos que se crean en el proceso, así
como de mantener información del proceso evolutivo que han seguido.
Entorno: La finalidad de este flujo de trabajo es dar soporte al proyecto con las
adecuadas herramientas, procesos y métodos. Brinda una especificación de las
herramientas que se van a necesitar en cada momento, así como definir la
instancia concreta del proceso que se va a seguir.
En concreto las responsabilidades de este flujo de trabajo incluyen:
• Selección y adquisición de herramientas

• Establecer y configurar las herramientas para que se ajusten a la
organización.
• Configuración del proceso.
• Mejora del proceso.
• Servicios técnicos.
El principal artefacto que se usa en este flujo de trabajo es el caso de desarrollo

que específica para el proyecto actual en concreto, como se aplicará el proceso,
que productos se van a utilizar y cómo van a ser utilizados. Además, se tendrán
que definir las guías para los distintos aspectos del proceso, como pueden ser el
modelado del negocio y los Casos de Uso, para la interfaz de usuario, el diseño, la
programación, el manual de usuario.
Metodología PHVA: también conocido como círculo PDCA (del inglés plan-do-
check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua,
es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un
concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de
gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la
información (SGSI).
Los resultados de la implementación de este ciclo permiten a las empresas una

mejora integral de la competitividad, de los productos y servicios, mejorando
continuamente la calidad, reduciendo los costos, optimizando la productividad,
reduciendo los precios, incrementando la participación del mercado y aumentando
la rentabilidad de la empresa u organización.
42
El control de procesos, se establece a través del ciclo P.H.V.A, este ciclo está
compuesto por las cuatro fases básicas del control: planificar, ejecutar, verificar y
actuar correctivamente.
Planear (P): En esta se establecen los objetivos y procesos necesarios para

conseguir resultados de acuerdo con los requisitos del cliente y las políticas de
organización, además se crea la manera para alcanzar las metas propuestas. Esta
etapa contiene cuatro pasos a seguir que consisten en la identificación del
problema, descripción del fenómeno, análisis de causas y plan de acción.
En el caso de un plan de mejoramiento, la fase de planeación tiene, entre otros, el
objetivo de asegurar que el plan que se seleccionará para análisis es realmente el
más importante en cuanto a su contribución al mejoramiento de los indicadores
clave del negocio. Las empresas siempre tendrán problemas, por lo que encontrar
cuál de ellos es el más importante, nunca será tarea fácil.
Hacer (H): En esta fase se enfoca en el análisis de las causas que provocaron la
aparición del problema y la búsqueda de alternativas de solución, para después
implementar las mejora, y de esta manera proporcionar la solución que se
considere más apropiada para resolver el problema. Durante todo este proceso se
recomienda que se utilice la toma de decisiones por consenso.
Verificar (V): En esta etapa se realiza el seguimiento tomando como base los
datos recolectados durante la ejecución, se compara el resultado obtenido con la
meta planificada, se miden los procesos y productos contra las políticas, los
objetivos y los requisitos, finalmente se informan los resultados. Las mismas
técnicas que fueron utilizadas durante la fase de planeación para evaluar y
detectar áreas de oportunidad para el mejoramiento pueden ser utilizadas durante
esta fase.
Actuar (A): Esta es la etapa en la cual el usuario detectó desvíos y toma acciones
para mejorar continuamente el desarrollo de los procesos de modo que el
problema no se repita nunca más, esta fase consiste en incorporar los ajustes
necesarios que se hayan evidenciado en la fase de verificación. En esta fase es
importante garantizar que la experiencia adquirida no solamente en el problema
analizado, sino también en la capacidad y habilidad para trabajar en equipo, sirve
de base para lograr una mayor efectividad en la solución de problemas futuros.
43
1.7.4 Marco conceptual:
Amenaza: Se puede definir como amenaza a todo elemento o acción capaz de

atentar contra la seguridad de la información. Las amenazas surgen a partir de la
existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si
existe una vulnerabilidad que pueda ser aprovechada, e independientemente de
que se comprometa o no la seguridad de un sistema de información.
Vulnerabilidad: Es el grado de pérdida de un elemento o grupo de elementos

bajo riesgo, resultado de la probable ocurrencia de un suceso desastroso
expresada en una escala. La vulnerabilidad se entiende como un factor de riesgo
interno, expresado como la factibilidad de que el sujeto o sistema expuesto sea
afectado por el fenómeno que caracteriza la amenaza.
Riesgo: se puede definir como aquella eventualidad que imposibilita el

cumplimiento de un objetivo, de manera cuantitativa, es la probabilidad de que una
amenaza se materialice, utilizando la vulnerabilidad existente de un activo o un
grupo de activos generándole pérdidas o daños.
Gestión: Se denomina gestión al correcto manejo de los recursos de los que

dispone una determinada organización, como, por ejemplo, empresas, organismos
públicos, organismos no gubernamentales, entre otras. El término gestión puede
abarcar una larga lista de actividades, pero siempre se enfoca en la utilización
eficiente de estos recursos, en la medida en que debe maximizarse sus
rendimientos.
Seguridad informática: Se denomina seguridad informática para conservar los

ordenadores y equipos relacionados en buen estado. La seguridad informática
permite asegurarse que los recursos del sistema se utilizan de la manera en la que
se espera y que quienes puedan acceder a la información que en él se encuentran
sean las personas acreditadas para hacerlo
Información: es un conjunto organizado de datos procesados, que constituyen un

mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe
dicho mensaje
Activo: Un activo es un bien que la empresa posee y que puede convertirse en

dinero u otros medios líquidos equivalentes.
44
1.8 FACTIBILIDAD DE DESARROLLO:
1.8.1 Técnica:
Técnica: Para el desarrollo del proyecto se cuenta con 2 computadores con las
siguientes características:
Tabla 1 Características técnicas

Articulo Características
Procesador: 2.4GHz Intel Core i3
Memoria RAM: DDR3 6 GB.
Computador Disco Duro: 600 GB
portátil Procesador: 2.3GHz Intel Core i7-3610QM de cuatro núcleos.
Memoria RAM: DDR3 SDRAM 6 GB.
Disco Duro: 650 GB
Fuente: Propia
Además, se cuenta con los siguientes recursos de Software:
Tabla 2 Características de software

Programa Descripción
Ubuntu 14 Sistema Operativo
Jdeveloper 11.1.1.4.0 Interfaz de desarrollo
Eclipse Interfaz de desarrollo
JEE Especificación del lenguaje de Programación
MySql 5.6.10 Sistema manejador de base de datos
Fuente: Propia
1.8.2 Operativa:
45
El proyecto cuenta con la participación del ingeniero Jairo Hernández, como
encargado de la asesoría en temas técnicos y metodologías durante la
elaboración del proyecto.
Los estudiantes de Ingeniería en Telemática Jeimy Lorena Rojas Cruz y Sandra

Milena Torres Morales quienes estarán a cargo del diseño y desarrollo del
proyecto. El proyecto es viable operativamente debido a que se cuenta con el
compromiso y participación de las personas requeridas para dicho desarrollo.
1.8.3 Económica:
El proyecto requiere para su desarrollo la implementación de los siguientes

recursos:
Tabla 3 Recursos economicos

Costos Recursos Valor Proveedor Total
Procesador: 2.4GHz
Intel Core i3
Grupo de
Memoria RAM: DDR3 6
$1’200.000 trabajo
GB.
Disco Duro: 600 GB
Procesador: 2.3GHz
Hardware $ 2’800.000
Intel Core i7-3610QM
de cuatro núcleos.
Grupo de
Memoria RAM: DDR3 $ 1’600.000
Trabajo
SDRAM 6 GB.
Disco Duro: 650 GB.
Computador portátil
Grupo de
Windows 7 Ultímate $0
trabajo
Comunidad
Manejador de base de
$0 software
datos MySQL 5 $0
Software libre
Comunidad
ATOM $0 software
libre
$15.000 x Grupo de
Humano Asesor técnico
60 horas trabajo $5’580.000
46
$7800 x Grupo de
Desarrolladores
600 horas trabajo
Papelería, fotocopias, Grupo de
Otros $ 200.000 $ 200.000
transportes, trabajo
Imprevisto $429.000 $429.000
$
Costo Total del proyecto
9.009.000
Fuente: Propia
El proyecto es viable económicamente ya que se cuentan con los recursos de

hardware necesarios y los recursos de software son de código abierto.
1.8.4 Legal:
Gracias a que todas las herramientas de software son libres (con Licencia Pública
General “GPL”), nosotros no tendremos que correr altercados con ninguna licencia
de uso para el desarrollo de este proyecto. Lo cual nos indica que el proyecto es
legalmente viable.
47
1.8.5 Cronograma de actividades:
Ilustración 1 Cronograma de actividades
48
Fuente: Propia
49
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS
Se tomó como referencia la compañía Acción Fiduciaria, fiducia que opera

actualmente en Bogotá hace más de 20 años, el análisis se realiza bajo la norma
ISO 27000 en donde se especifican los objetivos estándar que deberían ser
aplicados.
Para realizar el análisis de la situación actual de la fiduciaria, se realizó todo un

proceso de levantamiento de información donde el primer paso fue realizar una
visita en la compañía en la sede del Polo, se realizó un recorrido por las
instalaciones en el cual se encontraron dos plantas en la primera se encuentra
situada la recepción, cuatro salas de juntas, un parqueadero, el comedor, cuatro
baños, el datacenter y el archivador, en la segunda planta se encontraron las
diferentes áreas de la compañía tales como servicio al cliente, contabilidad, el área
de sistemas, el área jurídica, auditoria, mesa de dinero, tesorería y la gerencia en
este recorrido se realizó de la mano de la analista de riesgos.
Se realizó una entrevista a la analista de riesgos y al ingeniero de infraestructura,

en la cual se realizó una serie de preguntas (Anexo 1),
donde se dio a conocer información sobre cada uno de los controles basados en la
norma ISO 27000, con base en las respuestas y comentarios realizados durante la
entrevista, se logró identificar aspectos de gran impacto que permitieron definir el
estado actual de la compañía, algunos eventos actualmente afectan la seguridad
de la información.
A continuación, se seleccionan los objetivos de control afines para la

determinación de la situación actual en el marco del proyecto.
Acción Fiduciaria cuenta con un Datacenter ubicado en el primer piso, en él se

encontró varios dispositivos, como medio de control de acceso cuenta con un
firewall WATCHGUARD XTM 5 SERIES que integra una protección completa,
reduce el tiempo y los costos de administrar múltiples productos de seguridad, un
Servidor BladeCenter IBM HS23 que ofrece un rendimiento excelente con
compatibilidad con los procesadores Intel® para una mayor velocidad,
compatibilidad y gran capacidad de memoria, la empresa cuenta con 3 Router dos
de ellos son cisco 2900 Series y el otro es cisco 860 series.
50
La estructura del cableado horizontal cuenta con cable UTP, par trenzado
Categoría 6A, se usa tanto para el backbone vertical como el horizontal, la red
actual está diseñada bajo la tipología estrella en donde todos los segmentos de
cable de cada equipo están conectados a un punto central.
Accion Fiduciaria cuenta con conectividad WAN, en diferentes sedes en el país

tales como Medellín, Popayán, Cali, Bucaramanga, Barranquilla; la ciudad de
Bogotá cuenta con tres sedes Polo, calle 85 y calle 93, el area de infraestructura
realiza la asignación de las direcciones IP de manera estática segmentada por
sedes, usando un modelo de direccionamiento IPV4.
Diagrama de red actual.
Ilustración 2 Diagrama de red actual
Fuente: Propia
51
2.1. Evaluación de la seguridad de la información del caso estudio.
La metodología Octave Allegro, no sugiere controles durante el desarrollo de su

metodología, por tanto se tomaron los dominios de la norma ISO 27000, que
permiten gestionar la seguridad de la información en los diferentes procesos de la
compañía; estos dominios se incorporan en los activos que se van a proteger, con
el fin de garantizar el correcto uso, operatividad y gestión de la información,
dentro de los marcos legales.
Los dominios permiten identificar los riesgos, analizarlos y gestionar un plan de
acción que permitan mitigarlos, teniendo en cuenta la integridad, disponibilidad y
confidencialidad de la información.
Para el análisis del caso estudio se seleccionaron los siguientes dominios de la

norma ISO 27000:
• Dominio 5: Políticas de seguridad de la Información.

• Dominiou5 6: Organización de la seguridad de la información.
• Dominio 7: Seguridad de los Recursos Humanos.
• Dominio 8: Gestión de recursos.
• Dominio 9: Gestión de acceso de usuario.
• Dominio 10: Criptografía.
• Dominio 11: Seguridad física y ambiental.
• Dominio 12: Seguridad Operacional.
• Dominio 13: Seguridad de las Comunicaciones.
• Dominio 15: Relaciones con los proveedores.
• Dominio 16: Gestión de Incidentes de Seguridad de la Información.
• Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio.
• Dominio 18: Cumplimiento.
Cada dominio fue seleccionado según el criterio de la analista de riesgos y el

ingeniero de infraestructura con el fin de evaluar la situación actual de la fiduciaria
en cuanto a seguridad de la información y la seguridad física de la misma.
A continuación, se realiza un análisis de cada uno de los objetivos de control para

determinar la situación actual de la fiduciaria en el marco del proyecto:
52
2.1.1. Dominio 5: Políticas de seguridad de la Información
Las políticas de seguridad son analizadas por la junta directiva en la cual indican
claramente las necesidades que tiene la organización, en cuanto a la seguridad
de la información, teniendo en cuenta algunos riesgos presentados anteriormente
en la compañía, estas políticas van dirigidas a todo el personal de la compañía,
una vez elaboradas las políticas deben ser revisados y aprobadas por la junta
directiva, a su vez los empleados deben ser informados sobre las mismas y
publicadas en la intranet de la organización.
2.1.2. Dominio 6: Organización de la seguridad de la información
En la compañía no se cuenta con una persona o un área que se encargue

directamente de la seguridad de la información, solo se cuentan con algunas
políticas establecidas por la junta directiva, por lo que es posible que la
información del negocio sea vulnerable, hoy en día la compañía cuenta con una
plataforma de recaudo y es de suma importancia que la información que se
presente en los diferentes portales sea segura y sea confiable.
2.1.3. Dominio 7: Seguridad de los Recursos Humanos
En Acción Fiduciaria, antes de ser contratado el personal se solicitan algunos

documentos importantes, como lo son referencias personales, visitas domiciliarias,
antecedentes disciplinarios, comprobación de las notas académicas y
profesionales, entre otros, para corroborar que la información del personal sea
correcta.
Cuando ingresa el personal se le entrega una serie de tareas, responsabilidades y

se le proporciona los medios y la información necesaria para que pueda llevarlas a
cabo las actividades correspondientes a su cargo, como capacitaciones en
herramientas web entre la cual se destaca e-learning en el cual se encuentran
cursos relacionados con SARO, SARLAFT, entre otros. Cada tres meses se
realiza una capacitación general explicando cada una de las amenazas
informáticas o fraudes que se pueden encontrar por medio del correo electrónico.
Cuando un empleado sale de la compañía, muchas veces reportan la salida del

mismo varios días después, dejando los permisos del usuario habilitados corriendo
el riesgo que pueda existir fuga de información, para este proceso no existen
53
políticas, solo existe un acuerdo en el que indica que el área de recursos humanos
reporta por correo electrónico las salidas definitivas de los empleados.
2.1.4 Dominio 8: Gestión de recursos
El inventario está a cargo del área de sistemas, quien debe elaborar y

mantener actualizado el inventario de los equipos de hardware y software, que
poseen cada una de las áreas y las sedes de la organización.
Algunas características que se deben registrar en el inventario son clasificación,

valoración, ubicación y acceso de la información. Existen una gran variedad de
activos de información tales como las bases de datos, documentación del sistema,
manuales de usuario, procedimientos operativos, registros de auditoría. Activos de
software, activos físicos garantizando la integridad y confidencialidad de la
información.
La clasificación de la información se basa según el valor, criticidad y sensibilidad a

la divulgación o modificación de la misma, determinando la forma en que se debe
manejar y los niveles de protección que debe tener.
Estos niveles se tienen en cuenta según la integridad y confidencialidad de la

información sin poner en riesgo la imagen de la compañía, debido a que cada nivel
de protección se basa en el cargo y área en cual se desempeña el personal de la
organización estos niveles son divulgados y oficializados a los usuarios.
El uso de dispositivos de almacenamiento externo está prohibido dentro de la

compañía este con el fin de evitar fuga de información, toda la información que se
necesite ser expuesta fuera de la compañía debe ser tramitada con autorización
del jefe inmediato y en unidades de CD o DVD, si algunos de los documentos que
se necesitan están en servidores de almacenamiento (la nube) tales como Drive,
Dropbox, Wetransfer deben ser descargados por el área de sistemas con
autorización del jefe inmediato.
54
2.1.5 Dominio 9: Gestión de acceso de usuario.
El área de recursos humanos de Acción Fiduciaria envía al área de sistemas un

formato de vinculación de nuevo usuario o cambio de permisos, en cual especifica
cuáles son las aplicaciones a las que el nuevo funcionario debe tener acceso, se
informa por correo electrónico el usuario y contraseña de cada una de las
aplicaciones a las cuales se les dio acceso, cuando el funcionario se retira de la
compañía se le inhabilita el usuario en cada una de las aplicaciones y se elimina la
cuenta de correo electrónico.
Para el acceso se establecen políticas de complejidad de contraseña, así mismo

se realiza control de intentos fallidos.
La responsabilidad del usuario colocar claves seguras, personales e intransferibles

a los sistemas de información y abstenerse de ingresarlas cuando algún
compañero este presente mientras se ingresa al sistema.
El hacer buen uso de los equipos que están al servicio del usuario tales como
computadores, impresoras papelería entre otras., es decir debe velar por
mantener los recursos en buen estado, óptimas condiciones esto le ayudara a
desempeñar las funciones sin contratiempos.
Es responsabilidad del usuario cuando se ausente de su puesto de trabajo

bloquear la sesión del equipo, de lo contrario apague el equipo, así evitara que
compañeros de trabajo pueda robar información sensible que puede afectar las
funciones y/o desempeño laboral.
2.1.6 Dominio 10: Criptografía
En Acción Fiduciaria no se cuentan con sistemas de encriptación, los documentos

de los clientes tales como extractos, estados de cuenta, plan de pagos, rendición
de cuentas son encriptados por bases de datos y exportados a pdf estos
documentos pueden ser abiertos solo con el número de identificación, pero al no
tener un sistema de encriptación seguro es posible que la confidencialidad e
integridad de la información pueda ser vulnerable.
55
2.1.7 Dominio: 11: Seguridad física y ambiental
En Acción fiduciaria se cuenta con seguridad en la puerta principal, allí también se

ubica una cámara de seguridad y un sensor que permite abrir la puerta, en el
tercer piso se encuentra una cerca eléctrica y varias cámaras alrededor de la
propiedad, en el parqueadero se encuentra una puerta que se maneja a control
remoto, este acceso es solo para guardar los vehículos, en el Datacenter se
encuentra una puerta con la cual se abre con una clave y una sensor de huella,
cada una de las esquinas de los pisos se encuentran cámaras y algunas de estas
captan imágenes con el sensor de movimiento.
El centro de computo y la mesa de dinero, son áreas que poseen un acceso

restringido, es decir para acceder a ellas se debe tener registrado la huella digital
y una contraseña de acceso, a estas áreas solo tiene acceso personal capacitado.
No se cuentan con planes de contingencia en caso de inundaciones, terremotos,

explosiones, tampoco se realizan simulaciones contra desastres naturales, en
caso de corte de energía se cuenta con una planta, en caso de incendio no se
cuenta con detectores de humo, solo en el centro de cómputo se cuenta con un
extinguidor.
2.1.8 Dominio 12: Seguridad Operacional
El área de sistemas de Acción fiduciaria se encarga entre otras cosas de asegurar

que los equipos del personal cuenten con antivirus actualizados para prevención
de Malware, actualmente no se cuenta con un proceso de Backup definido
oficialmente, se sacan copias periódicas de información la cual en algunas
ocasiones al intentar ser usada ya se encuentra inservible lo cual ha significado
grandes pérdidas de información.
La instalación de cualquier producto y/o servicio también es responsabilidad del

área de sistemas, actualmente no se cuenta con sistemas espejos y finalmente
Acción fiduciaria se encuentra implementando un sistema que le permita tener
documentadas sus vulnerabilidades para saber cuál es la mejor forma de
atacarlas.
56
2.1.9. Dominio 13: Seguridad de las Comunicaciones
Acción fiduciaria cuenta con un Data Center, con control de acceso en el que se
cuenta con un área refrigerada para los servidores, así como una UPS, que
permite asegurar que los equipos se puedan apagar de manera correcta, a este
cuarto solo puede acceder personal autorizado, mediante un sistema biométrico.
También se encuentra segregada la red, para las diferentes áreas de la compañía,
como lo son administrativas, contabilidad, sistemas, entre otras.
2.1.10 Dominio 15: Relaciones con los proveedores
Acción fiduciaria maneja el contrato con los proveedores de manera legal,

estableciendo compromisos y sanciones por incumplimiento, así mismo como
fechas de entregables, compromisos y responsabilidades adquiridas, estos
contratos están supervisados por abogados contratados por prestación de servicio
por la compañía.
En cuanto a los ambientes de desarrollo, son los proveedores quienes deben

solventar todos sus ambientes y Acción Fiduciaria recibe al final de la fecha
establecida de entrega, el producto finalizado para realizar pruebas funcionales, y
reportar las irregularidades encontradas o dar el visto bueno del producto recibido.
En caso de llegar a establecer un contrato con un proveedor que requiera tener

acceso a servidores expuestos por Acción fiduciaria no existen políticas
establecidas para uso y control de VPNs.
2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información
Acción fiduciaria, no cuenta con políticas de seguridad establecidas que indiquen

cuál es el procedimiento a seguir en caso de presentarse un ataque a la seguridad
de cualquier servidor o sistema, si llega a presentarse algún incidente de este tipo
se responde de manera correctiva, más no se tiene un plan preventivo.
2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la

continuidad del negocio
57
Acción fiduciaria no cuenta con planes de contingencia para dar continuidad al
negocio, no ha implementado, por ejemplo: pararrayos, detectores de humo entre
otras. No se cuenta con un plan para restablecer la operación de la compañía
luego de un desastre natural.
2.1.13. Dominio 18: Cumplimiento
Acción fiduciaria cuenta con un área de auditoría, en donde se busca asegurar

que las políticas establecidas estén siendo cumplidas, así como los estándares de
calidad de servicio al cliente, y compromisos con clientes y proveedores.
De la misma manera todas las fiducias deben cumplir con la norma establecida
por el gobierno colombiano llamada SARO, en donde esta asegura el
cumplimiento y la mitigación de los riesgos operacionales a nivel de negocio.
Para los riesgos informáticos se realizan auditorías internas, para asegurar que se
estén cumpliendo con las políticas de seguridad establecidas, y se esté llevando a
cabo el registro y seguimiento de los incidentes reportados por los clientes.
Acción Fiduciaria junto con el área de auditoria, está realizando mejoras y

monitoreos constantes con el fin de garantizar la seguridad de la información,
implementando procesos, capacitando al personal, realizando y mejorando los
manuales de las aplicaciones, para así evitar riesgos que puedan afectar tanto la
información como cualquier activo.
58
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE
3.1 introducción al análisis de riesgos
Antes de definir lo que es el análisis de riesgos, se debe considerar lo que es un

riesgo, a continuación, se exponen las siguientes definiciones:
Según Fernando Izquierdo Duarte 20051“El Riesgo es un incidente o situación,

que ocurre en un sitio concreto durante un intervalo de tiempo determinado, con
consecuencias positivas o negativas que podrían afectar el cumplimiento de los
objetivos”.
Ahora bien, un análisis de riesgo es muy importante para la gestión de la
seguridad de la información de la organización en el cual se realizará un análisis
completo para determinar, evaluar y clasificar los activos de información más
importantes según la criticidad de los mismos.
Dentro del tema de análisis de riesgo se ven reflejados elementos muy

importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos.
Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de

manera cuantitativa o cualitativa, pero siempre considerando que la medida no
debe contemplar la existencia de ninguna acción paliativa, o sea, debe
considerarse en cada caso qué posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada.
Amenazas: son eventos que pueden causar alteraciones a la información de la

organización ocasionándole pérdidas materiales, económicas, de información, y
de prestigio. Las amenazas se consideran como exteriores a cualquier sistema, es
posible establecer medidas para protegerse de las amenazas, pero prácticamente
imposible controlarlas y menos aún eliminarlas.
Vulnerabilidad: debilidad de cualquier tipo que compromete la seguridad del

sistema informático, mediante el uso de las debilidades existentes es que las
1
Administración de riesgos de tecnología de información de una empresa del sector informático,2005,
ennifer Dennise Maxitana Cevallos1, Bertha Alice Naranjo Sánchez Consultado el 1/03/2017
59
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto.
Activos: Los activos a reconocer son aquellos relacionados con sistemas de

información. Ejemplos típicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos.
Impacto: Las consecuencias de la ocurrencia de las distintas amenazas son

siempre negativas. Las pérdidas generadas pueden ser financieras, no
financieras, de corto plazo o de largo plazo.
3.2. Metodología Octave Allegro
En este presente capitulo se describe la metodología Octave Allegro, para realizar

un análisis general teniendo en cuenta para esto, los objetivos y el alcance que se
planteó en el capítulo 1, con esta metodología se pretender mostrar un modelo
diferente y adecuado para el análisis de riesgos, también se tendrá en cuenta un
marco de referencia como es la norma ISO 27000 que especifica, entre otros
aspectos, los requerimientos y actividades que se deben desarrollar para el diseño
de un Sistema de Gestión de Seguridad de la Información.
"El enfoque de OCTAVE Allegro está diseñado para permitir una evaluación
amplia del entorno de riesgo operacional de una organización con el objetivo de
producir resultados más sólidos sin la necesidad de un conocimiento extenso de
evaluación de riesgos, centrándose principalmente en los activos de información
en el contexto de cómo se utilizan, en la que se almacenan, transportan y
procesan, y la forma en que están expuestos a amenazas, vulnerabilidades y
perturbaciones como consecuencia de ello." 2 La metodología OCTAVE Allegro
también es adecuada para personas que desean realizar una evaluación de
riesgos sin una participación organizacional muy extensa.
Para la aplicación de esta metodología se tomará como referencia la Compañía
Acción Fiduciaria al igual que en la situación actual, este con el fin de realizar una
evaluación de riesgos completa para esto se tiene en cuenta los pasos de la
metodología que se describen con más detalle a continuación:
2
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process Richard A.
Caralli, James F. Stevens, Lisa R. Young, William R. Wilson Mayo 2017 Consultado el 1/03/2017
http://resources.sei.cmu.edu/asset_files/technicalreport/2007_005_001_14885.pdf
60
3.2.1 Establecer criterio de medición de riesgos
"El primer paso consiste en definir criterios que permitan conocer la postura de la
organización en cuanto a su propensión a los riesgos"3 .Los criterios de medición
del riesgo son un conjunto de medidas cualitativas para evaluar los efectos de un
riesgo realizado y constituir la base de una evaluación del riesgo de los activos de
la información.
El método establece la creación de un conjunto de criterios cualitativos con las

cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
• Reputación/confianza del cliente

• Financiera
• Productividad
• Seguridad/salud
• Multas/penas legales
Para el desarrollo de este primer paso se establecieron los criterios definidos en la

siguiente tabla:
Tabla 4 Criterios de medición de riesgos

Área de criterio de medición de riesgo
impacto Bajo Moderado Alto
Reclamaciones Incrementos de las Incrementos de las
esporádicas por reclamaciones por parte reclamaciones por parte
Consumidor parte del cliente de los clientes hasta en de los clientes hasta en
financiero un 50% de un semestre más de un 50% de un
a otro semestre a otro
Comentarios Campaña de Impacto que afecte la
injuriosos o desprestigio de la imagen de la fiduciaria
malintencionados entidad en redes en el mercado
Reputación
aislados sociales relacionado con el
servicio al cliente
3
http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/
61
No genere llamado de atención por Sanciones económicas
sanciones o parte de los 3entes de par al fiduciaria por
pérdidas control parte de autoridades
legal económicas legales o entes
significativas reguladores
para la fiduciaria
Seguridad incapacidad incapacidad entre 3 y incapacidad entre 181 y
/Salud menor a 3 días 180 días 540 días
interrupción de interrupción de las Destrucción parcial de
las operaciones operaciones de la las instalaciones físicas.
de la fiduciaria fiduciaria entre 8 y 16 Interrupción de las
por menos de 8 horas operaciones de la
Productividad horas fiduciaria entre 16 y 24
horas. No hay acceso a
las instalaciones de la
fiduciaria
Fuente: Propia
Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la

organización, por lo que el orden puede variar de una empresa a otra. La
categoría más importante recibe el puntaje más alto y la menos importante recibe
la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de
impacto y solo utiliza las descritas en OCTAVE Allegro:
Tabla 5 Areas de impacto
Área de impacto Prioridad

Consumidor financiero 5
Reputación 4
Legal 3
Productividad 2
Seguridad /Salud 1
Fuente: Propia
62
3.2.2. Desarrollar un Perfil de los Activos Informáticos:
Se enfoca en desarrollar un perfil para cada uno de los activos informáticos de la

organización. El perfil consiste en describir para cada uno de ellos, sus
características únicas, sus cualidades y valor. Este perfil no debe dar a lugar a
información ambigua, y garantiza que los requerimientos de seguridad para ese
activo queden claramente definidos. Adicionalmente en este perfil se establecen
parámetros como el responsable y los niveles de Confidencialidad, Integridad y
Disponibilidad, identificando cuál es el más importante.
Ilustración 3 Perfilamiento de activos
Fuente: James F. Stevens Information Asset Profiling
Actividad 1 Capturar información de fondo:
El propósito de este paso es recopilar información, sobre la persona que está

completando el perfil de activos de información.
Actividad 2 - Definir el activo de información
El propósito de este paso es caracterizar un activo de información. Antes de que

cualquier tipo de actividad de análisis pueda realizarse en un activo de
información, la organización debe entender y acordar lo que contiene un bien de
información.
Actividad 3 - Identificar al propietario del activo
El propósito de esta actividad es identificar y documentar el propietario del activo

de información es importante porque el propietario debe trabajar con el individuo o
grupo.
63
Actividad 4 - Identificar Contenedores
El propósito de este paso es capturar una lista de todos los contenedores en los
que el activo se almacena, transporta o procesa y la lista asociada de los gestores
de dichos contenedores.
Actividad 5 - Identificar los requisitos de seguridad
El propósito de este paso es capturar los requisitos específicos de seguridad de la

información del activo.
Actividad 6 - Determinar la Valoración del Activo de Información
Antes de que se puedan evaluar los riesgos para un activo de información, se

debe conocer el valor tangible e intangible del activo.
3.2.2.1 Desarrollo del perfilamiento de los activos
Para el desarrollo del modelo se tomaron en cuenta los perfiles de información

más relevantes de la compañía en las siguientes tablas se les realizo un análisis
según las 6 actividades relacionadas anteriormente, los activos que se
identificaron para el perfilamiento son:
• Intranet
• PSE
• Base de datos AcciónBack
• Correo electrónico
• Centro de negocios
• AcciónBack
• Documentos
• Digitalizador
• Inveracción
• Directorio activo
• Control de acceso
• Cableado
• Red eléctrica
• Servidor de aplicaciones
• Servidor de producción
• Servidor de pruebas
64
3.2.2.1.1. Perfilamiento del activo correo electrónico
Tabla 6 Perfilamiento del activo correo electrónico

Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Correo electrónico
Descripción: El correo electrónico es un servicio de red que permite que dos o
más usuarios se comuniquen entre sí por medio de mensajes que son enviados
y recibidos a través de una computadora o dispositivo móvil.
Por este medio se reciben varias peticiones o solicitudes ya sea de los clientes o
de los empleados, es un medio de comunicación vital para la compañía ya que
gran parte de las tareas son recibidas por este medio.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de correo electrónico.
Requerimientos de seguridad
Confidencialidad: Todos los correos electrónicos o PQR recibidos por parte de
los clientes se consideran como información de alta confidencialidad.
Integridad: Toda la información recibida o enviada por correo electrónico debe
ser exacta y correcta.
Disponibilidad: La información que se encuentra en el correo electrónico de
debe estar disponible siempre y cuando sea necesaria tanto para el usuario
como para los administradores de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El correo electrónico debe estar siempre accesible a cualquier hora para los
empleados de la compañía.
Fuente: Propia
3.2.2.1.2. Perfilamiento del activo Intranet
Tabla 7 Perfilamiento del activo Intranet

Activo Critico: Intranet
Descripción: La intranet es una plataforma interna de la compañía donde los
empleados de la compañía pueden acceder a varias aplicaciones Core
conectadas a diferentes servidores internos en la intranet también se aloja
información muy importante como procesos y manuales de aplicaciones.
65
Titular del activo: Gerente de infraestructura, Gerente de tecnología.
Hardware: Servidor interno
Confidencialidad: Con un perfil, usuario y contraseña proporcionada por el área
de tecnología solo algunos usuarios pueden realizar modificaciones sobre la
intranet y los documentos que en ella se encuentran.
Integridad: Solo con un usuario y contraseña se puede acceder a la intranet y a
las respectivas aplicaciones.
Disponibilidad: La intranet debe estar siempre disponible para los empleados
de la compañía para puedan realizar las actividades diarias como: Registrar
clientes en el formulario de vinculación, consultar y modificar información de
clientes registrados en el formulario de vinculación, consultar saldos de los
clientes, consultar proyectos inmobiliarios entre otros.
Valoración:
La intranet debe estar disponible y accesible a todos los usuarios de la compañía
para acceder a los diferentes aplicativos, realizar consultas de los documentos
que se encuentran publicados y realizar las tareas diarias.
Fuente: Propia
3.2.2.1.3. Perfilamiento del activo Plataforma de pagos
Tabla 8 Perfilamiento del activo Plataforma de pagos

Activo Critico: Plataforma de pagos.
Descripción: Es una aplicación Core, plataforma de recaudo en el cual los
clientes realizan los pagos de las obligaciones pactadas con la compañía,
también se encuentra el histórico de pagos realizados por los clientes, y el
estado de la transacción.
Titular del activo: Gerente de infraestructura.
Hardware: Servidor de recaudo.
Confidencialidad: Con un usuario, una contraseña y un código de verificación
que el cliente debe ingresar a la plataforma para validar y realiza el pago del
cumplimiento.
Integridad: La información que se encuentra alojada en la plataforma de pagos
debe ser verídica y confiable, solo el cliente podrá acceder con usuario,
contraseña y un código de verificación.
66
Disponibilidad: La plataforma de recaudo debe estar disponible las 24 horas del
día debido a que la compañía tiene clientes a nivel nacional e internacional,
realizando los pagos de las obligaciones en cualquier momento del día.
Valoración:
La plataforma debe estar disponible todo el tiempo debido a que lo clientes
pueden realizar pagos en cualquier momento.
Fuente: Propia
El análisis del perfilamiento de los activos de información restantes se encuentra

en el Anexo 2.
3.2.3. Identificar los Contenedores de los Activos Informáticos:
Se enfoca en identificar los contenedores de los activos informáticos. "Un

contenedor es el lugar donde estos activos son guardados, procesados y
transportados"4. Pueden residir dentro o fuera de la organización, pero todo
aquello que los amenace, incide directamente sobre ellos.
La metodología OCTAVE Allegro define así este concepto: “Un contenedor de

información es cualquier lugar donde la información ‘vive’; es decir, allí donde la
información es procesada, almacenada o transportada”5.
Ilustración 4 Contenedores de información
Fuente: Miguel Sanchez Barroso Perfilado de Activos de Información
4
http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html
5
https://technologyincontrol2.wordpress.com/2016/01/14/perfilado-de-activos-de-informacion/
67
Para el desarrollo de este modelo se tienen en cuenta los contenedores más
utilizados por la compañía, realizando una pequeña descripción e indicando el
directamente responsable sobre el contenedor.
Tabla 9 Contendor interno bases de datos

Contenedor interno
Nombre- Descripción Propietario
Servidor de Bases de datos: Banco de datos que Administrador de
almacenan la información de la entidad aplicaciones
Fuente: Propia
Tabla 10 Contendor interno plataforma de correo

Contenedor interno
Plataforma de correo: Correo electrónico corporativo de Administrador de
la entidad Plataforma de correo infraestructura
Fuente: Propia
Tabla 11 Contendor interno directorio activo

Contenedor interno
Directorio Activo: Servicio establecido donde están los Administrador de
objetos tales como usuarios, equipos o grupos, con el infraestructura
objetivo de administrar los inicios de sesión en los equipos
conectados a la red
Fuente: Propia
Tabla 12 Contendor interno data center

Contenedor interno
Data center: Instalación física y principal de Administrador de
procesamiento donde reside la infraestructura para infraestructura
soporta la operación del negocio.
Fuente: Propia
Tabla 13 Contendor interno servidor de aplicaciones

Contenedor interno
Servidor de aplicaciones: Servidor donde se alojan las Administrador de
aplicaciones Core del negocio tales como Microsoft Office, aplicaciones
Sumatra, Skype, NAS, Aplicativo web transaccional,
Pagina Digitalizador de Documentos y firmas Baseware,
Intranet, Orfeo, Antivirus
Fuente: Propia
68
Tabla 14 Contendor interno Compañia
Contenedor interno
Compañía: Instalación física donde residen los Gerente de la
empleados, la infraestructura y los aplicación CORE compañía
Fuente: Propia
Tabla 15 Contendor interno usb

Contenedor interno
USB: Dispositivo de almacenamiento interno y externo Personal autorizado,
que se utiliza entre las diferentes áreas para enviar gerentes de áreas
archivos de gran volumen
Fuente: Propia
Tabla 16 Contendor interno impresora

Contenedor interno
Impresora: Dispositivo de impresión donde se archiva Todos los empleados
información temporalmente mientras se ejecuta el
proceso se impresión
Fuente: Propia
Tabla 17 Contendor interno disco duro

Contenedor interno
Disco Duro: Dispositivo de almacenamiento en el Gerente de tecnología,
cual se guardan algunos backups tales como Gerentes de infraestructura y
documentos, carpetas, correos electrónico e administrador de aplicaciones
información confidencial
Fuente: Propia
Tabla 18 Contendor interno computador

Contenedor interno
Computador: Dispositivos de escritorio o portátiles Todo el personal de la
asignados a los empleados de la compañía, en el cual compañía
se puede almacenar información de clientes
Fuente: Propia
69
3.2.4. Identificar las áreas de preocupación
La identificación de áreas de preocupación inicia con la elaboración de los perfiles
de riesgos de los activos de información, el cual contiene un componente
denominado amenaza a través de una ecuación de riesgo.
Ilustración 5 Ecuación de riesgo
Amenaza (condición) +Impacto (Consecuencia) =

Riesgo
Fuente: Propia
Por medio de una lluvia de ideas se realiza un análisis sobre las posibles
condiciones o situaciones que se pueden representar y poner en peligro los
activos de información de la organización, "estos escenarios en el mundo real se
denominan área de preocupación y se pueden representar en amenazas y causar
resultado indeseables para la compañía"6
Tabla 19 Contendor interno areas de preocupación

Activos de información Áreas de Preocupación
Exposición de los activos de información, acceso no
autorizado a los sistemas informáticos.
• Intranet Exposición de los activos de información, acceso no
• Plataforma de autorizado a la infraestructura física.
recaudo Desconocimiento en el manejo de los sistemas o
• Sistema de equipos informáticos
documentación de Interrupción en el servicio de energía electrónica
clientes Problemas de conectividad en la red interna de la
• Centro de negocios organización
• Bases de datos Interrupción en el servicio de internet
• Correo electrónico Falla en los componentes de hardware en los equipos
• Sistema de informáticos
Administración Desactualización de los sistemas
inmobiliaria Alta rotación de Personal
Desastres naturales
Fallo o defecto de software
Fuente: Propia
6
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
70
3.2.4.1. Áreas de preocupación sistema de digitalizador de documentos
3.2.4.1.1 Exposición de los activos de información, acceso no autorizado a los
sistemas informáticos
Tabla 20. Area de preocupación exposición de los activos de información, acceso no autorizado a los
sistemas informáticos en el Sistema de Digitalizador de Documentos.
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de Exposición de los activos de información, acceso no autorizado
preocupación: a los sistemas informáticos.
Actor: Personal interno.
Ingreso a la aplicación utilizando credenciales de otros usuarios
Medio:
internos de la compañía
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Solo personal autorizado deberá ingresar a la aplicación, solo
Requisito de con autorización del jefe inmediato y con soportes de solicitud
Seguridad: del cliente podrá realizar cambios en la información.
Fuente: Propia
3.2.4.2. Exposición de los activos de información, acceso no autorizado a la

infraestructura informática
Tabla 21 Área de preocupación exposición de los activos de información, acceso no autorizado a la

infraestructura informática
Activo Critico: Sistema de Digitalizador de Documentos.
Área de Exposición de los activos de información, acceso no autorizado
preocupación: a la infraestructura física.
Actor: Personal interno y externo
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de Solo el personal autorizado tendrá acceso al datacenter y a las
seguridad: oficinas.
Fuente: Propia
71
3.2.4.1.3. Desconocimiento en el manejo de los sistemas o equipos informáticos
Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas o equipos informáticos

Área de Desconocimiento en el manejo de los sistemas o equipos
preocupación: informáticos
Actor: Personal interno
Ingreso a la aplicación utilizando credenciales de otros usuarios
Medio:
internos de la compañía
Motivos: Intereses personales, robo
Solo personal autorizado deberá ingresar a la aplicación con un
Requisito de usuario y contraseña proporcionada por el área de sistemas,
seguridad: sola con autorización del jefe inmediato y con soportes de
solicitud del cliente podrá realizar cambios en la información.
Fuente: Propia
3.2.4.1.4. Interrupción en el servicio de energía eléctrica
Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica

Área de
Interrupción en el servicio de energía electrónica
preocupación:
Actor: Agentes externos
*Descarga eléctrica
Medio:
*Falta de pago al proveedor
*Causas naturales
Motivos:
*Sobre carga de energía.
Los activos deberán contar con equipos ups y una planta de
Requisito de
energía que supla la necesidad mientras se restablece el
seguridad:
servicio
Fuente: Propia
72
3.2.4.1.5. Problemas de conectividad en la red interna de la organización
Tabla 24 Area de preocupación problemas de conectividad en la red interna de la organización

Área de Problemas de conectividad en la red interna de la organización
preocupación:
*Manipulación de los dispositivos de comunicación como swicth
y router
Medio: *Saturación del canal de comunicaciones por implantación de
virus o malware en la red
*Configuración errónea de los dispositivos de comunicación
Motivos: Falta de capacitación, robo
Requisito de Los dispositivos de comunicación contienen un control de acceso para proteger el
uso no autorizado de los recursos de red
seguridad:
Fuente: Propia
3.2.4.1.6. Interrupción en el servicio internet
Tabla 25 Área de preocupación interrupción del servicio de internet

Área de Interrupción en el servicio internet
preocupación:
*Falta de pago al proveedor.
Medio: *Falla en los dispositivos.
*Mantenimiento por parte del proveedor
Motivos: *Falta de comunicación
Requisito de El sistema no estará disponible mientras se resuelve la
seguridad: interrupción del servicio
Fuente: Propia
73
3.2.4.1.8. Falla en los componentes de hardware en los equipos informáticos
Tabla 26 Área de preocupación falla en los componentes de hardware en los equipos informáticos.
Área de Falla en los componentes de hardware en los equipos
preocupación: informáticos
*Uso inadecuado de los equipos informáticos
Medio: *Conexión errónea de los equipos
*Falta de monitoreo de los equipos de hardware
Motivos: Falla de fabricación, mala manipulación
Los dispositivos no estarán disponibles durante la reposición y
Requisito de
configuración de los nuevos componentes de hardware por
seguridad:
parte del proveedor y del área de tecnología
Fuente: Propia
3.2.4.1.9. Desactualización de los sistemas.
Tabla 27 Area de preocupación desactualización de los sistemas

Área de
Desactualización de los sistemas
preocupación:
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
al no realizar las actualizaciones a los diferentes sistemas se
Requisito de
puede vulnerar la integridad de los activos provocando una
seguridad:
paralización temporal de los servicios
Fuente: Propia
74
3.2.4.10. Alta rotación de Personal Sistema de Digitalizador de Documentos
Tabla 28 Área de preocupación alta rotación de personal

Área de
Alta rotación de Personal
preocupación:
Medio: Renuncia o despedida por parte de la compañía
*Ambiente laboral
Motivos: *Crecimiento personal
*Intereses personales
Requisito de El sistema no estará disponible hasta que no se encuentre
seguridad: reemplazo
Fuente: Propia
3.2.4.1.11. Desastres naturales
Tabla 29 Área de preocupación desastres naturales

Área de
Desastres naturales
preocupación:
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de El sistema no estará disponible mientras se presentan algún
seguridad: fenómeno natural
Fuente: Propia
3.2.4.1.12. Falla o defecto de software
Tabla 30 Área de preocupación falla o defecto de software

Área de
Falla o defecto de software
preocupación:
Actor: Personal interno o externo
75
*Incompatibilidad con el sistema operativo
Medio: *Eliminación o corrupción de los archivos de instalación
*Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Requisito de El sistema no estará disponible hasta que no se encuentre el
seguridad: fallo o se instale otro software.
Fuente: Propia
El análisis de cada una de las áreas de preocupación para cada uno de los activos
de información restantes se encuentra en el Anexo 3.
3.2. 5. Identificar Escenarios De Amenaza
Identificación de Escenarios de Amenazas, en este paso las áreas de

preocupación se expanden en escenarios de amenaza, permitiendo conocer las
propiedades de la misma, estos pueden ser representados a través de una
estructura conocida como árbol de amenaza, el árbol de amenaza representa e
identifica las amenazas potenciales del activo la información como base para
determinar el riesgo.
Se consideran cuatro arboles de amenazas que se describen a continuación
Tabla 31 Árbol de amenazas

Definición de los distintos Árboles de Amenaza
Árbol de Amenaza Descripción
Esta categoría se refiere a las amenazas a los
Actores humanos utilizado activos de información realizadas por un actor
medios técnicos humano de forma directa sea accidental o
deliberada a la infraestructura técnica de la
organización.
Actores Humanos activos de información realizadas por un actor
utilizando acceso físico. humano por acceso físico de manera directa o sobre
su contenedor sea accidental o deliberada a la
organización.
activos de información por problemas con la
Problemas técnicos tecnología y los sistemas de información de la
organización.
Incluye los defectos de hardware, software, virus y
otros problemas relacionados con el sistema.
76
activos de información son los problemas o
situaciones que están fueran del alcance de control
Otros de la organización. Incluye los desastres naturales
(inundaciones, terremotos, incendios) y los riesgos
de interdependencia por ejemplo fuente de
alimentación eléctrica.
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
La probabilidad es necesaria para determinar que escenarios son más propensos

a ocurrir, en este caso se consideró la probabilidad subjetiva debido a que en la
mayoría de los casos no existe un registro o control de las ocurrencias
presentadas.
Tabla 32 Probabilidad de amenaza

.
Valor Frecuencia
Alto Más de 5 veces al año
Medio De 2 a 4 veces al año
Bajo 1 vez al año
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
Tabla 33 Árbol de amenaza plataforma de recaudo

Árbol de Amenaza: Activo de Información Plataforma de Recaudo
Árbol de amenaza Área de preocupación Resultado
Exposición de los activos de información,
Actores Humanos
acceso no autorizado a los sistemas Interrupción
utilizando medios
informáticos.
técnicos.
Desconocimiento en el manejo de los
Interrupción
sistemas o equipos informáticos
Actores Humanos Exposición de los activos de información,
utilizando medios acceso no autorizado a la infraestructura Interrupción
físicos. física.
Problemas de conectividad en la red interna
Interrupción
de la organización.
Interrupción en el servicio de internet Interrupción
Problemas técnicos Falla en los componentes de hardware de
Interrupción
los equipos
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas Interrupción en el servicio de energía Interrupción
77
eléctrica.
Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción
Fuente: Propia
Tabla 34 Árbol de amenaza sistema de documentación de clientes

Árbol de Amenaza: Activo de Información Sistema de documentación de
clientes
Actores Humanos
acceso no autorizado a los sistemas Modificación
utilizando medios
informáticos.
técnicos.
Interrupción
físicos. física.
Interrupción
Problemas
Falla en los componentes de hardware de los
técnicos Interrupción
equipos
Interrupción en el servicio de energía
Interrupción
eléctrica.
Otros Problemas
Alta Rotación de Personal Interrupción
Fuente: Propia
Tabla 35 Árbol de amenaza centro de negocios

Árbol de Amenaza: Activo de Información: Centro de Negocios
Actores Humanos
acceso no autorizado a los sistemas Divulgación
utilizando medios
informáticos.
técnicos.
Modificación
físicos. física.
Problemas Problemas de conectividad en la red
Interrupción
técnicos interna de la organización.
78
Falla en los componentes de hardware de
Interrupción
los equipos
Interrupción
eléctrica.
Otros Problemas Alta Rotación de Personal Modificación
Fuente: Propia
Tabla 36 Árbol de Amenaza AcciónBack

Árbol de Amenaza: Activo de Información: AcciónBack
Actores Humanos
acceso no autorizado a los sistemas Modificación
utilizando medios
informáticos.
técnicos.
Modificación
físicos. física.
Interrupción
Problemas Falla en los componentes de hardware de los
equipos
eléctrica. Interrupción
Otros Problemas
Alta Rotación de Personal Modificación
Fuente: Propia
Tabla 37 Árbol de Amenaza Inveracción

Árbol de Amenaza: Activo de Información: Inveracción
utilizando medios acceso no autorizado a los sistemas Modificación
técnicos. informáticos.
79
Modificación
físicos. física.
Interrupción
Problemas
Falla en los componentes de hardware de los
equipos
Interrupción en el servicio de energía Interrupción
eléctrica.
Fuente: Propia
El análisis de árbol de amenaza para cada uno de los activos de información

restantes se encuentra en el Anexo 4.
3.2.6. Identificación de Riesgos
En el Paso 6 se capturan las consecuencias para una organización si se realiza

una amenaza, completando la imagen de riesgo. Una amenaza puede tener
múltiples impactos potenciales en una organización. Por ejemplo, la interrupción
del sistema de comercio electrónico de una organización puede afectar la
reputación de la organización con sus clientes, así como su posición financiera.
Tabla 38 Tabla de consecuencias de AcciónBack

Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los
sistemas informáticos: El personal de sistemas deberán ejecutar el backup de
la base de datos de AcciónBack para restablecer el servicio de la aplicación
Desconocimiento en el manejo de los sistemas informáticos: El personal de la
fiduciaria presenta dificultad para realizar consultas, asignaciones, cesiones o
desistimientos en la aplicación
Exposición de los activos de información, acceso no autorizado a la
infraestructura física: El área de sistemas no pueden ingresar al servidor de
AcciónBack
80
Problemas de conectividad en la red interna de la organización: AcciónBack
estará fuera de servicio mientras se restablece el servicio de red interna, el
personal autorizado presentaría retrasos en las operaciones de los negocios de
la fiduciaria
Interrupción en el servicio de internet: El correo electrónico estará fuera de
servicio mientras se restablece el servicio de red, el personal puede presentar
retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede
presentar retrasos en las consultas de planes de pagos, cesiones y
desistimientos presentando retrasos en las operaciones afectando a más de un
área.
Desactualización de los sistemas: La interfaz de AcciónBack presenta fallas
mostrando inconvenientes en los registros, las consultas de los planes de pagos,
cesiones o desistimientos.
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o
existe incompatibilidad en el servidor dedicado a AcciónBack
Interrupción en el servicio de energía eléctrica: AcciónBack estará fuera de
servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal presentara dificultades para registrar las
operaciones de los negocios, provocando retrasos en las actividades, afectando
una o varias áreas del negocio
Desastres Naturales: AcciónBack estaría fuera de servicio mientras se presenta
el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Tabla 39 Tabla de consecuencias de la Intranet

sistemas informáticos: El personal de sistemas deberán ejecutar el backup
de la intranet para regresar al estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El usuario
presenta inconvenientes para realizar consultas en la intranet y para ingresar a
las aplicaciones
infraestructura física: El área de sistemas no pueden ingresar a la intranet
debido a la interrupción del servicio
Problemas de conectividad en la red interna de la organización: La intranet
estará fuera de servicio mientras se restablece el servicio de red interna, las
operaciones de la fiduciaria presentarían retrasos
Interrupción en el servicio de internet: La intranet estará fuera de servicio
mientras se restablece el servicio de red, las operaciones de la fiduciaria
presentarían retrasos
81
Falla en los componentes de hardware de los equipos: Los usuarios
presentarían retrasos en las operaciones de la fiduciaria afectando a una o más
áreas
Desactualización de los sistemas: La interfaz de la intranet puede presentar
fallas mostrando dificultad en las descargas de los procedimientos o en el
acceso a las aplicaciones
Fallo o defecto de Software: El personal de la fiduciaria deja de laboral
parciamente si falla o existe incompatibilidad en el servidor dedicado de la
intranet
Interrupción en el servicio de energía eléctrica: La intranet estará fuera de
servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la
intranet y al contenido
Desastres Naturales: La intranet estaría fuera de servicio mientras se presenta
el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
El análisis de las consecuencias para cada uno de los activos de información

restantes se encuentra en el Anexo 5.
3.2.7. Análisis de Riesgos

En este paso se mide cualitativamente el grado en que la organización se ve
afectada por una amenaza mediante el cálculo de una puntuación para cada
riesgo de cada activo de información.
La información del puntaje se utiliza para determinar qué riesgos se necesita

mitigar inmediatamente y para dar prioridad a las acciones de mitigación para el
resto de los riesgos en el paso ocho de la metodología OCTAVE Allegro
Tabla 40 Puntaje para determinar riesgos según el área de preocupación exposición de los activos de
información, acceso no autorizado a los sistemas informáticos del activo intranet
Valor del
Área de preocupación Área de impacto Ranking Score
impacto
Exposición de los Consumidor financiero 5 Medio(2) 10
activos de información, Reputación 4 Medio(2) 8
acceso no autorizado a Legal 3 Medio(2) 6
los sistemas Productividad 2 Bajo (1) 2
informáticos. Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
82
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo de los sistemas informáticos
Área de Valor del
Área de impacto Ranking Score
preocupación impacto
Consumidor financiero 5 Bajo (1) 5
Desconocimiento en Reputación 4 Bajo (1) 4
el manejo de los Legal 3 Bajo (1) 3
sistemas informáticos. Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 42 Puntaje para determinar riesgos exposición de los activos de información, acceso no autorizado a la
infraestructura física.
Área de Valor del
Exposición de los Consumidor financiero 5 Bajo (1) 5
activos de información, Reputación 4 Bajo (1) 4
acceso no autorizado Legal 3 Bajo (1) 3
a la infraestructura Productividad 2 Medio (2) 4
física. Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad en la red interna de la organización.
Área de Valor del
Problemas de
conectividad en la red Reputación 4 Bajo (1) 4
interna de la Legal 3 Bajo (1) 3
organización. Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia
Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet

Área de Valor del
Interrupción en el
Reputación 4 Bajo (1) 4
servicio de internet
Legal 3 Bajo (1) 3
83
Productividad 2 Alto (3) 6
Total: 19
Fuente: Propia
Tabla 45 Puntaje para determinar riesgos Falla en los componentes de hardware de los equipos.
Área de Área de impacto Ranking Valor del Score
Falla en los
componentes de
Legal 3 Bajo (1) 3
hardware de los
Productividad 2 Medio (2) 4
equipos.
Total: 17
Fuente: Propia
Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas

Área de Valor del
Desactualización
Legal 3 Bajo (1) 3
de los sistemas
Productividad 2 Bajo (1) 2
Total: 15
Fuente: Propia
Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software

Área de Rankin Valor del
Área de impacto Score
preocupación g impacto
Fallo o defecto
Legal 3 Bajo (1) 3
de Software
Total: 17
Fuente: Propia
84
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio de energía eléctrica.
Área de Valor del
Interrupción en el Reputación 4 Bajo (1) 4
servicio de Legal 3 Bajo (1) 3
energía eléctrica. Productividad 2 Alto (3) 6
Total: 19
Fuente: Propia
Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal

Área de Valor del
Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia
Tabla 50 Puntaje para determinar Desastres Naturales

Área de Área de impacto Ranking Valor del Score
Desastres Naturales Legal 3 Bajo (1) 3
Seguridad /Salud 1 Medio(2) 2
Total: 20
Fuente: Propia
Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales

Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no Medio 27
85
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15

Exposición de los activos de información, acceso no
Bajo 17
autorizado a la infraestructura física.
Problemas de conectividad en la red interna de la
Bajo 17
organización.
Interrupción en el servicio de internet Bajo 19
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 15
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Bajo 19
Alta Rotación de Personal Bajo 17
Desastres Naturales Bajo 20
Fuente: Propia
El análisis de riesgos de los activos de información restantes se encuentra en el

Anexo 6.
3.2.8. Enfoque de mitigación
En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un

elemento que permite visualizar los riesgos a tratar con base en la probabilidad y
el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su
tratamiento con base en estos resultados, como se muestra en la siguiente
imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor
prioridad:
Tabla 52 Matriz de riesgos relativos

Matriz de riesgos relativos
Puntaje de riesgo
Probabilidad
30 A 45 16 A29 0 A 15
Alta Grupo 1 Grupo 2 Grupo 2
Media Grupo 2 Grupo 2 Grupo 3
Baja Grupo 3 Grupo 3 Grupo 4
Fuente: 8 pasos para hacer una evaluación de riesgos Miguel Ángel Mendoza
86
La puntuación del riesgo se agrupa como se muestra en la siguiente figura.
Ilustración 6 Enfoque de mitigación según el grupo
Fuente: : Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo Propia
A continuación, se realiza el análisis de la mitigación de riesgos de cada uno de

los activos.
Como la metodología Octave Allegro no maneja controles propios se usó como

guía la norma ISO 27000 del 2013 Anexo a
Tabla 53 Mitigación de riesgo según el activo Intranet

Nombre del activo: Intranet
Área de preocupación: Exposición de los activos de información, acceso no
Puntaje de riesgo Probabilidad Categoría: Acción:
relativo: 27 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control
• Solo los empleados de la compañía pueden acceder a la intranet
• Cada uno de los empleados deben tener una usuario y contraseña
• La contraseña de acceso a la intranet debe contener letras mayúsculas,
minúsculas, números y caracteres especiales.
• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.
• Solo el ingeniero de infraestructura y el gerente de tecnología deben tener
conocimiento para realizar modificaciones sobre la intranet
• Los empleados que no pertenezcan al área de tecnología solo deben tener
acceso de consulta a la intranet.
Área de preocupación: Desconocimiento en el manejo de los sistemas
informáticos.
Puntaje de riesgo Probabilidad Categoría: Acción: Transferir o
relativo: 15 subjetiva: Medio Grupo 3 Aceptar
Control
• Se deben realizar un instructivo para el uso adecuado de la intranet.
• Se deben realizar capacitaciones trimestrales o bimestrales sobre el uso
adecuado de la intranet.
87
relativo: 17 subjetiva: Bajo Grupo 3 Aceptar
Control:
• Solo el personal autorizado del área de sistemas y/o tecnología como lo es el
ingeniero de infraestructura y gerente de tecnología podrá accedes al
datacenter.
Área de preocupación: Problemas de conectividad en la red interna de la
organización.
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con
la operación de la compañía.
Área de preocupación: Interrupción en el servicio de internet
Control:
la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la tomas de corriente
Área de preocupación: Desactualización de los sistemas
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta
88
funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de
la intranet
• Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal
para continuar con las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la
intranet en otra ciudad, asegurando la continuidad de la operación
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales
como extinguidores, señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una
zona segura a una distancia prudencial
Fuente: Propia
Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo

Nombre del activo: Plataforma de recaudo
89
Control
• Solo los clientes pueden acceder a la plataforma de recaudo.
• Los clientes deben ingresar a la plataforma con el número de identificación y la
contraseña.
• El sistema solicita el cambio de contraseña cada 30 a 45 días.
Área de preocupación: Desconocimiento en el manejo de los sistemas
informáticos.
Puntaje de riesgo Probabilidad Categoría: Acción: Mitigar o
relativo: 22 subjetiva: Medio Grupo 2 Transferir
Control:
• Se debe realizar un instructivo que permita al cliente ingresar y realizar
operaciones en la plataforma de recaudo.
• Se debe realizar capacitación al personal de servicio al cliente y
administradores de negocios sobre la plataforma de recaudo.
Control:
• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar
modificaciones sobre la plataforma.
• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a
la administrador de la plataforma de recaudo con un usuario y contraseña
Área de preocupación: Problemas de conectividad en la red interna de la
organización.
Control:

Control:
la operación de plataforma de recaudo.
Control:
• Adquirir repuestos compatibles con los equipos y con proveedores de
confianza.
90
Control: Instalar actualizaciones en los equipos y servidores de la compañía.
Control:
• Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo.
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
Control: Reconocimiento profesional

Puntaje de riesgo Probabilidad Categoría: Acción: Mitigar
relativo: 37 subjetiva: Alto Grupo 1
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la
plataforma de recaudo en otra ciudad, asegurando la continuidad de la
operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales
como extinguidores, señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una
zona segura a una distancia prudencial
Fuente: Propia
El análisis de la mitigación de riesgos de los activos de información restantes se
encuentra en el Anexo 7.
91
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO
Esta fase se tiene como objetivó principal hacer un enfoque detallado en el diseño
en la que se definen los requisitos funcionales y no funcionales de la aplicación, se
realiza un análisis de los casos de uso y la respectiva documentación, se diseñan
los diagramas de secuencia, de actividad, colaboración para la implementación del
prototipo, se realizan pruebas funcionales con el fin de implementar mejoras para
obtener como resultado el éxito del proyecto.
4.1 Fase De Requerimientos
En esta fase se realiza el análisis funcional en el que se estudian las necesidades

del sistema, haciendo uso de representaciones gráficas, definición de
requerimientos funcionales y no funcionales de manera precisa y clara, se
determina la lista de los casos de uso y se documentaran los casos de uso
4.1.1. Descripción y diagramas de proceso
Es una representación gráfica de los pasos que se siguen en toda una secuencia
de actividades, dentro de un proceso o un procedimiento, identificándolos
mediante símbolos de acuerdo con su naturaleza; incluye, además, toda la
información que se considera necesaria para el análisis.
4.1.1.1. Diagramas de proceso para Activos
A continuación se muestran los diagramas de proceso que permitirán al usuario la

creación, lista, actualización y eliminación de un activo.
92
Ilustración 7. Diagrama de proceso creación de Activo Ilustración 8. Diagrama de proceso Listar activos
Fuente: Propia Fuente: Propia
Ilustración 9. Diagrama de proceso Actualizar Activo Ilustración 10. Proceso Eliminar Activo
93
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo
A continuación se listan los procesos que debe realizar el usuario para listar, crear,
actualizar y eliminar un criterio de Medida de Riesgo.
Ilustración 11. Diagrama de Proceso Agregar Medida Ilustración 12. Diagrama de Proceso eliminar Medidas de
de Riesgo Riesgo
Ilustración 13 Diagrama de Proceso Actualizar Ilustración 14. Diagrama de Proceso listar

Medidas de Riesgo Medidas de Riesgo
94
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto
El usuario debe priorizar las áreas de impacto de acuerdo a las necesidades

propias de la compañía, a continuación se presenta el flujo para llevar a cabo esta
tarea.
Ilustración 15. Diagrama de proceso priorizar área de impacto
Fuente: Propia
4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos

El usuario debe seleccionar de su lista de activos, cuáles son los activos que al
hacerse efectiva una amenaza pueden comprometer gravemente la compañía. A
continuación se presenta el flujo para que el usuario pueda crear, listar, actualizar
o eliminar un activo crítico.
Ilustración 16. Diagrama de proceso crear Activo Crítico Ilustración 17. Diagrama de proceso Listar Activos
Críticos
95
Ilustración 18. Diagrama de proceso Actualizar Ilustración 19. Diagrama de proceso Eliminar Activo
Activo Critico Crítico
4.1.1.5 Diagramas de Proceso Configuración de Contenedores
El usuario debe identificar a qué tipo de contenedor pertenece el activo, teniendo

tres tipos definidos, físico, técnico y persona, para de esta manera poder realizar
la identificación de riesgos y amenazas. A continuación de presentan los procesos
que debe realizar el usuario para crear, listar, editar y eliminar un contenedor.
96
Ilustración 20. Diagrama de proceso Crear Contenedor Ilustración 21. Diagrama de proceso Listar
Contenedores
Ilustración 22. Diagrama de proceso Actualizar Ilustración 23. Diagrama de proceso Eliminar Contendor
Contenedor
97
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores
Una vez identificados los contenedores existentes en la compañía el usuario debe
realizar de asociación de activo – contenedor para indicar a que contenedor
pertenece el activo.
Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores
Fuente: Propia
4.1.1.7 Diagramas de Proceso para Áreas de Preocupación

El usuario puede crear varias áreas de preocupación que estarán relacionadas a
las áreas de impacto definidas por la metodología. A continuación se presentan los
flujos que el usuario realizará para listar, crear, actualizar y eliminar un área de
preocupación
98
Ilustración 25. Diagrama de proceso crear área de Ilustración 26. Diagrama de proceso listar áreas de
Figura preocupación preocupación
Ilustración 27. Diagrama de proceso actualizar área de Ilustración 28. Diagrama de proceso eliminar área de
preocupación preocupación
99
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo
Una vez el usuario a diligenciado la información de su compañía, se realiza un
análisis de la información para generar el puntaje de riesgo relativo para cada una
de las áreas de preocupación definidas por el usuario.
Ilustración 29. Diagrama de proceso puntaje de riesgo relativo
Fuente: Propia
4.1.1.9 Diagramas de proceso Enfoque de Mitigación

De acuerdo al puntaje de riesgo relativo y a la matriz de riesgo se calcula cual es
el tipo de acción que se debe aplicar para cada área de preocupación ya sea,
transferir, aceptar o mitigar. Además el usuario puede documentar los controles
que planea aplicar para los riesgos encontrados. A continuación se presenta el
proceso que deberá realizar el usuario para ver el resultado del enfoque de
mitigación, agregar, actualizar y eliminar controles
Ilustración 30. Diagrama de proceso ver enfoque de mitigación
Fuente: Propia
100
Ilustración 31. Diagrama de proceso ver controles Ilustración 32. Diagrama de proceso agregar
control
Ilustración 33. Diagrama de proceso actualizar control Ilustración 34. Diagrama de proceso eliminar control
101
4.1.1.10 Diagramas de Proceso Generación de Reportes
El usuario tiene la opción de descargar algunos reportes que le servirán durante
su proceso de documentación, esta documentación está disponible en formato
PDF
Ilustración 35. Diagrama de proceso descargar reportes
Fuente: Propia
4.1.1.11 Diagramas de Proceso Administrar Usuarios

Se pueden crear usuarios en el aplicativo de tipo administradores y de consulta, a
continuación se presenta el flujo que debe realizar el usuario para crear, listar,
actualizar o eliminar usuarios.
102
Ilustración 36. Diagrama de proceso crear usuario Ilustración 37. Diagrama de proceso listar
Ilustración 38. Diagrama de proceso Actualizar usuario Ilustración 39. Diagrama de proceso Eliminar usuario
103
4.2 Requerimientos funcionales y no funcionales
Los requerimientos funcionales son las condiciones o las funciones que debe
realizar el sistema, estas deben ser muy especificas ya que de estas dependen la
funcionalidad correcta del sistema, los requerimientos no funcionales tienen que
ver con características que de una u otra forma puedan limitar el sistema.
4.2.1.Requerimientos Funcionales
• Debe ser una aplicación para dispositivo móvil Android.

• Permitir crear, listar, actualizar y eliminar activos.
• El aplicativo debe permitir la configuración de las medidas de riesgo para
cada una de las áreas de impacto definidas por la metodología octave
allegro, estas medidas de riesgo especifican la definición de los niveles alto,
moderado y alto para cada una de ellas.
• El aplicativo debe permitir que el usuario pueda priorizar las áreas de
impacto definidas por la metodología octave allegro en un rango de
puntuación de 1 a 5 en donde 5 es la de mayor prioridad y 1 es la de menor
prioridad.
• Permitir la configuración de los activos críticos, para ello se debe desplegar
los activos ya creados y el usuario seleccionará los que considere como
críticos, agregando la justificación, descripción, propietario del activo, como
se ve afectada la confidencialidad, disponibilidad y disponibilidad del activo,
así mismo como los requisitos de seguridad más importantes para el
mismo.
• Los activos críticos deben poder listarse, visualizarse, modificarse y
eliminarse.
• El aplicativo le permitirá al usuario configurar los contenedores,
categorizados n tres tipos: Físico, Técnico y Personas, añadiendo un
descripción interna y externa así como los propietarios.
• Los contenedores creados deben poder listarte, visualizarse, actualizarse y
eliminarse si el usuario lo desea.
• Se debe permitir asociar los activos a los contenedores creados, cada
activo podrá estar una única vez dentro del mismo contenedor.
• El usuario podrá modificar los activos asociados a un contenedor.
• El usuario podrá documentar cada una de las áreas de preocupación
creadas de acuerdo a lo que se especifica bajo la metodología octave
allegro.
104
• La documentación de las áreas de preocupación podrá ser vista,
actualizada o modificada por el usuario.
• El aplicativo debe calcular el puntaje de riesgo relativo de acuerdo a la
priorización dada por el usuario al área de impacto y a la probabilidad que
haya dado el usuario en la documentación del área de preocupación. Este
puntaje será almacenado y no podrá ser modificado debido a que es un
cálculo que se realizar basado en la información que se ingresa. Si se
actualiza la documentación del área de preocupación el puntaje debe
calcularse nuevamente.
• El usuario podrá consultar el puntaje de riesgo relativo calculado por el
software para cada una de las áreas de preocupación definidas por el
usuario.
• Se debe calcular el enfoque de mitigación de acuerdo a la matriz de riesgo
definida por la metodología octave allegro y al puntaje de riesgo relativo
calculado.
• El usuario debe poder ingresar, modificar o eliminar los controles que
considere pertinentes para cada uno de los enfoques de mitigación
sugeridos por la metodología.
• El usuario debe poder descargar documentos en formato PDF en donde se
encuentre, la documentación de los criterios de medida de riesgo, perfil de
los activos críticos, documentación de las áreas de preocupación, riesgo
relativo y enfoque de mitigación.
• Deben manejarse perfiles dentro de la aplicación, se manejara perfil
administrador y usuario de consulta.
• El usuario con perfil administrador tiene acceso a todas las opciones de
todos los menús, así como a la administración de los usuarios en el
sistema. El usuario con perfil de consulta únicamente puede ver los menús
que permiten listar y consultar, sin poder realizar cambios persistentes en el
aplicativo, y únicamente podrá modificar la información propia de su
usuario.
4.2.2 Requerimientos no funcionales
• El aplicativo debe funcionar de manera web, desde un navegador.

• La contraseña del usuario debe estar enmascarada.
• La contraseña del usuario debe almacenarse encriptada con MD5
• Si el usuario o la contraseña es incorrecta únicamente debe limpiarse el
campo de contraseña.
105
• El usuario debe permanecer con sesión activa hasta el momento que desee
realizar logout.
• Se debe pedir confirmación antes de realizar cualquier eliminación.
• La contraseña de los usuarios debe ser aleatoria y enviada por correo.
• El código debe estar documentado.
4.3. Fase de análisis
En esta fase se definen cuales son los principales actores que interactúan con el
sistema, se realiza una lista preliminar para cada una de las funciones que
realizan los actores sobre la aplicación. Luego se realiza una representación
gráfica de cómo interactúa el actor sobre la funcionalidad y se documenta el flujo
de la interacción paso a paso, indicando cuales son los requerimientos iniciales
para ejecutar la función y las excepciones que se deben presentar al ejecutar
dicha funcionalidad.
4.3.1 Definición de Actores
Tabla 55 Definición de Actores

Actor Descripción
Administrador Es el usuario que tendrá acceso a todas las funcionalidades del
sistema, así como también a la administración de usuarios,
podrá crear usuarios, actualizarlos o eliminarlos, así como ver
listados todos los usuarios existentes.
Consulta El usuario de consulta podrá ver todos los menús pero
únicamente podrá ver los datos listados, y podrá visualizar su
contenido sin poder realizar ninguna acción sobre los mismos,
es decir, sin poder modificarlos, eliminarlos o agregar nuevos
ítems. Este usuario también podrá actualizar sus datos
personales y contraseña.
Fuente: Propia
106
4.3.2 Lista preliminar de casos de uso
Tabla 56 Lista preliminar de casos de uso

Actor Lista Preliminar
• Iniciar Sesión
• Cerrar Sesión
Todos los actores • Ver puntaje de riesgo relativo
del sistema • Ver enfoque de mitigación
• Descargar Reportes
• Modificar datos personales y contraseña
• CRUD Activos
• CRUD Activos Críticos
• CRUD Criterios de Medida de Riesgo
Administrador • Modificar Priorización de áreas de impacto
• CRUD Contenedores
• Asociar y/o Desasociar activos a contenedores
• CRUD Áreas de preocupación
• CRUD usuarios
• Listar Activos, Ver Activos
• Listar Activos Críticos, Ver Activos Críticos
• Listar Criterios de Medida de Riesgo, Ver Criterios
Consulta • Ver priorización de áreas de impacto
• Listar contenedores, Ver contenedores
• Ver activos asociados a contenedores
• Lista de áreas de preocupación , ver área de
preocupación
Fuente: Propia
4.3.3 Depuración de casos de uso
Ilustración 40. Depuración de caso de uso Gestionar Activo
Fuente: Propia
107
Ilustración 41. Depuración de caso de uso Gestionar Criterios de Medida de Riesgo
Fuente: Propia
Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico
Fuente: Propia
Ilustración 43. Depuración de caso de uso Gestionar Contenedores
Fuente: Propia
108
Ilustración 44. Depuración de caso de uso Gestionar Activos críticos y contenedores
Fuente: Propia
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto
Fuente: Propia
Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación
Fuente: Propia
109
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo Relativo
Fuente: Propia
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación
Fuente: Propia
Ilustración 49. Depuración de caso de uso Gestionar Usuarios
Fuente: Propia
110
Ilustración 50. Depuración de caso de uso Generar Reportes
Fuente: Propia
4.3.4 Documentación de Casos De Uso
Tabla 57 Documentación de caso de uso crear activo

Caso de uso No. 1 Nombre: Crear Activo
Actores: Administrador
Objetivo: Registrar un nuevo Activo
Descripción: Se crea un nuevo activo de la compañía
Precondiciones: En cumplimiento a la metodología Octave Allegro se debe haber
realizado previamente la identificación de activos.
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor Acciones del Sistema
1.Seleccionar el menú Ver Activos 2.Desplegar los activos existentes en el

3.Hacer clic en el botón Agregar Activo sistema
5.Dar clic en el botón Guardar 4. Mostrar el formulario con los campos
7.Dar clic en el botón aceptar del necesarios para crear un activo
mensaje Activo creado correctamente 6.Retornar mensaje Activo Creado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los
activos creados, incluyendo el activo
nuevo
Manejo de situaciones Excepcionales
1. Si no existen activos creados, se debe mostrar un mensaje que diga: no
111
se han registrado activos.
Flujo Alterno
Autor Fecha Versión

Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 58 Documentación de caso de uso consultar activos

Caso de uso No. 2 Nombre: Consultar Activos
Actores: Administrador, Consulta
Objetivo: Consultar Activos
Descripción: Se listan los activos creados en el sistema
Precondiciones: Deben existir activos creados previamente.
Flujo de Eventos

sistema, con las opciones ver y eliminar
para cada uno de los activos
Flujo Alterno

Fuente: Propia
Tabla 59 Documentación de caso de uso Actualizar activo

Caso de uso No. 3 Nombre: Actualizar Activo
Objetivo: Actualizar Activo
Descripción: Se actualiza un activo creado anteriormente
Precondiciones:
-El usuario debe haber iniciado sesión en el sistema
- Deben existir activos creados
Flujo de Eventos
112
3.Hacer clic en el icono ver sistema
5.Dar clic en el botón Actualizar 4. Mostrar el formulario de creación con
7.Dar clic en el botón aceptar del los campos diligenciados con la
mensaje Activo creado correctamente información del activo
6.Retornar mensaje Activo Actualizado
Correctamente
activos creados, con la actualización del
activo
Flujo Alterno

Fuente: Propia
Tabla 60 Documentación de caso de uso Eliminar Activo

Caso de uso No. 4 Nombre: Eliminar Activo
Objetivo: Eliminar Activo
Descripción: Se elimina un activo registrado
Precondiciones:
-El usuario debe haber iniciado sesión en el sistema
-Deben existir activos creados
Flujo de Eventos

3.Hacer clic en el icono eliminar sistema
5.Dar clic en el botón Aceptar del 4. Mostrar un mensaje de confirmación
mensaje de confirmación preguntando si está seguro que desea
7.Dar clic en el botón aceptar del eliminar el activo
mensaje Activo Eliminado 6.Retornar mensaje Activo Eliminado
correctamente Correctamente
activos, excepto el activo eliminado
113
Flujo Alterno
1. Si en el cuadro de confirmación el usuario da clic en cancelar, se
debe cerrar el cuadro de confirmación y mostrar nuevamente la lista
de activos creados.
Fuente: Propia
El análisis de la documentación de los casos de uso restantes se encuentra en el

Anexo 8.
4.3.5 Diagrama de secuencia
A continuación se presentaran los diagramas de secuencia más relevantes, como

lo son crear activo, crear activo crítico, crear área de preocupación, consultar
puntaje de riesgo relativo, consultar enfoque de mitigación.
Ilustración 51 Diagrama de secuencia crear activo
Fuente: Propia
114
Ilustración 52 Diagrama de secuencia crear activo critico
Fuente: Propia
Ilustración 53 Diagrama de secuencia crear área de preocupación
Fuente: Propia
115
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación
Fuente: Propia
Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo
Fuente: Propia
116
4.3.6. Diagramas de Actividad
A continuación se presentaran los diagramas de actividad más relevantes, como lo

son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje
de riesgo relativo, consultar enfoque de mitigación.
Ilustración 56 Diagrama de actividad crear activo
Fuente: Propia
Ilustración 57 Diagrama de actividad crear área de preocupación
Fuente: Propia
117
Ilustración 58 Diagrama de actividad crear activo critico
Fuente: Propia
Ilustración 59 Diagrama de actividad consultar enfoque de mitigación
Fuente: Propia
118
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo
Fuente: Propia
4.3.7. Diagramas de estado
A continuación se presentaran los diagramas de estado más relevantes, como lo

son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje
de riesgo relativo, consultar enfoque de mitigación.
Ilustración 61 Diagrama de estado gestionar activo
Fuente: Propia
119
Ilustración 62 Diagrama de estado gestionar área de preocupación
Fuente: Propia
Ilustración 63 Diagrama de estado gestionar activo critico
Fuente: Propia
120
Ilustración 64 Diagrama de estado Consultar puntaje de riesgo relativo
Fuente: Propia
Ilustración 65 Diagrama de estado consultar enfoque de mitigación
Fuente: Propia
121
4.3.8 Modelo Objeto Relacional
Ilustración 66 Modelo entidad relación
Fuente: Propia
122
4.3.9. Diccionario de datos
A continuación se presentan las tablas existentes para almacenar todas la información del
sistema.
4.3.9.1 Activo
Ilustración 67 Activo
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id activo
Nombre Varchar(256) NO Nombre del activo
Descripción Varchar(500) SI Descripción del activo
Determina si el activo fue
Is_archived TINYINT No Default 0
eliminado
Fuente: Propia
4.3.9.2. Activo_Contenedor
Ilustración 68 Activo Contenedor
Activo_id INT NO FK REF activo(Id) Id del activo
Contenedor_id INT NO FK REF Id del contenedor en donde se
contendor(id) encuentra el activo
Fuente: Propia
4.3.9.3 Activo_Critico
Ilustración 69 Activo Critico
FK REF
Activo_id INT NO Id del activo
activo(id)
VARCHAR(5 Justificación del por qué el
Justificación SI
00) activo es crítico
VARCHAR(5
Descripción SI Descripción del activo
00)
VARCHAR(2
Propietarios SI Propietarios del activo
50)
Confidencialid VARCHAR(5 Como se ve afectada en el
SI
ad 00) activo
VARCHAR(5 Como se ve afectaba en el
Integridad SI
00) activo
Requisitos_im VARCHAR(5 Requisitos importantes de
SI
portantes 00) seguridad para el activo
VARCHAR(5 Como se ve afectada en el
disponibilidad SI
00) activo
Determina si el activo crítico es
Is_archived TINYINT NO
eliminado o no
Fuente: Propia
123
4.3.9.4 Area_consecuencias
Ilustración 70 Area consecuencias
Área_preocupacio INT NO FK REF Id del área de
n_id área_preocupacion preocupación
(id)
Consecuencia_id INT NO FK consecuencias Id de la consecuencia
(id) relacionada con el área
de preocupación
Fuente: Propia
4.3.9.5 Area_impacto
Ilustración 71 Area impacto
Id INT NO PK Id área de impacto
nombre VARCHAR(256) NO Nombre del área de impacto
indice INT NO Prioridad del área de impacto
Fuente: Propia
4.3.9.6 Area_preocupacion
Ilustración 72 Area preocupación
Id INT NO PK Id área de preocupación
NO FK REF Id del activo crítico
Activo_critico
INT activo_critic relacionado
_id
o(id)
NO Nombre del área de
Nombre VARCHAR(256)
preocupación
Actor VARCHAR(256) SI Actor de amenaza
SI Motivo por el que puede
Motivo VARCHAR(256)
ocurrir la amenaza
Requisitos_se SI Requisitos de seguridad
VARCHAR(256)
guridad necesarios
SI Resultado de la ejecución
Resultado VARCHAR(256)
de la amenaza
SI Probabilidad de que ocurra
Probabilidad VARCHAR(256)
la amenaza
Acción VARCHAR(10) SI Acción a tomar
Determina si el área de
Is_archived TINYINT NO
preocupación se eliminó
Fuente: Propia
4.3.9.7 Consecuencias
Ilustración 73 Consecuencias
Id INT NO PK Id consecuencia
Nombre VARCHAR(250) NO Nombre consecuencia
124
Descripción VARCHAR(250) NO Descripción consecuencia
INT NO FK REF Id del área de impacto
Área_impacto_id área_imp afectada
acto(id)
INT NO Valor cualitativo de la
Valor_impacto
consecuencia
Puntaje INT NO Puntaje de riesgo relativo
Fuente: Propia
4.3.9.8 Contenedor
Ilustración 74 Contenedor
Id INT NO PK Id contenedor
Nombre VARCHAR(45) NO Nombre del contenedor
Descripción_inter VARCHAR(50 Descripción interna del
SI
o 0) contenedor
Propietario_inter VARCHAR(50 Propietario interno del
SI
no 0) contenedor
Descripción_exte VARCHAR(50 Descripción externa del
SI
rno 0) contenedor
Propietario_exter VARCHAR(50 Propietario externo del
SI
no 0) contenedor
Tipo_contenedor INT SI Tipo físico, técnico, personas
TINYINT Determina si el contenedor se
Is_archived NO
eliminó
Fuente: Propia
4.3.9.9 Controles
Ilustración 75 Controles
Id INT NO PK Id del control
FK REF Id área de
Área_preocupaci
INT NO área_preocupacion preocupación del
on_id
(id) control
VARCHAR(1 Descripción del
control NO
280) control
FK REF Id del control
Suggested_contr
INT SI suggested_control( sugerido por la
ol_id
id) metodología
Fuente: Propia
4.3.9.10 criterios_riesgo_seleccionado
Ilustración 76 criterios riesgo seleccionado
INT FK REF Id del área de
Área_impacto_id NO
área_impacto(id) impacto
Bajo VARCHAR(500) NO Descripción de
125
impacto bajo
VARCHAR(500) Descripción de
Medio NO
impacto medio
VARCHAR(500) Descripción de
Alto NO
impacto alto
Fuente: Propia
4.3.9.11Profile
Ilustración 77 Profile
id INT NO PK Id del perfil
name VARCHAR(100) NO Nombre del perfile
Fuente: Propia
4.3.9.12 Suggested_control
Ilustración 78 Suggested_control
Id INT PK Id del control
NO
sugerido
Área_preocupacio INT FK REF Id de área de
n_id área_preocu preocupación a la
NO
pacion(id) que pertenece el
control
Name VARCHAR(200) Nombre del control
NO
sugerido
Description VARCHAR(500) Descripción del
NO
control sugerido
Fuente: Propia
4.3.9.13. User
Ilustración 79 User
Id INT NO PK Id del usuario
Name VARCHAR(50) NO Nombre del usuario
Lastname VARCHAR(100) NO Apellido del usuario
Username VARCHAR(100) NO Login del usuario
Password VARCHAR(252) NO Contraseña del usuario
Profile INT NO FK REF Perfil del usuario
profile(id) administrador o de consulta
sessionActive TINYINT NO Indica si tiene una sesión
activa
Is_archived TINYINT NO Indica si el usuario fue
eliminado
Fuente: Propia
126
4.4. Implementación
4.4.1 Modelo de despliegue
A continuación se describe el diagrama de despliegue de la aplicación, en el cual

se pueden observar cada uno de los componentes que participan en la operación
del sistema.
Del lado del servidor tenemos NodeJS, el cual está basado en el servidor V8 de
JavaScript de Google. Este motor está diseñado para correr en un navegador y
ejecutar el código de JavaScript de una forma extremadamente rápida. La
tecnología que está detrás de NodeJS permite ejecutar este motor en el lado del
servidor, este abre un puerto que el usuario específica y expone servicios REST.
Del lado del FrontEnd tenemos un framework open source llamado Ionic, este
framework trabaja entre otros componentes con AngularJS y Apache Cordova,
este último permite utilizar las tecnologías estándar web como HTML5, CSS3 y
JavaScript para desarrollo multiplataforma, evitando el lenguaje de desarrollo
nativo para cada plataforma móvil.
Ilustración 80 Modelo de despliegue
Fuente: Propia
4.4.2 Modelo de componentes
A continuación se describe el diagrama de componentes del sistema, en el cual se

observa la relación de dependencia entre los mismos.
La aplicación fue construida bajo el patrón de arquitectura de software modelo-
vista-controlador, el cual consiste en separar los datos y la lógica de negocio de la
127
interfaz. La vista que en este caso puede ser por navegador o aplicación móvil
consulta la información a través de servicios REST que expone el Backend, y este
quien se comunica con la base de datos y retorna la información que será
presentada en el FrontEnd.
Ilustración 81 Modelo de componentes
Fuente: Propia
4.4.3 Diagrama de Paquetes
Tanto el Backend como el FrontEnd tienen definida su estructura de directorios

definidos, la cual se presenta a continuación
Ilustración 82 Diagrama de paquetes
Fuente: Propia
128
4.5 Pruebas
Las pruebas de la aplicación fueron realizadas por la Analista de riesgos, quien es

la persona encargada de verificar el correcto funcionamiento de la aplicación, es
también quien usara la aplicación en la compañía empleando el rol de
administrador en la herramienta.
Estas pruebas se hicieron con el fin de revisar y evaluar la funcionalidad de la

aplicación, según las especificaciones o requisitos funcionales, identificando los
posibles errores que se puedan presentar en cada uno de los módulos.
Estas pruebas también se realizaron con el fin de recibir una retroalimentación por
parte de la analista, en cuanto a la presentación y diseño grafico de la aplicación.
A continuación se presentan algunas de las pruebas realizadas sobre los módulos

que componen la aplicación.
4.5.1 Prueba Menú Activos

Tabla 61 Prueba Menú Activos
Prueba Menú Activos
Dirigida Por Asistente Estado
Proceso OK
Lorena Rojas Sandra Torres
Terminada SI
Revisar el funcionamiento de las secciones que componen el
Concepto
módulo de Activos
Perfil Administrador
Elemento de
Acción Resultado Esperado Estado
Prueba
Validación de campos
Formulario de requeridos, el usuario llena el
Registrar Activo OK
Registro formulario y el activo debe ser
registrado en la base de datos.
Al dar clic en la opción ver, se
Opción Ver debe ver la información que el
Consultar Activo de cada usuario escribió al momento de OK
activo crear el activo, se deben llenar
todos los campos
Formulario de Al actualizar un activo se deben
Actualizar Activo OK
Actualización realizar las validaciones de los
129
campos la actualización debe ser
guardada en base de datos
Al eliminarse el activo se debe
pedir confirmación al usuario de
Opción
la acción, si no está de acuerdo
Eliminar Activo Eliminar de OK
el activo no debe eliminarse, si
cada activo
acepta se debe quitar el activo de
la lista de activos
El textArea en donde se diligencia la descripción del activo,
ERRORES tenía un tamaño muy pequeño, haciendo difícil la lectura de
la descripción
CORRECCIONES Se aplica estilo para ampliar el tamaño del textArea
Fuente: Propia
4.5.2. Prueba Menú Activos Críticos
Tabla 62 Prueba Menú Activos Críticos
Prueba Menú Activos Críticos

Proceso OK
Terminada SI
Concepto
módulo de Activos Críticos
Elemento de
Prueba
Validación de campos requeridos, el
Registrar Activo Formulario de usuario llena el formulario y el activo
OK
Crítico Registro crítico debe ser registrado en la base
de datos.
Al dar clic en la opción ver, se debe
Opción Ver de ver la información que el usuario
Consultar Activo
cada activo escribió al momento de crear el activo OK
Crítico
crítico crítico, se deben llenar todos los
campos
Al actualizar un activo crítico se
Actualizar Activo Formulario de deben realizar las validaciones de los
OK
Crítico Actualización campos la actualización debe ser
guardada en base de datos
Eliminar Activo Opción Al eliminarse el activo se debe pedir OK
130
Crítico Eliminar de confirmación al usuario de la acción,
cada activo si no está de acuerdo el activo crítico
crítico no debe eliminarse, si acepta se debe
quitar el activo crítico de la lista de
activos
El selector de activo no mostraba completo el nombre del
ERRORES
activo
Se ajusta selector para que muestre el nombre del activo
CORRECCIONES
seleccionado completo.
Fuente: Propia
4.5.3 Prueba Menú Criterios de Medida de Riesgo

Tabla 63 Prueba Menú Criterios de Medida de Riesgo
Prueba Menú Criterios de Medida de Riesgo
Proceso OK
Terminada SI
Concepto
módulo de Criterios de Medida de Riesgo
Elemento de
Prueba
Validación de campos requeridos,
Registrar Criterio
Formulario el usuario llena el formulario y
de Medida de OK
de Registro debe registrarse el criterio de
Riesgo
medida de riesgo en base de datos
Consultar Criterios Opción Ver debe ver la información que el
de Medida de de cada usuario escribió al momento de
OK
Riesgo criterio de crear el criterio de medida de
Configurados riesgo riesgo, se deben llenar todos los
campos
Al actualizar un criterio de medida
Actualizar Criterio Formulario de riesgo se deben realizar las
de Medida de de validaciones de los campos la OK
Riesgo Actualización actualización debe ser guardada
en base de datos
Eliminar Criterio Opción Al eliminarse el criterio de medida OK
131
de Medida de Eliminar de de riesgo se debe pedir
Riesgo cada criterio confirmación al usuario de la
de Medida de acción, si no está de acuerdo el
Riesgo criterio no debe eliminarse, si
acepta se debe quitar el criterio de
la lista de criterios configurados
Cuando se selecciona el área de impacto Reputación y
ERRORES confianza del cliente el texto no se ve completo en el
selector
Se ajusta estilo para que se vea completo el nombre del
CORRECCIONES
área de preocupación
Fuente: Propia
4.5.4 Prueba Menú Priorizar Áreas de Impacto

Tabla 64 Prueba Menú Priorizar Áreas de Impacto
Prueba Menú Priorizar Áreas de Impacto

Proceso OK
Terminada SI
Concepto Revisar el funcionamiento del componente que permite la
priorización de las áreas de impacto
Elemento
de Prueba
Cuando el usuario arrastre un área
Priorizar las áreas Drag and de impacto, esta debe ubicarse en
OK
de impacto Drop donde el usuario le indique, y la
visualización debe ser correcta
Cuando el usuario de clic en
guardar, en base de datos debe
guardarse el orden dado por el
Guardar
Botón usuario y este debe pintarse de la
Priorización de OK
Guardar manera en que el usuario lo
áreas de impacto
organizó una vez se recargue la
página o vaya a otro menú y
regrese
ERRORES En el dispositivo móvil no funcionaba el drag and drop
132
correctamente.
Se hace ajuste para la correcta visualización tanto en web
CORRECCIONES
como en móvil.
Fuente: Propia
4.5.5 Prueba Menú Contenedores
Tabla 65 Prueba Menú Contenedores

Prueba Menú Contenedores
Proceso OK
Terminada SI
Concepto
módulo de Contenedores
Elemento de
Prueba
Registrar Formulario el usuario llena el formulario y
OK
Contenedor de Registro debe registrarse contenedor en
base de datos
Opción Ver debe ver la información que el
Consultar
de cada usuario escribió al momento de OK
Contenedor
contenedor crear el contenedor, se deben
llenar todos los campos
Al actualizar un contenedor se
Formulario
Actualizar deben realizar las validaciones de
de OK
Contenedor los campos la actualización debe
Actualización
ser guardada en base de datos
Al eliminarse un contenedor se
Opción debe pedir confirmación al usuario
Eliminar Eliminar de de la acción, si no está de acuerdo
OK
Contenedor cada el contenedor no debe eliminarse,
contenedor si acepta se debe quitar el
contenedor de la lista
Cuando se crea un nuevo contenedor, en el formulario de
ERRORES creación solo se muestra el selector de tipo y al
seleccionarlo se muestran todos los campos, sin embargo
133
luego de abrir un contenedor para editarlo y hacer clic en
crear uno todos los campos se muestran antes de
seleccionar el contenedor
Se agrega validación al momento de cerrar el modal para
CORRECCIONES que se limpie el modelo y funcione de la misma manera que
en crear
Fuente: Propia
4.5.6 Prueba Menú Asociar Activos a Contenedores

Tabla 66 Prueba Menú Asociar Activos a Contenedores
Prueba Menú Asociar Activos a Contenedores
Proceso OK
Terminada SI
Concepto
módulo de Asociar Activos a Contenedores
Elemento de
Prueba
Al iniciar solamente debe estar
Listar Selectores de lleno el selector de tipo de
contenedores de tipo de contenedor, cuando seleccione
OK
acuerdo al tipo contenedor y uno , se debe llenar el otro
seleccionado contenedor selector con los contenedores
del tipo seleccionado
Una vez seleccionado el
contenedor, se deben mostrar si
existen, los activos que estén
Asociar activos a asociados al contenedor, el
Drag and Drop OK
contenedor usuario debe poder arrastrar de
la sección de activos a la
sección del contenedor y la
visualización debe ser correcta
El usuario debe poder arrastrar
Desasociar activos
Drag and Drop de la sección del contenedor los OK
de contenedor
activos que desee desasociar
Guardar Botón Guardar Al dar clic en guardar la OK
134
Asociación asociación de los activos debe
persistirse en base de datos
En la lista de activos se muestran los que se encuentran con
ERRORES
estado archivado
Se ajusta consulta de base de datos para agregar
CORRECCIONES
condicional de estado archivado en false
Fuente: Propia
4.5.7 Prueba Menú Áreas de Preocupación

Tabla 67 Prueba Menú Áreas de Preocupación
Prueba Menú Áreas de Preocupación
Proceso OK
Terminada SI
Concepto
módulo de Áreas de Preocupación
Elemento de
Prueba
la funcionalidad del wizard debe
Formulario de funcionar de manera correcta,
Registrar Área de
Registro permitiendo al usuario que avance OK
preocupación
(wizard) y retroceda si lo desea, una vez da
clic en Guardar todo se debe
almacenar en base de datos
debe ver la información que el
Opción Ver de
Consultar Área de usuario escribió al momento de
cada área de OK
Preocupación crear el área de preocupación, se
preocupación
deben llenar todos los campos en
el wizard
Al actualizar un área de
preocupación se deben realizar las
Actualizar Área de Formulario de
validaciones de los campos la OK
Preocupación Actualización
actualización debe ser guardada
en base de datos
135
Al eliminarse un área de
preocupación se debe pedir
Opción
confirmación al usuario de la
Eliminar Área de Eliminar de
acción, si no está de acuerdo el OK
Preocupación cada área de
área de preocupación no debe
preocupación
eliminarse, si acepta se debe
quitar el contenedor de la lista
-Al momento de diligenciar una consecuencia el selector de
área de impacto no muestra el nombre completo del área de
impacto
- Cuando se consulta un área de preocupación al momento
de ver las consecuencias no se está mostrando el valor de
ERRORES
impacto ni la descripción ingresada
- Al seleccionar el activo crítico el selector no muestra el
nombre del activo crítico completo
-Al actualizar el área de preocupación el mensaje que
muestra dice que la acción fue Guardar
-Se cambia el estilo del selector para mostrar el nombre
completo
-Se ajusta la asignación de datos durante la consulta para
que se muestre la descripción y el valor del impacto
CORRECCIONES seleccionado
-Se cambia el estilo del selector del activo crítico para que el
nombre se muestre completo
-Se ajusta mensaje para que la acción se muestre
correctamente
Fuente: Propia
4.5.8 Prueba Menú Puntaje de Riesgo Relativo

Tabla 68 Prueba Menú Puntaje de Riesgo Relativo
Prueba Menú Puntaje de Riesgo Relativo
Proceso OK
Terminada SI
Revisar el funcionamiento de la consulta de puntaje de
Concepto riesgo relativo de acuerdo a la información ingresada por el
usuario
Acción Elemento de Resultado Esperado Estado
136
Prueba
El usuario debe visualizar para
cada área de preocupación cual
Lista de Puntaje es el puntaje de riesgo relativo y
Consultar Puntaje Relativo por la probabilidad subjetiva de
OK
de Riesgo Relativo área de acuerdo a las consecuencias
preocupación que agregó durante la
documentación del área de
preocupación
-Cuando no hay áreas de preocupación, no se muestra nada
al dar clic en el menú
ERRORES - Se guarda cache de la consulta realizada a base de datos
al momento de modificar el área de preocupación no se
actualiza el puntaje ni la probabilidad
-Se añade mensaje indicando que no se han creado áreas
de preocupación
CORRECCIONES
-Se deshabilita opción de guardar cache en la vista de
puntaje de probabilidad de riesgo
Fuente: Propia
4.5.9 Prueba Menú Enfoque de Mitigación

Tabla 69 Prueba Menú Enfoque de Mitigación
Prueba Menú Enfoque de Mitigación
Proceso OK
Terminada SI
Revisar el funcionamiento de la consulta de enfoque de
Concepto mitigación de acuerdo al riesgo relativo y probabilidad
subjetiva
Elemento de
Prueba
El usuario debe visualizar para
cada área de preocupación cual es
Consultar Lista de
el enfoque de mitigación dado de
Enfoque de Enfoques de OK
acuerdo al puntaje de riesgo
Mitigación Mitigación
relativo, la probabilidad subjetiva y
la matriz de riesgos
Consulta de Opción Ver El usuario debe poder visualizar si OK
137
Controles controles de existen, los controles registrados
cada uno de para la acción sugerida por la
los enfoques metodología
de mitigación
El usuario puede seleccionar o no
un control sugerido de acuerdo al
Formulario de
anexo A de la norma ISO 27000 o
Crear Control registro de OK
puede crear un control propio, esta
control
información debe quedar
registrada en la base de datos
Cuando el usuario quiera editar
uno de los controles, se debe
mostrar el formulario con los datos
Actualizar Formulario de que el usuario diligenció en el
OK
Control Actualización momento de la creación del
control, todos los campos deben
estar llenos, la actualización debe
ser guardada en la base de datos
Opción Ver de El usuario podrá ver la información
cada uno de completa del control, podrá
Consultar Control OK
los controles identificar si seleccionó o no un
listados control predeterminado
Al eliminar un control se debe
Opción
pedir confirmación al usuario de la
Eliminar de
acción, si está de acuerdo el
Eliminar Control cada uno de OK
control debe eliminarse y no
los controles
mostrarse más en la lista de
listados
controles
-Cuando no se han creado áreas de preocupación, no se
muestra nada en la pantalla
-Se guarda cache de los datos , entonces cuando se actualiza
ERRORES
un área preocupación no se muestra el enfoque actualizado
- Al guardar un control sin Id de control sugerido sale error en
Backend
Se añade mensaje indicando que no se han creado áreas de
preocupación aún
CORRECCIONES
-Se deshabilita la opción de guardar caché en la vista
- Se ajusta Backend para que guarde con o sin id de control
138
sugerido
Fuente: Propia
4.5.10 Prueba Menú Descarga de Reportes

Tabla 70 Prueba Menú Descarga de Reportes
Prueba Menú Descarga de Reportes
Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de la descarga de reportes
Elemento de
Prueba
Se debe generar el PDF con
Descargar Reporte
la información ingresada en
de Criterios de PDF generado OK
el sistema, la visualización
Medida de Riesgo
debe ser correcta
Se debe generar el PDF con
Descargar reporte
la información ingresada en
de Perfil de PDF generado OK
el sistema, la visualización
Activos
debe ser correcta
Descargar reporte Se debe generar el PDF con
de Documentación la información ingresada en
PDF generado OK
de áreas de el sistema, la visualización
preocupación debe ser correcta
Descargar reporte Se debe generar el PDF con
de riesgo relativo y la información ingresada en
PDF generado OK
probabilidad el sistema, la visualización
subjetiva debe ser correcta
Se debe generar el PDF con la
Descargar reporte
información ingresada en el
de Enfoque de PDF generado OK
sistema, la visualización debe
Mitigación
ser correcta
-Cuando el nombre del archivo tiene espacios, este no se
descarga
ERRORES
-Cuando los textos son muy largos no se genera una nueva
página y queda cortado el contenido del PDF
-Se ajusta nombre de pdf para que quede sin espacios
CORRECCIONES
- Se realiza ajuste para crear la nueva página y mostrar el
139
contenido completo
Fuente: Propia
4.5.11 Prueba Menú Administración de Usuarios

Tabla 71 Prueba Menú Administración de Usuarios
Prueba Menú Administración de Usuarios
Proceso OK
Terminada SI
Revisar el funcionamiento del proceso de administración de
Concepto
usuarios
Elemento de
Prueba
El usuario diligencia el formulario
de creación, se realiza validación
de campos, el email debe ser
Formulario de escrito correctamente, se debe
Crear usuario OK
Creación enviar un correo al usuario con la
contraseña para ingresar, el
usuario debe ser almacenado en
base de datos
Se deben visualizar todos los
Opción Ver de campos llenos con la información
cada uno de que el usuario diligenció en el
Consultar Usuario OK
los usuarios momento de la creación del
listados usuario, la contraseña no debe
mostrarse
validación de email escrito
correctamente, se debe tener la
opción de generar nuevamente la
contraseña por el usuario, si se
Formulario de
Editar Usuario selecciona está opción se debe OK
Actualización
enviar un correo al usuario
indicando cuál es su nueva
contraseña, los datos actualizados
deben ser guardados en base de
datos
140
Opción Se le debe pedir confirmación al
Eliminar de usuario de la acción , si el usuario
Eliminar Usuario cada uno de acepta se debe eliminar el usuario OK
los usuarios y quitarlo de la lista
listados
El usuario puede modificar sus
Actualizar Datos datos, cambiar su contraseña, si
Ver y
del usuario cambia la contraseña, se debe
actualizar OK
logueado en el enviar un correo notificando el
información
sistema cambio de contraseña, el usuario
no podrá modificar su perfil
No se notifica cuando se intenta crear un usuario con un
ERRORES
correo que ya existe
Se agrega notificación cuando el correo ya está registrado en
CORRECCIONES
el sistema
Fuente: Propia
141
CONCLUSIONES
Al realizar este trabajo se logró identificar las fortalezas y debilidades que se

pueden presentar en una fiduciaria en cuanto a la seguridad de la información, si
bien se encontraron fortalezas estas mismas se mejoraron.
Durante el análisis se encontraron debilidades, éstas tuvieron un manejo especial

con controles y procedimientos que permitieron que los eventos de riesgo se
materialicen cada vez menos, hasta llegar al riesgo residual o eliminar el riesgo
definitivamente.
El análisis de riesgo fue un elemento muy importante, dentro del desarrollo del
proyecto, ya que permitió que tanto el analista de riesgo como el ingeniero de
infraestructura, realizaran un análisis más extenso, identificando riesgos que no se
habían contemplado.
La metodología Octave Allegro, permitió identificar las falencias que existían en

algunos procesos internos y políticas de la organización, a partir de estas se
tomaron decisiones y se implementaron mejoras.
La metodología Octave Allegro, fue de gran utilidad, ya que permite enfocarse en

los activos de información, contemplando varios escenarios de amenazas y así
tener un mayor alcance en la identificación de los riesgos, como los controles que
se deben implementar, para evitar que el riesgo se materialice.
La implementación de un prototipo en la que se encuentran los ocho pasos de la

metodología Octave Allegro, permite que el usuario registre y consulte de manera
ordenada la información de los activos, controles, áreas de preocupación entre
otras.
Al realizar las pruebas se logró identificar algunas falencias que se presentaron en

la interfaz grafica y se implementaron mejoras sobre la aplicación tanto móvil
como web mejorando la navegación del usuario.
Al desarrollar este proyecto se pusieron en práctica los conocimientos que se

obtuvieron en las diferentes asignaturas de Ingeniera en Telemática, fortaleciendo
y mejorando nuestro desempeño a nivel profesional.
142
RECOMENDACIONES
• Usar el manual de usuario para el manejo correcto de la aplicación.
• Contar con un buen equipo de trabajo con experiencia y amplios

conocimientos sobre la gestión de riesgos.
• Usar el manual para la correcta instalación del aplicativo.
• Documentar todos los procesos internos de la compañía.
• Realizar capacitaciones contantes al personal de la compañía con el fin de

orientarlos en el uso adecuado de los sistemas de información.
• Realizar comités con la junta directiva para revisar, analizar e implementar

mejoras en los procesos internos de la compañía.
• Implementar un plan de continuidad que involucre a toda la compañía.
• El comité debería evaluar periódicamente el de continuidad inicialmente dos

veces al años para comprobar su efectividad y después anualmente para
actualizar el mismo.
143
REFERENCIAS
● Andrés F. Doria Corcho, 2014, Metodologías De Análisis, Evaluación Y

Gestión De Riesgos Informáticos, 01/03/2017, Recuperado:
http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html.
● Banco GNB Sudameris S.A., 2017, servitrust gnbsudameris, Definición de
gestión de fiduciaria 13/08/2016, Recuperado http://www.servitrust.gnbsuda
meris.com.co/academia-fiducia.php
● Cees van W esten, Lección 1: Conceptos de Vulnerabilidad, Riesgo y
Amenaza, International Institute for Geo-Information Science and Earth
Observation 13/08/2016 Recuperado: http://datateca.unad.edu.co /contenid
os/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_amena
za.html.
● Daniela Bravo, 2013, CICLO PHVA, 01/03/2017, recuperado:
http://adpphva.blogspot.com.co/
● Elvira Mifsud 2012 Introducción a la seguridad informática Vulnerabilidades
de un sistema informático, Gobierno de España Ministerio de Educación,
cultura y Deporte 13/08/2016 Recuperado:http://recursostic.
educacion.es/observatorio/web/es/component/content/article/1040-introducc
ion-a-la-seguridad-informatica?start=3
● Expresión Binaria,2014, 8 pasos para hacer una evaluación de riesgos con
OCTAVE Allegro, 01/03/2017, Recuperado: http://www.expresionbinaria.
com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/
● Gestión del riesgo 13/08/16 http://www.eird.org/cd/toolkit08/material/
proteccioni_nfraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_ri
esgo.pdf.
● Jhonn Álvaro Cuesta Hernandez, John Neftali Mojica Morales, (2007).
Estudio Del Riesgo Operacional En El Sector Fiduciario, Un Enfoque Para
Fiduciaria Bogotá S.A. Universidad De La Salle Facultad De Economía
13/08/2016, Recuperado:http://repository.lasalle.edu.co/bitstream/handle/10
185/11740/10011230.pdf?sequence=2
● Juan Manuel Corzo 2012 Román Sistema Nacional de Gestión del Riesgo,
Ministerio del Interior, 13/08/2016 Recuperado: https://www.dimar.mil.co
/sites/default/files/atach/cartilla_sistema_nacional_de_gestion_del_riesgo_0
.pdf.
● Julián Pérez Porto y Ana Gardey, 2008, Concepto de seguridad - Definición,
Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/seguridad/
#ixzz4HYj42nH
144
● Julián Pérez Porto y Ana Gardey, 2015 Concepto de seguridad - Definición,
Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/activo-
financiero/.
● María Fernanda Molina Miranda, (2015) Propuesta de un plan de Gestión
de Riesgos de tecnología aplicado en la escuela superior politécnica del
litoral, Universidad Politécnica de Madrid Escuela Técnica Superior de
Ingenieros de Telecomunicación,13/08/16 Recuperado: http://www.dit.upm
.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Mi
randa_2015 .pdf.
● Maria Esperanza Bulla Pinzón, (2014). Riesgo Operativo En Cartera De
Una Sociedad Fiduciaria, Universidad Militar Nueva Granada 13/08/2016,
Recuperado: http://repository.unimilitar.edu.co/bitstream/10654/12755/1/EN
SAYO%20OPCION%20GRADO%202014%20definitivo.pdf.
● Markus Erb, 2003, Gestión de Riesgo en la Seguridad Informática
13/08/2016 Recuperado:https://protejete.wordpress.com/gdr_principal/ame
naza _vulne rabilidades/
● Marta Mejia, 2014, ISO27001 2013 - Anexo a - En Tabla Excel, 30/06/2017,
Recuperado:https://es.scribd.com/doc/232787821/ISO27001-2013-Anexo-a-
En-Tabla-Excel.
● Maxitana Cevallos, Jennifer Dennise, 2005, Administración de riesgos de
tecnología de información de una empresa del sector informático 1/03/2017,
Recuperado: http://www.dspace.espol.edu.ec/handle/123456789/25283
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/29/8-pasos-evaluacion-de-riesgos-1/
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/30/8-pasos-evaluacion-de-riesgos-2/
● Miguel A. Sánchez, 2016, Perfilado de Activos de Información, 01/03/2017
Recuperado: https://technologyincontrol2.wordpress.com/2016/01/14/perfila
do-de-activos-de-información/
● Richard A. Caralli James F. Stevens Lisa R. Young William R. Wilson, 2007,
Introducing OCTAVE Allegro: Improving the Information Security Risk
Assessment Process, 1/03/2017, Recuperado: http://resources.sei.cmu.edu
/asset_files/technicalreport/2007_005_001_14885.pdf.
145
Anexo 1.
Entrevista a la Analista de Riesgo y al Ingeniero de Infraestructura
¿Acción Fiduciaria cuenta con políticas de seguridad de información?

¿Las políticas de la información revisadas, publicadas, y comunicadas al
personal?
¿Se realizan revisiones de las políticas y con qué regularidad?
¿Existen procedimientos para la revisión de las políticas de seguridad y con qué
regularidad realizan esta actividad?
¿Las actividades de seguridad de la información son coordinadas por alguna
persona responsable?
¿Se realiza verificación de antecedentes de los candidatos al empleo?
¿Se firman contratos de confidencialidad?
¿Existen procesos para los cambios de cargo del personal?
¿Manejan algún inventario de todos los activos de información?
¿Acción Fiduciaria cuenta con políticas en cuenta al uso de los equipos?
¿Existen políticas del uso aceptable para cada tipo de información?
¿Existen políticas para el uso de medios extraíbles?
¿Existen controles para asegurar el acceso a páginas que no son utilizadas para
las actividades diarias?
¿Acción Fiduciaria cuenta políticas para el control de acceso?
¿Existen políticas para asegurar la eliminación de los accesos de los usuarios que
finalizan contrato?
¿Existen políticas para el uso de encriptación?
¿Se han diseñado medidas de protección física para prevenir desastres naturales,
ataques maliciosos o accidentes?
¿Tiene sistemas de control de acceso adecuados para las zonas de acceso
restringido?
¿Existen procesos para mantener la seguridad de bloquear, limpiar escritorios?
¿Hay un sistema UPS o un generador de respaldo?
¿Están documentados los procedimientos operativos?
¿Están los procedimientos disponibles para todos los usuarios que los necesitan?
¿Se mantienen los registros de eventos apropiados y se revisan periódicamente?
¿Existe un proceso de gestión de la red?
¿Existen procedimientos para la transferencia de datos a todos los empleados?
¿Los empleados, contratistas y agentes firman acuerdos de confidencialidad o no
divulgación?
¿Están sujetos a revisión periódica estos acuerdos?
¿Se incluye la seguridad de la información en los contratos establecidos con
proveedores y proveedores de servicios?
¿Se controla el acceso de los proveedores a los activos y la infraestructura de la
información?
¿Las responsabilidades de gestión están claramente identificadas y
documentadas en los procesos de gestión de incidentes?
146
¿Existe un proceso para la información oportuna de los eventos de seguridad de la
información?
¿Existe un proceso para revisar y tratar los informes de manera oportuna?
¿Existe un proceso para asegurar que los eventos de seguridad de la información
sean debidamente evaluados y clasificados?
¿Está incluida la seguridad de la información en los planes de continuidad de la
organización?
¿El enfoque de las organizaciones para gestionar la seguridad de la información
está sujeto a una revisión independiente regular?
147
Anexo 2
Perfilamiento de los activos de información
A continuación, se realiza el perfilamiento de la base de datos de AcciónBack
Tabla 72 Perfilamiento del activo Bases de datos AcciónBack

Activo Critico: Bases de datos AcciónBack
Descripción: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar
modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable
debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la
compañía se encuentran alojadas en las base de datos.
Titular del activo: Gerente de infraestructura, Administrador de bases de datos.
Hardware: Servidor de bases de datos.
Confidencialidad: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar
modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable
debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la
compañía se encuentran alojadas en las base de datos.
Integridad: Toda la información que se encuentra en las bases de datos ya sea registrada por las diferentes
áreas debe ser verídica y confiable debido a que la información que se aloja es muy sensible.
Disponibilidad: La información que se encuentra alojada en las bases de datos debe estar siempre disponible
ya que en ella reposa la información del cliente, pagos, fideicomiso y se debe poder realizar cualquier consulta
en cualquier momento por los empleados de la compañía solo aquellos que tiene autorización.
Valoración:
Las bases de datos deben estar disponibles y accesibles para los usuarios autorizados de la compañía para
acceder a las diferentes consultas y actividades diarias realizadas.
Fuente: Propia
A continuación, se realizó el perfilamiento del centro de negocios.
Tabla 73 Perfilamiento del activo Centro de negocios

Activo Critico: centro de negocios
Descripción: Plataforma de consulta de proyectos inmobiliarios, por fideicomitentes y administradores sobre,
unidades encargos, planes de pagos, saldos, cesiones y desistimientos de cada uno de los clientes asociados
a un proyecto inmobiliario.
Titular del activo: Gerente de tecnología, administradores de negocios.
Hardware: Servidor interno.
Confidencialidad: Solo el personal autorizado puede ingresar al centro de negocios con un usuario y
contraseña y código de verificación se puede acceder al centro de negocios, usuarios como administradores
de negocios y fideicomitentes.
Integridad: En el centro de negocios los usuarios sea administrador y/o fideicomitente solo realizaran
consultas sobre los proyectos inmobiliarios.
Disponibilidad: La disponibilidad del centro de negocios debe ser 24x7 ya que los administradores y/o
fideicomitentes deben consultar los recaudos efectuados por los clientes a los proyectos inmobiliarios.
148
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en el centro de negocios debe ser válida y confiable ya que se trata de
recaudos realizados por los clientes a la inmobiliaria.
Fuente: Propia
A continuación, se realiza el perfilamiento del sistema Accionback
Tabla 74 Perfilamiento del activo Sistema AcciónBack

Activo Critico: Sistema AcciónBack.
Descripción: Sistema de administración de unidades, encargos y planes de pagos, cesiones y desistimientos
de proyectos de inmobiliarios.
Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.
Hardware: Servidor de aplicaciones.
Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña
asignado por el área de sistema para realizar operaciones.
Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar
unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas
operaciones, solo personal autorizado puede ingresar a realizar consultas.
Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el
cual reposa información sensible para los clientes y los fideicomitentes.
Valoración:
Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan
operaciones de registro de unidades, encargos y planes de pago que son migrados al centro de negocios.
Fuente: Propia
A continuación, se realiza el perfilamiento del digitalizador de documentos
Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos

Activo Critico: Sistema de Digitalizador de Documentos.
Descripción: Sistema de administración de digitalizador de documentos en el cual reposa documentos
escaneados tales como cedulas de ciudadanía, tarjetas de identidad, pasaportes, cedulas de extranjería,
contratos, formularios de vinculación.
Titular del activo: Gerente de tecnología, administradores de negocio, digitalizador de documentos,
Administrador de aplicaciones.
asignado por el área de sistema para realizar la digitalización de documentos.
Integridad: Solo el personal autorizado puede acceder al sistema con permisos de escanear documentos, el
resto del personal también autorizado solo puede realizar consultas sobre el sistema.
149
Disponibilidad: Este sistema debe estar disponible ya que en él se encuentra información sensible que
puede afectar las actividades diarias debidas que en este sistema reposa información para validación de
documentos de clientes.
Valoración:
Confidencialidad: X Integridad: Disponibilidad:
La información que reposa en este sistema no puede ser expuesta a terceros debido a que puede causar
problemas para la compañía tanto legales como financieros.
Fuente: Propia
A continuación, se realiza el perfilamiento de documentos
Tabla 76 Perfilamiento del activo Documentos

Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Descripción: Son archivos alojados en dispositivos como computadores de escritorio, correos electrónicos,
es un contenedor de información que permite gestionar, presentar y organizar datos con un fin determinado.
Titular del activo: Administrador de aplicaciones, servicio al cliente, administrador de negocios, gerente de
tecnología.
Hardware: Servidor de aplicaciones, Los documentos pueden ser almacenados en dispositivos USB, discos
duros, carpetas pueden ser impresos en hojas membretadas y alojadas en archivador de la compañía,
también pueden ser almacenados en los computadores portátiles y de escritorios de los empleados de la
compañía.
Confidencialidad: Toda la información que contienen los documentos no deben ser difundidos ni dentro ni
fuera de la compañía, solo podrán acceder a estos documentos el personal autorizado.
Integridad: Toda la información que se encuentra alojada en los documentos no debe perderse ni ser
entregados a otras personas que no sean el cliente.
Disponibilidad: Los documentos deben estar disponibles para el cliente cuando se les necesite de forma ágil
y sencilla.
Valoración:
Dado que la información almacenada en los documentos debe ser válida y confiable ya que esta información
se envía al cliente a través del correo electrónico.
Fuente: Propia
A continuación, se realiza el perfilamiento de Inveracción
Tabla 77 Perfilamiento del activo Sistema Inveracción

Activo Critico: Sistema Inveracción.
Descripción: Sistema de administración de pagos de carteras y/o fondos de inversión, consulta de
movimientos de encargos y de pagos a terceros, administración de apertura de encargos y de retiros de
cliente.
Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.
150
asignado por el área de sistema para realizar operaciones.
Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar
unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas
operaciones, solo personal autorizado puede ingresar a realizar consultas.
Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el
cual reposa información sensible para los clientes y los fideicomitentes, pagos, movimientos de encargos y
traslado de dineros a diferentes entidades bancarias.
Valoración:
Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan
operaciones de traslado de dineros entre fondo y entidades bancarias, consulta de información de
movimientos de pagos realizados por los clientes.
Fuente: Propia
A continuación, se realiza el perfilamiento del Directorio Activo
Tabla 78 Perfilamiento del activo Directorio Activo

Activo Critico: Directorio Activo
Descripción: En el directorio activo se almacena información de los usuarios de la compañía tales como,
nombres, apellidos, usuarios y contraseñas del personal de la compañía.
Titular del activo: Gerente de tecnología, Ingeniero de infraestructura.
Hardware: Servidor de aplicaciones
Confidencialidad: Solo el ingeniero de infraestructura, puede acceder con un usuario y contraseña asignado
únicamente por el área de sistemas.
Integridad: Toda la información alojada en el directorio activo debe ser verídica ya que en él se aloja
información sensible para la compañía.
Disponibilidad: La información debe estar disponible siempre y cuando sea necesaria para el ingeniero para
realizar consultas sobre los usuarios de la compañía.
Valoración
La información alojada en el directorio activo debe estar disponible debido que se realizan consultas
constantes para el registro, modificación y eliminación de usuarios.
Fuente: Propia
A continuación, se realiza el perfilamiento del servidor de aplicaciones
Tabla 79 Perfilamiento del activo Servidor de aplicaciones

Activo Critico: Servidor de aplicaciones
Descripción: Proporciona servicios que soportan la ejecución y disponibilidad de las aplicaciones
desplegadas, en el se alojan aplicaciones como AcciónBack, Orfeo, Documentos, Inveracción.
Titular del activo: Gerente de tecnología, Ingeniero de infraestructura, administrador de aplicaciones.
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de aplicaciones con un usuario y
contraseña, asignado por el área de sistemas.
151
Integridad: Todas las aplicaciones alojadas en el servidor deben funcionar de manera correcta, la
información alojada en el servidor debe ser verídica ya que estas aplicaciones contienen información muy
valiosa.
Disponibilidad: El servidor de aplicaciones debe estar disponible debido a que la información y las
aplicaciones alojadas, debe ser consultada por cualquier usuario de la compañía.
Valoración:
El servidor de aplicaciones debe estar disponible ya que aloja las aplicaciones Core de la compañía, por
tanto son consultadas por los usuarios de la compañía.
Fuente: Propia
A continuación, se realiza el perfilamiento del servidor de desarrollo
Tabla 80 Perfilamiento del activo servidor de desarrollo

Activo Critico: Servidor de desarrollo.
Descripción: Proporciona servicios que soportan la ejecución y desarrollo de las aplicaciones a desplegar
que permiten el mejoramiento de las actividades del personal de la compañía, buscando mejorar los
procesos.
Titular del activo: Gerente de tecnología, gerente de proyectos.
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de desarrollo con un usuario y
Integridad: Todos los desarrollos ejecutados por el área de sistemas deben estar alojados y documentados
en el servidor, para el uso exclusivo de los desarrolladores.
Disponibilidad: El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos
implementados por el personal de sistemas.
Valoración
El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos implementados por el
personal de sistemas.
Fuente: Propia
A continuación, se realiza el perfilamiento de servidor de pruebas
Tabla 81 Perfilamiento del activo servidor de Pruebas

Activo Critico: Servidor de pruebas.
Descripción: Proporciona servicios que soportan la ejecución de las aplicaciones a desplegar que permiten
el mejoramiento de las actividades del personal de la compañía, buscando mejorar los procesos realizando
actividades de validaciones y pruebas sobre las aplicaciones o prototipos implementados por el área de
sistemas.
Hardware: Servidor de pruebas.
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de pruebas con un usuario y
152
Integridad: Todas las validaciones y pruebas implementadas por los desarrolladores de sistemas deben
estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores y gerente de
proyectos.
Disponibilidad: El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas
por el personal de QA del área de sistemas.
Valoración:
El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de
QA del área de sistemas.
Fuente: Propia
A continuación, se realiza el perfilamiento de control de acceso
Tabla 82 Perfilamiento del activo Control de acceso

Activo Critico: Control de acceso.
Descripción: Procedimiento que aplica para todos los usuarios de la compañía, se les asigna un usuario y
contraseña para acceder a las aplicaciones y solo algunas personas a diferentes áreas de la compañía.
Confidencialidad: Solo el personal autorizado puede acceder ciertas aplicaciones y áreas de la compañía
con un usuario y contraseña asignado por el área de sistemas.
Integridad: Todas las operaciones que se realizan en las aplicaciones debe quedar registrado el usuario
quien ejecuta la operación.
Disponibilidad: El control de acceso debe estar disponible solo para los usuarios activos de la compañía,
para acceder a las aplicaciones de la compañía.
Valoración:
El control de acceso debe estar disponible solo para el personal activo, y así acceder a las aplicaciones de
la compañía y realizar las actividades diarias.
Fuente: Propia
153
ANEXO 3
Análisis de cada una de las áreas de preocupación en cada uno de los

activos de información
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo AcciónBack.
Tabla 83 Área de preocupación Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos sistema AcciónBack.
Activo Critico: Sistema AcciónBack
Exposición de los activos de información, acceso no autorizado a los sistemas
Área de preocupación:
informáticos.
Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
Medio:
compañía
Solo personal autorizado deberá ingresar a la aplicación y realizar las
Requisito de seguridad:
operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 84 Exposición de los activos de información, Exposición de los activos de información, acceso no
autorizado a la infraestructura física sistema AcciónBack.
Activo Critico: Sistemas AcciónBack
Motivos: Intereses personales
El servidor de - AcciónBack solo puede ser modificado por el área de sistemas
con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 85 Exposición de los activos de información, Desconocimiento en el manejo de los sistemas o equipos
informáticos
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Solo los usuarios autorizados pueden ingresar al Sistema AcciónBack con
usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
154
Tabla 86 Interrupción en el servicio de energía electrónica
Área de preocupación: Interrupción en el servicio de energía electrónica
Medio:
*Causas naturales
Motivos:
Los activos deberán contar con equipos ups y una planta de energía que supla
la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 87 Problemas de conectividad en la red interna de la organización

Área de preocupación: Problemas de conectividad en la red interna de la organización
Medio: Manipulación de los dispositivos de red, falta de capacitación
Intereses personales
Motivos:
Daño a la organización
Solo el área de sistemas puede manipular los dispositivos internos de
comunicación
Fuente: Propia
Tabla 88 Interrupción en el servicio internet

Área de preocupación: Interrupción en el servicio internet
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Los activos deberán contar con un proveedor de contingencia que pueda suplir
la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 89 Falla en los componentes de hardware en los equipos informáticos

Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Solo el personal sistemas puede realizar una revisión de AcciónBack y los
dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia
155
Tabla 90 Desactualización de los sistemas
al no realizar las actualizaciones a los diferentes sistemas el Sistema
Requisito de seguridad: AcciónBack puede ser incompatible con las actualizaciones y puede presentar
fallas en el servicio
Fuente: Propia
Tabla 91 Alta rotación de Personal

Área de preocupación: Alta rotación de Personal
*Ambiente laboral
*Interés personal
El Sistemas AcciónBack solo puede ser utilizado por el personal autorizado, ya
que al información alojada es confidencial
Fuente: Propia
Tabla 92 Desastres naturales

Activo Critico: Sistema AcciónBack
Área de preocupación: Desastres naturales
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 93 Falla o defecto de software

Área de preocupación: Falla o defecto de software
El Sistemas AcciónBack estará disponible cuando se encuentre la falla o se
instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
156
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Inveracción
Tabla 94 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Activo Critico: Inveracción
informáticos.
Medio:
compañía
Fuente: Propia
Tabla 95 Exposición de los activos de información, acceso no autorizado a la infraestructura física.

Área de preocupación: Exposición de los activos de información, acceso no autorizado a la
El servidor de Inveracción solo puede ser modificado por el área de sistemas
con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 96 Desconocimiento en el manejo de los sistemas o equipos informáticos

Solo los usuarios autorizados pueden ingresar a Inveracción con usuario y
contraseña otorgado por el área de sistemas
Fuente: Propia

Medio:
*Causas naturales
Motivos:
157
Fuente: Propia

Motivos:
comunicación
Fuente: Propia

la necesidad de internet mientras se restablece el servicio.
Fuente: Propia

Solo el personal sistemas puede realizar una revisión de Inveracción y los
Fuente: Propia

158
al no realizar las actualizaciones a los diferentes sistemas, Inveracción puede
ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia

*Ambiente laboral
*Interés personal
Inveracción solo puede ser utilizado por el personal autorizado, ya que al
información alojada es confidencial
Fuente: Propia

Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Fuente: Propia

Inveracción estará disponible cuando se encuentre la falla o se instale un
nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo centro de
negocios
Tabla 105 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Activo Critico: Centro de negocios
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos.
159
Medio: Centro de negocios
Resultados: Divulgación Modificación: X Destrucción: Interrupción:
Solo personal autorizado puede ingresar al Centro de negocios con un usuario
y contraseña asignado por el área de sistemas.
Fuente: Propia
El servidor de Centro de negocios solo puede ser modificado por el área de
sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia

Activo Critico: Centro de Negocios
Medio: Ingreso al Centro de negocios
Resultados: Divulgación: Modificación :X Destrucción: Interrupción:
Solo los usuarios autorizados pueden ingresar al centro de negocios con usuario
y contraseña otorgado por el área de sistemas
Fuente: Propia

Medio: *Descarga eléctrica
Resultados: Divulgación: Modificación: Destrucción: Interrupción :X
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla
la necesidad mientras se restablece el servicio.
Fuente: Propia

160
Motivos:
comunicación
Fuente: Propia

Fuente: Propia

Solo el personal sistemas puede realizar una revisión del centro de negocios y
los dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia

al no realizar las actualizaciones a los diferentes sistemas el centro de negocios
Requisito de seguridad: puede ser incompatible con las actualizaciones y puede presentar fallas en el
servicio
Fuente: Propia
161
*Ambiente laboral
*Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
El Centro de negocios solo puede ser utilizado por el personal autorizado, ya
que al información alojada es confidencial
Fuente: Propia

Resultados: Divulgación: Modificación: Destrucción. Interrupción: X
Fuente: Propia

El centro de negocios estará disponible cuando se encuentre la falla o se
instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Correo
electrónico
informáticos.
Medio: Correo electrónico
162
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de Solo personal autorizado puede ingresar al correo electrónico con un usuario y
seguridad: contraseña asignado por el área de sistemas
Fuente: Propia
Requisito de El servidor de correo electrónico solo puede ser modificado por el área de
seguridad: sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia

Medio: Ingreso al correo electrónico
Solo los usuarios autorizados pueden ingresar al correo con usuario y
Fuente: Propia

Medio:
*Causas naturales
Motivos:
El correo electrónico deberán contar con equipos ups y una planta de energía
que supla la necesidad mientras se restablece el servicio
Fuente: Propia

163
Motivos:
comunicación
Fuente: Propia

Medio: *Falla en los dispositivos
*Mantenimiento por parte del proveedor
Motivos: *Falta de comunicación
Resultados: Divulgación: Modificación: Destrucción: Interrupción :X
Requisito de seguridad: El sistema no estará disponible mientras se resuelve la interrupción del servicio
Fuente: Propia

Solo el personal sistemas puede realizar una revisión del correo electrónico y,
Fuente: Propia

al no realizar las actualizaciones a los diferentes sistemas el correo electrónico
Requisito de seguridad: puede ser incompatible con las actualizaciones y pueden vulnerar la integridad
de la información que se aloja
Fuente: Propia
164
*Ambiente laboral
*Interés personal
El correo electrónico solo puede ser utilizado por el personal autorizado, ya que
la información alojada puede ser modificada y enviada al cliente
Fuente: Propia

Fuente: Propia

El correo estará disponible cuando se encuentre la falla o se instale un nuevo
software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Directorio
Activo
informáticos.
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
165
compañía
Fuente: Propia
Requisito de seguridad: El Directorio Activo solo puede ser modificado por el área de sistemas con un
usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 129 Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Solo el administrador de infraestructura puede ingresar a Directorio Activo con
usuario y contraseña otorgado por el área de sistemas
Fuente: Propia

Medio:
*Causas naturales
Motivos:
Fuente: Propia
166
Motivos:
Solo el área de sistemas y el administrador de infraestructura puede manipular
los dispositivos internos de comunicación
Fuente: Propia

Para el directorio activo deberán contar con un proveedor de contingencia que
pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia

Solo el personal sistemas puede realizar una revisión de Directorio Activo y los
dispositivos hardware y software que puedan interrumpir el servicio
Fuente: Propia

al no realizar las actualizaciones a los diferentes sistemas, Directorio Activo
Requisito de seguridad: puede ser incompatible con las actualizaciones y puede presentar fallas en el
servicio
Fuente: Propia
167
*Ambiente laboral
*Interés personal
Directorio Activo solo puede ser utilizado por el personal autorizado, ya que al
información alojada es confidencial
Fuente: Propia

Fuente: Propia

Directorio Activo estará disponible cuando se encuentre la falla o se instale un
nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Bases de datos
AcciónBack
Tabla 138 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Activo Critico: Base de datos AcciónBack
informáticos
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
168
compañía
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup
de la base de datos de AcciónBack.
Fuente: Propia
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup
de la base de datos de AcciónBack
Fuente: Propia

Medio: Ingreso a la base de datos
Resultados: Divulgación: Modificación: Destrucción: Interrupción: x
Requisito de seguridad: Solo el área de sistemas puede acceder a la base de datos con un usuario y
Fuente: Propia

Medio:
*Causas naturales
Motivos:
Resultados: Divulgación: Modificación: Destrucción: Interrupción
Fuente: Propia
169
Motivos:
comunicación
Fuente: Propia

Para el directorio activo deberán contar con un proveedor de contingencia que
pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia

Solo el personal sistemas puede realizar una revisión de las bases de datos y
Requisito de seguridad: de los componentes, dispositivos informáticos que pueden alterar las bases de
datos
Fuente: Propia

al no realizar las actualizaciones a los diferentes sistemas las componentes de
Requisito de seguridad: las base de datos pueden vulnerar la integridad de los activos provocando una
paralización temporal de los servicios
Fuente: Propia
170
*Ambiente laboral
*Interés personal
Requisito de seguridad: El sistema presentara modificaciones ni alteraciones hasta que se tenga un
nuevo administrador de bases de datos
Fuente: Propia

Medio: Incendios, inundaciones, tormentos eléctricas, terremotos
Motivos: Causas naturales
Requisito de seguridad: la base de datos de AcciónBack no estarán disponible, mientras estos
fenómenos naturales estén presentes
Fuente: Propia

La base de datos no estará disponible hasta que no se encuentre el fallo o se
instale otra base de datos que no presente fallas
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Plataforma de
recaudo
Activo Critico: Plataforma de recaudo
informáticos.
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes.
171
Solo los usuarios autorizados podrán ingresar a la plataforma de recaudo y
realizar los pagos correspondientes.
Fuente: Propia
Requisito de seguridad: El sistema no estará disponible hasta que no se restablezca el sistema de
recaudo
Fuente: Propia

Medio: Ingreso a la plataforma de recaudo
Solo el área de sistemas puede acceder a la plataforma de recaudo con un
usuario y contraseña otorgado por la misma área
Fuente: Propia

Medio:
*Causas naturales
Motivos:
Resultados: Divulgación: Modificación: Destrucción: Interrupción x
Fuente: Propia

Área de preocupación: Problemas de conectividad en la red interna de la organización.
172
Motivos:
comunicación.
Fuente: Propia

Resultados: Divulgación: Modificación: Destrucción: Interrupción X
Requisito de seguridad Los activos deberán contar con un proveedor de contingencia que pueda suplir
Fuente: Propia

Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de los componentes y
dispositivos informáticos.
Fuente: Propia

al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar
Requisito de seguridad: la integridad de los activos provocando una paralización temporal de los
servicios
Fuente: Propia

Motivos: *Ambiente laboral
173
*Crecimiento personal
*Interés personal
Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre reemplazo
Fuente: Propia

Requisito de seguridad: La plataforma de recaudo no estarán disponible, mientras estos fenómenos
naturales estén presentes
Fuente: Propia

El sistema no estará disponible hasta que no se encuentre el fallo o se instale
otro software.
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
desarrollo
Activo Critico: Servidor de desarrollo
informáticos.
Medio:
compañía
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las
actividades correspondientes.
Fuente: Propia
174
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
El Servidor de desarrollo solo puede ser modificado por el área de sistemas
con un usuario y contraseña otorgados por el área.
Fuente: Propia

Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Medio: Ingreso al Sistema AcciónBack.
Motivos: Intereses personales, divulgación información, falta de conocimiento.
Solo el personal autorizado del área de desarrollo puede ingresar al servidor
con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia

Medio:
*Causas naturales
Motivos:
El servidor de desarrollo deberá contar con equipos ups y una planta de
energía que supla la necesidad mientras se restablece el servicio.
Fuente: Propia

Motivos:
Solo el administrador de infraestructura y el gerente de sistemas pueden
manipular los dispositivos internos de comunicación.
Fuente: Propia
175
Área de preocupación: Interrupción en el servicio internet.
Para el Servidor de desarrollo deberán contar con un proveedor de
Requisito de seguridad: contingencia que pueda suplir la necesidad de internet mientras se restablece
el servicio.
Fuente: Propia

Actor: Personal interno y externo.
Medio: Manipulación en los equipos informáticos.
Motivos: Falta de capacitación.
Solo el personal sistemas puede realizar una revisión de Servidor de desarrollo
y los dispositivos hardware y software que puedan interrumpir el servicio.
Fuente: Propia

Área de preocupación: Desactualización de los sistemas.
Medio: El personal no actualiza los parches de seguridad.
Motivos: Falta de actualización de los parches de seguridad.
Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de
Requisito de seguridad: desarrollo puede ser incompatible con las actualizaciones y puede presentar
fallas en el servicio.
Fuente: Propia

Área de preocupación: Alta rotación de Personal.
Medio: Renuncia o despedida por parte de la compañía.
*Ambiente laboral
*Interés personal
Requisito de seguridad: Servidor de desarrollo solo puede ser utilizado por el personal autorizado, ya
que a la información alojada es confidencial.
176
Fuente: Propia

Área de preocupación: Desastres naturales.
Actor: Fenómenos naturales.
Medio: Incendios, tormentas, inundaciones, terremotos.
Motivos: Factores climáticos.
Requisito de seguridad: El servidor de desarrollo no estará disponible mientras se presentan algún
fenómeno natural.
Fuente: Propia

Área de preocupación: Falla o defecto de software.
Actor: Personal interno o externo.
Servidor de desarrollo estará disponible cuando se encuentre la falla o se
instale un nuevo software que permita que el servicio funcione correctamente.
Fuente: Propia
pruebas
Activo Critico: Servidor de pruebas
informáticos.
Medio:
compañía.
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las
actividades correspondientes.
Fuente: Propia
177
Motivos: Intereses personales.
Requisito de seguridad: El Servidor de pruebas solo puede ser modificado por el área de sistemas con
un usuario y contraseña otorgados por el área.
Fuente: Propia

Solo el personal autorizado del área de pruebas puede ingresar al servidor con
usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia

Área de preocupación: Interrupción en el servicio de energía electrónica.
Actor: Agentes externos.
Medio:
*Causas naturales
Motivos:
El servidor de pruebas deberá contar con equipos ups y una planta de energía
que supla la necesidad mientras se restablece el servicio
Fuente: Propia

Motivos:
Fuente: Propia

178
Resultados: Divulgación: Modificación: Destrucción: Interrupción
Para el Servidor de pruebas deberán contar con un proveedor de contingencia
que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia

Solo el personal sistemas puede realizar una revisión de Servidor de pruebas y
los dispositivos hardware y software que puedan interrumpir el servicio.
Fuente: Propia

Requisito de seguridad: pruebas puede ser incompatible con las actualizaciones y puede presentar
Fuente: Propia

*Ambiente laboral
*Interés personal
Servidor de pruebas solo puede ser utilizado por el personal autorizado, ya
Fuente: Propia

179
Requisito de seguridad: El servidor de pruebas no estará disponible mientras se presentan algún
fenómeno natural.
Fuente: Propia

Servidor de pruebas estará disponible cuando se encuentre la falla o se
Fuente: Propia
aplicaciones
Activo Critico: Servidor de aplicaciones.
sistemas informáticos.
Medio:
compañía.
Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar
las actividades correspondientes.
Fuente: Propia
El Servidor de aplicaciones solo puede ser modificado por el área de sistemas
con un usuario y contraseña otorgados por el área.
Fuente: Propia

180
Resultados: Divulgación: Modificación Destrucción: Interrupción: X
Solo el personal autorizado del área de aplicaciones puede ingresar al servidor
con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia

Medio:
*Falta de pago al proveedor.
*Causas naturales
Motivos:
El servidor de aplicaciones deberá contar con equipos ups y una planta de
energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia

Motivos:
Daño a la organización.
Fuente: Propia

Área de preocupación: Interrupción en el servicio internet.
Medio: *Falta de pago al proveedor.
Para el Servidor de aplicaciones deberán contar con un proveedor de
Requisito de seguridad: contingencia que pueda suplir la necesidad de internet mientras se restablece
el servicio.
Fuente: Propia
181
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.
Medio: Manipulación en los equipos informáticos.
Solo el personal sistemas puede realizar una revisión de Servidor de
Requisito de seguridad: aplicaciones y los dispositivos hardware y software que puedan interrumpir el
servicio.
Fuente: Propia

Medio: El personal no actualiza los parches de seguridad.
Motivos: Falta de actualización de los parches de seguridad.
Requisito de seguridad: aplicaciones puede ser incompatible con las actualizaciones y puede presentar
Fuente: Propia

Medio: Renuncia o despedida por parte de la compañía.
*Ambiente laboral
*Interés personal
Servidor de aplicaciones solo puede ser utilizado por el personal autorizado, ya
Fuente: Propia

Actor: Fenómenos naturales.
Medio: Incendios, tormentas, inundaciones, terremotos.
Motivos: Factores climáticos.
Requisito de seguridad: El servidor de aplicaciones no estará disponible mientras se presentan algún
fenómeno natural.
Fuente: Propia
182
Actor: Personal interno o externo.
*Incompatibilidad con el sistema operativo.
Medio: *Eliminación o corrupción de los archivos de instalación.
Motivos: *Falta de capacitación.
Servidor de aplicaciones estará disponible cuando se encuentre la falla o se
Fuente: Propia
informáticos.
Medio: Correo electrónico.
Solo personal autorizado puede ingresar a la aplicación con un usuario y
Requisito de seguridad: contraseña asignado por el área de sistemas, realizando consultas e
impresión de documentos solo con autorización del jefe inmediato
Fuente: Propia
Tabla 194 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
infraestructura informáticos.
Ingreso a los sistemas de generación de documentos con credenciales de
Medio:
otros usuarios
Motivos: Intereses personales, falta de capacitación.
Todos los usuarios deben contar con un usuario y contraseña para generar los
documentos en los sistemas de información.
Fuente: Propia

Medio: Acceso a la aplicación.
Motivos: Intereses personales, desconocimiento de la aplicación.
Solo el personal autorizado podrá acceder a la aplicación y realizar
operaciones de registro, modificación e impresión de documentos, está
183
prohibida la divulgación de accesos a la aplicación.
Fuente: Propia

Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes)
Medio: Descarga eléctrica.
Motivos: Causas Naturales.
Los activos como impresoras, equipos de escritorio, no estarán disponibles
Requisito de seguridad: hasta que se restablezca el servicio de energía, por lo cual es importante
contar con una planta de energía o con dispositivos ups.
Fuente: Propia

Medio: Manipulación de los dispositivos de red.
Motivos: Intereses personales, falta de conocimiento.
Los activos como impresoras no estarán disponibles no estará disponible
hasta que no restablezca la conectividad interna.
Fuente: Propia
Tabla 198 Interrupción en el servicio de internet

Área de preocupación: Interrupción en el servicio de internet.
Actor: Personal externo.
Medio: Falta de pago al proveedor.
Motivos: Causas naturales.
Los servicios de correo electrónico no estarán disponibles hasta que se
Requisito de seguridad: restablezca el servicio con el proveedor y así poder realizar el envió de
documentos por correo electrónico.
Fuente: Propia

Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.
*Manipulación errónea.
Medio:
*Falta de mantenimiento
184
* Falta de capacitación
Motivos:
* Defecto de fabricación
Los componente de hardware como impresoras, computadores estarán
Requisito de seguridad: disponibles para la generación e impresión de documentos cuando se
encuentre y se resuelva la falla.
Fuente: Propia

Medio: Desactualización de los sistemas operativos.
Motivos: Falta de capacitación, parches o actualizaciones erróneas.
Al no realizar las actualizaciones a los diferentes sistemas se puede
Requisito de seguridad: vulnerar la integridad de los activos provocando una paralización temporal
de los servicios, impidiendo la generación de los documentos.

Medio: Impresión de documentos, correo electrónico.
Solo personal autorizado deberá enviar correo al cliente los documentos
impresos serán sellados y entregados directamente al cliente.
Fuente: Propia

Motivos: Causas naturales.
Los documentos no estarán disponibles, mientras estos fenómenos
Requisito de seguridad
naturales estén presentes.
Fuente: Propia
Tabla 203 Fallo o defecto de software

Área de preocupación: Fallo o defecto de software.
Actor: Personal interno, personal externo.
Medio: Incompatibilidad de los sistemas operativos.
185
Los sistemas de generación de documentos no están disponibles mientras
los defectos de software sean solucionados.
Fuente: Propia

Medio:
*Causas naturales
Motivos:
Resultados: Divulgación: Modificación: Destrucción: Interrupción. X
La compañía deberá contar con equipos ups y una planta de energía que supla
Requisito de seguridad: la necesidad y permita la continuidad de la operación mientras se restablece el
servicio.
Fuente: Propia

Acción Fiduciaria deberán contar con un proveedor de contingencia que pueda
Requisito de seguridad: suplir la necesidad de internet y al continuidad de la operación mientras se
restablece el servicio
Fuente: Propia

Medio: Ingreso a la intranet
Solo el área de sistemas puede acceder a la intranet y realizar las
Requisito de seguridad: modificaciones necesarias, con un usuario y contraseña otorgada por la misma
área.
Fuente: Propia

Medio: Manipulación de los dispositivos de red, falta de capacitación,
186
Motivos:
comunicación
Fuente: Propia

Manipulación en los equipos informáticos
Medio:
Falta de conocimiento
Solo el personal sistemas puede realizar una revisión de los componentes y
Requisito de seguridad: dispositivos informáticos tales como mantenimientos correctivos y preventivos
e instalación de programas.
Fuente: Propia

El personal no actualiza los parches de seguridad
Medio:
Instalación de programas no deseables
Al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar
la integridad de los activos provocando una paralización temporal de los
servicios, solo el área de sistemas puede realizar la actualización de los
parches de seguridad en los equipos y las actualizaciones correspondientes
Fuente: Propia

La intranet no estarán disponible, mientras estos fenómenos naturales estén
presentes
Fuente: Propia
187
*Ambiente laboral
*Interés personal
la intranet no estará disponible hasta que no se encuentre la persona con
conocimiento suficientes para realizar modificaciones en la intranet
Fuente: Propia
Tabla 212 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
infraestructura informáticos.
La intranet no estará disponible hasta que no se restablezca el servicio y se
encuentre la falla en el datacenter.
Fuente: Propia
La intranet no estará disponible hasta que no se encuentre el fallo y se realice
el ajuste necesario para continuar con la operación de la compañía
Fuente: Propia
informáticos.
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes
Solo los usuarios autorizados podrán ingresar a la intranet, solo el área de
sistemas puede realizar modificaciones en la intranet.
Fuente: Propia
188
Anexo 4
Árbol de amenaza de cada uno de los activos de información
Tabla 215 Árbol de Amenaza Correo Electrónico

Árbol de Amenaza: Activo de Información: Correo Electrónico
Actores Humanos Exposición de los activos de información, acceso no autorizado a los
Divulgación
utilizando medios sistemas informáticos.
técnicos. Desconocimiento en el manejo de los sistemas o equipos informáticos Modificación
Actores Humanos Exposición de los activos de información, acceso no autorizado a la
utilizando medios infraestructura física. Interrupción
físicos.
Problemas de conectividad en la red interna de la organización. Interrupción
Problemas técnicos. Falla en los componentes de hardware de los equipos Interrupción
Interrupción en el servicio de energía eléctrica. Interrupción
Otros Problemas. Alta Rotación de Personal Modificación
Fuente: Propia
Tabla 216 Árbol de Amenaza Directorio Activo

Árbol de Amenaza: Activo de Información: Directorio Activo
Modificación
técnicos. Desconocimiento en el manejo de los sistemas o equipos
Modificación
informáticos
utilizando medios infraestructura física. Modificación
físicos.
Problemas técnicos. Falla en los componentes de hardware de los equipos Interrupción
Otros Problemas. Alta Rotación de Personal Modificación
Fuente: Propia
Tabla 217 Árbol de Amenaza Base de datos AcciónBack

Árbol de Amenaza: Activo de Información: Base de datos AcciónBack
Modificación
Interrupción
informáticos
físicos.
Problemas técnicos Problemas de conectividad en la red interna de la organización. Interrupción
189
Falla en los componentes de hardware de los equipos Interrupción
Otros Problemas Alta Rotación de Personal Interrupción
Fuente: Propia
Tabla 218 Árbol de Amenaza Servidor de desarrollo

Árbol de Amenaza: Activo de Información: Servidor de desarrollo
Actores Humanos Modificación
utilizando medios
Desconocimiento en el manejo de los sistemas o equipos
técnicos. Modificación
informáticos
físicos.
Problemas técnicos Falla en los componentes de hardware de los equipos Interrupción
Fuente: Propia
Tabla 219 Árbol de Amenaza Servidor de pruebas

Árbol de Amenaza: Activo de Información: Servidor de pruebas
Modificación
Modificación
informáticos
físicos.
Fuente: Propia
Tabla 220 Árbol de Amenaza Servidor de Aplicaciones

Árbol de Amenaza: Activo de Información: Servidor de Aplicaciones
Actores Humanos Modificación
utilizando medios
informáticos
190
físicos.
Fuente: Propia
Tabla 221 Árbol de Amenaza Documentos

Árbol de Amenaza: Activo de Información: Documentos
Actores Humanos Divulgación
utilizando medios
informáticos
físicos.
Otros Problemas Alta Rotación de Personal Divulgación
Fuente: Propia
Tabla 222 Árbol de Amenaza Intranet

Árbol de Amenaza: Activo de Información: Intranet
Actores Humanos Divulgación
utilizando medios
Modificación
informáticos
físicos.
Desactualización de los sistemas. Interrupción
Fuente: Propia
191
Anexo 5
Centro Negocios
Tabla 223 Consecuencias del centro de negocios
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El
personal de sistemas deberán ejecutar el backup de la base de datos del centro negocios para regresar al
estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para
instruir al cliente al ingreso a la plataforma
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de
sistemas no pueden ingresar al centro de negocios hasta no encontrar la interrupción del servicio
Problemas de conectividad en la red interna de la organización: El centro de negocios estará fuera de
servicio mientras se restablece el servicio de red interna, los administradores presentaría retrasos en los
informes solicitados por el cliente
Interrupción en el servicio de internet: El centro de negocios estará fuera de servicio mientras se
restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por
los clientes
Falla en los componentes de hardware de los equipos: Los administradores presentarían retrasos en las
consultas afectando al área de servicio al cliente
Desactualización de los sistemas: La interfaz del centro de negocios presenta fallas mostrando
inconvenientes en las descargas de los reportes o en el acceso al centro de negocios
Fallo o defecto de Software: Los administradores dejan de laboral parciamente si falla o existe
incompatibilidad en el servidor dedicado al centro de negocios
Interrupción en el servicio de energía eléctrica: El centro de negocios estará fuera de servicio mientras
se restablece el servicio de energía
Alta Rotación de Personal: Los administradores presentan dificultades para ingresar y realizar consultas al
centro de negocios
Desastres Naturales: El centro de negocios estaría fuera de servicio mientras se presenta el fenómeno
natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Plataforma de recaudo
Tabla 224 Consecuencias de la plataforma de recaudo

personal de sistemas deberán ejecutar el backup de la base de datos de la plataforma de recaudo para
regresar al estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para instruir
al cliente al ingreso a la plataforma de recaudo
Exposición de los activos de información, acceso no autorizado a la infraestructura física. El área de
sistemas no pueden ingresar a la plataforma de recaudo hasta no encontrar la interrupción del servicio
Problemas de conectividad en la red interna de la organización: La plataforma de recaudo estará fuera
de servicio mientras se restablece el servicio de red interna, los administradores y los usuarios autorizados
presentaría retrasos en los informes solicitados por el cliente
Interrupción en el servicio de internet: La plataforma de recaudo estará fuera de servicio mientras se
restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por
los clientes
192
Falla en los componentes de hardware de los equipos: Los administradores y los usurarios autorizados
presentarían retrasos en las consultas afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la plataforma presenta fallas mostrando inconvenientes
en el pago de los compromisos
Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente
si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo
Interrupción en el servicio de energía eléctrica: La plataforma de recaudo estará fuera de servicio
mientras se restablece el servicio de energía
Alta Rotación de Personal: Los administradores y los usuarios autorizados presentan dificultades para
ingresar y realizar consultas en la plataforma de recaudo
Desastres Naturales: La plataforma de recaudo estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Base de datos
Tabla 225 Consecuencias de las bases de datos de AcciónBack

Exposición de los activos de información, acceso no autorizado a los sistemas informáticos:
El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el
servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta
dificultad para realizar consultas en la base de datos presentando retrasos en las operaciones diarias
Exposición de los activos de información, acceso no autorizado a la infraestructura física:
El área de sistemas no pueden ingresar al servidor de bases de datos de AcciónBack
Problemas de conectividad en la red interna de la organización: La base de datos estará fuera de
servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las
operaciones de la fiduciaria
Interrupción en el servicio de internet: La base de datos de AcciónBack estará fuera de servicio mientras
se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las
consultas afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la base de datos de AcciónBack presenta fallas
mostrando inconvenientes en las consultas de la aplicación
Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente
si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo
Interrupción en el servicio de energía eléctrica: La base de datos estará fuera de servicio mientras se
restablece el servicio de energía
Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y
realizar consultas sobre la base de datos
Desastres Naturales: La base de datos estaría fuera de servicio mientras se presenta el fenómeno natural,
retrasando las operaciones de la fiduciaria
Fuente: Propia
Correo electrónico
Tabla 226 Consecuencias del correo electrónico

personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el
servicio
193
dificultad para realizar consultas y envió de correos electrónicos
sistemas no pueden ingresar al servidor de correo electrónico
Problemas de conectividad en la red interna de la organización: El correo electrónico estará fuera de
servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las
Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se
restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
consultas de los correo electrónico afectando a una o más áreas
Desactualización de los sistemas: La interfaz del correo electrónico presenta fallas mostrando
inconvenientes en las consultas, descargas y envió de archivos por correo.
Fallo o defecto de Software: El persona deja de laboral parciamente si falla o existe incompatibilidad en el
servidor dedicado a la plataforma de correo electrónico
Interrupción en el servicio de energía eléctrica: El correo electrónico estará fuera de servicio mientras se
Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y
realizar consultas sobre la base de datos
Desastres Naturales: El correo electrónico estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Digitalizador de documentos
Tabla 227 Consecuencias del digitalizador de documentos

personal de sistemas deberán ejecutar el backup de la base de datos del digitalizador de documentos para
restablecer el servicio de la aplicación
Desconocimiento en el manejo de los sistemas informáticos: El personal autorizado puede presentar
dificultad con el manejo de aplicación presentando retrasos en las operaciones de la fiduciaria
sistemas no pueden ingresar al servidor del digitalizador de documentos, presentando retrasos en las
Problemas de conectividad en la red interna de la organización: El personal no podrá ingresar a la
aplicación hasta que no se restablezca el servicio de red interno presentando retrasos en las operaciones de
la fiducia afectando a una o más áreas
Interrupción en el servicio de internet: El personal no podrá ingresar a la aplicación hasta que no se
restablezca el servicio de internet presentando retrasos en las operaciones de la fiducia afectando a una o
más áreas
Falla en los componentes de hardware de los equipos: El digitalizador de documentos presenta fallas
para establecer comunicación con la impresora, presentando retrasos en las operaciones de la fiduciaria
Desactualización de los sistemas: La interfaz del digitalizador que presenta fallas mostrando
inconvenientes para digitalizar los documentos de los clientes
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en
el servidor dedicado al digitalizador
Interrupción en el servicio de energía eléctrica: El digitalizador de documentos estará fuera de servicio
Alta Rotación de Personal: El personal presentara dificultades para registrar las operaciones de los
negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio
Desastres Naturales: El digitalizador de documentos estaría fuera de servicio mientras se presenta el
fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
194
Inveracción
Tabla 228 Consecuencias de Inveracción

personal de sistemas deberán ejecutar el backup de la base de datos de Inveracción para restablecer el
servicio de la aplicación
dificultad para realizar consultas, de pagos de compromisos, consulta de movimientos y apertura de
encargos
sistemas no pueden ingresar al servidor de Inveracción
Problemas de conectividad en la red interna de la organización: Inveracción estará fuera de servicio
mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las
operaciones de los negocios de la fiduciaria
Interrupción en el servicio de internet: Inveracción estará fuera de servicio mientras se restablece el
servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
consultas de movimientos de encargos, aperturas y retiros de los clientes
Desactualización de los sistemas: La interfaz de Inveracción presenta fallas mostrando inconvenientes
en las aperturas de los encargos
el servidor dedicado a Inveracción
Interrupción en el servicio de energía eléctrica: Inveracción estará fuera de servicio mientras se
Alta Rotación de Personal : El personal presentara dificultades para registrar las operaciones de los
negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio
Desastres Naturales: Inveracción estaría fuera de servicio mientras se presenta el fenómeno natural,
retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de aplicaciones
Tabla 229 Consecuencias del servidor de aplicaciones

personal de sistemas deberá restablecer la configuración del servidor de aplicaciones restablecer el servicio
dificultad para realizar la configuración del servidor de aplicaciones
sistemas no pueden ingresar al servidor de aplicaciones
Problemas de conectividad en la red interna de la organización: El servidor de aplicaciones estará fuera
de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en
las operaciones de los negocios de la fiduciaria
Interrupción en el servicio de internet: El servidor de aplicaciones estará fuera de servicio mientras se
restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en la
operaciones de la fiduciaria debido a que no tienen acceso a las aplicaciones
Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando
inconvenientes en el acceso de las aplicaciones
el servidor de aplicaciones
Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio
195
Alta Rotación de Personal: El servidor presentara dificultades para que el personal pueda acceder a las
aplicaciones, presentando retrasos en las operaciones de la fiduciaria
Desastres Naturales: El servidor de aplicaciones estaría fuera de servicio mientras se presenta el
fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de desarrollo
Tabla 230 Consecuencias del servidor de desarrollo

personal de sistemas deberá restablecer la configuración del servidor de desarrollo para restablecer el
servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de desarrollo de la fiduciaria
presenta dificultad para realizar la configuración del servidor
sistemas no pueden ingresar al servidor de desarrollo
Problemas de conectividad en la red interna de la organización: El servidor de desarrollo estará fuera
de servicio mientras se restablece el servicio de red interna, el personal desarrollo presentaría retrasos en
las implementaciones de los proyectos
Interrupción en el servicio de internet: El servidor de desarrollo estará fuera de servicio mientras se
restablece el servicio de red, el personal de desarrollo puede presentar retrasos en las implementaciones de
los proyectos
Falla en los componentes de hardware de los equipos: El personal de desarrollo puede presentar
retrasos en las implementaciones de los proyectos debido a las fallas presentadas en los componentes
Desactualización de los sistemas: La interfaz del servidor de desarrollo presenta fallas mostrando
inconvenientes en el acceso al servidor
Fallo o defecto de Software: El personal de desarrollo deja de laboral parciamente si falla o existe
incompatibilidad en el servidor.
Interrupción en el servicio de energía eléctrica: El servidor de desarrollo estará fuera de servicio
Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de desarrollo pueda
acceder al servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento
y falta de entrenamiento al nuevo personal
Desastres Naturales: El servidor de desarrollo estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Servidor de pruebas
Tabla 231 Consecuencias del servidor de pruebas
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos:
El personal de sistemas deberá restablecer la configuración del servidor de pruebas para restablecer el
servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de pruebas de la fiduciaria
presenta dificultad para realizar la configuración del servidor
sistemas no pueden ingresar al servidor de pruebas
Problemas de conectividad en la red interna de la organización: El servidor de pruebas estará fuera de
servicio mientras se restablece el servicio de red interna, el personal QA presentaría retrasos en las pruebas
de las aplicaciones implementadas
196
Interrupción en el servicio de internet: El servidor de pruebas estará fuera de servicio mientras se
restablece el servicio de red, el personal de QA puede presentar retrasos en las pruebas de las aplicaciones
de los proyectos
Falla en los componentes de hardware de los equipos: El personal de QA puede presentar retrasos en
las pruebas de implementación de los proyectos debido a las fallas presentadas en los componentes
Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando
inconvenientes en el acceso al servidor
Fallo o defecto de Software: El personal de aplicaciones deja de laboral parciamente si falla o existe
incompatibilidad en el servidor.
Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio
Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de QA pueda acceder al
servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de
entrenamiento al nuevo personal
Desastres Naturales: El servidor de pruebas estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Directorio Activo
Tabla 232 Consecuencias del directorio activo

digitalizador de documentos estará fuera de servicio mientras se restablece el servicio de energía
Desconocimiento en el manejo de los sistemas informáticos. El ingeniero de infraestructura presenta
fallas al momento de realizar consultas sobre usuarios vigentes
sistemas no pueden ingresar al directorio activo
Problemas de conectividad en la red interna de la organización: El directorio activo estará fuera de
servicio mientras se restablece el servicio de red interna
Interrupción en el servicio de internet: El directorio activo estará fuera de servicio mientras se restablece
el servicio de red de internet
Falla en los componentes de hardware de los equipos: el directorio dejaría de funcionar mientras se
encuentra la falla en los equipos
Desactualización de los sistemas: La interfaz del directorio activo puede presentar fallas debido a que los
sistemas se encuentran desactualizados
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad.
Interrupción en el servicio de energía eléctrica: El directorio activo estará fuera de servicio mientras se
Alta Rotación de Personal: El directorio activo puede ser manipulado por personas del área de sistemas
que no conocer realmente su funcionamiento
Desastres Naturales: El directorio activo estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Control de acceso
Tabla 233 Consecuencias del control de acceso

Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La
información sensible de la compañía puede ser expuesta debido a que los usuarios tienen privilegios
inadecuados
Desconocimiento en el manejo de los sistemas informáticos: El personal puede ingresar a las
aplicación y realizar modificaciones sin darse cuenta del proceso que ejecuta en la aplicación
197
sistemas debe trabajar largas horas para identificar el problema
Problemas de conectividad en la red interna de la organización: Los usuarios no pueden acceder a las
aplicaciones
Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones
Falla en los componentes de hardware de los equipos: El control de acceso puede presentar fallas
debido a la configuración de los equipos de hardware
Desactualización de los sistemas: El control de acceso puede presentar incompatibilidad con los sistemas
debido a la desactualización de los mismos
Fallo o defecto de Software. El control de acceso puede presentar fallas por defecto o mala instalación es
el equipo
Interrupción en el servicio de energía eléctrica: El control de acceso estará fuera de servicio mientras se
Alta Rotación de Personal: El control de acceso puede presentar fallas de configuración y afectar al
personal debido a que el personal encargado no conoce la herramienta
Desastres Naturales: El control de acceso estaría fuera de servicio mientras se presenta el fenómeno
Fuente: Propia
Documentos
Tabla 234 Consecuencias de documentos

Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La
información del cliente como extractos, estados de cuenta sensible puede ser expuesta por mal uso de los
sistemas
Desconocimiento en el manejo de los sistemas informáticos: La información del cliente puede ser
divulgada por el personal al no conocer la herramienta
sistemas debe trabajar largas horas para identificar el problema
Problemas de conectividad en la red interna de la organización: Los usuarios no pueden generar la
documentación requerida por los clientes
Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones para generar
los documentos de los clientes
Falla en los componentes de hardware de los equipos: El personal puede presentar problemas para
imprimir los documentos o descargar de las aplicaciones las solicitudes realizadas por clientes
Desactualización de los sistemas: El personal puede presentar problemas para visualizar los documentos
debido a que el visor de imágenes es incompatible
Fallo o defecto de Software: El personal puede presentar fallas en las aplicaciones que permiten
descargar los documentos debido a que el software es incompatible
Interrupción en el servicio de energía eléctrica: El personal no podrá descargar ni imprimir
documentación mientras se presenta la falla
Alta Rotación de Personal: El personal puede presentar fallas en las operaciones s de la fiduciaria debido
a que el personal no conoce la herramienta
Desastres Naturales: El personal no podrá descargar ni imprimir documentos mientras se presenta el
fenómeno natural
Fuente: Propia
198
Anexo 6
Análisis de riesgos de los activos de información
Centro de negocios
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición de los activos de información, acceso
no autorizado a los sistemas informáticos.
Área de preocupación Área de impacto Ranking Valor del impacto Score
Consumidor financiero 5 Medio (2) 10
Exposición de los activos
de información, acceso
Legal 3 Bajo (1) 3
no autorizado a los
Total: 22
Fuente: Propia
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos.
Desconocimiento en el Reputación 4 Bajo (1) 4
manejo de los sistemas Legal 3 Bajo (1) 3
informáticos. Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos
Legal 3 Bajo (1) 3
no autorizado a la
Total: 17
Fuente: Propia
Tabla 238 Análisis de riesgo del centro de negocios según Problemas de conectividad en la red interna de la
organización.
Problemas de
conectividad en la red
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 17
Fuente: Propia
199
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción en el servicio de internet
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Interrupción en el
Legal 3 Bajo (1) 3
Total: 31
Fuente: Propia
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los componentes de hardware de los
equipos
Falla en los Reputación 4 Bajo (1) 4
componentes de Legal 3 Bajo (1) 3
hardware de los equipos Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia
Tabla 241 Análisis de riesgo del centro de negocios según Desactualización de los sistemas
Desactualización de los
Legal 3 Bajo (1) 3
sistemas
Total: 15
Fuente: Propia
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto de Software
Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción en el servicio de energía eléctrica.
Interrupción en el
servicio de energía
Legal 3 Bajo (1) 3
eléctrica.
200
Total: 24
Fuente: Propia
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación de Personal
Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia
Tabla 245 Análisis de riesgo del centro de negocios según Desastres Naturales
Desastres Naturales
Legal 3 Bajo (1) 3
Total: 34
Fuente: Propia
Tabla 246 Análisis de riesgo del centro de negocios

Bajo 22
informáticos.
Exposición de los activos de información, acceso no autorizado a la infraestructura
Medio 26
física.
Problemas de conectividad en la red interna de la organización. Bajo 17
Interrupción en el servicio de internet Medio 31
Interrupción en el servicio de energía eléctrica. Medio 24
Desastres Naturales Medio 34
Fuente: Propia
Plataforma de recaudo
Tabla 247 Análisis de riesgo de la plataforma de recaudo

Exposición de los activos Consumidor financiero 5 Medio (2) 10
de información, acceso Reputación 4 Bajo (1) 4
no autorizado a los Legal 3 Bajo (1) 3
201
sistemas informáticos. Productividad 2 Medio (2) 4
Total: 22
Fuente: Propia

manejo de los sistemas
Legal 3 Bajo (1) 3
informáticos.
Total: 22
Fuente: Propia

no autorizado a la Legal 3 Bajo (1) 3
infraestructura física. Productividad 2 Medio (2) 4
Total: 22
Fuente: Propia

Problemas de Consumidor financiero 5 Bajo (1) 5
organización. Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia

Interrupción en el Reputación 4 Medio (2) 8
servicio de internet Legal 3 Bajo (1) 3
Total: 33
Fuente: Propia

Falla en los Consumidor financiero 5 Medio (2) 10
202
componentes de Reputación 4 Bajo (1) 4
hardware de los equipos Legal 3 Bajo (1) 3
Total: 22
Fuente: Propia

Desactualización de los Reputación 4 Bajo (1) 4
sistemas Legal 3 Bajo (1) 3
Total: 22
Fuente: Propia

Fallo o defecto de Reputación 4 Bajo (1) 4
Software Legal 3 Bajo (1) 3
Total: 22
Fuente: Propia

Interrupción en el
servicio de energía
Legal 3 Bajo (1) 3
eléctrica.
Total: 29
Fuente: Propia

Alta Rotación de Reputación 4 Bajo (1) 4
Personal Legal 3 Bajo (1) 3
Total: 17
Fuente: Propia
203
Desastres Naturales
Legal 3 Medio (2) 6
Total: 37
Fuente: Propia

Bajo 22
informáticos.
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Bajo 22
física.
Desastres Naturales Alto 37
Fuente: Propia
Base de datos AcciónBack
Tabla 259 Análisis de riesgo de la Base de datos AcciónBack

no autorizado a los Legal 3 Bajo (1) 3
sistemas informáticos. Productividad 2 Medio (2) 4
Total: 22
Fuente: Propia

Total: 22
Fuente: Propia
204
Consumidor financiero 5 Alto(3) 15
Legal 3 Bajo (1) 3
no autorizado a la
Total: 27
Fuente: Propia

Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 29
Fuente: Propia

Interrupción en el
Legal 3 Bajo (1) 3
Total: 29
Fuente: Propia

Total: 22
Fuente: Propia

sistemas
Legal 3 Bajo (1) 3
205
Total: 27
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia

servicio de energía Legal 3 Bajo (1) 3
eléctrica. Productividad 2 Alto (3) 6
Total: 29
Fuente: Propia

Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 15
Fuente: Propia

Desastres Naturales Legal 3 Medio (2) 6
Total: 37
Fuente: Propia

206
Medio 22
informáticos.
Medio 27
física.
Problemas de conectividad en la red interna de la organización. Medio 29
Fuente: Propia
Correo electrónico
Tabla 271 Análisis de riesgo del correo electrónico

Legal 3 Bajo (1) 3
no autorizado a los
Total: 17
Fuente: Propia

informáticos. Productividad 2 Bajo (1) 2
Total: 15
Fuente: Propia

Consumidor financiero 5 Bajo(1) 5
Legal 3 Bajo (1) 3
no autorizado a la
Total: 19
Fuente: Propia

Problemas de Consumidor financiero 5 Bajo (1) 5
207
organización. Productividad 2 Alto (3) 6
Total: 19
Fuente: Propia

Interrupción en el
Legal 3 Bajo (1) 3
Total: 24
Fuente: Propia

Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 17
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia
208
Interrupción en el servicio
Legal 3 Medio (2) 6
de energía eléctrica.
Total: 32
Fuente: Propia

Alta Rotación de Personal Legal 3 Bajo (1) 3
Total: 15
Fuente: Propia

Total: 37
Fuente: Propia

Bajo 17
informáticos.
Bajo 19
física.
Fuente: Propia
AcciónBack
Tabla 283 Análisis de riesgo del sistema AcciónBack

209
de información, acceso no
Legal 3 Bajo (1) 3
autorizado a los sistemas
informáticos.
Total: 22
Fuente: Propia

Total: 17
Fuente: Propia

Consumidor financiero 5 Medio(2) 10
Legal 3 Bajo (1) 3
no autorizado a la
Total: 24
Fuente: Propia

Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 19
Fuente: Propia

Interrupción en el
Legal 3 Bajo (1) 3
Total: 24
Fuente: Propia

210
Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 15
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia

Total: 29
Fuente: Propia

Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia

211
Total: 37
Fuente: Propia

Bajo 22
informáticos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 24
Fuente: Propia
Inveracción
Tabla 295 Análisis de riesgo del sistema Inveracción

Legal 3 Bajo (1) 3
informáticos.
Total: 17
Fuente: Propia

Total: 17
Fuente: Propia

Exposición de los activos Consumidor financiero 5 Bajo(1) 5
212
de información, acceso no Reputación 4 Bajo (1) 4
autorizado a la Legal 3 Bajo (1) 3
infraestructura física. Productividad 2 Alto (3) 6
Total: 19
Fuente: Propia

Problemas de Reputación 4 Bajo (1) 4
conectividad en la red Legal 3 Bajo (1) 3
interna de la organización. Productividad 2 Alto (3) 6
Total: 19
Fuente: Propia

Legal 3 Bajo (1) 3
de internet
Total: 24
Fuente: Propia

Falla en los componentes Reputación 4 Bajo (1) 4
de hardware de los Legal 3 Bajo (1) 3
equipos Productividad 2 Bajo (1) 2
Total: 15
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 15
Fuente: Propia
213
Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
Total: 29
Fuente: Propia

Total: 15

Total: 37
Fuente: Propia

Bajo 17
informáticos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 19
214
Fuente: Propia
Servidor de aplicaciones
Tabla 307 Análisis de riesgo del servidor de aplicaciones

Legal 3 Bajo (1) 3
informáticos.
Total: 24
Fuente: Propia

informáticos. Productividad 2 Alto (3) 6
Total: 24
Fuente: Propia

Legal 3 Bajo (1) 3
autorizado a la
Total: 24
Fuente: Propia

interna de la organización. Productividad 2 Alto (3) 6
Total: 24
Fuente: Propia
215
Legal 3 Bajo (1) 3
de internet
Total: 22
Fuente: Propia

equipos Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 15
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
Total: 29
Fuente: Propia
216
Total: 17
Fuente: Propia

Total: 37
Fuente: Propia

Medio 24
informáticos.
Fuente: Propia
Servidor de pruebas
Tabla 319 Análisis de riesgo del servidor de pruebas

Legal 3 Bajo (1) 3
no autorizado a los
Total: 15
Fuente: Propia
217
Desconocimiento en el Consumidor financiero 5 Bajo (1) 5
manejo de los sistemas Reputación 4 Bajo (1) 4
informáticos. Legal 3 Bajo (1) 3
Total: 15
Fuente: Propia

Legal 3 Bajo (1) 3
no autorizado a la
Total: 17
Fuente: Propia

Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 15
Fuente: Propia

Interrupción en el Legal 3 Bajo (1) 3
servicio de internet Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia

hardware de los equipos Productividad 2 Bajo (1) 2
Total: 15
Fuente: Propia
218
Legal 3 Bajo (1) 3
sistemas
Total: 17
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia

eléctrica. Productividad 2 Medio (2) 4
Total: 17
Fuente: Propia

Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia

Desastres Naturales Legal 3 Bajo (1) 3
Total: 15
Fuente: Propia
219
Bajo 15
informáticos.
Desastres Naturales Bajo 15
Fuente: Propia
Servidor de Producción
Tabla 331 Análisis de riesgo del servidor de producción

Exposición de los activos Reputación 4 Bajo (1) 4
de información, acceso Legal 3 Bajo (1) 3
no autorizado a los
sistemas informáticos. Productividad 2 Alto (3) 9
Total: 32
Fuente: Propia

Total: 22
Fuente: Propia

Legal 3 Bajo (1) 3
no autorizado a la
Total: 22
Fuente: Propia
220
Problemas de
Legal 3 Bajo (1) 3
interna de la
Productividad 2 Alto(3) 6
organización.
Total: 29
Fuente: Propia

Interrupción en el
Legal 3 Bajo (1) 3
Total: 29
Fuente: Propia

Total: 22
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 17
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia
221
eléctrica. Productividad 2 Medio (2) 4
Total: 27
Fuente: Propia

Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia

Seguridad /Salud 1 Alto (3) 3
Total: 38
Fuente: Propia

Alto 32
informáticos.
Medio 22
física.
Problemas de conectividad en la red interna de la organización. Alto 29
Interrupción en el servicio de internet Alto 29
Falla en los componentes de hardware de los equipos Medio 22
Fallo o defecto de Software Medio 22
Fuente: Propia
222
Directorio Activo
Tabla 343 Análisis de riesgo del directorio activo

Legal 3 Bajo (1) 3
no autorizado a los
Total: 17
Fuente: Propia

Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
no autorizado a la
Total: 22
Fuente: Propia

Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 24
Fuente: Propia

servicio de internet Legal 3 Bajo (1) 3
223
Total: 29
Fuente: Propia

Total: 22
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 22
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia

Total: 29
Fuente: Propia
224
Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia

Total: 38
Fuente: Propia

Bajo 17
informáticos.
Medio 22
física.
Interrupción en el servicio de internet Alto 29
Falla en los componentes de hardware de los equipos Medio 22
Desactualización de los sistemas Medio 22
Interrupción en el servicio de energía eléctrica. Alto 29
Fuente: Propia
Digitalizador de Documentos
Tabla 355 Análisis de riesgo de los documentos

Exposición de los activos Reputación 4 Bajo (1) 4
de información, acceso Legal 3 Bajo (1) 3
no autorizado a los
Total: 22
Fuente: Propia
225
Total: 15
Fuente: Propia

Legal 3 Bajo (1) 3
no autorizado a la
Total: 22
Fuente: Propia

Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 24
Fuente: Propia

Interrupción en el
Legal 3 Bajo (1) 3
Total: 24
Fuente: Propia

hardware de los equipos Productividad 2 Bajo (1) 2
Total: 15
Fuente: Propia
226
Legal 3 Bajo (1) 3
sistemas
Total: 22
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia

Total: 24
Fuente: Propia

Alta Rotación de
Legal 3 Bajo (1) 3
Personal
Total: 17
Fuente: Propia

Total: 38
Fuente: Propia
227
Medio 22
informáticos.
Fuente: Propia
Documentos

Legal 3 Bajo (1) 3
no autorizado a los
Total: 15
Fuente: Propia

Total: 15
Fuente: Propia

Legal 3 Bajo (1) 3
no autorizado a la
Total: 15
Fuente: Propia
228
Problemas de
Legal 3 Bajo (1) 3
interna de la
organización.
Total: 22
Fuente: Propia

Interrupción en el Legal 3 Bajo (1) 3
Total: 22
Fuente: Propia

Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 22
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 17
Fuente: Propia
229
Legal 3 Bajo (1) 3
Total: 24
Fuente: Propia

Total: 22
Fuente: Propia

Total: 38
Fuente: Propia

Bajo 15
informáticos.
Alta Rotación de Personal Medio 22
Fuente: Propia
230
Digitalizador
Tabla 379 Análisis de riesgo del digitalizador de documentos

Legal 3 Bajo (1) 3
informáticos.
Total: 17
Fuente: Propia

Total: 22
Fuente: Propia

Legal 3 Bajo (1) 3
autorizado a la
Total: 17
Fuente: Propia

interna de la organización. Productividad 2 Medio (2) 4
Total: 22
Fuente: Propia
Legal 3 Bajo (1) 3
de internet
Total: 22
Fuente: Propia
231
Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 17
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia

Legal 3 Bajo (1) 3
Total: 19
Fuente: Propia

Total: 17
Fuente: Propia
232
Total: 33
Fuente: Propia

Bajo 17
informáticos.
Fuente: Propia
Control de acceso
Tabla 391 Análisis de riesgo del control de acceso

Legal 3 Bajo (1) 3
informáticos.
Total: 17
Fuente: Propia

Total: 17
Fuente: Propia
233
Legal 3 Bajo (1) 3
autorizado a la
Total: 27
Fuente: Propia

interna de la organización. Productividad 2 Medio (2) 4
Total: 22
Fuente: Propia

Total: 17
Fuente: Propia

Legal 3 Bajo (1) 3
sistemas
Total: 17
Fuente: Propia

Fallo o defecto de
Legal 3 Bajo (1) 3
Software
Total: 22
Fuente: Propia
234
Legal 3 Bajo (1) 3
Total: 19
Fuente: Propia

Total: 17
Fuente: Propia

Total: 33
Fuente: Propia

Bajo 17
informáticos.
Fuente: Propia
235
Anexo 7
Mitigación de riesgos de los activos de información
Tabla 402 Mitigación de riesgos Bases de datos

Nombre del activo: Base de datos
informáticos.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Transferir o Aceptar
22 subjetiva: Medio Grupo 2
Control:
• Solo el gerente de tecnología y el administrador de bases de datos pueden realizar alguna modificación,
eliminación o alteración sobre la base de datos.
• Solo se puede ingresar a la base de datos con un usuario y contraseña.
• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.
• La contraseña de acceso a la base de datos debe contener letras mayúsculas, minúsculas, números y
caracteres especiales.
• registrar en un log y/o bitácora los cambios realizados sobre la base de datos.
• Realizar un backup diario de la base de datos.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: Probabilidad Categoría:
Acción: Mitigar o Transferir
Control:
• Solo el personal autorizado puede realizar modificaciones sobre la base de datos.
• Realizar un manual o instructivo de procesos para los cambios realizados en la base de datos.
• Registrar todos los cambios realizados sobre la base de datos.
• Capacitar al personal constantemente en actualizaciones de bases de datos
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura
física.
Control:
• Solo el gerente de tecnología y el administrador de bases de datos pueden acceder al data center donde se
encuentra alojado el servidor de bases de datos.
• Registrar en una bitácora o log los cambios y/o ajustes realizados sobre el servidor.
• Registrar en una bitácora la fecha, hora y usuario que accede al data center.
Control:
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Mitigar o Transferir
Control:
22 subjetiva: Bajo Grupo 3
Control:
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza.
236
Control:
• Instalar actualizaciones en los equipos y servidor de base de datos.
Acción: Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos y en el servidor de base de datos.
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de las bases de datos
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de las bases de datos.
Control:
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Aceptar
Control:
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Mitigar
37 subjetiva: Alto Grupo 1
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la base de datos en otra ciudad,
asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
Tabla 403 Mitigación de riesgos correo electrónico

Nombre del activo: Correo electrónico
informáticos.
Control:
• El usuario y contraseña es personal e intransferibles no se debe compartir por ningún motivo ni medio.
• La contraseña debe ser cambiada cada 30 a 45 días.
• La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Puntaje de riesgo relativo: Probabilidad Categoría: Acción:
15 subjetiva: Bajo Grupo 4 Aceptar
Control:
• Capacitar al personal virtual y presencialmente en el uso del correo electrónico.
• Implementar un manual de usuario para el uso adecuado del correo electrónico.
237
física.
19 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el correo
electrónico.
• Todas las modificaciones realizadas en el correo electrónico deben quedar registradas en una bitácora.
• Para acceder al datacenter se ingresar con la clave y huella.
• Registrar en una bitácora la fecha y hora de ingreso al datacenter.
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre la red interna de la compañía.
• Registrar todos los eventos de interrupción o modificación de la red interna.
24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Control:
• Implementar un manual que indique el uso adecuado de los equipos.
• Realizar mantenimiento preventivo y correctivo para cada uno de los equipos.
• Instalar el sistema operativo adecuado para cada uno de los equipos.
• Instalar en los equipos antivirus para la prevención de ataques e intrusos.
Control:
• Instalar actualizaciones en los equipos y en el servidor de correo electrónico.
• Desinstalar programas que no sean de uso exclusivo de la empresa.
• Las actualizaciones deben ser compatibles con los sistemas operativos
• Instalar parches de seguridad.
Control:
• Instalar antivirus en cada uno de los equipos en los que se instalara el correo electrónico.
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del correo electrónico.
• Instalar de manera correcta el correo electrónico en los equipos de la compañía.
• Instalar todas las actualizaciones correspondientes al correo electrónico.
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
Control:
238
37 subjetiva: Alto Grupo 1 Mitigar
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de los correos electrónicos de todos los
usuarios de la compañía en otra ciudad, asegurando la continuidad de la operación.
señalización.
prudencial.
Fuente: Propia
Tabla 404 Mitigación de riesgos centro de negocios

Nombre del activo: Centro de Negocios
informáticos.
22 subjetiva: Bajo Grupo 2 Mitigar o Transferir
Control:
• Solo los administradores de negocios pueden ingresar al centro de negocios con un usuario y contraseña
• La contraseña debe ser de uso personal e intransferible, la contraseña debe ser cambiada cada 10 a 45 días.
• La contraseña debe tener una longitud mínima de 8 caracteres, debe contener letras mayúsculas, minúsculas,
caracteres especiales y números.
• Todas las operaciones realizadas en el centro de negocios debe quedar registradas con el usuario.
Control:
• Se debe realizar manuales sobre el uso adecuado del centro de negocios
• Se debe realizar capacitaciones virtuales y presenciales sobre el centro de negocios.
• Realizar pruebas piloto en cada una de las primas para conocer el correcto funcionamiento
física.
Control:
• Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor del centro de
negocios para realizar modificaciones
• Solo el gerente de tecnología y el gerente de infraestructura p acceder so data center con un usuario y
contraseña asignados por el área de sistemas
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red
• Se debe registrar en una bitácora todas las modificaciones realizadas sobre los dispositivos de red
Control:
239
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Control:
• Instalar antivirus en cada uno de los equipos en los que se usará el centro de negocios en los equipos de la
compañía
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
Control:
• Instalar actualizaciones en los equipos y en el servil
• Desinstalar programas que no sean de uso exclusivo de la empresa.
• Las actualizaciones deben ser compatibles con los sistemas operativos
• Instalar parches de seguridad.
Control:
• Instalar antivirus en cada uno de los equipos en los que se usara el centro de negocios en la compañía
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
• Instalar todas las actualizaciones correspondientes que permitan la correcta operación del centro de negocios
Control:
Control:
34 subjetiva: Grupo 2 Mitigar o Transferir
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad del centro de negocios en otra ciudad,
señalización.
prudencial.
Fuente: Propia
240
Tabla 405 Mitigación de riesgos Accionback
Nombre del activo: Accionback
informáticos.
Control:
• Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación.
• Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas.
• El usuario y contraseña debe personal e intransferible.
• El usuario es responsable de las operaciones o movimientos realizados en la aplicación.

Probabilidad
Puntaje de riesgo relativo: Categoría: Acción:
subjetiva:
17 Grupo 3 Transferir o Aceptar
Bajo
Control:
• Capacitar al personal de manera virtual y presencialmente en la aplicación.
• Implementar un manual de usuario para el uso adecuado de la aplicación
física.
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la
aplicación.
• Todas las modificaciones realizadas en Acciónback deben quedar registradas en una bitácora.
• Para acceder al datacenter se debe ingresar con la clave y huella.
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y modificación de los
dispositivos de red.
• Registrar todas las modificaciones realizadas
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la
compañía
Control:
• Verificar el voltaje de la tomas de corriente
Control:
241
Acción: Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos y en el servidor de AcciónBack
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de Accionback
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de Accionback
Control:
relativo:17 subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
Puntaje de riesgo relativo: Probabilidad Categoría: Acción: Mitigar
31 subjetiva: Alto Grupo 1
Control:
señalización
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
Fuente: Propia
Tabla 406 Mitigación de riesgos documentos

Nombre del activo: Documentos
informáticos.
Control:
• Solo el personal autorizado puede generar documentos.
• Los usuarios pueden acceder a generar documentos con un usuario y contraseña asignados por el área de
sistemas.
• El usuario y contraseña son de uso exclusivo del usuario no se debe difundir a ningún compañero de la
compañía.
• La contraseña debe ser cambiada cada 30 a 45 días
• La contraseña de acceso a las aplicaciones deben contener letras mayúsculas, minúsculas, números y
caracteres especiales.
15 subjetiva: Bajo Grupo 4 Aceptar
Control:
• Capacitar al personal constantemente de manera virtual y presencial en la generación de documentos para
los clientes.
242
• Realizar un instructivo que permita al personal guiarlo en cada paso del uso de la herramienta para generar
documentos.
física.
Control:
Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor con un usuario y
contraseña
Solo con el usuario y contraseña pueden acceder al datacenter y realizar modificaciones sobre el servidor.
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red.
relativo:24 subjetiva: Medio Grupo 2 Mitigar o Transferir
Control:
Control:
• Capacitar al personal para el uso adecuado de los equipos de cómputo e impresoras
• Realizar mantenimientos preventivos tanto a los equipos como a las impresoras
• Adquirir repuestos compatible con los equipos e impresoras con proveedores de confianza
Control:
• Instalar las actualizaciones en los equipos e impresoras
• Desinstalar los programas que no sean de uso operativo de la compañía para generar documentos.
• Adquirir software licenciado
Control:
• Instalar antivirus en cada uno de los equipos
• Desinstalar los programas que no sean necesarios para la operatividad de la compañía
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta para la generación de
documentos
Control:
Control:
243
Control:
señalización
prudencial
Fuente: Propia
Tabla 407 Mitigación de riesgos digitalizador de documentos

Nombre del activo: Digitalizador de documentos
informáticos.
Control:
Control:
física.
Control:
aplicación.
• Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora.
• Control: Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y
modificación de los dispositivos de red.
Registrar todas las modificaciones realizadas
compañía
244
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet
Control:
• Instalar actualizaciones en los equipos
• Se debe adquirir software licenciado
Control:
• Instalar antivirus en cada uno de los equipos
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del digitalizador de
documentos
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del digitalizador de documentos
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
Control:
relativo:33 subjetiva: Alto Grupo 1 Mitigar
Control:
señalización
prudencial
Fuente: Propia
Tabla 408 Mitigación de riesgos Inveracción

Nombre del activo: Inveracción
informáticos.
Control:
245
Control:
física.
Control:
aplicación.
bitácora.
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna.
• Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
compañía
Control:
Control:
Control:
• Instalar antivirus en cada uno de los equipos de la compañía.
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la aplicación.
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la aplicación
Puntaje de riesgo Probabilidad Categoría:
relativo:29 subjetiva: Medio Grupo 2
Control:
246
Control:
Control:
señalización
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad de la aplicación de Inveracción en
otra ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 409 Mitigación de riesgos directorio activo

Nombre del activo: Directorio Activo
informáticos.
Control:
Solo el ingeniero de infraestructura y el gerente de tecnología pueden ingresar al directorio activo
Control:
• Implementar un manual de usuario para la manipulación adecuada del directorio activo
física.
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el directorio
activo.
bitácora.
Control:
247
Control:
Control:
Control:
Control:
• Instalar antivirus en cada uno de los equipos de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del directorio activo
• Instalar el sistema operativo adecuado
relativo:29 subjetiva: Grupo 2 Mitigar o Transferir
Control:
Control:
Puntaje de riesgo Probabilidad Categoría: Grupo 3 Acción:
relativo:38 subjetiva: Alto Mitigar
Control:
señalización
prudencial
• Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 410 Mitigación de riesgos servidor de desarrollo

Nombre del activo: Servidor de Desarrollo
informáticos.
248
Control:
• Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor.
• Registrar todas las modificaciones realizadas en el servidor.
• Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas.
Control:
• Implementar un manual de usuario para el uso adecuado de la aplicación.
física.
Control:
• Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor.
bitácora.
Control:
Control:
Control:
• Capacitar al personal para el uso adecuado de los servidores
• Realizar mantenimientos preventivos a los servidores
• Verificar el voltaje de la toma corriente
• El servidor debe de trabajar en un ambiente con Aire Acondicionado
• ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
relativo:15 subjetiva: Bajo Grupo 4 Aceptar
Control:
Control:
• Instalar antivirus en cada uno de los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor
249
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor
Control:
Control:
Control:
señalización
prudencial
Fuente: Propia
Tabla 411 Mitigación de riesgos servidor de aplicaciones

Nombre del activo: Servidor de Producción
informáticos.
relativo:32 subjetiva: Alto Grupo 1 Mitigar
Control:
Control:
• Implementar un manual de usuario para el uso adecuado de la aplicación.
física.
Control:
bitácora.
250
relativo:29 subjetiva: Alto Grupo 2 Mitigar o Transferir
Control:
29 subjetiva: Alto Grupo 2 Mitigar o Transferir
Control:
Control:
• Verificar el voltaje de la toma corriente
• Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Control:
Control:
Instalar las actualizaciones y parches de seguridad
Control:
Control:
Capacitar constantemente al personal
Control:
251
señalización
prudencial
Fuente: Propia
Tabla 412 Mitigación de riesgos servidor de pruebas

Nombre del activo: Servidor de pruebas
informáticos.
Control:
Control:
física.
Control:
bitácora.
Control:
Control:
subjetiva: Bajo Grupo 3 Transferir o Aceptar
Control:
• Verificar el voltaje de la toma de corriente
• Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
252
Control:
Control:
Instalar las actualizaciones y parches de seguridad
Control:
Control:
Control:
señalización
prudencial
Fuente: Propia
253
Anexo 8
Documentación de los casos de uso
Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo

Caso de uso No. 5 Nombre: Crear Criterio de Medida de Riesgo
Objetivo: Configurar el criterio de medida de riesgo para una de las áreas de impacto
Descripción: Se configura cual es la medida de riesgo en bajo, moderado y alto para un área de impacto
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema
Flujo de Eventos
1.Seleccionar el menú Configurar criterios de 2.Desplegar los criterios de medida de riesgo configurados
medida de riesgo 4. Mostrar el formulario con los campos necesarios para
3.Hacer clic en el botón Agregar Medida de Riesgo crear la Medida de Riesgo
5.Dar clic en el botón Guardar 6.Retornar mensaje Criterio de Medida de Riesgo
7.Dar clic en el botón aceptar del mensaje Criterio Registrado Correctamente
de Medida de Riesgo registrado correctamente 7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
creados, incluyendo el nuevo
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno

Fuente: Propia
Tabla 414 Documentación de caso de uso consulta de criterios de Medida de Riesgo

Caso de uso No. 6 Nombre: Consultar Criterios de Medida de Riesgo
Objetivo: Ver la lista de Criterios de Medida de riesgo configurados
Descripción: Ver la lista organizada por orden de configuración de los criterios de medida de riesgo
Precondiciones:
- Deben existir criterios registrados en el sistema
Flujo de Eventos
1.Seleccionar el menú Configurar criterios de 2.Desplegar los criterios de medida de riesgo

medida de riesgo configurados, con la opción de ver y eliminar en cada
uno de los criterios listados
Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
254
Fuente: Propia
Tabla 415 Documentación de caso de uso Actualización de Criterios de Medida de Riesgo

Caso de uso No. 7 Nombre: Actualizar Criterio de Medida de Riesgo
Objetivo: Actualizar un criterio de Medida de Riesgo Creado
Descripción: Se permite al usuario cambiar la descripción para los niveles, bajo, moderado y alto de cada
una de las áreas de preocupación
Precondiciones:
- Deben existir criterios de medida de riesgo registrados en el sistema
Flujo de Eventos

medida de riesgo configurados
3.Hacer clic en el icono Ver del criterio de medida 4. Mostrar el formulario de creación con los campos
de riesgo diligenciados con la información del criterio de medida
5.Dar clic en el botón Actualizar de riesgo
7.Dar clic en el botón aceptar del mensaje Criterio 6.Retornar mensaje Criterio de Medida de Riesgo
de Medida de Riesgo actualizado correctamente Actualizado Correctamente
creados y la actualización realizada
Flujo Alterno

Fuente: Propia
Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida de Riesgo

Caso de uso No. 8 Nombre: Eliminar Criterios de Medida de Riesgo
Objetivo: Eliminar un criterio de Medida de Riesgo Creado
Descripción: Se permite al usuario eliminar la configuración de medida de riesgo para un área de
preocupación
Precondiciones:
Flujo de Eventos

medida de riesgo configurados
255
3.Hacer clic en el icono Eliminar del criterio de 4.Se debe mostrar un cuadro de confirmación,
medida de riesgo preguntándole al usuario si está seguro de eliminar el
5.Dar clic en el botón Aceptar del mensaje de criterio de medida de riesgo
confirmación 6.Retornar mensaje Criterio de Medida de Riesgo
7.Dar clic en el botón aceptar del mensaje Criterio Eliminado Correctamente
de Medida de Riesgo Eliminado correctamente 7.Limpiar todos los campos
de riesgo excepto el eliminado
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y ver listados
los criterios de medida de riesgo
Fuente: Propia
Tabla 417 Documentación de caso de uso Consultar Priorización de áreas de Impacto

Caso de uso No. 9 Nombre: Consultar Priorización áreas de impacto
Objetivo: Ver la priorización de las áreas de impacto
Descripción: El usuario visualiza las áreas de impacto en el orden de prioridad
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Priorizar áreas de impacto 2.Listar las áreas de impacto en el orden de prioridad,
la primera será la que tenga la prioridad más alta
Flujo Alterno

Fuente: Propia
Tabla 418 Documentación de caso de uso Actualizar Priorización de áreas de impacto

Caso de uso No. 10 Nombre: Cambiar Priorización áreas de impacto
Objetivo: Actualizar la priorización de las áreas de impacto
Descripción: El usuario puede mover las áreas de impacto creadas para reorganizarlas y cambiar la prioridad
Precondiciones:
Flujo de Eventos
256
1.Seleccionar el menú Priorizar áreas de impacto 2.Listar las áreas de impacto en el orden de
3.reorganizar las áreas de impacto de acuerdo a la prioridad, la primera será la que tenga la prioridad
prioridad que se quiera asignar más alta
4. Dar clic en el botón Guardar 5.Mostrar mensaje Priorización Guardada
6. Dar clic en el botón aceptar el mensaje Priorización
Correctamente
guardada correctamente 7.Listar las áreas de impacto con el orden ya
establecido
Flujo Alterno

Fuente: Propia
Tabla 419 Documentación de caso de uso Creación de Activo crítico

Caso de uso No. 11 Nombre: Crear Activos Críticos
Objetivo: Seleccionar activos como críticos
Descripción: El usuario selecciona de la lista de activos ya creado cuales considera como críticos, añadiendo
la justificación del porqué este se considera crítico
Precondiciones:
- Deben existir activos registrados en el sistema
Flujo de Eventos
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados
3.Hacer clic en el botón Agregar Activo Crítico 4. Mostrar el formulario con los campos necesarios
5.Dar clic en el botón Guardar para crear un activo crítico
7.Dar clic en el botón aceptar del mensaje Activo 6.Retornar mensaje Activo Crítico Registrado
Crítico registrado correctamente Correctamente
8.Mostrar la interfaz con todos los activos críticos
registrados, incluyendo el nuevo
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno

Fuente: Propia
Tabla 420 Documentación de caso de uso Consulta de Activos Críticos

Caso de uso No. 12 Nombre: Consultar Activos Críticos
Objetivo: Ver la lista de activos críticos registrados
257
Descripción: Se listan todos los activos críticos
Precondiciones:
- Deben existir activos críticos registrados en el sistema
Flujo de Eventos
1.Seleccionar el menú Seleccionar Activos Críticos 2.Desplegar la lista de activos críticos registrados,
con las opciones ver y eliminar en cada uno de los
activos críticos listados
Flujo Alterno

Fuente: Propia
Tabla 421 Documentación de caso de uso Actualización de Activo Crítico

Caso de uso No. 13 Nombre: Actualizar Activos Críticos
Objetivo: Actualizar activo crítico
Descripción: Se le permite al usuario actualizar uno o todos los datos del activo crítico
Precondiciones:
Flujo de Eventos
3.Hacer clic en el icono Ver del Activo Crítico 4. Mostrar el formulario de creación con todos los
5.Dar clic en el botón Actualizar campos diligenciados con la información del activo
7.Dar clic en el botón aceptar del mensaje Activo crítico
Crítico Actualizado correctamente 6.Retornar mensaje Activo Crítico Actualizado
Correctamente
registrados, incluyendo la actualización realizada
Flujo Alterno

Fuente: Propia
Tabla 422 Documentación de caso de uso Eliminar Activo Crítico

Caso de uso No. 14 Nombre: Eliminar Activos Críticos
Objetivo: Eliminar activo crítico
Descripción: El usuario elimina de manera permanente un activo crítico configurado
258
Precondiciones:
Flujo de Eventos
3.Hacer clic en el icono Eliminar del Activo Crítico 4. Mostrar un mensaje de confirmación
5.Dar clic en el botón Aceptar del cuadro de preguntándole al usuario si está seguro de eliminar el
confirmación activo crítico
7.Dar clic en el botón aceptar del mensaje Activo 6.Retornar mensaje Activo Crítico Eliminado
Crítico Eliminado correctamente Correctamente
registrados, excepto el activo crítico eliminado
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y listar los
activos críticos.
Fuente: Propia
Tabla 423 Documentación de caso de uso Crear Contenedor

Caso de uso No. 15 Nombre: Crear Contenedor
Objetivo: Configurar un contenedor
Descripción: El usuario crea un nuevo contenedor de tipo físico, técnico o personas
Precondiciones:
- Los tipos de contenedores deben estar configurados en el sistema
Flujo de Eventos
1.Seleccionar el menú Configurar Contenedores 2.Desplegar la lista de contenedores registrados

3.Hacer clic en el botón Agregar Contenedor 4. Seleccionar el tipo de contendor a crear
6.Dar clic en el botón Guardar 5. Mostrar los campos necesarios para crear el
7.Dar clic en el botón aceptar del mensaje contenedor de acuerdo al tipo de contenedor
Contenedor registrado correctamente seleccionado.
6.Retornar mensaje Contenedor Registrado
Correctamente
8.Mostrar la interfaz con todos los contenedores
registrados, incluyendo el nuevo
-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
259
Fuente: Propia
Tabla 424 Documentación de caso de uso Consultar Contenedores

Caso de uso No. 16 Nombre: Consultar Contenedor
Objetivo: Consultar contenedores registrados
Descripción: Se listan los contenedores configurados en el sistema
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Configurar Contenedores 2. Desplegar la lista de contenedores registrados, con

las opciones ver y eliminar en cada uno de los
contendores listados.
Flujo Alterno

Fuente: Propia
Tabla 425 Documentación de caso de uso Actualizar Contendor

Caso de uso No. 17 Nombre: Actualizar Contenedor
Objetivo: Actualizar un contenedor
Descripción: Se le permite al usuario actualizar la información ingresada para el contenedor
Precondiciones:
Flujo de Eventos

3.Hacer clic en el icono Ver del Contenedor 4. Mostrar todos los campos diligenciados con la
5.Dar clic en el botón Actualizar información del contenedor seleccionado.
7.Dar clic en el botón aceptar del mensaje 6.Retornar mensaje Contenedor Actualizado
Contenedor Actualizado correctamente Correctamente
registrados, incluyendo la actualización
Flujo Alterno
260
Fuente: Propia
Tabla 426 Documentación de caso de uso Eliminar Contenedor

Caso de uso No. 18 Nombre: Eliminar Contenedor
Objetivo: Eliminar un contenedor
Descripción: El usuario elimina de manera permanente un contenedor configurado
Precondiciones:
Flujo de Eventos

3.Hacer clic en el icono Eliminar del Contenedor 4.Se muestra un mensaje de confirmación
5.Dar clic en el botón Aceptar el cuadro de preguntándole al usuario si está seguro de eliminar el
confirmación contenedor
7.Dar clic en el botón aceptar del mensaje 6.Retornar mensaje Contenedor Eliminado
Contenedor Eliminado correctamente Correctamente
registrados, excepto el eliminado
Flujo Alterno
Si el usuario da cancelar en el cuadro de confirmación de eliminar se debe cerrar el cuadro y mostrar la lista
de contenedores.
Fuente: Propia
Tabla 427 Documentación de caso de uso Crear área de preocupación

Caso de uso No. 19 Nombre: Crear Área de Preocupación
Objetivo: Registrar una nueva área de preocupación
Descripción: El usuario documenta un área de preocupación
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Ver áreas de preocupación 2.Desplegar la lista de áreas de preocupación

3.Hacer clic en el botón Agregar Documentación de registradas
área 4. Mostrar los campos necesarios para crear el área
5.Dar clic en el botón Guardar de preocupación
7.Dar clic en el botón aceptar del mensaje área de 6.Retornar mensaje área de preocupación Registrado
preocupación Registrado Correctamente Correctamente
8. Mostrar la interfaz listando todas las áreas de
261
preocupación registradas, incluyendo la nueva.
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno

Fuente: Propia
Tabla 428 Documentación de caso de uso Consultar área de Preocupación

Caso de uso No. 20 Nombre: Consultar Áreas de Preocupación
Objetivo: Listar las áreas de preocupación registradas
Descripción: El usuario puede ver la lista de áreas de preocupación registradas en el sistema
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Ver áreas de 2.Desplegar la lista de áreas de preocupación registradas,

preocupación con las opciones de ver y eliminar en cada una de las áreas
de preocupación listadas
Flujo Alterno

Fuente: Propia
Tabla 429. Documentación de caso de uso Actualizar área de preocupación

Caso de uso No. 21 Nombre: Actualizar Área de Preocupación
Objetivo: Actualizar área de preocupación
Descripción: El usuario tiene la posibilidad de cambiar uno o todos los datos ingresados durante la creación
del área de preocupación
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Ver áreas de 2.Desplegar la lista de áreas de preocupación registradas

preocupación 4. Mostrar los campos diligenciados con la información del
3.Hacer clic en el icono Ver del área de área de preocupación seleccionada
preocupación 6.Retornar mensaje área de preocupación Actualizada
5.Dar clic en el botón Actualizar Correctamente
7.Dar clic en el botón aceptar del mensaje 7.Limpiar todos los campos
área de preocupación Actualizada 8. Mostrar la interfaz listando todas las áreas de
262
Correctamente preocupación registradas, incluyendo la actualización
Flujo Alterno

Fuente: Propia
Tabla 430 Documentación de caso de uso Eliminar área de preocupación.

Caso de uso No. 22 Nombre: Eliminar Área de Preocupación
Objetivo: Eliminar área de preocupación
Descripción: El usuario elimina de manera permanente el área de preocupación registrada
Precondiciones:
- Deben existir áreas de preocupación registradas
Flujo de Eventos
1.Seleccionar el menú Ver áreas de 2.Desplegar la lista de áreas de preocupación registradas

preocupación 4. Mostrar cuadro de confirmación Preguntándole al usuario si
3.Hacer clic en el icono Eliminar del área de está seguro de eliminar el área de preocupación
preocupación 6.Retornar mensaje área de preocupación Eliminada
5.Dar clic en el botón Aceptar del cuadro de Correctamente
confirmación 8. Mostrar la interfaz listando todas las áreas de preocupación
7.Dar clic en el botón aceptar del mensaje registradas, excepto la eliminada
área de preocupación Eliminada
Correctamente
Flujo Alterno
-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro
y mostrar la lista de áreas de preocupación registradas.
Fuente: Propia
Tabla 431 Documentación de caso de uso Consultar Puntaje de Riesgo Relativo

Caso de uso No. 23 Nombre: Consultar Puntaje de Riesgo Relativo
Objetivo: Mostrar el puntaje de riesgo relativo
Descripción: Se muestra el puntaje de riesgo relativo para cada una de las áreas de preocupación creadas
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema
Flujo de Eventos
263
1.Seleccionar el menú Ver Puntaje de Riesgo 2.Mostrar El puntaje de riesgo relativo junto con la
Relativo probabilidad subjetiva para cada una de las áreas de
preocupación registradas en el sistema
Flujo Alterno

Fuente: Propia
Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación

Caso de uso No. 24 Nombre: Consultar Enfoque de Mitigación
Objetivo: Ver el resultado del Enfoque de Mitigación
Descripción: Se presenta al usuario el resultado del análisis realizado de acuerdo a la información ingresada
para conocer la acción que debería aplicar a cada área de preocupación
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Ver Enfoque de 2.Mostrar el análisis con la acción y el grupo al que pertenece
Mitigación cada una de las áreas de preocupación, junto con la opción
ver controles en cada una de las áreas de preocupación
listadas
Flujo Alterno

Fuente: Propia
Tabla 433 Documentación de caso de uso Ver controles

Caso de uso No. 25 Nombre: Ver Controles
Objetivo: Ver los controles creados para cada una de las área de preocupación en enfoque de Mitigación
Descripción: Se presenta al usuario el listado de controles que se han registrado para llevar a cabo la acción
sugerida
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Ver Enfoque de Mitigación 2.Mostrar el análisis con la acción y el grupo al que
3.Dar clic en ver controles de alguna de las áreas de pertenece cada una de las áreas de preocupación,
Preocupación junto con la opción ver controles en cada una de las
264
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno

Fuente: Propia
Tabla 434 Documentación caso de uso Crear Control

Caso de uso No. 26 Nombre: Crear Control
Objetivo: Agregar un control a alguna de las áreas de preocupación listadas
Descripción: El usuario registra el control que se va a aplicar para mitigar, transferir o aceptar el riesgo
Precondiciones:
Flujo de Eventos
5 Dar clic en el botón Agregar Control áreas de preocupación listadas
6.Dar clic en el botón Guardar 4. Mostrar la lista de controles registrados para el
7. Dar clic en botón aceptar el mensaje control área de preocupación, junto con la opción Ver y
registrado correctamente Eliminar en cada uno de los controles listados
5. Mostrar formulario con los campos necesario para
crear el control
6. Mostrar mensaje control registrado correctamente
7. Mostrar la lista de controles, junto con el nuevo
control creado
Flujo Alterno

Fuente: Propia
Tabla 435 Documentación de caso de uso Actualizar Control

Caso de uso No. 27 Nombre: Actualizar Control
Objetivo: Modificar un control registrado
Descripción: El usuario tiene la posibilidad de actualizar el control registrado para el área de preocupación
Precondiciones:
265
Flujo de Eventos
5 Dar clic en el icono Ver del Control Seleccionado áreas de preocupación listadas
7.Dar clic en el botón Actualizar 4. Mostrar la lista de controles registrados para el
7. Dar clic en botón aceptar el mensaje control área de preocupación, junto con la opción Ver y
actualizado correctamente Eliminar en cada uno de los controles listados
6. Mostrar el formulario con los campos diligenciados
con la información del control
6. Mostrar mensaje control actualizado correctamente
7. Mostrar la lista de controles, junto con la
actualización realizada

Flujo Alterno

Fuente: Propia
Tabla 436 Documentación de caso de uso Eliminar Control

Caso de uso No. 28 Nombre: Eliminar Control
Objetivo: Eliminar un control registrado
Descripción: El usuario eliminar de manera permanente el control registrado
Precondiciones:
Flujo de Eventos
3.Dar clic en ver controles de alguna de las áreas depertenece cada una de las áreas de preocupación,
5 Dar clic en el icono Eliminar del Control áreas de preocupación listadas
Seleccionado 4. Mostrar la lista de controles registrados para el
7.Dar clic en el botón Aceptar del cuadro de área de preocupación, junto con la opción Ver y
confirmación Eliminar en cada uno de los controles listados
8. Dar clic en botón aceptar el mensaje control 6. Se Muestra un cuadro de confirmación
eliminado correctamente preguntándole al usuario si está seguro que desea
eliminar el control
7. Mostrar mensaje control eliminado correctamente
9. Mostrar la lista de controles, excepto el control
eliminado
266
Flujo Alterno
-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro
y mostrar la lista de controles
Fuente: Propia
Tabla 437 Documentación de caso de uso Descargar Reportes

Caso de uso No. 25 Nombre: Descargar Reportes
Objetivo: Descargar reportes
Descripción: El usuario tiene la posibilidad de descargar diferentes reportes que contienen información
ingresada en el sistema
Precondiciones:
- Deben existir Activos Críticos registrados en el sistema
Flujo de Eventos
1.Seleccionar el menú Descargar Reportes 2. Se muestra el menú de opciones que tiene el

3. Dar clic en el icono de descargar PDF usuario para seleccionar el reporte que desea
5. Dar clic en VER PDF generar.
4.Mostrar un cuadro con las opciones VER PDF y
CERRAR
5. Mostrar el PDF generado
Flujo Alterno
-Si el usuario da clic en CERRAR no se mostrará el PDF y quedará en el listado de opciones de reporte.
Fuente: Propia
Tabla 438 Documentación de caso de uso Crear Usuario

Caso de uso No. 26 Nombre: Crear Usuario
Objetivo: Crear un nuevo usuario en el sistema
Descripción: El usuario registra un nuevo usuario asignándole un perfil
Precondiciones:
Flujo de Eventos
1.Seleccionar el menú Administración de usuarios 2.Desplegar la lista de usuarios registrados en el

3.Hacer clic en el botón Agregar Usuario sistema
5.Dar clic en el botón Guardar 4. Mostrar los campos necesarios para crear el
7.Dar clic en el botón aceptar del mensaje usuario usuario
creado Correctamente 6. Se valida que el email y todos los demás campos
267
hayan sido diligenciados correctamente
7. Se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario creado Correctamente
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario nuevo
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Fuente: Propia
Tabla 439 Documentación de caso de uso Consultar Usuarios

Caso de uso No. 27 Nombre: Consultar Usuarios
Objetivo: Crear un nuevo usuario en el sistema
Descripción: El usuario registra un nuevo usuario asignándole un perfil
Precondiciones:
Flujo de Eventos

sistema, junto con la opción ver y eliminar en cada
uno de los usuarios creados
Flujo Alterno

Fuente: Propia
Tabla 440 Documentación de caso de uso Actualizar Usuario

Caso de uso No. 28 Nombre: Actualizar Usuario
Objetivo: Actualizar usuario en el sistema
Descripción: El usuario Actualiza alguno de los usuarios
Precondiciones:
Flujo de Eventos

3.Hacer clic en el icono Ver del usuario seleccionado sistema
5.Dar clic en el botón Actualizar 4. Mostrar todos los campos diligenciados con la
268
7.Dar clic en el botón aceptar del mensaje usuario información del usuario
actualizado Correctamente 6. Se valida que el email y todos los demás campos
hayan sido diligenciados correctamente
7. Sí se marcó la opción generar contraseña nueva
se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario actualizado
Correctamente
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario con su actualización
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Fuente: Propia
Tabla 441. Documentación de caso de uso Eliminar Usuario

Caso de uso No. 29 Nombre: Eliminar Usuario
Objetivo: Eliminar usuario en el sistema
Descripción: El usuario elimina de manera permanente un usuario del sistema
Precondiciones: El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos

3.Hacer clic en el icono Eliminar del usuario sistema
seleccionado 4. Mostrar cuadro de confirmación preguntándole al
5.Dar clic en el botón Aceptar del cuadro de usuario si está seguro de eliminar el usuario
confirmación 6.Retornar mensaje usuario eliminado Correctamente
7.Dar clic en el botón aceptar del mensaje usuario 8.Mostrar la interfaz listando todas los usuarios,
eliminado Correctamente excepto el usuario eliminado
Flujo Alterno
-Si el usuario hace clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar la
ventana y se debe mostrar la lista de usuarios.
Fuente: Propia
269
270

Torres Morales Sandra Milena 2017

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Torres Morales Sandra Milena 2017

Caricato da

Copyright:

Formati disponibili

MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE

ALLEGRO EN ENTIDADES DEL SECTOR FIDUCIARIO

SANDRA MILENA TORRES MORALES

JEIMY LORENA ROJAS CRUZ

PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR POR EL TÍTULO

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

Agradecemos primeramente a DIOS por sembrar en nuestro corazón el sueño de

Durante el desarrollo del este proyecto, quiero agradecer infinitamente a cada

Agradecemos infinitamente a nuestros padres por apoyarnos durante esta etapa

“Mira que te mando que te esfuerces y seas valiente; no temas ni desmayes.

En el presente trabajo de grado se presenta y se desarrolla un modelo de gestión

En el primer capítulo se realiza la planeación y organización del proyecto,

En el segundo capítulo se realiza un análisis general teniendo en cuenta que se

En el tercer capítulo se desarrolla el análisis basado en la metodología Octave

En el cuarto capítulo se realiza el analisis y la implementacion del prototipo,

La gestión de riesgos contempla el desarrollo e implementación de metodologías

La información para la organización debe ser un elemento intangible de mucho

En la actualidad el plan de continuidad es una necesidad para cualquier empresa

Para el análisis de riesgos de este proyecto se trabajó con la metodología Octave

• Desarrollar criterios de medición de riesgo consistentes con la misión de la

Tabla 1 Características técnicas ............................................................................ 45

Ilustración 1 Cronograma de actividades ............................................................... 48

1.1 TITULO DEL PROYECTO:

Modelo De Gestión De Riesgos Aplicando Metodología Octave Allegro En

Gestión de Riesgos: Enfoque estructurado para manejar la incertidumbre relativa

Metodología OCTAVE Allegro: Metodología que permite una amplia evaluación

1.3 DEFINICIÓN DEL PROBLEMA:

Estos sistemas contienen información valiosa en la cual si no se cuenta con

Según un estudio realizado por Cisco Colombia es un país débil en seguridad

Teniendo en cuenta lo expresado anteriormente surge la pregunta: ¿Podría un

¿Podría un modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad

1.4.1 Objetivo general:

1.4.2 Objetivos específicos:

1.5 ALCANCES Y LIMITACIÓN:

A continuación, se describen dichos aspectos realizando la división

Modelo de Gestión de riesgos:

A continuación, se realiza una descripción de la información que contendrá el

• Definición de criterios que permiten conocer la postura de las

Prototipo de Herramienta Web

La herramienta contará con una interfaz de login para el acceso al aplicativo y el

Además, se tendrá la opción de exportar informes en archivos PDF para ser

A continuación, se describen los módulos que tendrá la herramienta web:

Criterios de medición de riesgos: Este módulo permite la creación de un

• Reputación/confianza del cliente

En este módulo el usuario ingresará la información de cada uno de los riesgos

Contenedores de activos de información: En este módulo el usuario podrá

Áreas de preocupación: En este módulo el usuario puede crear los perfiles de

Escenarios de Amenaza: En este módulo el usuario podrá configurar los

Análisis de Riesgos: En este módulo el usuario puede medir de manera

El prototipo estará desarrollado bajo las siguientes herramientas:

• Lenguaje de Programación NodeJS, IONIC, AngularJS

La gestión de riesgos desarrollada será aplicada únicamente al sector fiduciario en

El prototipo Web que servirá para aplicar la metodología OCTAVE Allegro

El prototipo web funcionará únicamente en navegador Firefox versión 47.0 o

Las pruebas de la aplicación móvil serán realizadas únicamente en sistema

1.7 MARCOS DE REFERENCIA

1.7.1 Marcos histórico:

ESTUDIO DEL RIESGO OPERACIONAL EN EL SECTOR FIDUCIARIO, UN

Investigación realizada por estudiantes de La Universidad de la Salle en agosto de

Se realiza una breve descripción de los métodos establecidos internacional y

Finalmente realizan el desarrollo de la gestión del riesgo operativo para la

RIESGO OPERATIVO EN CARTERA DE UNA SOCIEDAD FIDUCIARIA

Ensayo realizado por estudiante de la universidad Militar como opción de grado en

Herramienta de Evaluación de Seguridad de Microsoft (MSAT)