1

INTRODUCCIÓN

Actualmente los riesgos informáticos han aumentado debido al crecimiento de las

tecnologías de la información. Cualquier máquina que esté conectada a internet ya está
expuesta a muchas amenazas, una de ellas es el aumento de ataques informáticos.
Una de las maneras de prevenir es siempre actuar de manera anticipada, detectando
las vulnerabilidades, técnicas y herramientas que nos ayuden a detectar estas fallas y
así poder de alguna manera realizar la corrección y mitigar estas vulnerabilidades.

Téngase en cuenta que la información es el activo más importante de una

organización ya que constituye el funcionamiento de la misma, esta a su vez se
encuentra expuesta a diferentes niveles de amenazas, las cuales pueden ser evaluadas
a través de un análisis detallado de los riesgos para generar controles, medidas de
protección y seguridad que permiten mitigar su vulnerabilidad y que ayudan a mantener
su disponibilidad, integridad y confiabilidad.

Son muchas las metodologías utilizadas para el análisis de riesgos, pero todas
parten de un punto común: la identificación de activos de información, es decir todos
aquellos recursos involucrados en la gestión de la información, que va desde datos y
hardware hasta documentos escritos y el recurso humano. Sobre estos activos de
información es que se hace la identificación de las amenazas o riesgos y las
vulnerabilidades.

Es importante lograr identificar y evaluar el tipo y nivel de los riesgos y las

características particulares a los cuales se encuentra expuesta la organización ya que
esto diagnostica los posibles efectos, dimensión de daños que puede ocasionar un
incidente y hasta las consecuencias sociales y económicas que puede determinar
inclusive el futuro de la organización.
 2

Por lo tanto, resulta de gran importancia para el área de IT responsables de la

seguridad informática, el desarrollar habilidades y criterios de como identificar, gestionar
y mitigar los riesgos a los que se expone la información, teniendo en cuenta las
políticas, estándares y normas de seguridad de Ley actuales, considerando que los
riesgos pueden tener múltiples orígenes y efectos sobre la infraestructura tecnológica
de la organización.

Hoy día las redes mueven nuestro mundo, cada vez que necesitamos hacer
cualquier operación nos vemos en la necesidad de acudir a ellas, el caso a tratar es una
institución educativa en la ciudad de Riohacha, donde se aplicara el modelo de gestión
de seguridad de la información basándose en la norma ISO 27005 y la guía de gestión
de riesgos orecida por el ministerio de las tics, se aplicara según criterio institucional
basándonos en datos supuestos.
 2

Frecuencia
Activo / Nivel
Nro. de Categoría Factores de Descripción de Tipo o categoría
Activo Descripción del activo Proceso actividades / Amenaza Vulnerabilidad Consecuencia Propab Nivel de Impacto Acciones Zona de riesgo
riesgo del activo Riesgo del riesgo amenazas del riesgo
proceso ilidad
Nivel
- Instalacion de
software dañino
- Afectación a las
Falta de control de configuraciones Establecer politica y procedimiento
Este es un computador que hace asignación de roles y realizadas por el que garantice que los usuarios de
funciones de servidor, en el que permisos en la creación fabricante servidores tenga el minimo de
Servidor actualmente se encuentra instalado el Gestion de la Perdida de - Borrado de - Acceso no de usuarios en el - Eliminar la bases de permisos que les permita realizar
1 SISCO sistema SISCO. Hardware Humano tecnología información información autorizado servidor. datos 5 Posible Considerable Alto sus funciones. Importante
Implementar mediadas que
permitan el cierre y bloqueo de
En el sistema Sisco, se inemediato de un usuario cuando
- Suplantacion de encuentran un total de - Alteración en este ya no labora en la compañia,
usuarios 34 usuarios informes contables realizar tareas periodicas de
configurados y activos, - Divulgacion no mantenimientos de los usuarios
- Acceso no
Este es un computador que hace se logró identificar que autorizada de que ya no hacen parte de la
funciones de servidor, en el que - Perdida de autorizados 28 usuarios (82%) información de clientes empresa y tambien de los que
Servidor actualmente se encuentra instalado el Gestion de la Perdida de confidencialidad - Alteración de corresponden a - Sanciones legales Probabl estan activos, para asi llevar un
2 SISCO sistema SISCO. Software Humano tecnología confidencialidad - Fuga de información información personal retirado - Daño reputacional 5 e Moderado Alto control efectivo. Importante
Definir protocolos de seguridad
- Acceso no para las contraseñas,Las
autorizados - Alteración de contraseñas usadas por los
- Suplantación de información financiera trabajadores deben ser revisadas y
usuarios El sistema SISCO no de los clientes cambiadas con regularidad y evitar
exige el cambio - Sanciones Legales en todo momento emplear
- Robo de
periódico de - Imcumplimiento a ley contraseñas que coincidan con el
Sistema de irformacion que permita la - Informacion credenciales contraseña, ni de habeas data nombre de la empresa, con
Sistema administración de contabilidad de Aplicación Plataforma Gestion de basica y esencial - Perdida de -Ataques de fuerza parámetros mínimos de - Sanciones Casi números de teléfono o con
3 SISCO conjuntos residenciales informática tecnológica contabilidad - Datos o registros. confidencialidad bruta complejidad, economicás 5 seguro Moderado Alto direcciones. Menor
El sistema SISCO no
tiene implementados
- Informacion Instaurar medidas y/o protocolos de
- Ataques de fuerza controles para bloqueo
basica y esencial - Perdida de seguridad, que permitan determinar
Sistema de irformacion que permita la - Datos o registros. confidencialidad bruta de usuarios por - Afectación en los el número de intentos de inicio de
Sistema administración de contabilidad de Aplicación Plataforma Gestion de - Aplicativo - Perdidad de - Accesos no intentos fallidos de niveles de servicios Probabl sesión fallidos que haga que una
4 SISCO conjuntos residenciales informática tecnológica contabilidad informaticos disponibilidad autorizados acceso, - Sanciones Legales 5 e Moderado Alto cuenta de usuario se bloquee Importante
- Fuga de información Se requiere de una adaptación
- Perdida de constante a las nuevas
confidencialidad - Acceso no El sistema SISCO necesidades y tecnologias del
- Perdidad de autorizado utiliza para su - Daño reputacional de mercado, por eso es importante
disponibilidad funcionamiento la empresa invertir para renovar y/o actualizar
- Software malicioso
- Perdida de archivos de base de - Sanciones legales el software utilizado para que
Sistema de irformacion que permita la integridad - Empleados datos en una - Sanciones ofrezca las mejores prestaciones y
Sistema administración de contabilidad de Aplicación Plataforma Gestion de - Borrado de insatisfechos tecnología obsoleta e economicas Casi asu vez no permita las brechas de
5 SISCO conjuntos residenciales informática tecnológica contabilidad - Datos o registros información - Sabotaje insegura. - Perdida de clientes 5 seguro Catastrófico Alto seguridad. importante
La herramienta
“TeamViewer
- Acceso no QuickSupport” se
autorizado accede remotamente al
- Ataques de fuerza equipo de cómputo
donde está instalado el El ingreso al aplicativo debe contar
TeamViewe bruta
sistema SISCO, toda con un pin el cual debe ser
r Herramienta que permite la conexion - Alteración de vez que solo se exige - Afectación en los instalado en los equipos
QuickSupp remota con otro equipo que puede Aplicación Plataforma Gestion de - Perdidad de información un código de acceso de niveles de servicios Probabl autorizados para que cada ingreso
7 ort estar en una red diferente. informática tecnológica contabilidad - Datos o registros. disponibilidad - Sabotaje 4 dígitos. - Sanciones Legales 5 e Mayor Alto cuente con una clave de seguridad Importante
El acceso al equipo de
cómputo donde se Se deben definir los roles y perfiles
encuentra instalado el - Afectación en los de los usuarios de los equipos
- Informacion sistema SISCO se niveles de servicios informáticos, con el objetivo de
Este es un computador que hace basica y esencial realiza con la cuenta - Perdidas economicas autorizar y controlar la información.
funciones de servidor, en el que - Datos o registros. - Deficiencia en la que tiene el máximo - Daño en la y sólo se debe asignar al usuario
Servidor actualmente se encuentra instalado el Gestion de - Aplicativo asignación de roles y - Perfiles de usuarios nivel de privilegios configuración del Casi los permisos necesarios para
8 SISCO sistema SISCO. Hardware Procesos contabilidad informaticos permisos con control total “Administrador Servidor 5 seguro Mayor Alto ejecutar la tarea requerida. importante
- Personal de TI sin No existen medidas de - Sanciones legales
- Perdida de experiencia control al interior de la - Sanciones
confidencialidad - Sabotaje red corporativa de XYZ económicas
Son las conexiones que se establecen - Perdida de - Daño reputacional Administrar los privilegios de
- Empleados que limite el acceso a
entre los distintos equipos y servidores, Integridad - Alteracion de acceso específicos de carpetas y
que permiten la interconectividad e - Fuga de información insatisfechos las carpetas infomarmacón contable específicos del los usuarios,
Red intercambio de información entre los Gestion de Redes de - Perdida de - Accesos no compartidas utilizadas - Divulgación de datos Casi configurar un servicio de directorio
9 Informatica diferentes componentes de la red. Hardware Infraestructura contabilidad comunicaciones disponibilidad autorizados por el sistema SISCO. privados 5 seguro Mayor Alto como un dominio Windows o LDAP. Importante
No existen controles
automáticos que
limiten el acceso a
internet por parte de los
funcionarios de XYZ;
adicionalmente, es Limitar el acceso Internet Para ello
posible realizar la - Sanciones legales utilizar un Firewall, este cortafuegos
- Software malicioso instalación de software - Sanciones ayuda a proteger los ordenadores y
Este Servicio permite que los usuarios - Empleados sin ningún tipo de económicas a su vez implementar medidas de
de la red informática puedan hacer uso - Daño reputacional control para la instalacion de
insatisfechos restricción en los
de diferentes herramientas publicadas - Alteracion de software no deseado para
de Internet, tales como: buscadores, Terceros o - Perdida de - Accesos servicios equipos de cómputo infomarmacón contable contrarrestar la instauracion de
Servicio de bancos, redes sociales, servicios de agentes Gestion de Redes de confidencialidad de mensajeria no encargados de operar - Divulgación de datos posible malware y otras amenazas
10 Internet correo electrónico, entre otras. Servicios externos contabilidad comunicaciones - Fuga de información autorizados el sistema SISCO privados 5 Posible Mayor Alto de seguridad. importante
3