SGSI-MCS-DOC-001

SGSI - MICROSITIOS

CARLOS ANDRES PEÑUELA MALAVER

OMAR JULIAN ROMERO RODRIGUEZ

UNIVERSIDAD JORGE TADEO LOZANO

INGENIERÍA
SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ
2018
 SGSI - MICROSITIOS
IMPLEMENTACIÓN DE SGSI A LA EMPRESA MICROSITIOS

RICARDO ALBERTO DUITAMA LEAL

CISO

CARLOS ANDRES PEÑUELA MALAVER

OMAR JULIAN ROMERO RODRIGUEZ

UNIVERSIDAD JORGE TADEO LOZANO

INGENIERÍA

SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ
2018

2
 TABLA DE CONTENIDO

INTRODUCCIÓN 9
1. CONTEXTO 10
1.1 Entendimiento en la organización y su contexto 10
1.1.1 Nombre. 10
1.1.2 Misión y visión. 10
1.1.3 Objetivo corporativo. 10
1.1.4 Mapa de procesos. 11
1.1.5 DOFA 11
1.2 Expectativas de las partes interesadas 12
1.3 Alcance SGSI 13
2. LIDERAZGO 14
2.1 Liderazgo y compromiso 14
2.2 Política de seguridad 14
2.3 Organización de las redes, responsabilidades y autoridades 14
3. PLANEACION 17
3.1. CONTEXTO DE VALORACION DE RIESGOS 17
3.1.1 ESTRUCTURA INFORME VALORACION RIESGOS 17
3.1.2 IDENTIFICACION DE ACTIVOS 18
3.1.3 ESCALAS PARA CALIFICAR LOS REQUERIMIENTOS DE
SEGURIDAD 18
3.1.3.1 Requerimientos de seguridad - Integridad 19
3.1.3.2 Requerimientos de seguridad - Confidencialidad 19
3.1.3.3 Requerimientos de seguridad - Disponibilidad 20
3.1.4 AMENAZAS 20
3.1.5 RIESGOS 23
3.1.6 ESCALA PARA LA MEDICION DE LA PROBABILIDAD 23
3.1.7 ESCALA PARA LA MEDICION DEL NIVEL DE IMPACTO
(CONSECUENCIAS) 24
3.1.8 ESCALA PARA EL CÁLCULO DEL RIESGO INHERENTE 25
3.1.9 ESCALA PARA EL CÁLCULO DEL RIESGO RESIDUAL 27
3.1.9.1 Determinación de la efectividad de cada control individual 27

3
 3.1.9.2 Determinación de la efectividad del conjunto de controles 29
3.1.10 VALORACION DE LOS ACTIVOS 30
3.1.11 VALORACION DE RIESGO 30
3.1.12 TRATAMIENTO DE RIESGOS 30
4. SOPORTE 32
4.1 RECURSOS 32
4.2 Competencias 35
4.3 Conciencia 35
4.3.1 Mecanismos de comunicacion 35
4.4 Comuniacion 36
4.4.1 Metodos de comuniacion 36
4.5 Informacion documental 37
4.5.1 Control de versionamiento 37
5. RESULTADOS 38
5.1 SELECCIÓN DE ACTIVOS DE INFORMACIÓN CRÍTICOS 38
5.2 IDENTIFICACIÓN DE VULNERABILIDADES, AMENAZAS Y RIESGOS. 38
5.3 RESULTADO DE LA EVALUACION DE RIESGOS 39
5.4 ANALISIS DEL RIESGO INHERENTE 40
5.5 ANALISIS DEL RIESGO RESIDUAL 41
5.6 CONTROLES DE MITIGACIÓN PROPUESTOS 41
6. CONCLUSIONES 43

4
 LISTAS DE TABLAS

Tabla 1. Análisis DOFA

Tabla 2. Expectativas de las partes interesadas
Tabla 3. Requerimientos de integridad
Tabla 4: Requerimientos de confidencialidad
Tabla 5. Requerimientos de Disponibilidad
Tabla 6. Amenazas
Tabla 7. Riesgos (Impactos)
Tabla 8. Escala de probabilidad
Tabla 9. Escala de impactos
Tabla 10: Cálculo del nivel de riesgo inherente (severidad)
Tabla 11. Interpretación del Nivel de Riesgo Inherente (Severidad)
Tabla 12. Ejemplo del cálculo de riesgo inherente
Tabla 13: Atributos para calificar la efectividad de un control
Tabla 14: Escala interpretar la efectividad de los controles
Tabla 15. Escala para determinar el riesgo residual
Tabla 16. Tabla Valoración de Activos
Tabla 17. Recursos
Tabla 18. Mecanismos de comunicación
Tabla 19. Metodos de comunicación
Tabla 20. Control de versionamiento

5
 LISTA DE FIGURAS

Figura 1. Mapa de proceso desarrollo e implementación de software

Figura 2. Mapa de proceso gestión de la configuración

Figura 3. Organigrama

Figura 4. Estructura Análisis Riesgos

6
 LISTA DE ANEXOS

Anexo A. Matriz de Riesgos Micrositio-2

7
 RESUMEN

Un sistema de gestión de seguridad de la información (SGSI), según la norma une-

iso/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque
de riesgo empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa
que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar
control sobre lo que sucede en los sistemas de información y sobre la propia
información que se maneja en la organización.

8
INTRODUCCIÓN
La información es el principal activo de muchas organizaciones y precisa ser
protegida adecuadamente frente a amenazas que puede poner en peligro la
continuidad del negocio. en la actualidad, micrositios se enfrenta cada vez más con
riesgos e inseguridades procedentes de una amplia variedad de contingencias, las
cuales pueden dañar considerablemente tanto los sistemas de información como la
información procesada y almacenada.

Para proteger la información de una manera coherente y eficaz es necesario

implementar un sistema de gestión de seguridad de la información (SGSI).Este
sistema es una parte del sistema global de gestión, basado en un análisis de los
riesgos del negocio, que permite asegurar la información frente a la pérdida de
confidencialidad, integridad y disponibilidad.

9
1. CONTEXTO

1.1 Entendimiento en la organización y su contexto

1.1.1 Nombre.

MICROSITIOS S.A.S.
1.1.2 Misión y visión.

Misión:
Diseñar, desarrollar y comercializar productos y servicios innovadores para
entidades del Gobierno que les permiten prestar un mejor servicio haciendo
uso de las tecnologías de la información y las comunicaciones, siempre
cumpliendo la normatividad vigente.
Visión:
Para el año 2019 seremos reconocidos internacionalmente como la empresa
colombiana más innovadora en el desarrollo de productos y servicios de
Tecnologías de la Información para el sector Gobierno y nos expandimos
hasta ser la empresa latinoamericana líder en la región.

1.1.3 Objetivo corporativo.

Nuestro objetivo corporativo es ser la empresa con las mejores prácticas en

cuanto a Gobierno en Línea , ya que en el mercado hay bastante
competencia, día a día mejorar y tomamos medidas para lograr nuestro
objetivo.

10
1.1.4 Mapa de procesos.

Figura 1. Mapa de proceso desarrollo e implementación de software

Figura 2. Mapa de procesos gestion de la configuracion

1.1.5 DOFA

D - Proceso de control al seguimiento del cumplimiento de las tareas

asignadas
- Decisiones colegiadas de la gerencia, falta coordinación entre

11
 socios
- Socios con visión en los resultados, falta actualización de la
gerencia
- Junta de socios poco operativa solo participan los socios
- Área de operaciones y procesos - control interno
- Gestión del conocimiento
- Definición de roles, funciones y estructura organizacional

O - Acceso del país a la OCDE

- El teletrabajo como una tendencia global
- Alianza del pacífico
- Implementar un proyecto de RSE
- Atraso en el desarrollo tecnológico de las ciudades intermedias

F - Experiencia en el sector público

- Certificación ITMARK
- Certificación CMMI 3

A - Deficiencia en el mercado de profesionales integrales en Sistemas

de información
- Dificultad en el acceso a recursos financieros por parte de las
entidades financieras
- Reducción en los pptos. De las entidades del estado

Tabla 1. Analisis DOFA

1.2 Expectativas de las partes interesadas
PERSONAL INTERESADO EXPECTATIVAS

Alta gerencia - Software de calidad

- Mejores Prácticas
- Orden
- Menos errores

Área de Desarrollo - Más eficiencia

- Mejor Seguridad
- Mayor comunicación

Area Infraestructura - Mejor conocimiento en los

procesos.
- Tener claras las políticas de

12
 seguridad.
- Tener conocimientos de las
amenazas y riesgos en los
procesos seleccionados.

Gerente de Proyecto - Menos preocupación en cuanto

a riesgos de seguridad.
- Mayor eficiencia en los
procesos.

Tabla 2. Expectativas de las partes interesadas

1.3 Alcance SGSI

El alcance de la implementación de SGSI será únicamente en los procesos
de Desarrollo e implementación de Software que sean desarrollados bajo el
lenguaje PHP y el tamaño del proyecto sea mediano. Y en el proceso de
Gestión de la configuración estos siempre y cuando sean web.

13
2. LIDERAZGO

2.1 Liderazgo y compromiso

La alta dirección debe demostrar liderazgo y compromiso con respecto al
Sistema de Gestión de Seguridad de la Información:

● Asegurando que se establezcan la política de la seguridad de la información

y los objetivos de la seguridad de la información, y que estos sean
compatibles con la dirección estratégica de la empresa.

● Asegurando la integración de los requisitos del Sistema de Gestión de

Seguridad de la Información en los procesos de la empresa.

● Asegurar que los recursos necesarios para el Sistema de Gestión de

Seguridad de la Información se encuentren disponibles.

● Combinar la importancia de una gestión de la seguridad de la información

eficaz y de la conformidad con los requisitos del Sistema de Gestión de
Seguridad de la Información.

● Se debe asegurar de que el Sistema de Gestión de la Seguridad de la

Información logre los resultados previstos.

● Dirigiendo y apoyando a las personas, para contribuir a la eficiencia del

Sistema de Gestión de Seguridad de la Información.

● Promover la mejora continua.

● Apoyar otros roles pertinentes de la dirección, es necesario demostrar el

liderazgo aplicado a sus áreas de responsabilidad.

2.2 Política de seguridad

MICROSITIOS comprende que la confidencialidad, la integridad y la
disponibilidad de la información de nuestros miembros son vitales para sus
operaciones comerciales y para nuestro propio éxito. Para proteger la
información clave, utilizamos un enfoque de niveles múltiples que consiste
en la supervisión y el mejoramiento constantes de nuestros sistemas,
procesos y aplicaciones, para satisfacer las exigencias y dificultades cada
vez mayores que presentan las amenazas dinámicas a la seguridad.

2.3 Organización de las redes, responsabilidades y autoridades

14
Figura 3. Organigrama

Junta Directiva.
Departamento: Gerencial
Jefe inmediato: ninguno
Responsabilidad principal: Planear y controlar todas las actividades
administrativas, financieras de la empresa.
Comité de Seguridad.
Responsabilidad: Proponer a la junta Directiva los diferentes mecanismos
de seguridad para mantener segura la información manipulada dentro de la
empresa, también monitorear los riesgos que pueden poner en peligro la
información
Dirección General.
Departamento: gerencial
Jefe inmediato: Junta directiva
Responsabilidad principal: Planear y controlar todas las actividades
administrativas y del SGSI de la empresa. Además de realizar actividades
de mercadeo y supervisión de compras.
CISO(Director general de seguridad).
Responsabilidad: Se encargan de la seguridad y planificación de desastres,
la gestión de continuidad, la respuesta en función a problemas que puedan
surgir , este se encarga de reportar en los comités sugerencias y demás.

Analista.
Responsabilidad: Este debe identificar los posibles riesgos que hayan en
cuanto a los activos de información y en la planta tecnológica , también debe
establecer normas y velar por el cumplimiento de las políticas de la
seguridad.

Infraestructura.

15
Responsabilidad: Es la persona encargada de administrar los servidores, y
todo lo relacionado con infraestructura, como el cableado, verificar que haya
red en todos los equipos, también estar pendiente de los fallos físicos en
cuanto a servidores.

Usuarios.
Responsabilidad: Acatar las políticas creadas por el comité de seguridad, los
usuarios son los que hacen uso de aplicaciones, realizan informes, generan
cuentas, los usuarios son compuestos por todas las áreas de una empresa
que hacen uso de la información de esta misma.

16
3. PLANEACION
3.1. CONTEXTO DE VALORACION DE RIESGOS
En consonancia con la metodologia ́ de Gestión de Riesgos definida en el presente
proyecto, lo primero que se debe realizar al iniciar un proceso de Valoración de
Riesgos es establecer las reglas de juego en cuanto a:
Estructura del informe de valoración de riesgos.
Identificación de Activos.
Escalas para calificar los requerimientos de seguridad de los activos o recursos de
información (disponibilidad, integridad, confidencialidad).
Escala a utilizar para la calificación de la probabilidad que una amenaza ocurra.
Lista de impactos de la institución a ser analizados.
Escala a utilizar para calificar el nivel de impacto que puede generar la ocurrencia
de una amenaza
Escala de medición del riesgo inherente
Escala de medición del riesgo residual
3.1.1 ESTRUCTURA INFORME VALORACION RIESGOS

Para el presente análisis de riesgos se divide el Proceso de Tecnología de la

Información en sus componentes, lo cual permitirá entender de forma más clara su
distribución. Para presentar los resultados de la valoración de riesgos, se organizó
una estructura de cuatro niveles: Proceso, servicios, módulos y activos, tal como
se observa en la siguiente figura:

17
 CISO -
Administracion
administracion - Gestion
de seguridad
infraestructura

Administracion Servidores -
Gestion
de servidores infraestructura

Administracion BD -
Gestion IT Gestion
de base de datos instraestructura

Centro de Centro de
Gestion
computo computo

Soporte -
Soporte Tecnico Gestion
infraestructura

Figura 4. Estructura Análisis Riesgos

Cada uno de los servicios identificados fue dividido en dos tipos de módulos: El
módulo de infraestructura y el módulo de gestión.
Al final de la rama de infraestructura se ubican los recursos tecnológicos
correspondientes. Por la rama de gestión se evalúa la existencia y aplicación de
buenas prácticas relacionadas con: Planeación, Organización, Entrenamiento,
Documentación, Respaldo y Recuperación, Contratos y Control de cambios
concordantes con el respectivo módulo.
La identificación de vulnerabilidades, amenazas y controles se realiza a nivel de
activo o recurso de información, lo que facilita la determinación de impactos a nivel
de módulo, servicio o proceso.
3.1.2 IDENTIFICACION DE ACTIVOS
Debido a que el área de TI se soporta en diferentes servicios, se procedió a
identificar los activos por módulos y servicios con lo cual se garantiza un mejor
entendimiento de la distribución de los mismos.
Los activos identificados se categorizaran en Instalaciones, Hardware, software,
aplicación, datos, red, servicios y personal (Para visualizar los activos Identificados
ver el archivo Analisis_Riesgos_ABC.xlsx en la ficha Identificacion_Activos)
3.1.3 ESCALAS PARA CALIFICAR LOS REQUERIMIENTOS DE SEGURIDAD

En conjunto con los responsables de seguridad, se definieron las escalas para

calificar los siguientes requerimientos de seguridad de la información:

 Integridad
 Confidencialidad

18
  Disponibilidad

La configuración de estas escalas así como la calificación dada por el

personal de ABC quedó registrada en el archivo de Excel
Analisis_Riesgos_ABC.xlsx, nombre que se seguirá utilizando a lo largo del
presente documento.

3.1.3.1 Requerimientos de seguridad - Integridad

Para calificar los requerimientos de integridad (exactitud de la información) se
definió la siguiente escala:
REQUERIMIENTOS DE INTEGRIDAD
Calificación Explicación
Si tras el daño se puede reemplazar fácilmente y ofrecer la misma
Baja
calidad de información.
Si tras el daño se puede reemplazar y ofrecer una calidad semejante
Normal
de información con una molestia razonable.
Si la calidad necesaria de la información se puede reconstruir de
Alta
forma difić il y costosa.
Si no puede volver a obtenerse una calidad semejante a la
Crit́ ica
información original.
Tabla 3. Requerimientos de integridad
3.1.3.2 Requerimientos de seguridad - Confidencialidad
Para calificar los requerimientos de confidencialidad (garantizar que la información
solo es conocida por quien está autorizado para conocerla) se definió la siguiente
escala:
REQUERIMIENTOS DE CONFIDENCIALIDAD
Calificación Explicación
Cualquier información no clasificada se considera como pública. La
información no catalogada y por tanto pública, será aquella cuya
Pública
divulgación no afecte al Grupo ABC en términos de pérdida de imagen
y/o económica.
Información que sin ser reservada ni restringida, debe mantenerse
Uso dentro de la Empresa y no debe estar disponible externamente,
Interno excepto para terceros involucrados en el tema. En el caso de terceros,
deberán comprometerse a no divulgar dicha información.
Información sensible, interna a áreas o proyectos a los que deben
tener acceso controlado otros grupos pero no todo el Grupo ABC
Restringida
debido a que se pueda poner en riesgo la seguridad e intereses de la
compañía, de sus clientes o asociados y empleados.

19
 Información de alta sensibilidad que debe ser protegida por su
Crit́ ica relevancia sobre decisiones estratégicas, impacto financiero,
oportunidad de negocio, potencial de fraude o requisitos legales.
Tabla 4: Requerimientos de confidencialidad
3.1.3.3 Requerimientos de seguridad - Disponibilidad
́ que la información
Para calificar los requerimientos de disponibilidad (garantia
puede ser accedida por quien la requiere y cuando lo requiere.) se definió la
siguiente escala:
REQUERIMIENTOS DE DISPONIBILIDAD
Calificación Explicación
Se puede estar sin el activo en funcionamiento máximo 2 horas al
De 0 a 2 horas cabo de la cual se comienzan a materializar riesgos financieros y
operativos.
Se puede estar sin el activo en funcionamiento máximo 4 horas al
Entre 2 y 3:59
cabo del cual se comienzan a materializar riesgos financieros y
horas
operativos.
Se puede estar sin el activo en funcionamiento máximo 8 horas al
Entre 4 a 7:59
cabo de los cuales se comienzan a materializar riesgos
horas
financieros y operativos.
Se puede estar sin el activo en funcionamiento máximo 48 horas
Entre 8 y 47:59
al cabo de la cual se comienzan a materializar riesgos financieros
horas
y operativos.
Se puede estar sin el activo en funcionamiento máximo 1 mes al
Más de 48
cabo del cual se comienzan a materializar riesgos financieros y
horas
operativos.
Tabla 5. Requerimientos de Disponibilidad

3.1.4 AMENAZAS

Las amenazas son eventos inesperados con el potencial para causar daños. Las
amenazas explotan las vulnerabilidades presentes en las tecnologías, las
personas o los procesos. Las amenazas se conocen como causas de riesgos, esto
es, si la amenaza no explota una vulnerabilidad el riesgo no acontece.

́ s:
Las amenazas se presentan agrupadas en las siguientes categoria

 Los desastres naturales

 Los actos malintencionados
 Las fallas de hardware y software
 Los errores humanos
 Fallas en la gestión y operación del servicio

20
 Como resultado del análisis de riesgos efectuado en el grupo ABC, se
identificaron como principales amenazas las siguientes:

́
Categoria Amenaza Descripción
Ingreso de información errada
Errores de aplicación
Errores humanos
Tareas incompletas / no ejecutadas
Perdida de información
Concentración de información o
Dependencia de permisos en uno o algunos
funcionarios crit́ icos funcionarios, que se convierten en
elementos intocables
Errores Humanos Ingreso de El usuario introduce información que
información errada no es correcta (integra)
Error humano por medio del cual se
Tareas incompletas /
omiten tareas o se hacen de forma
no ejecutadas
incompleta
Ejecución de Ejecución de comandos incorrectos
comandos por desconocimiento o por error
equivocados humano
Exceso de trabajo de funcionarios
Sobrecarga laboral que puede conducirlos a cometer
errores
Fallas de Hardware
Fallas de Software
Fallas de HW, SW o
Fallas en comunicaciones Fallas de
comunicaciones
energía Desempeño deficiente
Obsolescencia Tecnológica
Fallas de Hardware y Malfuncionamiento a nivel de
Software Fallas de HW
hardware
Malfuncionamiento a nivel de
Fallas de SW
software
Fallas de Malfuncionamiento a nivel de
comunicaciones hardware de comunicaciones
Interrupción del suministro de
́
Fallas de energia
energiá eléctrica
Acceso no autorizado Suplantación
Actos
de usuarios Ataque (intrusión) al
Malintencionados Actos
sistema Sabotaje. Robo de
Malintencionados
información Alteración de la
información

21
 Actividades que mediante el engaño
a personas se obtiene información
́ social
Ingenieria
que permite acceso a información o
servicios.
Código malicioso o Contaminación de equipos por medio
virus de programas maliciosos.
Terrorismo Actos terroristas, bomba, atentado
Acceso lógico no Acceso a recursos para los cuales no
autorizado tiene atribuciones de acceso
Un usuario utiliza la cuenta de otro
para obtener acceso de forma
Suplantación de
abusiva, Utilización de sesiones
usuarios
abiertas para suplantar al dueño de
la misma
Proceso organizado para tener
Ataques al sistema
acceso abusivo sobre un sistema
Obtener acceso de forma no
Alteración de la
autorizada y modificar datos o
información
información
Hombre en el medio - interceptar las
Interceptación de
comunicaciones entre dos partes y
información
robar información
Acceso fiś ico no Acceder de forma física a activos de
autorizado información
Robo de activos de información
Hurto
como computadores portátiles
Robo de información Hurtar información
Terremoto
Inundación
Desastres Naturales Tsunami
Huracán
Erupciones volcánicas Avalancha
Desastres Naturales Contaminacion
́ Polución del aire o el ambiente
Temperatura o Temperaturas extremas que pueden
humedad extremas ocasionar fallas de equipos
Terremoto Desastre natural
Incendio Amenazas relacionadas con fuego
Obsolescencia La infraestructura de TI no soporta
Fallas en la gestión y tecnológica los requerimientos de capacidad
operación del Servicio no alineado Inexistencia de planes de tecnología
servicio con las necesidades de largo plazo alineados con los
del negocio objetivos del negocio

22
Tabla 6. Amenazas

3.1.5 RIESGOS
Riesgo es el impacto negativo derivado de la explotación de una vulnerabilidad por
una amenaza. A manera de ejemplo:
Vulnerabilidad presente: Se comparten contraseñas con privilegios de
administración Amenaza: Suplantación de usuarios
Riesgos: Fuga de información
Fraude y malversación de fondos
Como resultado del análisis efectuado en el área de TI del Grupo ABC, se
identificaron como principales riesgos de la institución, los siguientes:
Riesgo
Fraude y malversación de fondos
Toma de decisiones erradas
Sanciones
Baja en la moral de la tropa
Deterioro de la imagen pública.
Incumplimiento de tipo legal o contractual
Indisponibilidad colateral de otros servicios
Bajos in ́ dices de transparencia
Pérdida en la efectividad
Retraso en la toma de decisiones
Perjuicio a la relaciones de la Entidad con otros organismos
Perdida de productividad de los empleados
Interrupción del servicio o del negocio
Fuga de información
Tabla 7. Riesgos (Impactos)

Para determinar la importancia de los riesgos o impactos es necesario establecer

la probabilidad (frecuencia de ocurrencia) y el nivel de impacto (daño) de cada
ocurrencia de amenaza. A continuación se presentan las escalas utilizadas para
calificar probabilidades y niveles de impacto.
3.1.6 ESCALA PARA LA MEDICION DE LA PROBABILIDAD
Para establecer la probabilidad (frecuencia de ocurrencia) de los eventos
negativos o amenazas que se pudieran presentar en los sistemas del Grupo ABC
se utilizó la siguiente escala:

Escala de probabilidad
Calificación Explicación Número de incidentes en
el último año

23
 B Baja: El evento es 0
teóricamente posible
pero nunca ha ocurrido
en el EN
M- Medio baja: El evento se 1
presentó 1 vez
M Medio: El evento se 2
presentó 2 veces
M+ Media alta: El evento se 3
presentó 3 veces.
A Alta: El evento se Más de 3
presentó más de 3
veces.
Tabla 8. Escala de probabilidad

Como se puede observar, la probabilidad se establece con base en la historia

reciente de
incidentes negativos sucedidos en la institución
3.1.7 ESCALA PARA LA MEDICION DEL NIVEL DE IMPACTO
(CONSECUENCIAS)
Para establecer el impacto (pérdida en la que incurre la institución) cada vez que
se presenta un evento negativo en los sistemas de ABC se utilizó la siguiente
escala:
Escala de impactos
1.Cali 2.Aspecto 3.Aspect 4.Maximo 5. Esfuerzo 6. Fuga 7.Imagen
ficaci leal y de o de tiempos sin de de
on incumplimient tiempo servicio recostruccio informaci
o improduct disponibilidad n (horas) on
ivo diario integridad confidenc
(horas) ialidad
B Llamado de Hasta 1 Más de 48 Menor a 8 Informativ Difusión
atención a dependenc
interno ia afectada
M- Destitución Entre 1 y Entre 8 y Entre 8 y
2:59 47:59 horas 11:59
M Sanción Entre 3 y Entre 4 y Entre 12 y Informaci
económica 4:59 7:59 horas 23:59 ón
Personal
M+ Càrcel Entre 5 y Entre 2 y Entre 24 y Informaci Difusión a
7:59 3:59 horas 71:59 ón nivel
Administr Nacional
ativa
técnica

24
A Cárcel mas Másde8 Entre 0 y Más de 72 Informaci Difusión a
sanción 1:59 horas ón nivel
economica operacion Internacion
al al

Tabla 9. Escala de impactos

Una vez seleccionado el impacto, se considera el aspecto de mayor relevancia

para la institución y de esta forma se orientó al entrevistado, sobre los criterios
para calificarlo según la afectación:

 Aspectos legales y de incumplimiento, el entrevistado, debe seleccionar la

calificación del impacto de la columna 1: “B”, “M-“, “M”, “M+” o “A” de
acuerdo al nivel de severidad que se estime puede presentarse a nivel de
incumplimiento descrito en la columna 2.
 Productividad de los funcionarios, el entrevistado debe seleccionar la
calificación del impacto de la columna 1: “B”, “M-“, “M”, “M+” o “A” de
acuerdo al nivel de severidad que se estime puede presentarse a nivel de
productividad descrito en la columna 3
 Disponibilidad del servicio, el entrevistado debe seleccionar la calificación
del impacto de la columna 1: “B”, “M-“, “M”, “M+” o “A” de acuerdo al nivel
de severidad que se estime puede presentarse a nivel de disponibilidad del
servicio descrito en la columna 4
 Integridad, el entrevistado debe seleccionar la calificación del impacto de la
columna 1: “B”, “M-“, “M”, “M+” o “A” de acuerdo al nivel de esfuerzo
requerido para reconstruir información descrito en la columna 5.
 Confidencialidad, el entrevistado debe seleccionar la calificación del
impacto de la columna 1: “B”, “M-“, “M”, “M+” o “A” de acuerdo al nivel de
severidad que se estime puede presentarse a nivel de confidencialidad
descrito en la columna 6
 Imagen de la institución, el entrevistado debe seleccionar la calificación del
impacto de la columna 1: “B”, “M-“, “M”, “M+” o “A” de acuerdo al nivel de
severidad que se estime puede presentarse a nivel de imagen institucional
descrito 7.

3.1.8 ESCALA PARA EL CÁLCULO DEL RIESGO INHERENTE

El riesgo inherente es el nivel de exposición presente en ausencia de

controles, esto es, en la determinación del riesgo inherente no se toman en
cuenta los controles existentes en la organización.

Para calcular el valor del riesgo inherente (severidad) se combinan las

calificaciones de probabilidad y nivel de impacto de acuerdo con la
siguiente tabla:

25
 A M M M+ A A

M+ B M- M M+ A

Probabilidad
M B M- M M+ M+

M- B B M- M M+

B B B M- M M

B M- M M+ A
IMPACTO

Tabla 10: Cálculo del nivel de riesgo inherente (severidad)

La interpretación de la escala de nivel de riesgo inherente (severidad) es la

siguiente:

Alta
Riesgo extremo, se requiere acción inmediata. Planes de Tratamiento
requeridos, implementados y reportados a los altos mandos
Medio Riesgo alto requiere atención de la alta Dirección. Planes de Tratamiento
Alto requeridos, implementados y reportados a los Lid ́ eres funcionales.
Riesgo moderado, requiere atención del área involucrada, definición de
Media
procedimientos y controles de mitigación.
Medio
Riesgo aceptable – Administrado con procedimientos normales de control
bajo
Riesgo bajo, se administra con procedimientos rutinarios.
BAJA

Tabla 11. Interpretación del Nivel de Riesgo Inherente (Severidad)

En la siguiente tabla se mencionan dos ejemplos para ayudar a interpretar la

calificación del riesgo inherente:
Activo Amenaza Riesgo Probabilidad Impacto Riesgo Inherente

26
 M+ (ha Alto (máximo
Corte de
ocurrido 3 tiempo de Alto.
Servidor suministro Interrupción
veces en los interrupción Requiere atención
de BD de energía del servicio
últimos 2 tolerable de 2 inmediata
eléctrica
años) horas)
M (Medio), Deben
especificarse
responsabilidades
Alto (Se administrativas:
interrumpen la Dirección debe
Centro Terremoto
Interrupción B (No ha servicios de tomar
de – Desastre
del servicio ocurrido) máximo 2 acción sobre los
cómputo Natural
horas de controles necesarios
tolerancia) para mitigar el
impacto de un
posible desastre
natural.
Tabla 12. Ejemplo del cálculo de riesgo inherente

3.1.9 ESCALA PARA EL CÁLCULO DEL RIESGO RESIDUAL

Anteriormente se ha establecido el riesgo inherente (nivel de riesgo sin considerar

los controles existentes), ahora, es necesario establecer el nivel de efectividad del
conjunto de controles existentes para determinar el nivel de riesgo residual.

La efectividad del conjunto de controles se establece en dos pasos:

 Determinación de la efectividad individual de cada control

 Determinación de la efectividad del conjunto de controles

3.1.9.1 Determinación de la efectividad de cada control individual

Esta calificación se fundamente en el análisis de los atributos del control, para la

cual se utiliza la siguiente tabla:

́
Categoria Tipo Explicación Ejemplos de controles Puntaje
Acceso por
Evitan que la amenaza contraseñas
Preventivo 10
Oportunidad se materialice Cifrado de mensajes
Autenticación fuerte
Detectivo ́
Pistas de auditoria 5

27
 Alertan sobre Sistemas de
violaciones o intentos detección de intrusos
de violación de la – IDS
polit́ ica de seguridad Dígitos de chequeo
Restauración de
sistemas y datos
Se utilizan para
Plan de recuperación
restaurar recursos de
Correctivo de desastres 3
computación perdidos
o dañados Sistemas automáticos
de extinción de
incendios
Control de acceso
El control se ejecuta biometrico
́
Automático sin intervención 5
humana Acceso por
contraseñas
Grado de Inspección física de
automatización Es requerida la paquetes, bolsos, etc.
intervención humana Entrevistas de
Manual 3
para la ejecución del selección
control Procedimientos de
aprobación
Acceso por
El control se ejecuta contraseñas
Mandatorio 5
siempre Verificación de
antecedentes
Aseguramiento de
Obligatoriedad plataformas
La ejecución del (actualización de
control es potestativa parches,
Discrecional desactivación de 3
de una persona o
grupo de personas puertos y servicios)
Revisión de logs de
acceso
Es la importancia del Acceso por
control para cada contraseñas es
amenaza en particular. relevante para
Esto es, un control es prevenir acceso
Relevancia No aplica 10
indispensable para una lógico no autorizado
amenaza pero puede pero es secundario
ser secundario para para fuga de
contrarrestar otra. información.

28
 Cifrado es relevante
para fuga de
información pero
secundario para
prevenir acceso
lógico no autorizado

Tabla 13: Atributos para calificar la efectividad de un control

Notas:

 La asignación de puntajes obedece al análisis que realice el responsable de

dicha actividad.
 Un control puede obtener un máximo de 30 puntos.
 Dentro de cada categoriá los atributos son excluyentes: Un control no
puede ser

preventivo, detectivo y correctivo simultáneamente.

3.1.9.2 Determinación de la efectividad del conjunto de controles

La escala de efectividad de los controles se debe entender de la siguiente manera:
ESCALA INTERPRETACIÓN
81 – Los controles existentes son altamente efectivos. Las buenas prácticas
100% indican que su aplicación previene o detecta y corrige la mayoriá de
ocurrencias de la amenaza analizada.
Los controles son efectivos en la mayoría de las situaciones, pero se
61 –
requieren controles adicionales para fortalecer la protección del activo o
80%
recurso analizado.
41 – Los controles existentes brindan un nivel de protección medio. Son
60% insuficientes. Se requieren controles adicionales en el mediano plazo
para elevar los niveles de protección.
Los controles existentes pueden contrarrestar situaciones particulares
21 –
pero son insuficientes. Se requieren medidas de control adicionales en el
40%
corto plazo.
Los controles son inefectivos. Se requieren fuertes medidas de control
0 – 20% de manera urgente para fortalecer los niveles de protección sobre el
activo o recurso analizado.
Tabla 14: Escala interpretar la efectividad de los controles

El riesgo residual es el nivel real de exposición de la institución gracias a la

protección brindada por los controles existentes. Esto es, el riesgo inherente es
contrarrestado (mitigado) por los controles. El valor del riesgo residual debe ser
siempre menor o igual al valor del riesgo inherente.

29
El resultado del riesgo residual se obtiene de la combinación del riesgo Inherente y
la efectividad de los controles existentes, con base en la siguiente regla:
A A M+ M M- B
M+ M+ M M M- B
Riesgo Inherente M M M M M- B
M- M- M- B B B
B B B B B B
0- 21- 41- 61- 81-
20% 40% 60% 80% 100%
EFECTIVIDAD DE LOS
CONTROLES
Tabla 15. Escala para determinar el riesgo residual

3.1.10 VALORACION DE LOS ACTIVOS

Para la valoración de los activos del presente proyecto se realizara teniendo en
cuenta las tres principales dimensiones de seguridad (Confidencialidad, integridad
y disponibilidad).
Se evaluara cada activo respecto a estas dimensiones y así poder establecer el
valor para la organización; para ello se hará uso de la siguiente escala de
valoración de activos:
Valoración de activos
Descripción Abreviatura Rango Valor Estimado Calculo (Pesos)
Critico C 64-80 80
Muy alto MA 48-63 64
Alto A 32-47 48
Medio M 16-31 32
Bajo B 1-15 16
Tabla 16. Tabla Valoración de Activos
El Informe de Valoración de activos pude visualizarse en el archivo
Analisis_Riesgos_ABC.xlsx Ficha Valoracion_Activos.
3.1.11 VALORACION DE RIESGO
El Informe de Valoración de activos pude visualizarse en el archivo
Analisis_Riesgos_ABC.xlsx Ficha Analisis_Riesgos. Se puede visualizar como se
analizo por activo de Informacion las amenazas que presenta y los riesgos;
seguidamente se puede encontrar el cálculo del Riesgo Inherente, controles
Implementados y el valor del riesgo residual.
3.1.12 TRATAMIENTO DE RIESGOS
Una vez valorados los diferentes activos de información en el ejercicio de análisis
de riesgos y de identificar el riesgo Inherente y Riesgo Residual, la dirección toma
como decisión dar tratamiento a los Riesgos que se encuentren valorados en las
escalas de Alto (A), Medio Alto (M+) y Medio (M).

30
Los Riesgos que se encuentren en una escala inferior se aceptaran y se
verificaran puntualmente para identificar posibles riesgos que deban ser tratados.

31
4. SOPORTE

4.1 RECURSOS
RECURSOS DESCRIPCION QUE HACE
Dar comodida y un
Oficina en las instalaciones del sitio de soporte para
Oficina
cliente, con mesas sillas y cajoneras las expertos en
seguridad
Permite descargr
informacion que los
expertos en seguriad
Internet Internet con velocidad de 15 MB
necesiten para
implementar el plan de
trabajo
Computador de escritorio con las
siguentes especificaciones minimas: Ayuda a desarrollar la
3° generación Intel® Core™ i5- documentacion de una
3210M 2.5 GB forma mas agil, para
Computador
Windows 10 64 bits impementar el SGSI
Hasta 8 GB DDR3- 1600MHz con mas eficiencia y
Disco duro de 2,5" SATA III – [500 eficacia
GB / 750 GB / 1 TB (5400 rpm)]
Se puede plasmar el
plan de control e
Papel Tamaños carta y oficio imprimir toda la
documentacion que se
adelanta

32
 Tecnología de Impresión : Sistema
de carga continua de 4 colores
(CMYK).
Gota de tinta : 3 picolitros
Sistema Operativo : Windows XP en
adelante, Mac OS X 10.5.8 en
adelante.
Resolución : Hasta 5760 x 1440 dpi
de resolución
Imprime la
Velocidad de impresió máxima :
documentacion que
Negro 33pm y Color 15ppm
los exertos en
Dimensiones : 44.5 x 30.4 x 16.9 cm
Impresora seguridad van
Peson : 4.9 kg
realizando para la
Escáner : Escáner a color de cama
implementacion del
plana
SGSI
Conectividad : USB 2.0 High Speed,
Wi-Fi (802.11 b/g/n), WiFi direct
Contenido : 1 botella de tinta negra
y 3 botellas de tinta a color (cian,
magenta y amarilla)Cable de
AlimentaciónCable USBGuía rápida
de instalaciónCD con drivers,
manuales, software para edición de
fotos

33
 Brillo : 3200 lumens en color y
blanco
Resolución nativa : 800 x 600
(SVGA)
Distancia de proyección : Propiedad
Caracteristica : 30Pulg. - 350Pulg.
[0.88 - 10.44 m] Herramienta que sirve
Distancia focal : 16.7 mm para dar a los
Interfaces : HDMI x 1, D-sub 15 pin empleados
x 1, S-Video Mini DIN x 1 capacitaciondes
Proyector
Parlante : 2 W (Mono) acerca de la
Referencia : V11H719021 seguridad, presentar el
Caracteristica : Proyector, Control proyecto ante la junta
remoto y pilas (dos pilas AA directiva
alcalinas), Cable de alimentación,
Cable VGA para computadora,
Cable USB para computadora, CD
con la documentación del proyector,
CD del software del proyector, Bolso
de transporte
Capacidad 16GB
Herramienta util para
Velocidad 16GB 32GB, 64GB,
transportar la
128GB: 100MB/seg en lectura
informacion de
Dimensiones 60 x 21,2 x 10 mm
USB presentaciones o
Temperatura de operación 32°F a
capacitaciones que se
140°F (0°C a 60°C)
van a realizar en el
Temperatura de almacenamiento -
plantel de trabajo
4°F a 185°F (-20°C a 85°C)
Artefacto utilizado en
capacionees, marcar
Marcadores Tinta negra, roja y azul carpetas o
documentos dentro de
la implementacion
Desarrollar murales
para que los
empleados se
conciencticen de lo
Cartulina Tamaño pliego
importanteque es la
seguridad de la
informacion dentro de
su empresa
Tabla 17. Recursos

34
4.2 Competencias

CISO

Requisitos
Estudios mínimos
Ingeniería Superior - Ingeniero en Informática
Experiencia mínima
Al menos 4 años
Imprescindible residente en
No Requerido
Requisitos mínimos
Nivel de inglés alto (mínimo un C1)
Ciudadanía europea o permiso de trabajo válido en España
B.S. Tecnología de la información, informática o ingeniería con énfasis en
seguridad de la información o experiencia equivalente.
5 a 8 años de experiencia haciendo evaluaciones de seguridad / auditor.
Fuerte conocimiento y seguridad física y seguridad de la información.
Excepcionales habilidades de comunicación, especialmente con problemas
complejos.
Fuertes habilidades analíticas y de observación.
Gran experiencia en la realización de evaluaciones de riesgos y seguridad a gran
escala.
Fuerte comprensión práctica de los estándares internacionales de seguridad.
Fuertes rasgos de liderazgo personal, como la auto-responsabilidad, la gestión de
prioridades y el orgullo por el trabajo.
Cómodo trabajar con hojas de cálculo.

ANALISTA SEGURIDAD DE LA INFORMACIÓN

Empresa del sector financiero se encuentra en búsqueda tecnólogos en sistemas
o telecomunicaciones, estudiantes de sistemas o carreras afines con experiencia
de 1 año en atención y servicio telefónico resolviendo inconvenientes de sistemas,
creación y depuración de usuarios, seguridad administrada de redes informáticas y
soluciones de ciberseguridad.
Ciudad: Bogotá

4.3 Conciencia

4.3.1 Mecanismos de comunicacion

Mecanismos
de
comunicación Descripcion

35
 Videos concientizando la gente sobre las
precauciones que debemos tener una vez
Videos
esteos dentro de una mepresa para evitar fuga
de informacion o robo de la misma

Capacitar a los empleados con las normas

minimas que deben tener en el ambiente laboral,
Capacitaciones como bloquear el equipo cuando se levante, no
dejar documentacion de la empresa encima de
su escritorio etc
Charlas para dar las normas minimas de
Charlas
seguridad en los equipos de computo
Manualesy documentos para que losempleados
leean y tomane conciencia de los errores que
Documentos
cometen en el dia a dia con la seguridad de la
informacion
Tabla 18. Mecanismos de comunicacion

4.4 Comuniacion

4.4.1 Metodos de comuniacion

Medio Que A quien Quien

Reglas minimas de Usuarios,
Correo seguridad de la Empleados, CISO
informacion Administrativos.
Usuarios,
Tips, la seguridad en el CISO, analista
Charlas Empleados,
trabajo de seguridad
Administrativos.
Informacion sobre la Usuarios, CISO, analista
Intranet seguridad de la Empleados, de seguridad,
informacion Administrativos. diseñador
Cuanto tiempo se
Usuarios,
necesita para sacar
Capacitaciones Empleados, CISO
informacion
Administrativos.
confidencial
Tabla 19. Metodos de comunicacion

36
4.5 Informacion documental

4.5.1 Control de versionamiento

Documento Versionamiento
Matriz de Riesgos SGSI-MCS-EXL-001
Documento SGSI SGSI-MCS-DOC-001
Tabla 20. Control de versionamiento

37
5. RESULTADOS
Los resultados de la actividad, riesgos identificados, evaluados y controles
propuestos para su mitigación, se presentan a continuación.

5.1 SELECCIÓ N DE ACTIVOS DE INFORMACIÓ N CRI ́TICOS

A continuación se relaciona el total de activos Evaluados durante el presente

análisis de riesgos:

CANTIDAD DE CANTIDAD DE
ACTIVOS ACTIVOS ACTIVOS
CLASIFICADOS RELEVANTES
Software 3 2
Servicios 2 1
Infraestructura 2 1
Información 2 2
Hardware 1 1
TOTAL 10 7

En total se hizo análisis de riesgos a 7 activos clasificados como relevantes (se

encuentran catalogados como Altos y/o Medios).

5.2 IDENTIFICACIÓ N DE VULNERABILIDADES, AMENAZAS Y RIESGOS.

Se identificaron las amenazas que podria ́ n materializar sobre los activos de

información, partiendo de esto, se determina un riesgo por cada vulnerabilidad y
se da un valor de la probabilidad que se materialice y cuál seria
́ su impacto si esto
sucede.

38
 Cantidad de riesgos identificados

18% 9%
9%
9%
9% 28%
9% 9%

Robo
Modificaciones no Autorizadas
Indisponibilidad de servicios, Aplicaciones y/o Base de Datos
Sanciones
Fuga de información
Incumplimiento de tipo legal o contractual
Pérdidas Financieras
Interrupción del servicio o del negocio

A nivel de riesgos observamos que la “Indisponibilidad de servicios , Aplicaciones

y/o Base de Datos” y la “Interrupción del servicio o del negocio” son los riesgos
mayor ocurrencia tienen en cado de presentarse.

5.3 RESULTADO DE LA EVALUACION DE RIESGOS

De los 11 activos a los que se realizó análisis de riesgos se encontraron 11

riesgos distribuidos como se muestra a continuación:

Título del gráfico

1 1
1
3

Bajo Menor Moderado Alto Mayor

39
De los 11 riesgos, 9 se encuentran en niveles no aceptables: 1 de estos con un
nivel mayor, 3 con un riesgo alto 5 con riesgo moderado, por lo cual deben ser
remediados y 2 riesgos se ubican en niveles aceptables los cuales no requieren
remediación, siempre y cuando sigan existiendo los controles que se identificaron
están aplicados.

Los riesgos altos y a los cuales se debe dar prioridad en su remediación

corresponden a los activos de:

 Base de datos del portal

 Codigo fuente
 Contrato del portal
 Data center

5.4 ANALISIS DEL RIESGO INHERENTE

De los 11 activos a los que se realizó análisis de riesgos inherentes y se

encontraron 9 riesgos distribuidos como se muestra a continuación:

Riesgo Inherente

Moderado Alto Mayor

De los 11 riesgos se encontrarron 9 niveles no acpetables para el riesgo inherente:

1 de estos con un nivel mayor, 2 con un riesgo alto y 5 con un riesgo moderado,
por lo cual deben ser remediados y 2 riesgos se hubican en niveles aceptables los
cuales no requieren remediacion, siempre y cuando sigan existiendo los controles
que se identificaron y esten aplicados.

40
5.5 ANALISIS DEL RIESGO RESIDUAL

De los 11 riesgos inherentes a los que se realizo el analisis se encontraron 9

riesgos inherentes que se encuentran en niveles no acpetables y al acpetar la
remediacion quedaron en niveles aceptables.

Riesgo Residual

8
7 7
6
5 5
4 4
3
2 2
1 1 1 1
0
Bajo Menor Moderado Alto Mayor

Riesgo Residual Riesgo Inherente

5.6 CONTROLES DE MITIGACIÓ N PROPUESTOS

Para mitigar la ocurrencia o impacto de los riesgos que deben ser tratados, se
identificaron una serie de controles los cuales fueron alineados con los controles
referidos en la norma NTC-ISO/IEC 27001:2013:

De acuerdo al Plan de Gestión de Riesgos definidos y a la metodologia

́ expuesta
en el presente documento, se procede a valorar los riesgos que se categorizaron
como Mayores, Altos y Medios y procede a definir cuáles de estos deben
mitigarse, aceptarse o transferirse.

Los Riesgos que se van a tratar y se cataloguen como Mayores, deberan

solucionarse a corto plazo (de 5 a 15 Dias), los riesgos Altos, deberán
solucionarse a corto Plazo (de 1 a 3 Meses) y los Riesgos Medios a mediano
plazo (de 4 a 6 Meses). Los riesgos que se catalogaron como Bajos se les hará
únicamente seguimientos periódicos; esto no los excluye de futuras evaluaciones
en las que pueda cambiar sus valores de impacto y probabilidad de ocurrencia y
sea necesario identificar e implementar las acciones de mitigación y tratamiento
necesarias para llevarlos nuevamente a valores aceptables.

41
Los planes de tratamiento de Riesgos deberán indicar los controles a implementar,
los responsables de la implementación, fechas de implementación, nivel de
avance de las actividades entre otros.

La Información del riesgo residual y controles a implementar se puede observar en

la Matriz de valoración de riesgos que se puede encontrar en el archivo Matriz de
Riegos Micrositios-2.xlsx (Ficha Matriz de Valoración).

42
6. CONCLUSIONES
La valoración de riesgos se realizó sobre los activos de información clasificados
como activos crit́ icos. En total se identificaron 11 activos de la infraestructura
́ administrada, de los cuales 9 se clasificaron como crit́ icos.
tecnologia

Para mitigar los riesgos que se encontraron en niveles no aceptables, se

identificaron 12 controles tomados la norma NTC-ISO/IEC 27001:2013. Estos
controles deben ser priorizados y se debe construir el plan de implementación.

43