Modelos y Estándares en Seguridad Informática

Fase 2. Desarrollar el análisis de riesgos en la organización

JOHN FREDY QUINTERO MENDEZ

79.469.309

CHRISTIAN REYNALDO ANGULO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
2019

INTRODUCCIÓN
 Objetivos

Objetivo General

Desarrollar el análisis de riesgos en la organización

Objetivos Específicos

 Reconocer la importancia del análisis de riesgos en una organización

 Diseñar el análisis de riesgos usando la metodología MAGERIT
 Aplicar controles derivados de un análisis de riesgos.
 DESARROLLO

Es de conocimiento general que toda compañía está expuesta a riesgos; teniendo en

cuenta que no existe un entorno 100% seguro y que la exposición a los riesgos es
constante.
Por tal motivo toda compañía debe estar alerta a cualquier cambio o situación extraña
que se considere podría afectar negativamente a un activo, a un dominio o a toda su
organización.

1. Identificación de activos:

Esta tarea es crítica por que una, buena identificación permite realizar las siguientes
tareas:

 Establecer las dependencias entre los activos

 Permite valorar a los activos con precisión
 Ayuda a identificar y valorar las amenazas
 Escoge que salvaguardas serán necesarias para proteger el sistema

Se identifico los siguientes activos en la compañía Grupo ASD:

[IS] Servicios Internos

Para los empleados, de la organización se presta los siguientes servicios:

• [TELF_PIB] TELEFONÍA IP
• [INTERNET_PIB] INTERNET

[SW] Aplicaciones (Software)

Entre las aplicaciones que ostenta la institución tenemos los siguientes:

• [SIS_PIB] BIZNET
• [OFF_PIB] OFIMÁTICA
• [AV_PIB] ANTIVIRUS
• [OS_PIB] SISTEMA OPERATIVO
• [OTR_PIB] OTROS SOFTWARE
[HW] Equipos
Dentro de los equipos informáticos que posee la institución tenemos los siguientes:

• [SDB_PIB] SERVIDOR DE BASE DE DATOS

• [PRINT_PIB] MEDIOS DE IMPRESIÓN
• [PC_PIB] COMPUTADORAS DE ESCRITORIO
• [ROUTER_PIB] ROUTER

[COM] Comunicaciones
A través de los siguientes medios de transporte de información tenemos:

• [IPPHONE_PIB] TELEFONÍA IP
• [WIFI_PIB] RED WIFI
• [LAN_PIB] RED LAN
• [IEX_PIB] INTERNET

[AUX] Equipamiento Auxiliar

La empresa cuenta con los siguientes equipos auxiliares:

• [GEN_PIB] GENERADOR ELÉCTRICO

• [CABLING_PIB] CABLEADO
• [MOB_PIB] MOBILIARIO
• [SISVG_PIB] SISTEMA DE VIGILANCIA
• [ANT_PIB] ANTENAS
• [RAD_PIB] RADIOS
• [SAI_PIB] SISTEMA DE ALIMENTACIÓN ININTERRUMPIDA
• [AUXOTR_PIB] OTROS EQUIPOS AUXILIARES

TIPO ACTIVOS
Servicios Grupo ASD una empresa colombiana con
36 años de experiencia ofreciendo
Soluciones de Tercerización de Procesos
de Negocio BPO (Business
ProcessOutsourcing) y Soluciones
Tecnológicas de Información (IT
Information Technology) en los sectores
 Gobierno, Salud, Financiero, Educación,
Industria y Telecomunicaciones.
Datos/ Cuando se concibió nuestra empresa era
Información un sueño, pero con el transcurrir de los
años, con trabajo, constancia, amor por lo
que se hace, pasión, respeto hacia
nuestros clientes, se fue dando forma y hoy
tenemos la empresa líder en Colombia
llevando a cabo Soluciones de
Tercerización de Procesos de Negocio
BPO (Business Process Outsourcing) y
Soluciones Tecnológicas de Información
(IT Information Technology). Reglamento
interno de trabajo, procesos, formatos,
Código Fuente: página web de la
empresa(http://www.grupoasd.com.co)
Código Ejecutable: agenda
Aplicaciones (Software) Programas, aplicativos, correo Outlook,
gmail, etc, páginas Web, firewall, sistemas
operativos (Windows. Linux), programa de
control de acceso, Windows server, etc.
Equipos informáticos Computadores, servidor, planta telefónica,
cámaras de seguridad, switches, etc.
Hardware Impresoras, teléfonos, scanner, lectores,
pantallas, teclado.
Redes de Comunicaciones Red Local
Internet
Red telefónica
Red inalámbrica
Soportes de Información Discos Duros
Memorias
USB
 Blu-ray
Dvd
Instalaciones Calle 32 No.13 - 07
Personal Gobierno, salud, financiero, industria,
educación, Telecomunicaciones

Valoración de los activos

Para cada valoración conviene tomar en consideración la siguiente información:

• Dimensiones en las que el activo es relevante

• Estimación de la valoración en cada dimensión

 Criterios de la valoración

Nivel Criterion
10 Nivel 10
9 Nivel 9
8 Nivel 8(+)
7 Alto
6 Alto(-)
5 Medio(+)
4 Medio
3 Medio(-)
2 Bajo(+)
1 Bajo
0 Depreciable

Dimensiones:

D: Disponibilidad
I: Integridad de los datos
C: confidencialidad de los datos
A: autenticidad de los datos y usuarios
T: Trazabilidad del servicio
 Dimensiones
Activos
[D] [I] [C] [A] [T]
Servicios internos
Telefonía IP [6] [7] [7]
Internet [8] [8]
Aplicaciones
Biznet [9] [9] [9] [9]
Ofimática [7]
Antivirus [7]
Sistema Operativo [7]
Otros Software [5]
Equipos
Servidor de Base de Datos [9] [9] [9] [9]
Medios de Impresión [6]
Computadoras de Escritorio [8]
Router [8]
Comunicaciones
Telefonía IP [7]
Red WIFI [7]
Red LAN [7]
Internet [7] [7]
Equipos Auxiliares
CABLEADO
Mobiliario [7]
Sistema de Vigilancia [7]
Antenas [7]
Radios [7]
Sistema de Alimentación Ininterrumpida [7]
Otros Equipos Auxiliares [5]
Soportes de Información
CD [7] [7]
Instalaciones
Edificio [8]
Personal
Jefa del Dto. Financiero [8]
Mantenimiento BD [7]
Mantenimiento EQ [7]
Jefa del Dto. de Contabilidad [8]
Jefa del Dto. de Logística y Compras [8]
Jefa del Dto. de Personal [8]
Auxiliar de Contabilidad [7]
Digitadora [6]
Tabla #. Valor Propio de los Activos
 REFERENCIAS

 Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y

Crédito Jardín Azuayo utilizando la metodología Magerit,,
http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 38.

 Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y

Crédito Jardín Azuayo utilizando la metodología Magerit,
http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 39

 Magerit-versión 3 .0 Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información, Libro 1-Método, https://www.ccn-
cert.cni.es/publico/herramientas/pilar5/magerit/ç, p 37