1

Fase 2 - Definición del alcance de un análisis de riesgos, identificación de activos,

amenazas y vulnerabilidades

VICTOR HUGO RICO MACIAS – 79.532.368

Curso: Riesgos y Control Informático

Grupo: 233004_2

Director: Luis Fernando Zambrano

Universidad Nacional Abierta Y A Distancia – UNAD

ECBTI
Especialización En Seguridad Informática
CEAD Cali
junio 2019
 2

Tabla de contenido

Introducción ............................................................................................................................... 3

Justificación................................................................................................................................ 4

Consulta documental análisis y la gestión de riesgos informáticos, .... ¡Error! Marcador no

definido.

Conclusiones ............................................................................................................................ 16

Referencias ............................................................................................................................... 17
 3

Introducción

Como parte fundamental en el desarrollo de estrategias de seguridad en una organización, está la

identificación, valoración y gestión del riesgo, por esto en este documento avanzaremos hasta la
fase inicial donde se identificarán los activos que están en el ejercicio propuesta y dejaremos los
activos, amenazas, vulnerabilidades que estos pueden tener con base en un escenario real de
actividades y de estructura de una empresa en cuanto a su personal y su estructura física.

Se usarán herramientas alineadas a ISO 31000 que permitirán dejar clara la situación actual en
cuanto a lo que inicialmente debes ver en una organización e identificar para dar una valoración
futura de sus riesgos.

Además de estos aspectos fundamentales al inicio del proceso de gestión de rasgos, veremos que

los conceptos son muy importantes tener claros y alineados a una metodología internacional como

MEGERIT poder llegar a lo que la realidad de una empresa entrega para su análisis y posterior

gestión.
 4

Justificación

Los problemas de seguridad informática que viven hoy en día las empresas en le mundo,

especialmente en Colombia y el incremento desmesurado de los delitos informáticos y las pérdidas

de datos y de dinero por las organizaciones, son razón suficiente para que podamos por medio de

estas metodologías y estándares llegar a la implementación de buenas prácticas en las empresas

con identificación, valoración y gestión de riesgos informáticos.

Lo anterior como un punto inicial o de partida para llegar a brindar a las empresas capacitación,

concientización y verdadero crecimiento de los niveles de seguridad en sus infraestructuras

tecnológicas alineadas a las estrategias de las mismas.

 5

Objetivos

Objetivo general: Conocer y aplicar los conceptos básicos fundamentales de preparación de los
escenarios y activos requeridos para la futura valoración y gestión del riesgo en las empresas.

Objetivos específicos:

• Identificar con base en un escenario real los activos que la empresa tiene para su
valoración.

• Identificar las amenazas a que están expuestos los activos de la organización en la

realidad.

• Identificar las vulnerabilidades que estos activos tienen en su infraestructura en un

momento dado para alistarse en la aplicación de la metodología de valoración para su
posterior análisis y armado del plan de gestión del riesgo actual.
 6

Informe Centro de estudios Superiores Informáticos de Colombia

Actividad comercial: La empresa tiene como actividad la Formación Académica prestando

educación basada en la modalidad de educación virtual, mediante tecnologías de información.

Organigrama

Departamen
to de
Sistemas

Infraestructu
Desarrollo Soporte
ra

Desarrollo
Equipos de Redes de Soporte Servicios de
Servidores de Culturización
Computo datos Técnico Internet
aplicaciones

Estructura Organizacional del Área de Informática

Cargos y funciones:

Jefe de Sistemas. Responsable de coordinar al personal a cargo y la gestión de actividades para el

logro de los objetivos estratégico de la organización, estas actividades son técnicas, estratégicas y

operativas para que con el uso de los recursos o activos tecnológicos la entidad pueda prestar sus

servicios educativos con normalidad.

 7

AREA DE INFRAESTRUCTURA.

Jefe de Infraestructura: Responsable de gestionar los recursos tecnológicos relacionados con

todos los equipos de los usuarios pc´s o portátiles, los servidores donde se almacenan

aplicaciones, datos y sistemas de información Core de la entidad y las telecomunicaciones con

sus recursos como routers, switches y demás.

Ingeniero de Infraestructura: Responsable de la gestión de los equipos de funcionarios y de los

servidores de la organización en cuanto a su instalación e implementación para su correcto

funcionamiento.

Ingeniero de telecomunicaciones: Responsable de las comunicaciones dentro de la

organización, gestiona recursos físicos como switches, routers y los servicios como telefonía o

internet.

AREA DE DESARROLLO

Jefe de desarrollo: Responsable de la gestión, funcionamiento, implementación y seguridad de

todos los sistemas de información de la organización en cuanto a su desarrollo y mantenimiento.

Ingeniero Administrador de Bases de la Datos: responsable del cuidado y mantenimiento de

las bases de datos de las aplicaciones que la organización tiene en producción, implementa las

buenas prácticas para la correcta actividad de estas bases de datos. Y finalmente coordina con

Soporte los eventos de atención de preventivos y correctivos.

Ingeniero de Desarrollo: Responsable de los procesos de desarrollo en diferentes lenguajes de

programación, desarrollador con experiencia en software académico, adicionalmente gestiona los

desarrollos web de la organización.

 8

Auxiliar de Desarrollo: Es un desarrollador Junior responsable de la gestión de código de nivel

1 y las pruebas de todos los sistemas que la organización desarrolla para el cumplimiento de sus

objetivos.

AREA DE SOPORTE

Jefe de soporte: Responsable del servicio que se presta a los funcionarios de la organización en

cuanto al uso de las tecnologías, es el funcionario que coordina al grupo de sistemas para los

soportes preventivos y correctivos en la organización.

Este debe diseñar implementar y mantener planes de acción para el normal funcionamiento de os

sistemas y las actividades de socialización y capacitación a funcionarios.

Auxiliar de Soporte: Es un técnico en sistemas que es responsable de ejecutar las actividades

de revisión y asistencia en sistemas a los funcionarios de la organización.

Es el responsable del mantenimiento físico y lógico de os sistemas de la empresa hardware y

software en coordinación a las demás áreas y a las directrices de seguridad y de gestión de la

empresa.

Cuadro de Categorías de Activos

CATEGORIA ACTIVO DESCRIPCION

PROCESO ACADEMICO
(HW)
Equipamiento PC-1 PC de usuario en la sala de Sistemas
Informático
(HW)
Equipamiento IP Phone 111 Telefono ip en sala de sistemas
Informático
(COM) Redes de Switche 2680- Switche para gestion de conexión de la sala de
Comunicaciones 24TT sistemas a la red LAN de la organización.
(COM) Redes de Router WIFI Sala de Sistemas para brindar
Comunicaciones WRT300N internet en la Zona de la Sala de Cómputo a
funcionarios, estudiantes y docentes.
(HW)
Equipamiento PC-2 PC de usuario en la sala de Internet
Informático
 9

(HW)
Equipamiento IP Phone 110 Telefono ip en sala de Internet
Informático
(COM) Redes de Switche 2960- Switche para gestion de conexión de la sala de
Comunicaciones 24TT internet a la red LAN de la organización.
(HW)
Equipamiento PC-3 PC de usuario en Oficina de registro y conrol
Informático
(HW)
Equipamiento IP Phone 113 Telefono ip en Oficina de registro y control
Informático
(COM) Redes de Switche para gestion de conexión de la oficina de
Switche 2 2960-
Comunicaciones registro y control a la red LAN de la
24TT
organización.
(AUX)
Impresora Printer
Equipamiento Impresora de la oficina de Registro y control
0
Auxiliar
(HW)
Equipamiento PC-6 PC de usuario en Sala de Profesores
Informático
(HW)
Equipamiento IP Phone 114 Telefono ip en la sala de profesores
Informático
(COM) Redes de Switche 3 2960- Switche para gestion de conexión de la Sala de
Comunicaciones 24TT profesores a la red LAN de la organización.
(AUX)
Impresora Printer
Equipamiento Impresora de la Sala de profesores
1
Auxiliar
(COM) Redes de Switche 3 2960- Switche para gestion de conexión de la sala de
Comunicaciones 24TT profesoes a la red LAN de la organización.
PROCESO ADMINISTRAVO
(HW)
Servidor de Antiguo departamento de sistemas
Equipamiento Server FTP
Servidor de transmisión de datos
Informático
(HW)
Servidor de oficina del departamento de sistemas
Equipamiento Server DHCP
para gestion de las direcciones IP de la red LAN
Informático
(HW)
Servidor de aplicativo de registro y control de la
Equipamiento Server R&C
oficina del deparamento de sistemas
Informático
(HW)
Servidor del telefonia IP de la oficina del
Equipamiento Server PBX
departamento de sistemas
Informático
(COM) Redes de Router principal CORE del departamento de
Router ASA 0
Comunicaciones sistemas, conectividad de toda al red LAN de la
Cisco
organziación
 10

(COM) Redes de Switche para gestion de conexión de la oficina

Comunicaciones Switche 0 2960- del departamento de sistemas a la red LAN de la
organización.
(COM) Redes de Router 2811 Router para la gestion del servicio de internet en
Comunicaciones Internet la organización..
(HW)
Telefono ip en la oficina del departamento de
Equipamiento IP Phone 115
sistemas
Informático
(COM) Redes de Router WIFI Departamento de sistemas para
WRT300N
Comunicaciones brindar internet en la Zona de la oficina a
Campus 1
funcionarios, y docentes.
(SW) Sofware Aplicación para gestion de actividades de
Aplicacion de
mariculas de estudiantes y de actividades
registro y control
docentes
(SW) Software Aplicación para gestion de las extensions de
Aplicacion VoIP telefonos IP y e las Comunicaciones por voz de la
empresa.
(SW) Software Sistemas Sistemas operativos tanto de los equipos de
Operativos funcionarios como de los servidores.
(P) Personal Jefe de Sistemas Jefe del área de sistemas
(P) Personal Jefe de
Jefe de las actividades de infraestructura
Infraestructura
(P) Personal Ingeniero de Jefe de las actividades operativas de
Infraestructura infraestructura, servidores pc´s
(P) Personal Ingeniero de Ingeniero de las actividades operativas de
telecomunicaciones Comunicaciones, y redes.
(P) Personal Jefe de desarrollo
(P) Personal Ingeniero
Ingeniero responsible del área de Desarrollo de
Administrador de
software
Bases de la Dato
(P) Personal Ingeniero de Ingeniero que ejecuta acciones d edesarrolo en
Desarrollo difernetes lenguajes
(P) Personal Auxiliar de
Auxiliar de apoyo al Ingeniero de desarrollo
Desarrollo
(P) Personal Jefe de soporte Jefe de las actividades del área de spore
(P) Personal Auxiliar encargado de las actividades de sooprte
Auxiliar de Soporte a usuario final y manteniemiento preventive de
equipos.
(L) Instalaciones Edificio de la Edificacio complete con salas de computo,
institución oficinas para parte operative y docents.
 11

Identificación y clasificación de activos.

Nombre del activo de

Activos de Información Dependencia
información
(HW) Equipamiento Informático PC-1 Departamento de Sistemas
(HW) Equipamiento Informático IP Phone 111 Departamento de Sistemas
(COM) Redes de Comunicaciones Switche 2680-24TT Departamento de Sistemas
(COM) Redes de Comunicaciones WRT300N Departamento de Sistemas
(HW) Equipamiento Informático PC-2 Departamento de Sistemas
(HW) Equipamiento Informático IP Phone 110 Departamento de Sistemas
(COM) Redes de Comunicaciones Switche 2960-24TT Departamento de Sistemas
(HW) Equipamiento Informático IP Phone 113 Registro y control
(COM) Redes de Comunicaciones Switche 2 2960-24TT Registro y control
(AUX) Equipamiento Auxiliar Impresora Printer 0 Departamento de Sistemas
(HW) Equipamiento Informático PC-6 Registro y control
(HW) Equipamiento Informático IP Phone 114 Registro y control
(COM) Redes de Comunicaciones Switche 3 2960-24TT Registro y control
(AUX) Equipamiento Auxiliar Impresora Printer 1 Registro y control
(COM) Redes de Comunicaciones Switche 3 2960-24TT Registro y control
(HW) Equipamiento Informático Server FTP Departamento de Sistemas
(HW) Equipamiento Informático Server DHCP Departamento de Sistemas
(HW) Equipamiento Informático Server R&C Departamento de Sistemas
(HW) Equipamiento Informático Server PBX Departamento de Sistemas
(COM) Redes de Comunicaciones Router ASA 0 Cisco Departamento de Sistemas
(COM) Redes de Comunicaciones Switche 0 2960- Departamento de Sistemas
(COM) Redes de Comunicaciones Router 2811 Internet Departamento de Sistemas
(HW) Equipamiento Informático IP Phone 115 Departamento de Sistemas
(COM) Redes de Comunicaciones WRT300N Campus 1 Departamento de Sistemas
Aplicacion de registro y
(SW) Sofware Departamento de Sistemas
control
(SW) Sofware Aplicacion VoIP Departamento de Sistemas
(SW) Sofware Sistemas Operativos Departamento de Sistemas

Identificación de amenazas Megerit
Activos de Information
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(COM) Redes de Comunicaciones
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(AUX) Equipamiento Auxiliar
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(AUX) Equipamiento Auxiliar
(COM) Redes de Comunicaciones
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(COM) Redes de Comunicaciones
(COM) Redes de Comunicaciones
(HW) Equipamiento Informático
(COM) Redes de Comunicaciones
(SW) Sofware
(SW) Sofware
(SW) Sofware
12
Amenazas
Metodologia Magerit
[E8] Difusión de software dañino
[A6] Abuso de privilegios de acceso
[A12] Análisis de tráfico
[A24] Denegación de servicio
[E8] Difusión de software dañino
[A6] Abuso de privilegios de acceso
[A12] Análisis de tráfico
[A6] Abuso de privilegios de acceso
[A12] Análisis de tráfico
[I9] Interrupción de otros servicios y suministros esenciales
[A8] Difusión de software dañino
[A6] Abuso de privilegios de acceso
[A12] Análisis de tráfico
[I6] Corte del suministro eléctrico
[A12] Análisis de tráfico
[E8] Difusión de software dañino
[E8] Difusión de software dañino
[E8] Difusión de software dañino
[E8] Difusión de software dañino
[A12] Análisis de tráfico
[A12] Análisis de tráfico
[A12] Análisis de tráfico
[A6] Abuso de privilegios de acceso
[A24] Denegación de servicio
[E20] Vulnerabilidades de los programas (software)
[E20] Vulnerabilidades de los programas (software)
[E20] Vulnerabilidades de los programas (software)
 13

Activos de Información Vulnerabilidades Salvaguarda Implementada

Implementación y
(HW) Equipamiento Ataque de día cero de malware o administración efectiva de la
Informático ransomware solución antimalware y
antiransomware
Firma de clausulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Carencia de políticas control de de seguridad de IDS en el
Comunicaciones tráfico IDS UTM o firewall de la red de
perímetro y red interna
Implementación de un plan de
(HW) Equipamiento mantenimiento preventivo en
Falta de Mantenimiento del equipo
Informático todos los equipos de la
organización.
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
 14

Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de un plan de
(AUX) Equipamiento Falta de mantenimiento preventivo de mantenimiento preventivo en
Auxiliar los equipos todos los equipos de la
organización.
Firma de cláusulas de
confidencialidad con
(HW) Equipamiento Uso de equipos para actividades funcionarios y establecimiento
Informático ilícitas de la política de seguridad de
la información en la
organización.
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de una red
(AUX) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Auxiliar de mallas de aterrizaje para la
corriente alineado a la norma
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de una red
(HW) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Informático de mallas de aterrizaje para la
corriente alineado a la norma
Implementación y
(HW) Equipamiento Falta o deficiencias en sistema de administración efectiva de la
Informático antivirus solución antimalware y
antiransomware
Implementación de una red
(HW) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Informático de mallas de aterrizaje para la
corriente alineado a la norma.
(HW) Equipamiento Falta o deficiencias en sistema de Implementación y
Informático antivirus administración efectiva de la
 15

solución antimalware y
antiransomware
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
(HW) Equipamiento Seguridad física de CCTV y
Extracción física del teléfono
Informático registro de guardas Físicos.
Implementación de políticas
(COM) Redes de Carencia de políticas control de de seguridad de IDS en el
Comunicaciones tráfico IDS UTM o firewall de la red de
perímetro y red interna
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones.
 16

Conclusiones

Hemos identificado con base en la estructura actual de la organización los elementos que

están fundamentalmente implicados en las actividades futuras de identificación y gestión de los

riesgos informáticos de la organización, es decir son los que ejecutan las actividades y son los

responsables del funcionamiento tecnológico en la organización.

Sabemos que identificando esta infraestructura podemos tener claros los activos que cada área

maneja y dejarlos como responsables de estos activos en el armado de las matrices de riesgos.

Como activos el factor humano es clave para las actividades de gestión de riesgos por lo cual

estarán directamente referenciados con la infraestructura a valorar.

 17

Referencias

MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información. Libro I – Método, Madrid, octubre de 2012