Asignatura Datos del alumno Fecha

Apellidos: Vilac Salazar

Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Actividades

Caso práctico: Gestión del riesgo en una organización. Parte I

Introducción

Esta actividad está organizada en dos partes puntuables. En el Tema 1 desarrollaremos

las tareas que debes llevar a cabo para la Parte I del caso, y en el Tema 2, la parte
correspondiente a la Parte II del caso.

Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una

organización de forma automatizada, utilizando para ello la plataforma SANDAS G.R.C.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el

acceso a un proyecto de SANDAS G.R.C en una instancia Cloud.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la

arquitectura empresarial de un ayuntamiento local.

Para modelar la organización, la plataforma SANDAS G.R.C ha sido pionera en la

utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

Capa de negocio: entre otros, una descripción de los servicios de negocio

prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).
Capa de aplicación: los sistemas de información de la compañía, detallando los
servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).
Capa de tecnología: entre otros, los elementos de la infraestructura de
informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Con carácter transversal, se pueden definir también ubicaciones, que permitirán

geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya

parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

Tramitación
expedientes

0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.

2 Expedientes 0 h. Técnico Responsable

Funcionarios en papel informático de la oficina

0 h. 0 h.

Correo Conexión a Almacenamiento Almacenamiento Aplicación

electrónico Internet en red local remoto tramitación exp.
0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores
0 h. 0 h.

Oficina

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

En el mismo encontrarás los siguientes activos:

Servicios de negocio: Hardware


 Prestados a usuarios externos

 4 PCs
o Tramitación de expedientes  1 Servidor – Elementos auxiliares
 Prestados a usuarios internos
 Equipamiento de comunicaciones

 Red de área local (LAN)


o Correo electrónico

 Firewall
o Almacenamiento remoto

Instalaciones

o Almacenamiento en red local
 Oficina
o Conexión a Internet
 Sala de Equipos (Data Center).
 Servicios subcontratados
Personal
Datos
 Un responsable de la oficina.
 Información de los expedientes
Software  Dos funcionarios.
 Aplicación para la tramitación de  Un informático externo a tiempo
expedientes parcial.

Como puedes apreciar en el esquema anterior, tan importante es

identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).
2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
«hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,
para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará

positivamente que el modelo incorpore hasta 20 nuevos activos):

o Dos nuevos activos en la capa de negocio.

o Tres nuevos activos en la capa de aplicación.
o Cinco nuevos activos en la capa de tecnología.

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
Se pretende plantear un modelo basado en las actividades que el municipio de
una de las ciudades principales de Ecuador realiza, basándose en el modelo
inicial y añadiendo nuevos departamentos y actividades. En estas
dependencias se tiene como principales actividades la generación de trámites y
acceso a documentación a los clientes, por ende, se requiere entre los
principales departamentos, el financiero, talento humano y tecnología.
En la capa de negocio se agregó el departamento financiero y el sistema de
información y aplicaciones a las cuales los usuarios pueden acceder y tener
permisos sobre ella por medio de un rol asignado para cada una de las
aplicaciones e información disponible. En la capa de tecnología se pretende
brindar respaldo y seguridad a los datos del ayuntamiento.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

o La criticidad que has definido explícitamente.

Nivel de riesgo Descripción
Confidencialidad Medio Al ser la información de facturación
solo de uso interno, esta no se
encuentra dispuesta a personas
externas.
Integridad Alto Es de suma importancia que la
información se mantenga integra a
través del tiempo por lo que es
necesario brindar las garantías que
permitan respaldar y mantener la
información integra para su uso.
Disponibilidad Alto Al ser la información de los clientes y
de los trámites realizados de suma
importancia para la generación de
procesos internos y seguimiento de
trámites, la disponibilidad es
primordial e imprescindible para todo
el ayuntamiento.

o Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y
los ya existentes).

En la capa de negocio se añade el sistema financiero al cual solo se puede

acceder mediante perfiles de usuarios y está atado a las áreas de caja, control
interno y análisis de cartera.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

En la capa de aplicación se añadio el almacenamiento de trámites y un sistema de

informacion que esta protegido por un sistema de respaldo y un sistema de alimentacion
ininterrumpida. Todos los sistemas cuentas con asignacion de roles y otorgando el
minimo de privilegios para los usaurios.

En la sala de CPD se añadió en la capa de aplicación un sistema de protección contra

incendios, un sistema integral de seguridad para el acceso y control de ingreso de
usuarios al CPD, un sistema de refrigeración con su respectivo sistema de monitoreo
y en la capa de tecnología los servidores que contienen la información de tramitación
realizada en cada una de las dependencias.

TEMA 1 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Valoración:
Confidencialidad
Al ser la información el
núcleo del negocio y el
pago de haberes por
ventanilla y bancos es
Negocio
Integridad
El impacto sobre uno de los
datos o información del
negocio puede causar un
impacto alto que conlleve a
Disponibilidad
La utilización de
medidas tecnológicas y
control de incidentes
que prevengan la

necesario mantener la revelación de información de interrupción del

seguridad por medio de los usuarios. servicio.
enlaces seguros y claves de
encriptación que permitan
la confidencialidad de la
transacción.
Al manejar datos de No existe legalmente una ley No tener acceso a la
usuarios externos es sancionadora sobre la información cuando sea
conveniente mantener la integridad de los datos, pero necesaria, puede ser
seguridad de los mismo de al ser datos sensibles es causal de auditorías al
Legal

acuerdo a la constitución y indispensable aplicar ayuntamiento.

autorizados por el titular mecanismos de seguridad
como acuerdos de integridad
de la información.

TEMA 1 – Actividades
 Asignatura
Apellidos: Vilac Salazar
Análisis de Riesgos
Legales
Nombre: Janny Vilac
Autorización a la
información por medio de
convenios de
Estatutario
responsabilidad para cada
uno de los usuarios
internos del ayuntamiento.
No existe mecanismos
claros para la valoración de
la confidencialidad ni leyes
sancionadoras sobre la
Regulatorio
confidencialidad de datos.
Utilización de convenios
con el personal interno de
la institución para permitir
el acceso a la información
Contractual
en base a las funciones
desempeñadas por cada
uno de los mismos.
TEMA 1 – Actividades
Datos del alumno
Aseguramiento de la
integridad de la información
por medio de auditorías y log
de control a los sistemas
sensibles de información.
Auditoria ejecutada por
autoridades de control bajo
niveles de responsabilidad
penal para cada uno de los
usuarios implicados por
manipulación indebida de la
información.
Todo el personal debe
garantizar la integridad de la
información por medio de
roles y responsabilidades
asignadas a cada uno de
ellos.
Capacitación constante a
cada uno de los responsables
del manejo de la
información,.
Fecha
23/04/2018
La información solo
estará disponible para el
personal que esté
debidamente registrado
y designado para cada
uno de los procesos del
sistema.
Auditoria ejecutada por
autoridades de control
bajo niveles de
responsabilidad penal
para cada uno de los
usuario implicados
Garantizar la
disponibilidad por
medio de mecanismos
tecnológicos y de
control de la
información.
 Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF

(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
o Tres matrices de valoración, para Confidencialidad, Integridad y
Disponibilidad, particularizando criterios de valoración para cada
combinación de nivel de impacto y criterio de impacto que consideres tiene
sentido.
o La criticidad que has definido explícitamente en los activos que has valorado
con una explicación de las relaciones (como mínimo las creadas entre los
nuevos añadidos y los ya existentes).

TEMA 1 – Actividades