Aporte EnriqueGarcia

1
Fase 3 - Determinar controles y gestionar de riesgos informáticos
Enrique Félix García
Octubre 2018
Universidad Nacional Abierta y A Distancia

Escuela de Ciencias Básicas, Tecnologías e Ingeniería
Riesgos y Control Informático
2
Aporte: Enrique Félix García
Información general de la empresa
Nombre de la organización.
CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR
Actividad comercial
CUN es una institución de educación superior, con sedes en 18 departamentos de
Colombia. Cuenta con 30 años al servicio de la comunidad, y tiene mucho prestigio en la
región Caribe (específicamente la ciudad de Sincelejo) por contribuir en la formación de
estudiantes universitarios propiciando una cultura de paz y principios académicos
proyectados hacia el entorno social.
Reseña histórica
En 1979, nace la propuesta del Centro Universitario Nacional CUN, ofreciendo las
carreras técnicas de Administración de Empresas, Administración Hotelera y Turística y
Administración Hospitalaria.
Desde 1980 se consolidaron los programas de Administración de Empresas,
Administración Hotelera, Administración del Turismo y Administración en Servicios de
Salud.
1981 se fundó la Institución y se cambio el nombre a Corporación Unificada Nacional de
Educación Superior.
3
En 1990, empezaron a funcionar los programas de Técnica Profesional en Ingeniería del
Mantenimiento Electrónico y Técnica Profesional en Análisis de Sistemas y
Programación de Computadores.
En el año 2000 se incursionó en la modalidad a distancia ofreciendo programas técnicos
profesionales en 45 municipios de Colombia.
De 1996 y 2002 se amplió la cobertura en 15 ciudades de Colombia y además crece el
portafolio de los programas académicos.
En el año 2005 se solicitó ante el Ministerio de Educación Nacional, la Redefinición
Institucional, para ofrecer programas de formación en educación superior por ciclos
propedéuticos, técnico profesional, tecnólogo y profesional.
En el año 2008 se les otorgaron los Registros calificados de cinco programas de la
metodología a distancia y cinco programas por ciclos propedéuticos.
En el año 2017 se cuenta con 115 Registros Calificados de los Niveles Técnico
Profesional, Tecnológico, Profesional Universitario y dos especializaciones. Se trabaja
día a día para darle educación de calidad a el cuerpo estudiantil.

4
Estructura organizacional
Figura 1. Estructura organizacional

5
Información del departamento de sistemas
Estructura organizacional del departamento de sistemas
Objetivos y funciones del departamento de sistemas
Departamento de Sistemas. El departamento de sistemas es el área encargada de
gestionar la infraestructura de TI en la corporación a nivel de hardware y software.
Jefe de Departamento de Sistemas. El Jefe de Departamento de sistemas es el
encargado de planificar y ejecutar las actividades y estrategias de TI en la corporación.
Coordinador de Infraestructura de TI. Es el responsable por la gestión y
mantenimiento de la infraestructura de TI.

6
Analista de TI. Profesionales responsables de ejecutar las estrategias de TI
trazadas por el Departamento.
Técnicos. Encargados de realizar tareas operativas y de mantenimiento
relacionadas con la estructura tecnológica.
Analistas de Sistemas. Profesionales responsables por la gestión y soporte de la
Infraestructura de TI a nivel de software.
Servicios que ofrece el departamento de sistemas
 Soporte técnico de hardware y aplicativos - Help Desk.
 Servicio de Internet
 Servicio de software
7
Información de los activos
Identificación de los activos
La tarea de identificar los activos de una organización es importante porque
permite establecer los siguientes factores:
 Dependencias entre los activos.

 Valorar con precisión los activos.
 Identificar y valorar las amenazas.
 Establecer las salvaguardas necesarias para la protección de la organización.
A continuación, se relacionan los activos de información que posee la empresa
luego de realizar las indagaciones necesarias.
[D] Datos/información
 Base de datos
 Base de datos
[IS] Servicios Internos
 Internet
[SW] Software (Aplicaciones)
 Sistema administrativo, financiero y académico

 Centro de atención y servicios
 Microsoft Office
 Antivirus
 Sistema Operativo Windows
[HW] Hardware (Equipos)
 Computadoras de escritorio
 Router
8
 Switches
 Impresora
 Fotocopiadora
[COM] Comunicaciones
 Red telefónica
 Red WiFi
 Red LAN
[MEDIA] Soportes de Información
 Discos duros
 Memorias USB
 Almacenamiento en la nube (Dropbox)
[AUX] Equipo Auxiliar
 Sistemas de vigilancia
 Mobiliario
 Cableado
[L] Instalaciones
 Centro de datos
 Área administrativa
 Área de atención al usuario
[P] Personal
 Jefe de departamento de sistemas

 Coordinador de infraestructura TIC
 Analista de sistemas
 Analista de TI
 Técnicos de Información
9
Valoración de los activos
Para realizar la valoración de los activos se tendrá en cuenta la siguiente

información:
 Las dimensiones en las que es relevante cada activo.

 Valor estimado de cada dimensión
Escala de valores
Valor Clasificación
10 extremo
9 muy alto
6-8 alto
3-5 medio
1-2 bajo
Dimensiones
[D] Disponibilidad: Propiedad o característica de los activos consistente en que
las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
[UNE 71504:2008]
[I] Integridad de los datos: Propiedad o característica consistente en que el
activo de información no ha sido alterado de manera no autorizada. [ISO/IEC 13335-
1:2004]
10
[C] Confidencialidad de la información: Propiedad o característica consistente
en que la información ni se pone a disposición, ni se revela a individuos, entidades o
procesos no autorizados. [UNE-ISO/IEC 27001:2007]
[A] Autenticidad: Propiedad o característica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos. [UNE
71504:2008]
[T] Trazabilidad: Propiedad o característica consistente en que las actuaciones
de una entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE 71504:2008]
[D] Datos/información
[D] [I] [C] [A] [T]
Base de datos 9 9 9 9 9
Base de datos 8 8 8 8 8
[IS] Servicios Internos

[D] [I] [C] [A] [T]
Internet 5 5 5
[SW] Software (Aplicaciones)

[D] [I] [C] [A] [T]
Sistema administrativo, financiero y 8 8 8 8 8
académico
Centro de atención y servicios 8 8 8 8 8
Office 7 7
Antivirus 7 7
Sistema Operativo Windows 7 7
[HW] Hardware (Equipos)

[D] [I] [C] [A] [T]
Computadora de escritorio 8 9
Router 7 5
Switches 7 5
Impresora 5 5
Fotocopiadora 5 5
11
[COM] Comunicaciones
[D] [I] [C] [A] [T]
Red telefónica 7 7
Red WiFi 5 6
Red LAN 6 6
[MEDIA] Soportes de Información

[D] [I] [C] [A] [T]
Discos duros 8 8 8
Memorias USB 5 5 5
Almacenamiento en la nube (Dropbox) 8 8 8
[AUX] Equipo Auxiliar

[D] [I] [C] [A] [T]
Sistemas de vigilancia 7
Mobiliario 7
Cableado 8
[L] Instalaciones
[D] [I] [C] [A] [T]
Centro de datos 8 8
Área administrativa 8 8
Área de atención al cliente 7 7
[P] Personal
[D] [I] [C] [A] [T]
Jefe de departamento de sistemas 6 6
Coordinador de infraestructura TIC 6 6
Analista de sistemas 8 8
Analista de TI 8 8
Técnicos de Información 8 8
12
Caracterización de las amenazas
En este punto se identificarán los tipos de amenazas que pueden afectar a los
diferentes activos de la empresa CUN. Según la metodología MAGERIT las amenazas se
clasifican en cuatro grupos:
 [N] Desastres naturales

 [I] De origen industrial
 [E] Fallos no intencionados
 [A] Ataques deliberados o intencionados
Identificación de las amenazas
Activo Amenazas
Base de datos [E.15]Alteración de la información

[E.18] Destrucción de la información
[E.19] Fugas de Información
[A.6] Abuso de privilegios de acceso
[A.11] Acceso no autorizado
[A.15] Modificación de la información
[A.19] Revelación de la información
Base de datos [E.15]Alteración de la información

[E.18] Destrucción de la información
[E.19] Fugas de Información
Internet [A.7] Uso no previsto
Sistema administrativo, [A.5] Suplantación de la identidad del usuario
financiero y académico [I.5] Avería de origen físico o lógico
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización de
programas (software)
13
Centro de atención y servicios [A.5] Suplantación de la identidad del usuario

[I.5] Avería de origen físico o lógico
(software)
Microsoft Office [A.8] Difusión de software dañino
[E.1] Errores de los usuarios
(software)
Antivirus [E.8] Difusión de software dañino
(software)
Sistema Operativo Windows [A.7] Uso no previsto
[E.1] Errores de los usuarios
[E.8] Difusión de software dañino
(software)
Computadora de escritorio [N.2] Daños por agua
[N.*] Desastres naturales
[I.*] Desastres industriales
[I.7] Condiciones inadecuadas de temperatura o
humedad
equipos (hardware)
[E.24] Caída del sistema por agotamiento de
recursos
[A.7] Uso no previsto
14
Router [N.1] Fuego

[N.2] Daños por agua
[I.3] Contaminación medioambiental
humedad
Switches [N.1] Fuego

[I.3] Contaminación medioambiental
humedad
Impresora [I.5] Avería de origen físico o lógico

humedad
equipos (hardware)
Fotocopiadora [I.5] Avería de origen físico o lógico
humedad
equipos (hardware)
Red telefónica [I.8] Fallo de servicios de comunicaciones
[E.9] Errores de [re-]encaminamiento
[E.10] Errores de secuencia
[E.15] Alteración de la información
[E.19] Fugas de información
[A.9] [Re-]encaminamiento de mensajes
[A.10] Alteración de secuencia
[A.12] Análisis de tráfico
[A.14] Interceptación de información (escucha)
Red WiFi [I.8] Fallo de servicios de comunicaciones
15
Red LAN [I.8] Fallo de servicios de comunicaciones

[E.10] Errores de secuencia
[A.5] Suplantación de la identidad del usuario
[A.9] [Re-]encaminamiento de mensajes
Discos duros [E.15] Alteración de la información
[A.19] Revelación de información
Memorias USB [E.15] Alteración de la información
Almacenamiento en la nube [E.15] Alteración de la información
(Dropbox) [E.19] Fugas de información
Sistemas de vigilancia [I.3] Contaminación medioambiental
humedad
Mobiliario [I.3] Contaminación medioambiental
Cableado [I.3] Contaminación medioambiental
[I.4] Contaminación electromagnética
Centro de datos [N.1] Fuego

[N.*.1] Tormentas
[N.*.4] Terremotos
[N.*.9] Tsunamis
[N.*.11] Calor extremo
[A.27] Ocupación enemiga
16
Área administrativa [N.1] Fuego

[N.*.1] Tormentas
[N.*.4] Terremotos
[N.*.9] Tsunamis
Área de atención al cliente [N.1] Fuego
[N.*.1] Tormentas
[N.*.4] Terremotos
[N.*.9] Tsunamis
Jefe de departamento de [E.28.1] Enfermedad

sistemas [E.28.2] Huelga
[A.29] Extorsión
Coordinador de [E.28.1] Enfermedad
infraestructura TIC [E.28.2] Huelga
[A.29] Extorsión
Analista de sistemas [E.28.1] Enfermedad
[E.28.2] Huelga
[A.29] Extorsión
[A.30] Ingeniería social (picaresca)
Analista de TI [E.28.2] Huelga
[A.29] Extorsión
Técnicos de Información [E.28.2] Huelga
[A.29] Extorsión
Valoración de las amenazas
Con esta tarea se pretende evaluar la probabilidad de que se materialicen las
amenazas asociadas a cada activo, además de la degradación que provocaría la amenaza
en el activo. Para ello se tiene en cuenta la probabilidad de ocurrencia y la degradación de
valor.
17
MA MUY ALTA CASI SEGURO
CS
A ALTA
MA MUY ALTO
M MEDIA
P POSIBLE
B BAJA
PP POCO
PROBABLE
MB MUY BAJA
MR RARA VEZ
18
Valoración de amenazas por cada activo
Degradación del valor

Activo Amenazas Posibilidad [D] [I] [C] [A] [T]
de
ocurrencia
Base de datos [E.15]Alteración de la CS MA A
información
[E.18] Destrucción de la P A B M
información
[E.19] Fugas de Información P A B M
[A.6] Abuso de privilegios de PP B MB
acceso
[A.11] Acceso no autorizado P M B B
[A.15] Modificación de la CS MA A
información
[A.19] Revelación de la PP B MB
información
Base de datos [E.15]Alteración de la CS MA A M
información
[E.18] Destrucción de la CS A B M
información
[E.19] Fugas de P A B
Información
[A.6] Abuso de privilegios M B MB B
de acceso
[A.11] Acceso no P A B
autorizado
[A.15] Modificación de la CS MA M
información
[A.19] Revelación de la PP B MB M
información
Internet [A.7] Uso no previsto MA M M M
Sistema [A.5] Suplantación de la P A A A
administrativo, identidad del usuario
financiero y
académico
[I.5] Avería de origen físico o P A
lógico
[E.20] Vulnerabilidades de P B M M
los programas (software)
[E.21] Errores de P B B M
mantenimiento / actualización
de programas (software)
19
Centro de [A.5] Suplantación de la P A A A

atención y identidad del usuario
servicios
[I.5] Avería de origen físico o P A
lógico
[E.21] Errores de P B B M
Microsoft Office [A.8] Difusión de software PP B B B
dañino
[E.1] Errores de los usuarios P M M M
[E.20] Vulnerabilidades de P M M M
[E.21] Errores de P M B
Antivirus [E.8] Difusión de software PP B B B
dañino
[E.20] Vulnerabilidades de P M M M
[E.21] Errores de P M M
Sistema [A.7] Uso no previsto P B B B
Operativo
Windows
[I.5] Avería de origen físico o P M
lógico
[E.1] Errores de los usuarios PP M M M
[E.8] Difusión de software PP B B B
dañino
[E.21] Errores de P M B
Computadora [N.2] Daños por agua PP M
de escritorio
[N.*] Desastres naturales PP M
[I.*] Desastres industriales P B
lógico
20
[I.7] Condiciones PP M
inadecuadas de temperatura o
humedad
[E.23] Errores de P M
de equipos (hardware)
[E.24] Caída del sistema por P M
agotamiento de recursos
[A.6] Abuso de privilegios de PP M M M
acceso
[A.7] Uso no previsto P M B M
Router [N.1] Fuego PP M
[N.2] Daños por agua PP M
[I.3] Contaminación PP M
medioambiental
lógico
[I.7] Condiciones P B B
humedad
[A.11] Acceso no autorizado PP M
Switches [N.1] Fuego PP M
[N.2] Daños por agua PP M
[I.3] Contaminación PP M
medioambiental
lógico
[I.7] Condiciones P B B
humedad
Impresora [I.5] Avería de origen físico o P M
lógico
[I.7] Condiciones P M
humedad
[A.11] Acceso no autorizado PP M M
Fotocopiadora [I.5] Avería de origen físico o P M
lógico
21
[I.7] Condiciones P M
humedad
[A.11] Acceso no autorizado PP B B
Red telefónica [I.8] Fallo de servicios de PP M
comunicaciones
[E.9] Errores de [re- P M
]encaminamiento
[E.10] Errores de secuencia P M
[E.15] Alteración de la P A
información
[E.19] Fugas de información P M
[A.7] Uso no previsto P M M
[A.9] [Re-]encaminamiento P M
de mensajes
[A.10] Alteración de P M
secuencia
[A.12] Análisis de tráfico P A
[A.14] Interceptación de P A
información (escucha)
Red WiFi [I.8] Fallo de servicios de P M
comunicaciones
[E.9] Errores de [re- P B
]encaminamiento
Red LAN [I.8] Fallo de servicios de PP B
comunicaciones
[E.9] Errores de [re- P M
]encaminamiento
[E.10] Errores de secuencia P M
[A.5] Suplantación de la P M M
identidad del usuario
[A.9] [Re-]encaminamiento P M
de mensajes
[A.10] Alteración de P M
secuencia
Discos duros [E.15] Alteración de la PP B
información
[E.19] Fugas de información PP B
22
[A.15] Modificación de la PP B
información
[A.19] Revelación de PP B
información
Memorias USB [E.15] Alteración de la PP B
información
información
información
Almacenamiento [E.15] Alteración de la PP B
en la nube información
(Dropbox)
información
información
Sistemas de [I.3] Contaminación PP M
vigilancia medioambiental
[I.7] Condiciones MA A
humedad
Mobiliario [I.3] Contaminación PP M
medioambiental
Cableado [I.3] Contaminación PP A
medioambiental
[I.4] Contaminación MR B
electromagnética
Centro de datos [N.1] Fuego P A
[N.2] Daños por agua P A
[N.*.1] Tormentas P M
[N.*.4] Terremotos MA B
[N.*.9] Tsunamis P B
[N.*.11] Calor extremo P MA A
[I.*] Desastres industriales M A M
[A.27] Ocupación enemiga P M M
Área [N.1] Fuego P A
administrativa
23

Área de atención [N.1] Fuego P A
al cliente
Jefe de [E.28.1] Enfermedad P M M M
departamento
de sistemas
[E.28.2] Huelga PP B
[A.29] Extorsión PP M M M
Coordinador de [E.28.1] Enfermedad P M M M
infraestructura
TIC
Analista de [E.28.1] Enfermedad P M M M
sistemas
[A.30] Ingeniería social MA A A B
(picaresca)
Analista de TI [E.28.2] Huelga PP B
[A.29] Extorsión PP M B M
[A.30] Ingeniería social P MA
(picaresca)
Técnicos de [E.28.2] Huelga PP B
Información
[A.29] Extorsión PP M B M
[A.30] Ingeniería social P MA
(picaresca)
24
Identificación de las vulnerabilidades
Una vulnerabilidad es cualquier deficiencia, falencia o debilidad que se presenta
en un sistema y que al ser explotada puede ocasionar daños a la organización.
Las vulnerabilidades encontradas para cada uno de los activos de información se
registran en la tabla que se muestra a continuación.
Activo Amenazas Vulnerabilidades
Base de datos [E.15]Alteración de la información Manipulación de

[E.18] Destrucción de la información registros por parte de
[E.19] Fugas de Información personal no
[A.6] Abuso de privilegios de acceso autorizado.
Base de datos [E.15]Alteración de la información Manipulación de

(Centro de [E.18] Destrucción de la información registros por parte de
atención y [E.19] Fugas de Información personal no
servicios) [A.6] Abuso de privilegios de acceso autorizado.
Internet [I8] Fallo de servicios de comunicacionesInterrupción del
suministro eléctrico
por fallas frecuentes en
el servicio.
Sistema [A.5] Suplantación de la identidad del Se producen caídas del
administrativo, usuario sistema debido a
financiero y [I.5] Avería de origen físico o lógico saturación en las redes
académico [E.20] Vulnerabilidades de los programas y/o servidores.
(software)
[E.21] Errores de mantenimiento /
actualización de programas (software)
25
Centro de [A.5] Suplantación de la identidad del Se producen caídas del

atención y usuario sistema debido a
servicios [I.5] Avería de origen físico o lógico saturación en las redes
[E.20] Vulnerabilidades de los programas y/o servidores.
(software)
Microsoft Office [A.8] Difusión de software dañino Instalación de software
[E.1] Errores de los usuarios no licenciado, pues no
[E.20] Vulnerabilidades de los programas existe un control de las
(software) licencias de software.
Antivirus [E.8] Difusión de software dañino No se cuenta con una
[E.20] Vulnerabilidades de los programas licencia de software
(software) antivirus que proteja
[E.21] Errores de mantenimiento / todos los equipos de la
actualización de programas (software) organización, solo se
cuenta con Windows
Defender.
Sistema [A.7] Uso no previsto Instalación de software
Operativo [I.5] Avería de origen físico o lógico no licenciado, pues no
Windows [E.1] Errores de los usuarios existe un control de las
[E.8] Difusión de software dañino licencias de software.
[E.20] Vulnerabilidades de los programas No hay un plan de
(software) mantenimiento/
[E.21] Errores de mantenimiento / actualización
actualización de programas (software) periódicos.
Computadora [N.2] Daños por agua No hay un plan de
de escritorio [N.*] Desastres naturales mantenimiento/
[I.*] Desastres industriales actualización
[I.5] Avería de origen físico o lógico periódicos.
[I.7] Condiciones inadecuadas de
temperatura o humedad
actualización de equipos (hardware)
[E.24] Caída del sistema por agotamiento
de recursos
26
Router [N.1] Fuego Interrupción del

[N.2] Daños por agua suministro eléctrico
[N.*] Desastres naturales por fallas frecuentes en
[I.3] Contaminación medioambiental el servicio.
Switches [N.1] Fuego Interrupción del

[N.2] Daños por agua suministro eléctrico
[N.*] Desastres naturales por fallas frecuentes en
[I.3] Contaminación medioambiental el servicio.
Impresora [I.5] Avería de origen físico o lógico Errores de

[I.7] Condiciones inadecuadas de configuración.
temperatura o humedad Ausencia de un plan de
[E.23] Errores de mantenimiento / mantenimiento.
Fotocopiadora [I.5] Avería de origen físico o lógico Errores de
[I.7] Condiciones inadecuadas de configuración.
temperatura o humedad Ausencia de un plan de
[E.23] Errores de mantenimiento / mantenimiento.
Red telefónica [I.8] Fallo de servicios de Daño o alteración de
comunicaciones algún dispositivo.
[E.9] Errores de [re-]encaminamiento Los dispositivos se
[E.10] Errores de secuencia encuentran expuestos
[E.15] Alteración de la información en áreas de fácil
[E.19] Fugas de información acceso por parte de
[A.7] Uso no previsto personal no
[A.9] [Re-]encaminamiento de mensajes autorizado.
[A.12] Análisis de tráfico
[A.14] Interceptación de información
(escucha)
27
Red WiFi [I.8] Fallo de servicios de Daño o alteración de

comunicaciones algún dispositivo. Los
[E.9] Errores de [re-]encaminamiento dispositivos se
encuentran expuestos
en áreas de fácil
acceso por parte de
personal no
autorizado.
Red LAN [I.8] Fallo de servicios de Daño o alteración de
comunicaciones algún dispositivo. Los
[E.9] Errores de [re-]encaminamiento dispositivos se
[E.10] Errores de secuencia encuentran expuestos
[A.5] Suplantación de la identidad del en áreas de fácil
usuario acceso por parte de
[A.9] [Re-]encaminamiento de mensajes personal no
[A.10] Alteración de secuencia autorizado.
Discos duros [E.15] Alteración de la información Se presenta duplicidad
[E.19] Fugas de información en los datos/backups.
[A.15] Modificación de la información No hay control de
[A.19] Revelación de información acceso por parte del
personal del área. Falta
de un plan de respaldo
en caso de accidente.
Memorias USB [E.15] Alteración de la información Se presenta duplicidad
[E.19] Fugas de información en los datos/backups.
[A.15] Modificación de la información No hay control de
personal del área. Falta
de un plan de respaldo
en caso de accidente.
Almacenamiento [E.15] Alteración de la información Se presenta duplicidad
en la nube [E.19] Fugas de información en los datos/backups.
(Dropbox) [A.15] Modificación de la información No hay control de
personal del área.
Sistemas de [I.3] Contaminación medioambiental Interrupción del
vigilancia [I.7] Condiciones inadecuadas de suministro eléctrico
temperatura o humedad por fallas frecuentes en
el servicio. Ausencia
de un plan de
mantenimiento.
Mobiliario [I.3] Contaminación medioambiental Incendio, Inundación
28
Cableado [I.3] Contaminación medioambiental Elementos fisicos

[I.4] Contaminación electromagnética expuestos en áreas de
fácil acceso por parte
de personal no
autorizado.
Centro de datos [N.1] Fuego El edificio donde se
[N.2] Daños por agua inunda cuando hay
[N.*.1] Tormentas fuertes lluvias. Ingreso
[N.*.4] Terremotos de personal no
[N.*.9] Tsunamis autorizado. Hay un
[N.*.11] Calor extremo solo extintor.
Área [N.1] Fuego El edificio donde se

administrativa [N.2] Daños por agua inunda cuando hay
[N.*.1] Tormentas fuertes lluvias. Ingreso
[N.*.4] Terremotos de personal no
[N.*.9] Tsunamis autorizado. Hay un
[N.*.11] Calor extremo solo extintor.
Área de atención [N.1] Fuego El edificio donde se
al cliente [N.2] Daños por agua inunda cuando hay
[N.*.1] Tormentas fuertes lluvias. Hay un
[N.*.4] Terremotos solo extintor.
[N.*.9] Tsunamis
Jefe del [E.28.1] Enfermedad Ausencia personal de

departamento [E.28.2] Huelga respaldo en caso de
de sistemas [A.29] Extorsión ausencia.
Contratos a término
fijo.
Carencia de
incentivos.
Privilegios excesivos.
Falta un plan de
eliminación de cuentas
de usuarios en caso de
desvinculación.
29
Coordinador de [E.28.1] Enfermedad Ausencia personal de

infraestructura [E.28.2] Huelga respaldo en caso de
TIC [A.29] Extorsión ausencia.
fijo.
No existe control de la
información que
brinda el personal del
área a terceros.
Carencia de
incentivos.
Falta un plan de
desvinculación.
Analista de [E.28.1] Enfermedad Ausencia personal de

sistemas [E.28.2] Huelga respaldo en caso de
[A.29] Extorsión ausencia.
[A.30] Ingeniería social (picaresca) Contratos a término
fijo.
Carencia de
incentivos.
Falta un plan de
desvinculación.
Analista de TI [E.28.2] Huelga Ausencia personal de

[A.29] Extorsión respaldo en caso de
[A.30] Ingeniería social (picaresca) ausencia.
fijo.
Carencia de
incentivos.
Falta un plan de
desvinculación.
30
Técnicos de [E.28.2] Huelga Ausencia personal de

Información [A.29] Extorsión respaldo en caso de
[A.30] Ingeniería social (picaresca) ausencia.
fijo.
Carencia de
incentivos.
Falta un plan de
desvinculación.
31
Estimación del riesgo
El riesgo puede definirse como cualquier hecho inesperado, no calculado o no
planteado que tienen un origen. Puede provocar la alteración del resultado de un conjunto
de actividades, generando pérdidas a la organización. El objetivo general del análisis de
riesgos, es identificar las causas potenciales de los principales riesgos que amenazan el
entorno informático. Esta identificación se realiza en una determinada área para así tener
suficiente información, optando por un diseño apropiado e implantación de mecanismos
de control con el fin de minimizar los efectos de eventos no deseados.

1
VALORACIÓN DE RIESGOS DE LOS ACTIVOS
AUTENTICI TRAZABILI CONFIDENCIALI INTEGRID DISPONIBILI VALO Riesgo

Nombre
DAD DAD DAD AD DAD R
Base de datos 25 25 25 25 25 25 CRITICO
Base de datos (Centro de atención y IMPORTA
servicios) 20 20 20 20 20 20
NTE
APRECIAB
Internet 15 4 4 15 15 11
LE
Sistema administrativo, financiero y IMPORTA
20 20 20 20 20 20
académico NTE
IMPORTA
Centro de atención y servicios 20 20 20 20 20 20
NTE
APRECIAB
Microsoft Office 20 4 4 4 20 10
LE
APRECIAB
Antivirus 20 4 4 4 20 10
LE
APRECIAB
Sistema Operativo Windows 20 4 4 4 20 10
LE
APRECIAB
Computadora de escritorio 20 4 4 4 25 11
LE
Router 20 4 4 4 15 9 BAJO
Switches 20 4 4 4 15 9 BAJO
Impresora 15 4 4 4 15 8 BAJO
Fotocopiadora 15 4 4 4 15 8 BAJO
APRECIAB
Red telefónica 20 4 4 4 20 10
LE
Red WiFi 15 4 4 4 20 9 BAJO
APRECIAB
Red LAN 20 4 4 4 20 10
LE
2
APRECIAB
Discos duros 20 20 20 4 4 14
LE
APRECIAB
Memorias USB 15 15 15 4 4 11
LE
APRECIAB
Almacenamiento en la nube 20 20 20 4 4 14
LE
Sistemas de vigilancia 20 4 4 4 4 7 BAJO
Mobiliario 20 4 4 4 4 7 BAJO
Cableado 20 4 4 4 4 7 BAJO
APRECIAB
Centro de datos 20 4 4 4 20 10
LE
APRECIAB
Área administrativa 20 4 4 4 20 10
LE
APRECIAB
Área de atención al cliente 20 4 4 4 20 10
LE
APRECIAB
Jefe de departamento de sistemas 20 4 20 4 4 10
LE
APRECIAB
Coordinador de infraestructura TIC 20 4 20 4 4 10
LE
APRECIAB
Analista de sistemas 20 4 20 4 4 10
LE
APRECIAB
Analista de TI 20 4 20 4 4 10
LE
APRECIAB
Técnicos de Información 20 4 20 4 4 10
LE
[D] DATOS
[D] DATOS
Activos de Información
[S] SERVICIOS
[SW] SOFTWARE
4
3
2
1
No. De Amenazas y Vulnerabilidades
Sistema
Internet
servicios)
Nombre del activo de información
atención y
académico
(Centro de
financiero y
Base de datos
Base de datos
administrativo,
Valoración del riesgo de los activos
usuario
Amenazas
11 servicios de
información
información
[I8] Fallo de
Metodologia Magerit
20 accidental de la
25 accidental de la
comunicaciones
[E15] Alteración
[E15] Alteración
[A5] Suplantación
20 de la identidad del
del
sistema
Vulnerabilidades
eléctrico
Caída del
suministro
de registros
de registros
Interrupción
Manipulación
Manipulación
Probabilidad de vulneración (1 Muy raro, 2

3
5
2
2
poco probable, 3 posible, 4 probable, 5

prácticamente seguro)
Calculo del riesgo neto (Valoración del riesgo *
60
55
40
50
probabilidad de vulneración)
Criticidad neta (1 a 4 despreciable (d), 5 a 9 baja
MATRIZ DE ANALISIS DE RIESGOS
C
C
C
C
(B), 10 a 15 apreciable (a), 16 a 20 importante

(i), 21 a 25 crítico(C))
Calificación de Gestión (1 control no existe, 2
1
2
1
1
existe, pero no efectivo, 3 efectivo, pero no

documentado, 4 efectivo y documentado)
Si la opción es 2 - 3 o 4 Indique el Control

aplicado actual
energía
Planta de
60
28
40
50
Riesgo residual (riesgo neto dividido entre la

calificación de gestión)
Criticidad residual (1 a 4 despreciable (d), 5 a 9
C
C
C
C
baja (B), 10 a 15 apreciable (a), 16 a 20

importante (i), 21 a 25 crítico(C))
Niveles de aceptación del riesgo (1 a 5
I
I
I
I
aceptable (A), 6 a 15 moderado (M), 16 a 26

3
inaceptable(I))
4
Centro de [A5] Suplantación
Caída del
[SW] SOFTWARE 5 atención y 20 de la identidad del 3 60 C 1 60 C I
sistema
servicios usuario
[E20] Políticas de
Instalación
Vulnerabilidades de usuarios del
[SW] SOFTWARE 6 Microsoft Office 10 de software 4 40 C 3 13 A M
los programas dominio
no licenciado
(software) establecidas
[E21] Errores de
mantenimiento /
Código
[SW] SOFTWARE 7 Antivirus 10 actualización de 4 40 C 1 40 C I
malicioso
programas
(software)
Sistema [A6] Abuso de Instalación
[SW] SOFTWARE 8 Operativo 10 privilegios de de software 4 40 C 1 40 C I
Windows acceso no licenciado
[HW] Políticas de
Instalación
EQUIPAMENTO Computadora de [N*] Desastres usuarios del
9 11 de software 3 33 C 3 11 A M
INFORMÁTICO escritorio naturales dominio
no licenciado
establecidas
[HW] Interrupción
EQUIPAMENTO [N*] Desastres del Planta de
10 Router 9 5 45 C 2 23 C I
INFORMÁTICO naturales suministro energía
eléctrico
[HW] Interrupción
EQUIPAMENTO [N*] Desastres del Planta de
11 Switches 9 5 45 C 2 23 C I
INFORMÁTICO naturales suministro energía
eléctrico
[HW] [I5] Avería de
Errores de
EQUIPAMENTO 12 Impresora 8 origen físico o 3 24 C 1 24 C I
configuración
INFORMÁTICO lógico
[HW] [I5] Avería de
Errores de
EQUIPAMENTO 13 Fotocopiadora 8 origen físico o 3 24 C 1 24 C I
configuración
INFORMÁTICO lógico
5
[COM] REDES DE Daño o
[I8] Fallo de
COMUNICACIONES alteración de
14 Red telefónica 10 servicios de 2 20 I 1 20 I I
algún
comunicaciones
dispositivo
[I8] Fallo de
COMUNICACIONES alteración de
15 Red WiFi 9 servicios de 2 18 I 1 18 I I
algún
comunicaciones
dispositivo
COMUNICACIONES [A11] Acceso no alteración de
16 Red LAN 10 2 20 I 1 20 I I
autorizado algún
dispositivo
[Media] SOPORTE [E15] Alteración Alteración de
DE INFORMACIÓN 17 Discos duros 14 accidental de la la 1 14 A 1 14 A M
información información
DE INFORMACIÓN 18 Memorias USB 11 accidental de la la 1 11 A 1 11 A M
Almacenamiento
DE INFORMACIÓN 19 14 accidental de la la 1 14 A 1 14 A M
en la nube
[AUX] [I7] Condiciones Interrupción
EQUIPAMENTO Sistemas de inadecuadas de del Planta de
20 7 5 35 C 2 18 I I
AUXILIAR vigilancia temperatura o suministro energía
humedad eléctrico
[AUX] Extintor
EQUIPAMENTO instalado,
AUXILIAR [N*] Desastres Incendio, Área
21 Mobiliario 7 1 7 B 2 4 D A
naturales Inundación protegida
contra
inundaciones
[AUX] Extintor
EQUIPAMENTO [I4] Contaminación Incendio, instalado,
22 Cableado 7 1 7 B 2 4 D A
AUXILIAR electromagnética Inundación Área
protegida
6
contra
inundaciones
[L] INSTALACIONES Extintor
instalado,
[N*] Desastres Incendio, Área
23 Centro de datos 10 1 10 B 2 5 B M
naturales Inundación protegida
contra
inundaciones
instalado,
Área [N*] Desastres Incendio, Área
24 10 1 10 B 2 5 B M
administrativa naturales Inundación protegida
contra
inundaciones
instalado,
Área de atención [N*] Desastres Incendio, Área
25 10 1 10 B 2 5 B M
al cliente naturales Inundación protegida
contra
inundaciones
[P] PERSONAL Jefe de [E28]
Ausencia
26 departamento 10 Indisponibilidad del 4 40 C 1 40 C I
personal
de sistemas personal
[P] PERSONAL Coordinador de [E28]
Ausencia
27 infraestructura 10 Indisponibilidad del 4 40 C 1 40 C I
personal
TIC personal
[P] PERSONAL [E28]
Analista de Ausencia
28 10 Indisponibilidad del 4 40 C 1 40 C I
sistemas personal
personal
[P] PERSONAL [E28]
Ausencia
29 Analista de TI 10 Indisponibilidad del 4 40 C 1 40 C I
personal
personal
7
[P] PERSONAL [E28]
Técnicos de Ausencia
30 10 Indisponibilidad del 4 40 C 1 40 C I
Información personal
personal
8
Mapa de calor
El nivel de riesgo se ve representado en el mapa de calor que se muestra a

continuación.
APETITO POR EL RIESGO Y ZONAS DE ADMISIBILIDAD
IMPACTO
Insignificante Menor Moderado Mayor Catastrófico
R30, R29, R28,

R13, R12, R9, R20, R11, R10,
MUY ALTA R2, R1 R27, R26, R8,
R5, R4 R3
R7, R6
ALTA R16, R15, R14

IMPACTO
MEDIA
BAJA
MUY BAJA
RIESGO MUY BAJA BAJA MEDIA ALTA MUY ALTA
PROBABILIDAD
Plan de tratamiento de riesgos 9
Para cada activo de información, el proceso concluye si el Nivel de Riesgo es aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y se
establecen los controles necesarios. Con los resultados obtenidos con este análisis se procede a la evaluación.
Tipo Activo Amenazas Vulnerabilidades Tratamiento Controles Descripción del control

del riesgo
[D] DATOS Base de datos [E.15]Alteración de la información Manipulación de Mitigar A9.1.1 Política Control: Se debe
[E.18] Destrucción de la información registros por parte de control de establecer, documentar y
Base de datos [E.19] Fugas de Información de personal no acceso revisar una política de
(Centro de [A.6] Abuso de privilegios de acceso autorizado. control de acceso con base
atencion y [A.11] Acceso no autorizado en los requisitos del
servicios) [A.15] Modificación de la información negocio y de la seguridad
[A.19] Revelación de la información de la información.
A9.4.1 Control: El acceso a la
Restricci información y a las
ón de acceso a funciones de los sistemas
la información de las aplicaciones se debe
restringir de acuerdo con
la política de control de
acceso.
10
A18.1.3 Control: Los registros se
Protección de deben proteger contra
registros perdida, destrucción,
falsificación, acceso no
autorizado y liberación no
autorizada, de acuerdo con
los requisitos legislativos,
de reglamentación,
contractuales y de
negocio.
[S] SERVICIOS Internet [I8] Fallo de servicios de comunicaciones Interrupción del A9.1.2 Acceso a Control: Solo se debe
suministro redes y a permitir acceso de los
eléctrico por servicios en red usuarios a la red y a los
fallas frecuentes servicios de red para los
en el servicio. que hayan sido
autorizados
específicamente.
[SW] SOFTWARE Sistema [A.5] Suplantación de la identidad del Se producen Mitigar A9.1.1 Política Control: Se debe
administrativo, usuario caídas del sistema de control de establecer, documentar y
financiero y [I.5] Avería de origen físico o lógico debido a acceso revisar una política de
académico [E.20] Vulnerabilidades de los programas saturación en las control de acceso con base
(software) redes y/o en los requisitos del
[E.21] Errores de mantenimiento / servidores. negocio y de la seguridad
actualización de programas (software) de la información.
acceso.
11
A12.1.3 Gestión Control: Se debe hacer

de capacidad seguimiento al uso de
recursos, hacer los ajustes,
y hacer proyecciones de
los requisitos de capacidad
futura, para asegurar el
desempeño requerido del
sistema.
[SW] SOFTWARE Centro de [A.5] Suplantación de la identidad del Se producen Mitigar A9.1.1 Política Control: Se debe
atención y usuario caídas del sistema de control de establecer, documentar y
servicios. [I.5] Avería de origen físico o lógico debido a acceso revisar una política de
[E.20] Vulnerabilidades de los programas saturación en las control de acceso con base
(software) redes y/o en los requisitos del
[E.21] Errores de mantenimiento / servidores. negocio y de la seguridad
actualización de programas (software) de la información.
acceso.
A12.1.3 Gestión Control: Se debe hacer

de capacidad seguimiento al uso de
recursos, hacer los ajustes,
y hacer proyecciones de
los requisitos de capacidad
futura, para asegurar el
12
desempeño requerido del
sistema.
[SW] SOFTWARE Microsoft Office [E.8] Difusión de software dañino Instalación de Mitigar A8.1.1 Control: Se deben
[E.1] Errores de los usuarios software no Inventari identificar los activos
[E.20] Vulnerabilidades de los programas licenciado, pues o de activos asociados con información
(software) no existe un e instalaciones de
[E.21] Errores de mantenimiento / control de las procesamiento de
actualización de programas (software) licencias de información, y se debe
software. elaborar y mantener un
inventario de estos
activos.
[SW] SOFTWARE Antivirus [E.8] Difusión de software dañino No se cuenta con Mitigar A12.2.1 Control: Se deben
[E.20] Vulnerabilidades de los programas una licencia de Controles contra implementar controles de
(software) software antivirus códigos detección, de prevención y
[E.21] Errores de mantenimiento / que proteja todos maliciosos de recuperación,
actualización de programas (software) los equipos de la combinados con la toma
organización, solo de conciencia apropiada
se cuenta con de los usuarios, para
Windows proteger contra códigos
Defender. maliciosos.
13
[SW] SOFTWARE Sistema [A.7] Uso no previsto Instalación de Mitigar A12.6.2 Control: Se deben
Operativo [I.5] Avería de origen físico o lógico software no Restricciones establecer e implementar
Windows [E.1] Errores de los usuarios licenciado, pues sobre la las reglas para la
[E.8] Difusión de software dañino no existe un instalación de instalación de software
[E.20] Vulnerabilidades de los programas control de las software por parte de los usuarios.
(software) licencias de
[E.21] Errores de mantenimiento / software.
No hay un plan de
mantenimiento/
actualización A12.2.1 Control: Se deben
periódicos. Controles contra implementar controles de
códigos detección, de prevención y
maliciosos de recuperación,
combinados con la toma
de conciencia apropiada
de los usuarios, para
proteger contra códigos
maliciosos.
A12.5.1 Control: Se deben

Instalación de implementar
software en procedimientos para
sistemas controlar la instalación de
operativos software en sistemas
operativos.
14
[HW] Computadora de [N.2] Daños por agua Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO escritorio [N.*] Desastres naturales No hay un plan de Ubicación y deben de estar ubicados y
INFORMÁTICO [I.*] Desastres industriales mantenimiento/ protección de protegidos para reducir los
[I.5] Avería de origen físico o lógico actualización los equipos riesgos de amenazas y
[I.7] Condiciones inadecuadas de periódicos. peligros del entorno, y las
temperatura o humedad posibilidades de acceso no
[E.23] Errores de mantenimiento / autorizado.
[E.24] Caída del sistema por agotamiento
de recursos A11.2.2 Control: Los equipos se
[A.6] Abuso de privilegios de acceso Servicios de deben proteger contra
[A.7] Uso no previsto suministro fallas de energía y otras
interrupciones causadas
por fallas en los servicios
de suministro.
A11.2.4 Control: Los equipos se

Mantenimiento deben mantener
de los equipos. correctamente para
asegurar su disponibilidad
e integridad continuas.
15
[HW] Router [N.1] Fuego Interrupción del Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [N.2] Daños por agua suministro Ubicación y deben de estar ubicados y
INFORMÁTICO [N.*] Desastres naturales eléctrico por protección de protegidos para reducir los
[I.3] Contaminación medioambiental fallas frecuentes los equipos riesgos de amenazas y
[I.5] Avería de origen físico o lógico en el servicio. peligros del entorno, y las
[I.7] Condiciones inadecuadas de posibilidades de acceso no
temperatura o humedad autorizado.

Servicios de deben proteger contra
suministro fallas de energía y otras
de suministro.

16
[HW] Switches [N.1] Fuego Interrupción del Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [N.2] Daños por agua suministro Ubicación y deben de estar ubicados y
INFORMÁTICO [N.*] Desastres naturales eléctrico por protección de protegidos para reducir los
[I.3] Contaminación medioambiental fallas frecuentes los equipos riesgos de amenazas y
[I.5] Avería de origen físico o lógico en el servicio. peligros del entorno, y las
[I.7] Condiciones inadecuadas de posibilidades de acceso no
temperatura o humedad autorizado.
[A.11] Acceso no autorizado A11.2.2 Control: Los equipos se
Servicios de deben proteger contra
suministro fallas de energía y otras
de suministro.

17
[HW] Impresora [I.5] Avería de origen físico o lógico Errores de Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [I.7] Condiciones inadecuadas de configuración. Ubicación y deben de estar ubicados y
INFORMÁTICO temperatura o humedad Ausencia de un protección de protegidos para reducir los
[E.23] Errores de mantenimiento / plan de los equipos riesgos de amenazas y
actualización de equipos (hardware) mantenimiento. peligros del entorno, y las
[A.11] Acceso no autorizado posibilidades de acceso no
autorizado.

[HW] Fotocopiadora [I.5] Avería de origen físico o lógico Errores de Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [I.7] Condiciones inadecuadas de configuración. Ubicación y deben de estar ubicados y
INFORMÁTICO temperatura o humedad Ausencia de un protección de protegidos para reducir los
[E.23] Errores de mantenimiento / plan de los equipos riesgos de amenazas y
actualización de equipos (hardware) mantenimiento. peligros del entorno, y las
[A.11] Acceso no autorizado posibilidades de acceso no
autorizado.
18
[COM] REDES DE Red telefónica [I.8] Fallo de servicios de Daño o alteración Mitigar A9.1.2 Acceso a Control: Solo se debe
COMUNICACIONES comunicaciones de algún redes y a permitir acceso de los
[E.9] Errores de [re-]encaminamiento dispositivo. servicios en red usuarios a la red y a los
[E.10] Errores de secuencia Los dispositivos servicios de red para los
[E.15] Alteración de la información se encuentran que hayan sido
[E.19] Fugas de información expuestos en autorizados
[A.7] Uso no previsto áreas de fácil específicamente.
[A.9] [Re-]encaminamiento de mensajes acceso por parte A13.1.1 Control: Las redes se
[A.10] Alteración de secuencia de personal no Controles de deben gestionar y
[A.12] Análisis de tráfico autorizado. redes controlar para proteger la
[A.14] Interceptación de información información en sistemas
(escucha) y aplicaciones.
Seguridad de los identificar los mecanismos
servicios de seguridad, los niveles
de red de servicio y los requisitos
de gestión de todos los
servicios de red, e
incluirlos en los acuerdos
de servicio de red, ya
sea que los servicios se
19
presten internamente o se
contraten externamente.
A13.1.3 Control: Los grupos de

Separación en servicios de información,
las redes usuarios y sistemas de
información se deben
separar en las redes.
[COM] REDES DE Red WiFi [I.8] Fallo de servicios de Daño o alteración Mitigar A9.1.2 Acceso a Control: Solo se debe
[E.9] Errores de [re-]encaminamiento dispositivo. Los servicios en red usuarios a la red y a los
dispositivos se servicios de red para los
encuentran que hayan sido
expuestos en autorizados
áreas de fácil específicamente.
acceso por parte A13.1.1 Control: Las redes se
de personal no Controles de deben gestionar y
autorizado. redes controlar para proteger la
información en sistemas
y aplicaciones.
servicios de red, e
20

[COM] REDES DE Red LAN [I.8] Fallo de servicios de Daño o alteración Mitigar A9.1.2 Acceso a Control: Solo se debe
[E.9] Errores de [re-]encaminamiento dispositivo. Los servicios en red usuarios a la red y a los
[E.10] Errores de secuencia dispositivos se servicios de red para los
[A.5] Suplantación de la identidad del encuentran que hayan sido
usuario expuestos en autorizados
[A.9] [Re-]encaminamiento de mensajes áreas de fácil específicamente.
[A.10] Alteración de secuencia acceso por parte A13.1.1 Control: Las redes se
[A.11] Acceso no autorizado de personal no Controles de deben gestionar y
autorizado. redes controlar para proteger la
información en sistemas
y aplicaciones.
servicios de red, e
21

[Media] SOPORTE Discos duros [E.15] Alteración de la información Se presenta Mitigar A12.3.1 Control: Se deben hacer
DE INFORMACIÓN [E.19] Fugas de información duplicidad en los Respaldo de la copias de respaldo de la
[A.15] Modificación de la información datos/backups. información información, software e
[A.19] Revelación de información No hay control de imágenes de los sistemas, y
ponerlas a prueba
acceso por parte
regularmente de acuerdo con
del personal del una política de copias de
área. Falta de un respaldo acordadas.
plan de respaldo
en caso de A8.2.1 Control: La información se
accidente. Clasifica debe clasificar en función de
ción de la los requisitos legales, valor,
información criticidad y susceptibilidad a
divulgación o a modificación
no autorizada.
A8.2.2 Control: Se debe desarrollar
Etiqueta e implementar un conjunto
do de la adecuado de procedimientos
información para el etiquetado de la
información, de acuerdo con
22
el esquema de clasificación
de información adoptado por
la organización.
A8.3.1 Gestión Control: Se deben

de medio implementar procedimientos
removibles para la gestión de medio
removibles, de acuerdo con
adoptado por la
organización.
A8.3.3 Control: Los medios que
Transfer contienen información se
encia de medios deben proteger contra acceso
físicos no autorizado, uso indebido
o corrupción durante el
transporte.
A9.1.1 Política Control: Se debe establecer,
de control de documentar y revisar una
acceso política de control de acceso
con base en los requisitos del
negocio y de la seguridad de
la información.
[Media] SOPORTE Memorias USB [E.15] Alteración de la información Se presenta Mitigar A12.3.1 Control: Se deben hacer
DE INFORMACIÓN [E.19] Fugas de información duplicidad en los Respaldo de la copias de respaldo de la
[A.15] Modificación de la información datos/backups. información información, software e
[A.19] Revelación de información No hay control de imágenes de los sistemas, y
acceso por parte ponerlas a prueba
regularmente de acuerdo con
del personal del
una política de copias de
área. Falta de un respaldo acordadas.
plan de respaldo
23
en caso de A8.2.1 Control: La información se
accidente. Clasifica debe clasificar en función de
ción de la los requisitos legales, valor,
información criticidad y susceptibilidad a
divulgación o a modificación
no autorizada.
A8.2.2 Control: Se debe desarrollar
Etiqueta e implementar un conjunto
do de la adecuado de procedimientos
información para el etiquetado de la
información, de acuerdo con
de información adoptado por
la organización.
A8.3.1 Gestión Control: Se deben
de medio implementar procedimientos
removibles para la gestión de medio
removibles, de acuerdo con
adoptado por la
organización.
A8.3.3 Control: Los medios que
Transfer contienen información se
encia de medios deben proteger contra acceso
físicos no autorizado, uso indebido
o corrupción durante el
transporte.
de control de documentar y revisar una
la información.
24
[Media] SOPORTE Almacenamiento [E.15] Alteración de la información Se presenta Mitigar A8.2.1 Control: La información se
DE INFORMACIÓN en la nube [E.19] Fugas de información duplicidad en los Clasifica debe clasificar en función de
(Dropbox) [A.15] Modificación de la información datos/backups. ción de la los requisitos legales, valor,
[A.19] Revelación de información No hay control de información criticidad y susceptibilidad a
acceso por parte divulgación o a modificación
no autorizada.
del personal del
área. documentar y revisar una
de control de
la información.
[AUX] Sistemas de [I.3] Contaminación medioambiental Interrupción del Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO vigilancia [I.7] Condiciones inadecuadas de suministro Ubicación y deben de estar ubicados y
AUXILIAR temperatura o humedad eléctrico por protección de protegidos para reducir los
fallas frecuentes los equipos riesgos de amenazas y
en el servicio. peligros del entorno, y las
Ausencia de un posibilidades de acceso no
plan de autorizado.
mantenimiento.
[AUX] Mobiliario [I.3] Contaminación medioambiental Incendio, Mitigar A8.2.3 Manejo Control: Se deben
EQUIPAMENTO Inundación de activos desarrollar e implementar
AUXILIAR procedimientos para el
manejo de activos, de
acuerdo con el esquema de
clasificación de
información adoptado por
la organización.
[AUX] Cableado [I.3] Contaminación medioambiental Elementos fisicos Mitigar A11.2.1 Control: Los equipos
EQUIPAMENTO [I.4] Contaminación electromagnética expuestos en Ubicación y deben de estar ubicados y
AUXILIAR áreas de fácil protección de protegidos para reducir los
acceso por parte los equipos riesgos de amenazas y
25
de personal no peligros del entorno, y las
autorizado. posibilidades de acceso no
autorizado.
[L] Centro de datos [N.1] Fuego El edificio donde Mitigar A8.1.3 Uso Control: Se deben
INSTALACIONES [N.2] Daños por agua se inunda cuando aceptable de los identificar, documentar e
[N.*.1] Tormentas hay fuertes activos implementar reglas para el
[N.*.4] Terremotos lluvias. Ingreso uso aceptable de
[N.*.9] Tsunamis de personal no información y de activos
[N.*.11] Calor extremo autorizado. Hay asociados con información
[I.*] Desastres industriales un solo extintor. e instalaciones de
[A.27] Ocupación enemiga procesamiento de
información.
A11.1.2 Control: Las áreas seguras
Controles de deben estar protegidas con
acceso físicos controles de acceso
apropiados para asegurar
que sólo se permite el
acceso a personal
autorizado.
A11.1.1 Control: Se deben definir
Perímetro de y usar perímetros de
seguridad física seguridad, y usarlos para
proteger áreas que
contengan información
confidencial o critica, e
instalaciones de manejo de
información.
26
[L] Área [N.1] Fuego El edificio donde Mitigar A11.1.2 Control: Las áreas seguras
INSTALACIONES administrativa [N.2] Daños por agua se inunda cuando Controles de deben estar protegidas con
[N.*.1] Tormentas hay fuertes acceso físicos controles de acceso
[N.*.4] Terremotos lluvias. Ingreso apropiados para asegurar
[N.*.9] Tsunamis de personal no que sólo se permite el
[N.*.11] Calor extremo autorizado. Hay acceso a personal
[I.*] Desastres industriales un solo extintor. autorizado.
A11.1.1 Control: Se deben definir
Perímetro de y usar perímetros de
seguridad física seguridad, y usarlos para
proteger áreas que
contengan información
confidencial o critica, e
instalaciones de manejo de
información.
[L] Área de atención [N.1] Fuego El edificio donde Mitigar A11.1.2 Control: Las áreas seguras
INSTALACIONES al cliente [N.2] Daños por agua se inunda cuando Controles de deben estar protegidas con
[N.*.1] Tormentas hay fuertes acceso físicos controles de acceso
[N.*.4] Terremotos lluvias. Hay un apropiados para asegurar
[N.*.9] Tsunamis solo extintor. que sólo se permite el
[N.*.11] Calor extremo acceso a personal
[I.*] Desastres industriales autorizado.
[P] PERSONAL Jefe del [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
departamento de [E.28.2] Huelga personal de Término contractuales con
sistemas [A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
de ausencia. del empleo deben establecer sus
Contratos a responsabilidades y las de
término fijo. la organización en cuanto
27
Carencia de a la seguridad de la
incentivos. información.
Privilegios
excesivos.
Falta un plan de
eliminación de A8.1.4 Control: Todos los
cuentas de Devoluci empleados y usuarios de
usuarios en caso ón de activos partes externas deben
de devolver todos los activos
desvinculación. de la organización que se
encuentren a su cargo, al
terminar su empleo,
contrato o acuerdo.
A9.2.6 Retiro o Control: Los derechos de
ajuste de los acceso de todos los
derechos de empleados y de usuarios
acceso externos a la información
y a las instalaciones de
procesamiento de
retirar al terminar su
empleo, contrato o
acuerdo, o se deben
ajustar cuando se hagan
cambios.
28
Acuerdos de identificar, revisar
confidencialidadregularmente y
o de no documentar los requisitos
divulgación para los acuerdos de
confidencialidad o no
divulgación que
reflejen las necesidades
de la organización para la
protección de la
información.
[P] PERSONAL Coordinador de [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
infraestructura [E.28.2] Huelga personal de Término contractuales con
TIC [A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
No existe control a la seguridad de la
de la información información.
que brinda el A8.1.4 Control: Todos los
personal del área Devoluci empleados y usuarios de
a terceros. ón de activos partes externas deben
Carencia de devolver todos los activos
incentivos. de la organización que se
Privilegios encuentren a su cargo, al
excesivos. terminar su empleo,
contrato o acuerdo.
29
Falta un plan de A9.2.6 Retiro o Control: Los derechos de
eliminación de ajuste de los acceso de todos los
cuentas de derechos de empleados y de usuarios
usuarios en caso acceso externos a la información
de y a las instalaciones de
desvinculación. procesamiento de
empleo, contrato o
acuerdo, o se deben
cambios.
confidencialidad regularmente y
divulgación que
protección de la
información.
[P] PERSONAL Analista de [E.28.1] Enfermedad Ausencia Mitigar A7.1.2 Control: Los acuerdos
sistemas [E.28.2] Huelga personal de Término contractuales con
[A.29] Extorsión respaldo en caso s y condiciones empleados y contratistas
[A.30] Ingeniería social (picaresca) de ausencia. del empleo deben establecer sus
30
Privilegios A8.1.4 Control: Todos los
excesivos. Devoluci empleados y usuarios de
Falta un plan de ón de activos partes externas deben
eliminación de devolver todos los activos
cuentas de de la organización que se
usuarios en caso encuentren a su cargo, al
de terminar su empleo,
desvinculación. contrato o acuerdo.
procesamiento de
empleo, contrato o
acuerdo, o se deben
cambios.
divulgación que
protección de la
información.
31
[P] PERSONAL Analista de TI [E.28.2] Huelga Ausencia Mitigar A7.1.2 Control: Los acuerdos
[A.29] Extorsión personal de Término contractuales con
[A.30] Ingeniería social (picaresca) respaldo en caso s y condiciones empleados y contratistas
excesivos. Falta Devoluci empleados y usuarios de
un plan de ón de activos partes externas deben
procesamiento de
empleo, contrato o
acuerdo, o se deben
cambios.
32
confidencialidadregularmente y
divulgación que
protección de la
información.
[P] PERSONAL Técnicos de [E.28.2] Huelga Ausencia Mitigar A7.1.2 Control: Los acuerdos
Información [A.29] Extorsión personal de Término contractuales con
[A.30] Ingeniería social (picaresca) respaldo en caso s y condiciones empleados y contratistas
excesivos. Devoluci empleados y usuarios de
Falta un plan de ón de activos partes externas deben
33
procesamiento de
empleo, contrato o
acuerdo, o se deben
cambios.
divulgación que
protección de la
información.
34
Conclusiones
Gestionar la seguridad informática de una organización debe ser de suma
importancia. La información es muy relevante para una adecuada gestión de una
organización, esta se ve expuestas a múltiples amenazas, que, de materializarse, pueden
generar pérdidas económicas y de imagen, de gran impacto para la sostenibilidad de la
organización.
En ese orden de ideas, es importante identificar los activos de información,
gestionar sus riesgos y amenazas y tomar las acciones necesarias que permitan controlar
todo posible evento que se pueda presentar.

35
Lista de referencias
MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. - Edita: © Ministerio de Hacienda y
Administraciones Públicas, octubre 2012.- NIPO: 630-12-171-8
ISO/IEC 27001:2013 Information technology — Security techniques —

Information security management systems – Requirements
Portal de Administración Electrónica. (2012). MAGERIT V.3: Metodología de

Análisis y gestión de riesgos de los sistemas de información. Recuperado
de http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodol
og/pae_Magerit.html
IMRD-CUCUTA. (s.f.). INSTITUTO MUNICPAL PARA RECREACION Y

DEPORTE-CUCUTA. Recuperado el 28 de FEBRERO de 2018, de INSTITUTO
MUNICPAL PARA RECREACION Y DEPORTE-CUCUTA: http://www.imrd-
cucuta.gov.co/
Sosa, J. (27 de Enero de 2012). Análisis de riesgos. Recuperado el 13 de Marzo

de 2018, de Análisis de riesgos:
http://pegasus.javeriana.edu.co/~CIS1130SD03/Documentos_files/Analisis_de_Riesgos.p
df
Alcaldia Municipal De Montecristo Bolivar organigrama organizacional.

recuperado de: http://www.montecristo-bolivar.gov.co/index.shtml
Metodología magerit
https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-
metodo/file.html
Amenazas vulnerabilidades y riesgos.

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://www.urbicad.com/mico/metodos_riesgos.htm
https://www.arlsura.com/files/metodologia_definitiva_ipevr.pdf

Aporte EnriqueGarcia

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Aporte EnriqueGarcia

Încărcat de

Drepturi de autor:

Formate disponibile

1

Fase 3 - Determinar controles y gestionar de riesgos informáticos

Enrique Félix García

Universidad Nacional Abierta y A Distancia

Aporte: Enrique Félix García

Información general de la empresa

CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR

CUN es una institución de educación superior, con sedes en 18 departamentos de

Colombia. Cuenta con 30 años al servicio de la comunidad, y tiene mucho prestigio en la

región Caribe (específicamente la ciudad de Sincelejo) por contribuir en la formación de

estudiantes universitarios propiciando una cultura de paz y principios académicos

proyectados hacia el entorno social.

carreras técnicas de Administración de Empresas, Administración Hotelera y Turística y

Desde 1980 se consolidaron los programas de Administración de Empresas,

Administración Hotelera, Administración del Turismo y Administración en Servicios de

1981 se fundó la Institución y se cambio el nombre a Corporación Unificada Nacional de

En 1990, empezaron a funcionar los programas de Técnica Profesional en Ingeniería del

Mantenimiento Electrónico y Técnica Profesional en Análisis de Sistemas y

En el año 2000 se incursionó en la modalidad a distancia ofreciendo programas técnicos

profesionales en 45 municipios de Colombia.

De 1996 y 2002 se amplió la cobertura en 15 ciudades de Colombia y además crece el

portafolio de los programas académicos.

En el año 2005 se solicitó ante el Ministerio de Educación Nacional, la Redefinición

Institucional, para ofrecer programas de formación en educación superior por ciclos

propedéuticos, técnico profesional, tecnólogo y profesional.

En el año 2008 se les otorgaron los Registros calificados de cinco programas de la

metodología a distancia y cinco programas por ciclos propedéuticos.

Profesional, Tecnológico, Profesional Universitario y dos especializaciones. Se trabaja

día a día para darle educación de calidad a el cuerpo estudiantil.

Figura 1. Estructura organizacional

Información del departamento de sistemas

Estructura organizacional del departamento de sistemas

Objetivos y funciones del departamento de sistemas

Departamento de Sistemas. El departamento de sistemas es el área encargada de

gestionar la infraestructura de TI en la corporación a nivel de hardware y software.

Jefe de Departamento de Sistemas. El Jefe de Departamento de sistemas es el

encargado de planificar y ejecutar las actividades y estrategias de TI en la corporación.

Coordinador de Infraestructura de TI. Es el responsable por la gestión y

mantenimiento de la infraestructura de TI.

Analista de TI. Profesionales responsables de ejecutar las estrategias de TI

trazadas por el Departamento.

Técnicos. Encargados de realizar tareas operativas y de mantenimiento

relacionadas con la estructura tecnológica.

Analistas de Sistemas. Profesionales responsables por la gestión y soporte de la

Infraestructura de TI a nivel de software.

Servicios que ofrece el departamento de sistemas

 Soporte técnico de hardware y aplicativos - Help Desk.

Información de los activos

Identificación de los activos

La tarea de identificar los activos de una organización es importante porque

permite establecer los siguientes factores:

 Dependencias entre los activos.

A continuación, se relacionan los activos de información que posee la empresa

luego de realizar las indagaciones necesarias.

[IS] Servicios Internos

[SW] Software (Aplicaciones)

 Sistema administrativo, financiero y académico

[HW] Hardware (Equipos)

[MEDIA] Soportes de Información

[AUX] Equipo Auxiliar

 Jefe de departamento de sistemas

Valoración de los activos

Para realizar la valoración de los activos se tendrá en cuenta la siguiente