Sunteți pe pagina 1din 17

Asignatura Datos del alumno Fecha

Apellidos: ASTUDILLO CALLE


Análisis de Riesgos
23/04/2018
Legales
Nombre: ANGEL WALDEMAR

A c t iv id a d es

Trabajo: Gestión del riesgo en una organización

Introducción

Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una


organización de forma automatizada, utilizando para ello la plataforma
GESCONSULTOR.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el acceso
a un proyecto de GESCONSULTOR en una instancia Cloud.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la


arquitectura empresarial de un ayuntamiento local.

Para modelar la organización, la plataforma GESCONSULTOR ha sido pionera en la


utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores


prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

Capa de negocio: entre otros, una descripción de los servicios de negocio


prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).
Capa de aplicación: los sistemas de información de la compañía, detallando los
servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).
Capa de tecnología: entre otros, los elementos de la infraestructura de
informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software publicados
a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

Con carácter transversal, se pueden definir también ubicaciones, que permitirán


geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya


parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

Tramitación
expedientes

0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.

2 Expedientes 0 h. Técnico Responsable


Funcionarios en papel informático de la oficina

0 h. 0 h.

Correo Conexión a Almacenamiento Almacenamiento Aplicación


electrónico Internet en red local remoto tramitación exp.

0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores

0 h. 0 h.

Oficina

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

En el mismo encontrarás los siguientes activos:

Servicios de negocio: Hardware



• Prestados a usuarios externos
 • 4 PCs
o Tramitación de expedientes • 1 Servidor – Elementos auxiliares
• Prestados a usuarios internos
 Equipamiento de comunicaciones
o Correo electrónico
 • Red de área local (LAN)

o Almacenamiento remoto
 • Firewall
o Almacenamiento en red local Instalaciones

o Conexión a Internet • Oficina
• Servicios subcontratados • Sala de Equipos (Data Center).
Datos Personal
• Información de los expedientes • Un responsable de la oficina.
Software
• Dos funcionarios.
• Aplicación para la tramitación de
• Un informático externo a tiempo
expedientes
parcial.

Como puedes apreciar en el esquema anterior, tan importante es


identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).
2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
»hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,


para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará


positivamente que el modelo incorpore hasta 20 nuevos activos):

– Dos nuevos activos en la capa de negocio.


– Tres nuevos activos en la capa de aplicación.
– Cinco nuevos activos en la capa de tecnología.

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF


(preferiblemente) o Word que contenga capturas y una explicación:

– Del razonamiento seguido para añadir los activos que hayas determinado.
– La criticidad que has definido explícitamente.
– Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y
los ya existentes).

PARTE 2: Realizando la apreciación y tratamiento del riesgo

El objetivo de la segunda parte del trabajo es:

o Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:

a. Identificar al menos diez escenarios de riesgo (se valorará positivamente la


identificación de hasta veinte escenarios de riesgo).

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

b. Analizar los escenarios de riesgo identificados (estimando la probabilidad de que


se materialicen las consecuencias apreciadas).
c. Documentar los criterios de aceptación del riesgo que se han considerado:

i. Nivel máximo de riesgo considerado directamente como aceptable.


ii. Nivel mínimo de riesgo considerado directamente como inaceptable.
iii. Indicar criterios de evaluación adicionales que se hayan considerado:

1. Cisnes negros (probabilidad muy escasa pero consecuencias muy


elevadas).
2. Otros criterios de negocio (por ejemplo, pérdidas estimadas superiores a
un importe, pérdida de vidas humanas, protestas de la ciudadanía, etc.).

d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del


riesgo que definamos (clasificándolos en aceptables e inaceptables. Se valorará
negativamente que haya riesgos en la franja de tolerables — aquellos que se
encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable).

e. Tratar TODOS los riesgos considerados como inaceptables:

i. Definiendo para los mismos al menos cinco acciones de tratamiento del


riesgo (proyectos o tareas).
ii. Asociando, en cada acción de tratamiento, los controles de iso 27002:2013
a considerar.

Entrega:

Para entregar la actividad adjunta el documento en formato PDF (preferiblemente) o


Word que contenga el contenido de la parte 1, más el contenido de la parte 2
detallado en el punto anterior.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR

Matriz de valoración.

SIN ALTO
BAJO MEDIO MUY ALTO
VALORAR
Incumplimiento
de una norma Incumplimiento
interna no tiene de un estatuto Incumplimiento Incumplimiento
No implica el mayor efecto se normado grave a una ley u omisión muy
Legal incumplimiento puede corregir internamente claramente grave de una ley
de una norma. en cualquier (políticas de establecida establecida (Ej:
etapa (Eje: entes (COIP (ecuador)). LOPD).
política interna reguladores ).
de la empresa).

Afectaría en Desconfianza
pérdida de Perdida del
cierta medida al alta por parte de
No afectaría a confianza en la cliente,
prestigio e los usuarios en
Imagen la imagen de la
imagen que
calidad de
todos los
desconfianza
Organización servicios que total e
proyecta al servicios que
presta irreversible
público. presta.
Común

Perdidas
Perdidas económicas Pérdidas Pérdidas
Pérdidas económicas considerables económicas económicas
económicas bajas que no que podrían altas que muy altas
Económico inferiores a afectarían en causar la podrían llevar al podrían llevar al
1.000 € gran manera la aplicación de estancamiento cierre del
economía políticas de económico negocio
austeridad
Perdidas de
buenos
Ambiente trabajadores
No supondría
laboral tenso Estrés laboral perdida de
perjuicio Ambiente
falta de interés alto bajo personal
Personal alguno para laboral sin
por desarrollar rendimiento de capacitado,
ninguna dinamismo
un correcto trabajo enfermedades
persona.
trabajo agudas por
estrés incluso la
muerte

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: ASTUDILLO CALLE
Análisis de Riesgos
24/04/2017
Legales
Nombre: ANGEL WALDEMAR
TEMA 1 – Actividades

S-ar putea să vă placă și