Ges Consult or

Asignatura Datos del alumno Fecha
Apellidos: ORTEGAMORENO
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Actividades
Trabajo: Gestin del riesgo en una organizacin
Introduccin
Este trabajo consiste en la realizacin de la apreciacin y tratamiento del riesgo de una

organizacin de forma automatizada, utilizando para ello la plataforma
GESCONSULTOR.
Como alumno del Mster dispondrs de un usuario y contrasea que te facilitar el

acceso a un proyecto de GESCONSULTOR en una instancia Cloud.
Una vez finalices el ejercicio debers subir los resultados a la plataforma de UNIR.
Modelo de la organizacin: Arquitectura empresarial
Cuando accedas al proyecto encontrars ya disponible un modelo parcial de la

arquitectura empresarial de un ayuntamiento local.
Para modelar la organizacin, la plataforma GESCONSULTOR ha sido pionera en la

utilizacin estndares de arquitectura empresarial, lo que nos permitir su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta prctica.
Adems, contaremos con otra ventaja, que ser la posibilidad de disear el modelo de
forma 100% grfica.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

prcticas internacionales (ver TOGAF1), una descripcin de la organizacin por capas:
Capa de negocio: entre otros, una descripcin de los servicios de negocio

prestados por la compaa o productos comercializados, los procesos de negocio
mediante los que se organizacin presta esos servicios o genera esos productos, as
como las partes que contribuyen a la ejecucin de esos procesos (roles de negocio,
actores de negocio personas u organizaciones ).
Capa de aplicacin: los sistemas de informacin de la compaa, detallando los
servicios automatizados que prestan esos sistemas de informacin (similar a
'funcionalidades' individuales o conjuntos de funcionalidades 'mdulos'
disponibles para los usuarios).
Capa de tecnologa: entre otros, los elementos de la infraestructura de
informtica/computacin y comunicaciones que constituyen esos sistemas de
informacin utilizados por la compaa. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:
o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos como un clster MySQL compuesto de tres servicios MySQL que corren
sobre tres mquinas fsicas o virtuales distintas -).
o Mquinas fsicas o virtuales, generalizndolas en el concepto de host, que tendr
una direccin IP de red asociada, que puede contener servicios software
publicados a travs de una IP y puerto TCP/UDP.
o Infraestructura de virtualizacin, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualizacin, etc.
o Infraestructura hardware, sobre la que corrern los host fsicos o la
infraestructura de virtualizacin.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes fsicas
(bridges) de los que unen redes lgicas (routers).
o Redes, tanto lgicas (como las redes TCP o, a otro nivel de abstraccin, las VLAN)
como fsicas (Ethernet, WiFi, Punto a Punto, etc.).
1
TOGAF 9.1 Gua de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 Documentacin oficial: https://www2.opengroup.org/ogsys/catalog/q091
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Con carcter transversal, se pueden definir tambin ubicaciones, que permitirn

geo-posicionar especialmente los activos fsicos, aunque se permite ubicar
geogrficamente cualquier tipo de activo en general.
Tambin es posible definir grupos que incluirn uno o varios activos y que
permitirn llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las mquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.
Modelo inicial facilitado
Cuando accedas al proyecto encontrars un modelo de arquitectura empresarial ya

parcialmente elaborado de un Ayuntamiento. Su diseo visual ser similar al siguiente:
Tramitacin
expedientes
0 h.
Tramitacin
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.
2 Expedientes 0 h. Tcnico Responsable

Funcionarios en papel informtico de la oficina
0 h. 0 h.
Correo Conexin a Almacenamiento Almacenamiento Aplicacin

electrnico Internet en red local remoto tramitacin exp.
0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores
0 h. 0 h.
Oficina
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
En el mismo encontrars los siguientes activos:
Servicios de negocio:
Prestados a usuarios externos
o Tramitacin de expedientes
Prestados a usuarios internos
o Correo electrnico
o Almacenamiento remoto
o Almacenamiento en red local
o Conexin a Internet
Servicios subcontratados
Datos
Informacin de los expedientes
Software
Aplicacin para la tramitacin de
expedientes
Hardware
4 PCs
1 Servidor Elementos auxiliares
Equipamiento de
comunicaciones
Red de rea local (LAN)
Firewall
Instalaciones
Oficina
Sala de Equipos (Data Center).
Personal
Un responsable de la oficina.
Dos funcionarios.
Un informtico externo a tiempo
parcial.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Como puedes apreciar en el esquema anterior, tan importante es identificar/inventariar/modelar los activos, como
identificar/inventariar/modelar las relaciones entre los activos.
Estas relaciones entre Activos sern las que permiten determinar:
1. Cmo se propagar la criticidad o valor del activo a todos aquellos que requiere para el desarrollo de sus funciones (recorriendo las
relaciones hacia abajo, desde el activo cuya criticidad o valor ha sido apreciada, a todas sus dependencias inferiores, directas o
indirectas).
2. Cmo se propagar un incidente de seguridad (sobre la confidencialidad, integridad o disponibilidad) que se ha materializado sobre un activo
(recorriendo las relaciones hacia arriba, desde el activo done se ha materializado el evento hacia sus dependencias superiores).
Sobre estos activos que han sido identificados podremos, posteriormente, identificar escenarios de riesgo, analizarlos (la probabilidad de
ocurrencia de unas consecuencias estimadas) y evaluarlos (conforme a los criterios de aceptacin del riesgo definidos, para considerar si son
aceptables o inaceptables para la organizacin).
Qu debes hacer: desarrollo del trabajo
PARTE 1: Completando el modelo de Arquitectura Empresarial
El objetivo de la primera parte del trabajo es:
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
o Completar el modelo de arquitectura empresarial con un mnimo de (se valorar positivamente que el modelo incorpore hasta 20 nuevos
activos):
Dos nuevos activos en la capa de negocio.

Tres nuevos activos en la capa de aplicacin.
Cinco nuevos activos en la capa de tecnologa.
Entrega:
Para entregar la actividad debers adjuntar un documento en formato PDF (preferiblemente) o Word que contenga capturas y una
explicacin:
Del razonamiento seguido para aadir los activos que hayas determinado.
La criticidad que has definido explcitamente.
As como las relaciones (como mnimo las creadas entre los nuevos aadidos y los ya existentes).
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Razonamiento seguido para aadir los activos que se han determinado
Para el desarrollo del ejercicio se aadieron los activos determinados al esquema anterior teniendo en cuenta las necesidades de conectividad y
flujo de informacin de las dependencias citadas, se tom como ejemplo un departamento financiero en una empresa que suministra energa
elctrica acoplado a la tramitacin de expedientes y los diferentes accesos que esa financiero. De tos pueden tener para la tramitacin de
expedientes.
En la capa de negocio se citaron los diferentes departamentos del sistema financiero, de igual manera los diferentes sistemas de informacin y
aplicaciones a las cuales pueden acceder como proceso de aplicacin teniendo en cuenta su perfil de negocio. En cuanto a la capa de tecnologa,
como respaldo en la proteccin de los datos cuentan con un servidor de respaldo antes de llegar la informacin al servidor principal denominado
DOCUMENT.
En base a la necesidad planteada frente a la tramitacin de la informacin, para este caso la comunidad de usuarios de los diferentes
departamentos podr acceder nicamente a las aplicaciones que tienen asignadas obedeciendo al mnimo privilegio como es el caso del sistema
de informacin SUPER NOVA, para realizar las diferentes tareas activando protocolos necesarios en casos especiales asegurando la integridad y
confidencialidad de la aplicacin.
Criticidad que has definido explcitamente
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Referente a la seguridad de la informacin
Triada de Informacin Nivel de Riesgo Descripcin

Confidencialidad Medio Aunque la informacin que
contienen los activos
referentes a la facturacin
sin la presencia de
informacin del sistema de
facturacin esta no es de
gran valor.
Es importante tener en
cuenta que esta
informacin no es de
ndole pblica ni debe
estar accesible a personal
no autorizado.
La informacin
almacenada en la
aplicacin de
consignaciones no es
confidencial, puede ser
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
vista por usuarios externos

sin que esto quiera decir
que puede ser de acceso al
publico
Integridad Alto La informacin contenida
por la aplicacin es de
suma importancia para
procesos de auditoria, su
almacenamiento debe
asegurar que el archivo no
sufra cambios con el paso
del tiempo.
La informacin contenida
por la aplicacin de
consignaciones es de suma
importancia para realiza
procesos de
mantenimiento
importantes en los cuales
interviene el factor
humano
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Disponibilidad Medio En caso de que la

informacin no est
disponible de un momento
a otro la empresa no
detendr procesos de
facturacin ni servicio,
pero si se ver obstruida en
proceso de auditora que
retrasaran la solucin a
conflictos con terceros
llevando incluso a solicitar
de nuevo la informacin al
banco, la cual solo el
ltimo mes est disponible
de manera automtica,
para solicitar informacin
de tiempo anterior se
deber realizar una
solicitud formal al banco y
esperar su respuesta.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
En caso de que la
informacin de la
aplicacin de
consignaciones no est
disponible de un momento
a otro la empresa se ver
sometida a un colapso en
sus procesos de
mantenimiento preventivo
y correctivo alrededor de
un da, hasta poner en
funcionamiento un modelo
manual.
Relaciones aadidas.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Como se mencion anteriormente se adapt el diagrama expuesto en lo posible a un sistema financiero. Al diagrama expuesto inicialmente se le
agregaron las relaciones:
Como capa de negocio se agrega un Sistema Financiero, acompaado por los departamentos de Financiera, Control interno, Gerencia,
Prdidas, Cartera, Facturacin, Matriculas. Cada uno de estos con su correspondiente puesto de trabajo.
Se agregan como capa de aplicaciones los servicios de sistemas de informacin Almacenamiento de red local y Tramitacin de
expedientes como gestin hacia la tramitacin de expedientes a travs de un sistema de informacin denominad SPER NOVA la cual ser
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
manejada de acuerdo a su mnimo privilegio por los diferentes departamentos la cual cuenta con su Servidor de respaldo antes de llegar al
servidor principal al cual se ha denominado DOCUMENT. Este ltimo es enlazado al proceso de tramitacin y tramitacin de expedientes.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Los diferentes departamentos del sistema financiero tambin pueden acceder al servidor principal DOCUMENT a travs de un Servidor de
almacenamiento remoto y el sistema de informacin de Almacenamiento Remoto as como tambin de Correo Electrnico que
cuenta con un servidor de respaldo.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Del modelo inicial se toma tambin el equipo tcnico en sistemas como soporte a la red y medios tecnolgicos del sistema financiero de
igual manera realizan el monitoreo y control de acceso a internet a travs del Departamento de sistemas, los cuales tambin tienen acceso
servidor principal DOCUMENT, y como alternativa de acceso al mismo al servidor de almacenamiento remoto como acceso al proceso de
tramitacin y tramitacin de expedientes.
De igual manera se ha dispuesto de una funcin de negocio denominada Bancos, con un Responsable y Funcionarios, est asociado al
sistema de informacin denominado Software de consignaciones, as como tambin de Correo Electrnico junto sus
correspondientes servidores de respaldo, como acceso al proceso de tramitacin y tramitacin de expedientes.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
De igual manera se suma un responsable del contac center el cual tiene acceso al sistema de informacin de SPER NOVA y Correo
Electrnico
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Por ultimo tenemos una sala de CPD donde se encuentran cada uno de los servidores citados. Junto a un sistema de refrigeracin y
proteccin contra incendios
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Valoracin B.I.A
Confidencialidad Integridad Disponibilidad

Negocio Existe un dato sensible que hay que proteger Aunque no dae directamente los Adopcin de medidas que
y es la clave de encriptacin. La clave sistemas informticos, un tercero que permitan prevenir
puede/debe viajar por la red, pudiendo ser consiguiera obtener de forma indebida interrupciones no
capturada mediante herramientas diseadas informacin puede causar perjuicio autorizadas/controladas de
para ello. Si se produce esta situacin, la importante al ser modificados. los recursos informticos
confidencialidad de la operacin realizada
(sea bancaria, administrativa o de cualquier
tipo) queda comprometida.
Legal En las organizaciones donde es aplicada la Adopcin de medidas que la integridad No tener acceso o
tendencia BOYD (Trae tu propio dispositivo) como es la firma digital la cual es uno disponibilidad a la
tiene el potencial de ahorrar costos y de los pilares fundamentales de la informacin cuando sea
mejorar la satisfaccin del usuario final, seguridad de la informacin. necesaria
Desde una perspectiva jurdica, muchas
cuestiones legales BYOD no tienen
resoluciones.
Estatutario Todas las personas que intervengan en el El contenido de los activos de Los activos de la
Tratamiento de datos personales que no informacin debe permanecer informacin solo pueden
tengan la naturaleza de pblicos estn inalterado y completo. Las ser obtenidos a corto plazo
obligadas a garantizar la reserva de la modificaciones realizadas deben ser por los usuarios que tengan
informacin que se encuentre en la red, registradas asegurndola los permisos adecuados
inclusive despus de finalizada su relacin confidencialidad
con alguna de las labores que comprende el
Tratamiento.
Regulatorio
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Contractual Todo personal de la organizacin asociado de Todo personal de la organizacin Todo personal de la
manera contractual debe garantizar la asociado de manera contractual debe organizacin asociado de
confidencialidad de la informacin, garantizar la integridad de la manera contractual debe
incluyendo el software asociado en la informacin, incluyendo el software garantizar la disponibilidad
dependencia a la cual se encuentre adscrito, asociado en la dependencia a la cual se de la informacin,
el nivel de tareas que desempee y perfil de encuentre adscrito, el nivel de tareas incluyendo el software
uso de recursos de la informacin. que desempee y perfil de uso de asociado en la dependencia
recursos de la informacin. a la cual se encuentre
La misma instancia es aplicada a compaas La misma instancia es aplicada a adscrito, el nivel de tareas
de soporte informtico externas que se compaas de soporte informtico que desempee y perfil de
encuentren vinculadas a la organizacin de externas que se encuentren vinculadas uso de recursos de la
manera contractual a la organizacin de manera contractual informacin
La misma instancia es
aplicada a compaas de
soporte informtico
externas que se
encuentren vinculadas a la
organizacin de manera
contractual
Muy Bajo
Bajo
Medio
Alto
Muy Alto
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
PARTE 2: Realizando la apreciacin y tratamiento del riesgo
Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:
Identificar al menos diez escenarios de riesgo (se valorar positivamente la identificacin de hasta veinte escenarios de riesgo).
Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se materialicen las consecuencias apreciadas).
(Servicio de Sistema de Informacin) Almacenamiento red local
EVENTO FRECUENCIA CON INT DIS RIESGO

A.12 - Ataques deliberados: Anlisis de trfico Muy Baja 30% - 70% 30% - 70% 70% - 100% 3

A.05.01 - Ataques deliberados: Suplantacin de la identidad Media 0% - 30% 0% - 30% 0% 2
del usuario: Por personal interno

A.08 - Ataques deliberados: Difusin de software daino Muy Baja 30% - 70% 30% - 70% 0% - 30% 2
(Servicio de Sistema de Informacin) Almacenamiento Remoto

A.26.03 - Ataques deliberados: Ataque destructivo: Muy Baja 100% 100% 100% 4
Terrorismo
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
A.12 - Ataques deliberados: Anlisis de trfico Baja 30% - 70% 0% - 30% 70% - 100% 4

A.05.03 - Ataques deliberados: Suplantacin de la identidad Muy Baja 30% - 70% 0% - 30% 0% 2
del usuario: Por personas externas
(Funcin de Negocio) Bancos

A.26.02 - Ataques deliberados: Ataque destructivo: Bombas Muy Baja 0% - 30% 0% - 30% 100% 4

A.16 - Ataques deliberados: Introduccin de falsa informacin Media 100% 100% 0% - 30% 6
(Posicin/Cargo) Control Interno

A.30.02 - Ataques deliberados: Ingeniera social (picaresca): Media 100% 30% - 70% 0% 6
Ataque desde el interior

A.30 - Ataques deliberados: Ingeniera social (picaresca) Media 100% 30% - 70% 0% 6
(Servicio de Sistema de Informacin) Correo electronico

A.08.00 - Ataques deliberados: Difusin de software daino: Alta 0% - 30% 0% - 30% 70% - 100% 6
Gusanos
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

A.05.03 - Ataques deliberados: Suplantacin de la identidad Alta 70% - 100% 70% - 100% 70% - 100% 6
(Servidor) DOCUMENT

A.14 - Ataques deliberados: Interceptacin de informacin Baja 30% - 70% 30% - 70% 0% 3
(escucha)

A.03 - Ataques deliberados: Manipulacin de los registros de Baja 30% - 70% 30% - 70% 0% - 30% 3
actividad (log)

A.06 - Ataques deliberados: Abuso de privilegios de acceso Media 100% 100% 0% 6
(Puesto de Trabajo) Funcionario Banco

A.29.01 - Ataques deliberados: Extorsin: Ataque desde el Muy Baja 100% 100% 0% - 30% 4
exterior
(Sistema de Proteccin Contra Incendios) Sistema de proteccin contra incendios

A.26.01 - Ataques deliberados: Ataque destructivo: Muy Baja 0% 0% 100%
Vandalismo
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
(Sistema de Refrigeracin) Sistema de refrigeracin

A.26.01 - Ataques deliberados: Ataque destructivo: Muy Baja 0% 0% 100%
Vandalismo
(Servidor) Super Nova

A.03 - Ataques deliberados: Manipulacin de los registros de Baja 30% - 70% 30% - 70% 0% 3
actividad (log)

A.14 - Ataques deliberados: Interceptacin de informacin Baja 30% - 70% 30% - 70% 0% - 30% 3
(escucha)

(Servicio de Sistema de Informacin) Tramitacin de expedientes


A.11 - Ataques deliberados: Acceso no autorizado Baja 70% - 100% 70% - 100% 0% 4

A.19 - Ataques deliberados: Divulgacin de informacin Baja 100% 100% 0% 5
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se

materialicen las consecuencias apreciadas).
Se encuentran en el archivo adjunto a la actividad (Escenarios de Riesgo

Identificados)
Documentar los criterios de aceptacin del riesgo que se han considerado:
Nivel mximo de riesgo considerado directamente como aceptable.
Nivel mnimo de riesgo considerado directamente como inaceptable.
Indicar criterios de evaluacin adicionales que se hayan considerado:
Cisnes negros (probabilidad muy escasa pero consecuencias muy elevadas).
Otros criterios de negocio (por ejemplo, prdidas estimadas superiores a un importe,

prdida de vidas humanas, protestas de la ciudadana, etc.).
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
d. Evaluar los escenarios de riesgo conforme a los criterios de aceptacin del riesgo que
definamos (clasificndolos en aceptables e inaceptables. Se valorar negativamente que
haya riesgos en la franja de tolerables aquellos que se encuentran entre el nivel
mximo aceptable y el nivel mnimo inaceptable).
EVALUACION DE RIESGOS INICIAL TENIENDO EN CUENTA LOS

RIESGOS TOLERABLES
Se toma como base el ejemplo dado en clase.

Riesgos con nivel de 6 o superior es inaceptable
Elementos que generen un impacto alto aunque su probabilidad sea nfima ser
inaceptable
Riesgos con nivel 3 o inferior son ampliamente aceptables
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
UBICACIN DE RIESGOS TOLERABLES EN INACEPTABLES O

ACEPTABLES
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
EVALUACION DE RIESGOS LUEGO DE ESTABLECER CONTROLES A LOS

RIESGOS TOLERABLES Y UBICARLOS EN ACEPTABLES.
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Tratar TODOS los riesgos considerados como inaceptables:

(Servicio de Sistema de Informacin) Almacenamiento red local
EVENTO REGIN FRECUENCIA CON INT DIS RIESGO

A.12 - Ataques deliberados: Anlisis de trfico Ampliamente Muy Baja 30% - 70% 30% - 70% 70% - 100% 3
Aceptable
OPCIN DE TRATAMIENTO TRATAMIENTO

Modificacin del Riesgo Control: '05.1.1 - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
Informacin: Polticas de seguridad de la informacin: Direccin de la gestin de la
seguridad de la informacin: Polticas de seguridad de la informacin'. Operacin: 'In
Informacin: Organizacin de la seguridad de la informacin: Dispositivos mviles y
teletrabajo: Teletrabajo'. Operacin: 'Introduccin'
Informacin: Seguridad ligada a los recursos humanos: Durante el empleo:
Concienciacin, formacin y capacitacin en seguridad de la informacin'. Operacin:
'Introduccin
Informacin: Gestin de activos: Clasificacin de la informacin: Marcado de la
informacin'. Operacin: 'Introduccin'
Informacin: Control de acceso: Requisitos de negocio para el control de acceso: Acceso
a redes y servicios en red'. Operacin: 'Introduccin'

A.05.01 - Ataques deliberados: Suplantacin de la identidad Ampliamente Media 0% - 30% 0% - 30% 0% 2
del usuario: Por personal interno Aceptable
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestin
de las contraseas de usuario'. Operacin: 'Introduccin'
Modificacin del Riesgo Control: '11.2.3.comms - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
de las contraseas de usuario: contraseas de acceso a los servicios de co
Modificacin del Riesgo Control: '11.2.3.services - Cdigo de buenas prcticas para la Gestin de la Seguridad de
la Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones:
Gestin de las contraseas de usuario: contraseas de acceso a los servicios'.
Modificacin del Riesgo Control: '11.2.3.sw - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
de las contraseas de usuario: contraseas de acceso a las aplicaciones'. Ope

A.08 - Ataques deliberados: Difusin de software daino Ampliamente Muy Baja 30% - 70% 30% - 70% 0% - 30% 2
Aceptable

Modificacin del Riesgo Control: '05 - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
Informacin: Polticas de seguridad de la informacin'. Operacin: 'Introduccin'
Informacin: Control de acceso: Gestin del acceso de usuario: Revisin de derechos de
acceso de usuario'. Operacin: 'Introduccin'
Informacin: Gestin de operaciones: Control del software en explotacin: Instalacin de
software en sistemas operacionales'. Operacin: 'Introduccin'
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Informacin: Gestin de operaciones: Gestin de las vulnerabilidades tcnicas:

Restricciones a la instalacin de software'. Operacin: 'Introduccin'
Informacin: Adquisicin, desarrollo y mantenimiento de los sistemas: Seguridad en los
procesos de desarrollo y soporte: Externalizacin del desarrollo de software'. Opera
(Servicio de Sistema de Informacin) Almacenamiento Remoto

A.26.03 - Ataques deliberados: Ataque destructivo: Inaceptable Muy Baja 100% 100% 100% 4
Terrorismo

Informacin: Organizacin de la seguridad de la informacin: Organizacin interna:
Contacto con las autoridades'. Operacin: 'Introduccin'
Informacin: Seguridad ligada a los recursos humanos: Antes del empleo: Investigacin de
antecedentes'. Operacin: 'Introduccin'
Informacin: Seguridad ligada a los recursos humanos: Durante el empleo: Proceso
disciplinario'. Operacin: 'Introduccin'
Informacin: Seguridad ligada a los recursos humanos: Cese del empleo o cambio de
puesto de trabajo: Terminacin o cambio de responsabilidades laborales'. Operacin: 'Intr

A.12 - Ataques deliberados: Anlisis de trfico Ampliamente Baja 0% 0% 0% 1
Aceptable

TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE


A.05.03 - Ataques deliberados: Suplantacin de la identidad Ampliamente Muy Baja 30% - 70% 0% - 30% 0% 2
del usuario: Por personas externas Aceptable

Informacin: Relaciones con proveedores: Gestin de servicios prestados por terceros:
Gestin del cambio en los servicios prestados por terceros'. Operacin: 'Introduccin
Informacin: Adquisicin, desarrollo y mantenimiento de los sistemas: Requisitos de
seguridad de los sistemas de informacin: Aseguramiento de servicios y aplicaciones en
Modificacin del Riesgo Control: '15.2 - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
Informacin: Relaciones con proveedores: Gestin de servicios prestados por terceros'.
Operacin: 'Introduccin'
Contacto con grupos de especial inters'. Operacin: 'Introduccin'
(Funcin de Negocio) Bancos
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

A.26.02 - Ataques deliberados: Ataque destructivo: Bombas Ampliamente Muy Baja 0% 0% 0% 0
Aceptable

Informacin: Seguridad ligada a los recursos humanos: Antes del empleo'. Operacin:
'Introduccin'
Informacin: Seguridad ligada a los recursos humanos: Antes del empleo: Investigacin de
antecedentes'. Operacin: 'Introduccin'

A.16 - Ataques deliberados: Introduccin de falsa informacin Inaceptable Media 100% 100% 0% - 30% 6

teletrabajo: Teletrabajo'. Operacin: 'Introduccin'
Informacin: Control de acceso: Gestin del acceso de usuario: Gestin de la informacin
secreta de autenticacin de usuarios'. Operacin: 'Introduccin'
Informacin: Gestin de operaciones: Proteccin contra el cdigo malicioso: Controles
contra el cdigo malicioso'. Operacin: 'Introduccin'
Informacin: Seguridad de las comunicaciones: Transferencia de informacin: Polticas y
procedimientos de transferencia de informacin'. Operacin: 'Introduccin'
Informacin: Seguridad de las comunicaciones: Transferencia de informacin: Mensajera
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
electrnica'. Operacin: 'Introduccin'

(Posicin/Cargo) Control Interno

A.30.02 - Ataques deliberados: Ingeniera social (picaresca): Inaceptable Media 100% 30% - 70% 0% 6
Ataque desde el interior

teletrabajo'. Operacin: 'Introduccin'
teletrabajo: Poltica de dispositivos mviles'. Operacin: 'Introduccin'
Informacin: Seguridad de las comunicaciones: Transferencia de informacin: Acuerdos
de confidencialidad o no divulgacin'. Operacin: 'Introduccin'

A.30 - Ataques deliberados: Ingeniera social (picaresca) Inaceptable Media 100% 30% - 70% 0% 6

'Introduccin
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

Informacin: Cumplimiento: Cumplimiento de los requisitos legales y contractuales:
Proteccin de los documentos de la organizacin'. Operacin: 'Introduccin'
(Servicio de Sistema de Informacin) Correo electronico

A.08.00 - Ataques deliberados: Difusin de software daino: Inaceptable Alta 0% - 30% 0% - 30% 70% - 100% 6
Gusanos

Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones: Control
de acceso al cdigo fuente de los programas'. Operacin: 'Introduccin'
Modificacin del Riesgo Control: '12.1.1.sw - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
seguridad de los sistemas de informacin: Anlisis y especificacin de los requisito
Informacin: Gestin de operaciones: Gestin de las vulnerabilidades tcnicas:
Restricciones a la instalacin de software'. Operacin: 'Introduccin'
procesos de desarrollo y soporte: Restricciones a los cambios en los paquetes de sof
procesos de desarrollo y soporte: Externalizacin del desarrollo de software'. Opera
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

A.05.03 - Ataques deliberados: Suplantacin de la identidad Inaceptable Alta 70% - 100% 70% - 100% 70% - 100% 6

de las contraseas de usuario'. Operacin: 'Introduccin'
Modificacin del Riesgo Control: '11.2.3.comms - Cdigo de buenas prcticas para la Gestin de la Seguridad de la
de las contraseas de usuario: contraseas de acceso a los servicios de co
teletrabajo: Poltica de dispositivos mviles'. Operacin: 'Introduccin'
'Introduccin
(Servidor) DOCUMENT

A.14 - Ataques deliberados: Interceptacin de informacin Ampliamente Baja 30% - 70% 30% - 70% 0% 3
(escucha) Aceptable

Informacin: Seguridad de las comunicaciones: Gestin de la seguridad de las redes:
Controles de red'. Operacin: 'Introduccin'
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

Segregacin de redes'. Operacin: 'Introduccin'
Informacin: Gestin de incidentes de seguridad de la informacin: Gestin de incidentes
de seguridad de la informacin y mejoras: Notificacin de puntos dbiles de seguri

A.03 - Ataques deliberados: Manipulacin de los registros de Ampliamente Baja 30% - 70% 30% - 70% 0% - 30% 3
actividad (log) Aceptable

Informacin: Control de acceso: Gestin del acceso de usuario: Terminacin o revisin de
los privilegios de acceso'. Operacin: 'Introduccin'
seguridad de los sistemas de informacin: Anlisis y especificacin de los requisitos d
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
A.06 - Ataques deliberados: Abuso de privilegios de acceso Inaceptable Media 100% 100% 0% 6

Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones: Uso de
los recursos del sistema con privilegios especiales'. Operacin: 'Introduccin'
Informacin: Control de acceso: Requisitos de negocio para el control de acceso: Poltica
de control de acceso'. Operacin: 'Introduccin'
Informacin: Control de acceso: Gestin del acceso de usuario: Altas y bajas de usuarios'.
(Puesto de Trabajo) Funcionario Banco

A.29.01 - Ataques deliberados: Extorsin: Ataque desde el Ampliamente Muy Baja 0% 0% 0% 0
exterior Aceptable

Comparticin del Riesgo MEDIDAS DE PROTECCIN A FUNCIONARIOS DE LA ORGANIZACIN
Informacin: Seguridad ligada a los recursos humanos: Antes del empleo'. Operacin:
'Introduccin'
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
(Sistema de Proteccin Contra Incendios) Sistema de proteccin contra incendios

A.26.01 - Ataques deliberados: Ataque destructivo: Ampliamente Muy Baja 0% 0% 100%
Vandalismo Aceptable

Informacin: Seguridad fsica y del entorno: Equipos: Instalaciones de suministro'.
Informacin: Seguridad fsica y del entorno: reas seguras: Seguridad de oficinas,
despachos e instalaciones'. Operacin: 'Introduccin'
Informacin: Control de acceso: Requisitos de negocio para el control de acceso'.
(Sistema de Refrigeracin) Sistema de refrigeracin

A.26.01 - Ataques deliberados: Ataque destructivo: Ampliamente Muy Baja 0% 0% 100%
Vandalismo Aceptable

TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Informacin: Seguridad fsica y del entorno: reas seguras: Seguridad de oficinas,
despachos e instalaciones'. Operacin: 'Introduccin'
(Servidor) Super Nova

A.03 - Ataques deliberados: Manipulacin de los registros de Ampliamente Baja 30% - 70% 30% - 70% 0% 3
actividad (log) Aceptable

seguridad de los sistemas de informacin: Anlisis y especificacin de los requisitos d

A.14 - Ataques deliberados: Interceptacin de informacin Ampliamente Baja 30% - 70% 30% - 70% 0% - 30% 3
(escucha) Aceptable
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE

Controles de red'. Operacin: 'Introduccin'
Segregacin de redes'. Operacin: 'Introduccin'
Informacin: Gestin de incidentes de seguridad de la informacin: Gestin de incidentes
de seguridad de la informacin y mejoras: Notificacin de puntos dbiles de seguri


Informacin: Control de acceso: Gestin del acceso de usuario: Gestin de derechos de
acceso de los usuarios'. Operacin: 'Introduccin'
Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones:
Restriccin del acceso a la informacin'. Operacin: 'Introduccin'
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
(Servicio de Sistema de Informacin) Tramitacin de expedientes


Informacin: Control de acceso: Control de acceso al sistema y a las aplicaciones: Uso de
los recursos del sistema con privilegios especiales'. Operacin: 'Introduccin'

A.11 - Ataques deliberados: Acceso no autorizado Ampliamente Baja 0% - 30% 0% - 30% 0% 1
Aceptable

TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
Separacin de tareas'. Operacin: 'Introduccin'

Informacin: Organizacin de la seguridad de la informacin: Organizacin interna: Roles
y responsabilidades relativas a la seguridad de la informacin'. Operacin: 'Intro
Separacin de tareas'. Operacin: 'Introduccin'

A.19 - Ataques deliberados: Divulgacin de informacin Inaceptable Baja 100% 100% 0% 5

'Introduccin
Informacin: Cumplimiento: Cumplimiento de los requisitos legales y contractuales:
Proteccin de los documentos de la organizacin'. Operacin: 'Introduccin'
TEMA 1 Actividades
Anlisis de Riesgos
6 de junio de 2016
Legales
Nombre: OMAR JOSE
TEMA 1 Actividades

Ges Consult or

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ges Consult or

Uploaded by

Copyright:

Available Formats

Asignatura Datos del alumno Fecha

Trabajo: Gestin del riesgo en una organizacin

Este trabajo consiste en la realizacin de la apreciacin y tratamiento del riesgo de una

Como alumno del Mster dispondrs de un usuario y contrasea que te facilitar el

Modelo de la organizacin: Arquitectura empresarial

Cuando accedas al proyecto encontrars ya disponible un modelo parcial de la

Para modelar la organizacin, la plataforma GESCONSULTOR ha sido pionera en la

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores

Capa de negocio: entre otros, una descripcin de los servicios de negocio

Con carcter transversal, se pueden definir tambin ubicaciones, que permitirn

Modelo inicial facilitado

Cuando accedas al proyecto encontrars un modelo de arquitectura empresarial ya

2 Expedientes 0 h. Tcnico Responsable

Correo Conexin a Almacenamiento Almacenamiento Aplicacin

En el mismo encontrars los siguientes activos:

Estas relaciones entre Activos sern las que permiten determinar:

Qu debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

Dos nuevos activos en la capa de negocio.

Razonamiento seguido para aadir los activos que se han determinado

Criticidad que has definido explcitamente

Referente a la seguridad de la informacin

Triada de Informacin Nivel de Riesgo Descripcin

vista por usuarios externos

Disponibilidad Medio En caso de que la

Confidencialidad Integridad Disponibilidad

PARTE 2: Realizando la apreciacin y tratamiento del riesgo

(Servicio de Sistema de Informacin) Almacenamiento red local

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Servicio de Sistema de Informacin) Almacenamiento Remoto

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Funcin de Negocio) Bancos

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Posicin/Cargo) Control Interno

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Servicio de Sistema de Informacin) Correo electronico

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Puesto de Trabajo) Funcionario Banco

EVENTO FRECUENCIA CON INT DIS RIESGO

(Sistema de Proteccin Contra Incendios) Sistema de proteccin contra incendios

EVENTO FRECUENCIA CON INT DIS RIESGO

(Sistema de Refrigeracin) Sistema de refrigeracin

EVENTO FRECUENCIA CON INT DIS RIESGO

(Servidor) Super Nova

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

(Servicio de Sistema de Informacin) Tramitacin de expedientes

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

EVENTO FRECUENCIA CON INT DIS RIESGO

Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se