Fase 2 David Rosero Apa

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Especialización: Seguridad Informática

Curso: Riesgo y Control informático.
FASE 2. DEFINICIÓN DEL ALACANCE DE UN ANÁLISIS DE RIESGO.
PRESENTADO POR:
DAVID FERNANDO ROSERO G.
PRESENTADO A:
TUTOR: LUIS FERNANDO ZAMBRANO.
CURSO: RIESGO Y CONTROL INFORMATICO.
GRUPO: 233007-12.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD.

SEPT.-18
TABLA DE CONTENIDO
1. INTRODUCCION ..........................................................................................................................................3
2. OBJETIVOS. ..................................................................................................................................................4
2.1 OBJETIVOS ESPECIFICOS: ..................................................................................................................4
3. DESARROLLO DE LA ACTIVIDAD. ........................................................................................................5
3.1 DIAGNÓSTICO DE LA EMPRESA: ......................................................................................................5
3.2 ANALISIS DE RIESGOS. .........................................................................................................................7
3.2.1 CARACTERIZACIÓN DE ACTIVOS. ...............................................................................................8
3.2.2 CARACTERIZACIÓN DE AMENAZAS. ........................................................................................ 12
3.2.3 SALVAGUARDAS. ............................................................................................................................. 19
3.2.4 ALCANCES. ........................................................................................................................................ 21
3.3 PLAN DE TRATAMIENTO. ................................................................................................................. 21
4. CONCLUSIONES. ...................................................................................................................................... 28
BIBLIOGRAFIA. ................................................................................................................................................ 29
1. INTRODUCCION
Este documento presenta el análisis de riesgos, amenaza y vulnerabilidades que están concurrentes en la
empresa denominada Centro de Estudios Superiores Informáticos de Colombia, la cual se dedica al
servicio de la educación a distancia de manera virtual, este análisis se hace a través de la metodología de
control y riesgos Magerit, para determinar las salvaguardas que servirán como contingencia y ayuda en
los momentos en que se puedan presenten las crisis.

2. OBJETIVOS.
Realizar un análisis bajo la metodología de la gestión del Riesgo Magerit, para identificar las amenazas,
riesgos y vulnerabilidades que se presentan en la empresa denominada Centro de Estudios Superiores
Informativos de Colombia, en su área de informática.
2.1 OBJETIVOS ESPECIFICOS:
 Hacer un diagnóstico de la empresa Centro de Estudios Superiores Informáticos de
Colombia, específicamente en área de informática, identificando su actividad comercial,
estructura organizacional, cargos, funciones de los empleados y activos.
 Elaborar la caracterización de activos, y las amenazas, para comprender donde se deben
aplicar las salvaguardas a los posibles riesgos.

3. DESARROLLO DE LA ACTIVIDAD.
3.1 DIAGNÓSTICO DE LA EMPRESA:
Nombre de la Empresa: Centro de Estudios superiores Informáticos de Colombia.
Actividad Comercial: La empresa Centro de estudios superiores Informáticos de Colombia se enfoca
en el desarrollo de la formación académica a la población colombiana a través del uso de las Tecnologías
de la Información que permitan llegar a cualquier punto geográfico con un servicio académico de calidad
mediado por la virtualidad. Actualmente cuenta con 1800 estudiantes matriculados y el apoyo de 75
funcionarios (docentes, funcionarios administrativos y directivos) los cuales ingresan de forma regular a
dar consulta del material académico y cada mes a la entrega de un trabajo que permita soportar el buen
desarrollo de su proceso. Para dar respuesta a este requerimiento, el centro de estudios cuenta con un
departamento de sistemas que brinda soporte a la infraestructura tecnológica 7/24.
Estructura Organizacional del área de Informática: La empresa, Centro de estudios superiores
Informáticos de Colombia cuenta con la siguiente organización en el área de informática,
Imagen 1. Estructura Organizacional, área de informática. Fuente: Empresa simulada

Mapa Instalaciones Tecnológicas del área de informática: A continuación, se presenta el plano de las
instalaciones tecnológicas del área de informática.
Imagen 2. Plano locativo área de sistemas. Fuente: Empresa simulada
Cargos y funciones del área de Sistemas: a continuación, se relaciona los cargos y funciones según su
sección de trabajo en el área de sistemas.
Cargos Área de Trabajo Funciones del Área

Liderar el área, políticas de gobernanza
Jefe de Sistemas Sistemas
informática, plan SGSI
Soporte al acceso a la red institucional y a
-Director de Infraestructura
internet. Revisión de diseños de cableado
-Sub Director de Redes Área de
estructurado. Garantizar el acceso a redes con
-Profesional en seguridad de redes Infraestructura
privilegios, niveles de acceso, supervisión de la
-Técnico en Redes
seguridad en redes de toda la infraestructura.
Apoyo técnico a las áreas académico-
-Director de Desarrollo
administrativas del centro en desarrollo de
-Programador de desarrollo
medios eficientes para lograr actividades
-Especialista en
Área de desarrollo basadas en usos de tecnologías de la informática
Telecomunicaciones
y las telecomunicaciones. Vigilar la continuidad
-Profesional Académico.
del negocio y garantizar las funciones en línea
que la empresa tiene implementado.
Salvaguardar la información que se trasmite por

todo el sistema informático.
Mantenimiento de computadores (sólo equipos
propiedad del Centro). Generación de conceptos
técnicos para tramitar baja de equipos. Realiza
-Director de Soporte
copias de seguridad de los sistemas de
-Especialista en soporte
información y servidores virtuales que se
-Profesional en seguridad Área de Soporte
encuentran en el Departamento de Sistemas del
informantica
centro. Garantizar el buen funcionamiento ante
-Técnico en sistemas.
ataques o caídas del sistema, prestar la
seguridad mediante la gestión de la información.
Tabla 1. Cargos y funciones del área de sistemas. Fuente: elaboración propia.
3.2 ANALISIS DE RIESGOS.
El análisis de riesgos, según MAGERIT consta de los siguientes fundamentos que son: Activos,
Amenazas, Vulnerabilidades, riesgos y salvaguardas que están reglamentadas bajo el ISO-27001, para
este caso analizaremos a la empresa Centro de Estudios Superiores Informáticos de Colombia ubicada
en la ciudad de Pasto(N), dedicada al servicio de educación superior de manera virtual.
Activos: como primera medida hacemos el análisis de activos informáticos para la empresa a analizar.
ACTIVOS DESCRIPCION
Es la información sensible que la empresa ha producido, es un
[D] DATOS bien intangible.
[K] CLAVES Listado de Claves que usan lo trabajadores, según su nivel de
CRIPTOGRAFICAS acceso
[S] SERVICIOS Acceso a plataforma, registro y control, servicios académicos.
[SW] SOFTWARE Software para el desarrollo, soporte y manejo de plataforma

[HW] EQUIPAMENTO
INFORMÁTICO Terminales, periféricos, redes e infraestructura.
[COM] REDES DE
COMUNICACIONES Telecomunicaciones, redes, telefonía, nube, intranet
[Media] SOPORTE DE Backups, Servidores, dispositivos de almacenamiento,
INFORMACIÓN respaldos.
[AUX] EQUIPAMENTO
AUXILIAR Reguladores de energía, equipos móviles, muebles.
[L] INSTALACIONES Infraestructura, áreas y secciones de trabajo.
[P] PERSONAL Jefes, directores, Especialistas, Profesionales y técnicos.
Tabla 2. Descripción Activos de la empresa. Fuente: elaboración propia.
3.2.1 CARACTERIZACIÓN DE ACTIVOS.
Tabla de caracterización de activos: seguidamente se relacionan
Departamento de Sistemas
Nombre Descripción Cant. Uso Categoría Crítico
Es un computador de gran Usado para alojar el
capacidad, funciona bajo el sitio de web de ventas,
sistema LINUX que tiene 2 también tiene la
Servidor discos duros de 4tb c/u. función de manejar la Hardware/
1 SI
DHCP 32gb de RAM, doble BD datos de la página Software
procesador i7 de 7ma gen, web donde se venden
16 salidas de Red, 4 entras los artículos de
RED. Pantalla de 24" tecnología.
Servidor Modular, con gran Usado para el
Servidor
capacidad de almacenamiento de
PT Hardware/
almacenamiento contiene 1 matrículas, SI
(registro y Software
10 discos de 2tb, procesador cancelación,
Control)
Xeon de 8va historiales,
homologaciones,
registro de notas
Se encargar de enrutar
todas las lineas
telefónicas, discar,
Servidor Servidor de llamadas IP, Hardware/
1 enlazar y trasferir NO
PBX modelo ipbox Software
llamadas dentro del
departamento de
sistemas
Se encarga de
Switch Cisco con 48 salidas
Switch distribuir el acceso a
para termínale, procesador 1 Hardware SI
2690 internet a todos los pc
APM6392, ram 512Gb
conectados
Encargado de brindar
Cortafuegos con IPS, Cahce seguridad a la red,
Corta
64gb, ram 256gb, 25000 evita ataques
Fuegos 1 Hardware SI
conexiones simultaneas, informáticos y
5505/ASA
permite IP y VPN garantiza la trasmisión
de la información.
Router Switch de conexión a Switch de conexión a
1 Hardware SI
2811 internet inalámbrica internet inalámbrica
Usados para la
atención a usuarios,
Red logística y
Telefonía Alámbrica 1 Hardware NO
Telefónica negociaciones con
proveedores-solo
Servicio Nacional
Campus Universitario
Cantida
Nombre Descripción Uso Categoría Crítico
d
Para uso de los
Computador ASUS i5 2tb Hardware/
Portátil 2 Estudiantes en NO
8gb de 15" Software
consultas.
Router Extiende la cobertura
Router wifi- Repetidor
Repetidor 2 de la señal wifi por Hardware SI
300mb/s 2 antennas
WRT300N campus universitario
Gestionan las redes,
recursos compartidos
4 puertos de enlace
HUB PT 4 de los equipos clientes, Hardware SI
100mbps/ethernet dúplex
usados en redes tipo
estrella
Sala de Internet
Cantida
d
Se encarga de
para terminale, procesador 1 Hardware SI
APM6392, ram 512Gb
conectados
Son los terminales para
Pc Mesa: Pantalla de 24",
el uso de actividades Hardware/
PC-PT Disco 1tb, Intel i5 de 7ma, 30 SI
académicas del centro Software
Ram 4gb
educativo
Usados para la
Red logística y
proveedores-solo
Servicio Nacional
Sala de Sistemas
Cantida
d
Ram 4gb
educativo
Se encarga de
APM6392, ram 512Gb
conectados
Usados para la
Red logística y
proveedores-solo
Servicio Nacional
Sala de Contabilidad
Cantida
d
RAM 4gb
educativo
Se encarga de
APM6392, ram 512Gb
conectados
Usados para la
Red logística y
proveedores-solo
Servicio Nacional
Sala de Registro y Control
Cantida
d
Ram 4gb
educativo
Se encarga de
para termínale, procesador 1 Hardware SI
APM6392, ram 512Gb
conectados
Usados para la
Red logística y
proveedores-solo
Servicio Nacional
Imprime hojas a blanco
Impresora Hp Laser Jet pro M125a 1 y negro, con sistema en Hardware NO
polvo
Sala de Profesores
Cantida
d
Ram 4gb
educativo
Se encarga de
APM6392, ram 512Gb
conectados
Usados para la
Red logística y
proveedores-solo
Servicio Nacional
Imprime hojas a blanco

Impresora Hp Laser Jet pro M125a 1
y negro, con sistema en Hardware NO
polvo
Departamento Antiguo
Nombre Descripción cant Uso Categoría Crítico
Utilizado como el
Servidor Modular, con gran
Servidor respaldo de todo el
capacidad de
PT departamento de Hardware/
almacenamiento contiene 1 SI
(registro y sistema, es el soporte y Software
10 discos de 2tb, procesador
Control) el backup de todos los
Xeon de 8va
sistemas
Tabla 3. Caracterización de activos. Fuente: elaboración propia.
3.2.2 CARACTERIZACIÓN DE AMENAZAS.
Primero se debe identificar las amenazas que implican un riesgo para la empresa, por lo que se han
identificado algunas de estas que se relacionan en la siguiente tabla, con un factor de que ocurran a
manera de un evento probable que puede ocurrir en función del tiempo.
Factor de
Tipo de Riesgo
probabilidad
Robo informático. Alto
Crimeware Alto
Accesos no autorizados Alto
Alteración de información Alto
Falla de equipos Medio
Virus Informáticos Medio
Equivocaciones Medio
Phishing Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
Inundaciones Muy bajo
Vandalismo Muy bajo
Tabla 4. Factores de riesgo y factor de ocurrencia. Fuente: elaboración propia.
Identificamos las amenazas que se puedan presentar en cada activo que la empresa maneja y determinar
el factor de riesgo, la siguiente tabla muestra como puede afectar una amenaza un activo y la probabilidad
de que ese evento ocurra, esto se denomina factor de riesgo.
AMENAZA ACTIVO AFECTADO PROBABILIDAD

Aplicativos Bajo
Equipos Bajo
Robo o perdida Hardware Medio
Redes Bajo
Soportes de Datos Medio
Información Sensible Medio
Software Bajo
Acceso no Equipos Alto
autorizado /
Hardware Medio
Intrusiones /
ataques Redes de Comunicaciones Bajo
Soportes de Información Medio
Instalaciones Físicas Bajo
Información Sensible Alto
Borrado/ Software Medio
Modificación / Equipos Bajo
Copia de Hardware Bajo
Información Redes de Comunicaciones Medio
Soportes de Información Medio
Software Medio
Equipos Medio
Fallos o caídas de
Hardware Medio
sistema
Comunicación de Redes Alto
Soportes de Información. Medio
Información Sensible. Bajo
Software. Bajo
Vandalismo Equipos Bajo
Hardware Bajo
Redes de Comunicaciones. Bajo
Soportes de Información. Bajo

Instalación Físicas Medio
Información Sensible Bajo
Software. Bajo
Equipos Bajo
Catástrofes
Hardware Bajo
Naturales
Redes de Comunicaciones Bajo
Soportes de Información Bajo
Instalaciones Físicas Bajo
Tabla 5. Factores de riesgo en activos y factor de ocurrencia. Fuente: elaboración propia.
Se Relaciona la tabla de correlación de las amenazas respecto a los activos, donde se describe además
las vulnerabilidades que cada activo posee, la tabla es la siguiente:
Activos de Nombre del activo Amenazas

Vulnerabilidades
Información de información Metodología Magerit
Aplicaciones mal
[E1] Errores de los programadas, sin
[SW] SOFTWARE [www] Página Web
usuarios certificación SSL, falta de
seguridad informática
La red del servidor presenta
[COM] REDES DE [I8] Fallo de servicios de fallos, errores de
[www] Página Web
COMUNICACIONES comunicaciones programación o falta de
seguridad
[I10] Degradación de los Los mantenimientos
soportes de preventivos no se realizan,
[D] DATOS [www] Página Web
almacenamiento de la no se lleva tabla de tiempo
información de la vida útil del hardware
Los programadores
[K] CLAVES [E10] Errores de omitieron la seguridad, falta
[www] Página Web
CRIPTOGRAFICAS secuencia de programación y políticas
SGSI
Los mantenimientos
[E23] Errores de
preventivos no están
[Media] SOPORTE mantenimiento /
[www] Página Web presentes, no se actualizan
DE INFORMACIÓN actualización de equipos
el software y no hay
(hardware)
respaldo de datos
[E24] Caída del sistema

Los recursos del sistema
[S] SERVICIOS [www] Página Web por agotamiento de
son inadecuados
recursos
El personal no está capacito,
[E28] Indisponibilidad
[P] PERSONAL [www] Página Web no hay motivación, falta de
del personal
conocimiento.
[E20] Vulnerabilidades El programa no cuenta con
[SW] SOFTWARE Servidor DHCP de los programas un sistema de seguridad
(software) informática
[I10] Degradación de los
Perdida de datos sensibles,
soportes de
[D] DATOS Servidor DHCP hardware en desuso u
almacenamiento de la
obsoleto
información
Los mantenimientos
[E23] Errores de
Servidor DHCP presentes, no se actualizan
(hardware)
respaldo de datos
[S] SERVICIOS Servidor DHCP por agotamiento de
son inadecuados
recursos
Falta de conocimiento,
errores de programación,
[E1] Errores de los
[P] PERSONAL Servidor DHCP niveles de usuarios sin
usuarios
aplicar, privilegios de
usuario sin gestionar
Aplicaciones mal
[E20] Vulnerabilidades
Servidor PT programadas, sin
[SW] SOFTWARE de los programas
(registro y Control) certificación SSL, falta de
(software)
Servidor PT soportes de
[D] DATOS hardware en desuso u
(registro y Control) almacenamiento de la
obsoleto
información
Los mantenimientos
[E23] Errores de
[Media] SOPORTE Servidor PT mantenimiento /
presentes, no se actualizan
DE INFORMACIÓN (registro y Control) actualización de equipos
(hardware)
respaldo de datos
Servidor PT Los recursos del sistema
[S] SERVICIOS por agotamiento de
(registro y Control) son inadecuados
recursos
Servidor PT [E1] Errores de los
[P] PERSONAL niveles de usuarios sin
(registro y Control) usuarios
Aplicaciones mal
programadas, sin
[SW] SOFTWARE Servidor PBX de los programas
certificación SSL, falta de
(software)
soportes de
[D] DATOS Servidor PBX hardware en desuso u
obsoleto
información
Los mantenimientos
[E23] Errores de
Servidor PBX presentes, no se actualizan
(hardware)
respaldo de datos
[S] SERVICIOS Servidor PBX por agotamiento de
son inadecuados
recursos
[E1] Errores de los
[P] PERSONAL Servidor PBX niveles de usuarios sin
usuarios
[COM] REDES DE [I8] Fallo de servicios de fallos, errores de
Switch 2690
COMUNICACIONES comunicaciones programación o falta de
seguridad
La prevención para riesgos
[L] [I5] Avería de origen sin evaluar, falta de
Switch 2690
INSTALACIONES físico o lógico mantenimiento, materiales
gastados, obsoletos
Los mantenimientos
[E23] Errores de
Switch 2690 presentes, no se actualizan
(hardware)
respaldo de datos
[COM] REDES DE Corta Fuegos [I8] Fallo de servicios de fallos, errores de
COMUNICACIONES 5505/ASA comunicaciones programación o falta de
seguridad
La prevención para riesgos

[L] Corta Fuegos [I5] Avería de origen sin evaluar, falta de
INSTALACIONES 5505/ASA físico o lógico mantenimiento, materiales
gastados, obsoletos
Los mantenimientos
[E23] Errores de
[Media] SOPORTE Corta Fuegos mantenimiento /
presentes, no se actualizan
DE INFORMACIÓN 5505/ASA actualización de equipos
(hardware)
respaldo de datos
Aplicaciones mal
Corta Fuegos [E4] Errores de programadas, sin
[SW] SOFTWARE
5505/ASA configuración certificación SSL, falta de
[S] SERVICIOS Router 2811 por agotamiento de
son inadecuados
recursos
[E23] Errores de La red del servidor presenta
[COM] REDES DE mantenimiento / fallos, errores de
Router 2811
COMUNICACIONES actualización de equipos programación o falta de
(hardware) seguridad
Aplicaciones mal
[E4] Errores de programadas, sin
[SW] SOFTWARE Router 2811
configuración certificación SSL, falta de
Red Telefónica
Aplicaciones mal
[E1] Errores de los programadas, sin
[SW] SOFTWARE Portátil
usuarios certificación SSL, falta de
[S] SERVICIOS Portátil por agotamiento de
son inadecuados
recursos
Router Repetidor Los recursos del sistema
[S] SERVICIOS por agotamiento de
WRT300N son inadecuados
recursos
[COM] REDES DE Router Repetidor mantenimiento / fallos, errores de
COMUNICACIONES WRT300N actualización de equipos programación o falta de
Aplicaciones mal
Router Repetidor [E4] Errores de programadas, sin
[SW] SOFTWARE
WRT300N configuración certificación SSL, falta de
[S] SERVICIOS HUB PT por agotamiento de
son inadecuados
recursos
HUB PT
Aplicaciones mal
[E4] Errores de programadas, sin
[SW] SOFTWARE HUB PT
configuración certificación SSL, falta de
[S] SERVICIOS Switch 2960 por agotamiento de
son inadecuados
recursos
Switch 2960
Los programadores
[E4] Errores de omitieron la seguridad, falta
[SW] SOFTWARE Switch 2960
configuración de programación y políticas
SGSI
Aplicaciones mal
programadas, sin
[SW] SOFTWARE PC-PT de los programas
certificación SSL, falta de
(software)
soportes de
[D] DATOS PC-PT hardware en desuso u
obsoleto
información
Los mantenimientos
[E23] Errores de
PC-PT presentes, no se actualizan
(hardware)
respaldo de datos
[S] SERVICIOS PC-PT por agotamiento de
son inadecuados
recursos
[E1] Errores de los
[P] PERSONAL PC-PT niveles de usuarios sin
usuarios
Los mantenimientos
[E23] Errores de
Red Telefónica presentes, no se actualizan
(hardware)
respaldo de datos
Red Telefónica
Los mantenimientos
[E23] Errores de
Impresora presentes, no se actualizan
(hardware)
respaldo de datos
Tabla 6. Tabla General de Activos, Amenazas y vulnerabilidades. Fuente: elaboración propia.
3.2.3 SALVAGUARDAS.
La empresa tiene la siguiente información acerca de las salvaguardas que actual mente aplica y a
continuación se relacionas las salvaguardas que se pudo identificar:
Nombre del activo

Salvaguarda Descripción
de información
Se debe definir e implementar un procesamiento de
Datos Seguridad Informática autorización de la dirección para nuevos servicios de
proceso de información.
La información implicada en las transacciones en
línea debe estar protegida para evadir transmisión
Aplicación de seguridad
[www] Página Web incompleta, enrutamiento impropio, alteración,
SSL
divulgación, duplicación o repetición no autorizada
del mensaje.
Acceso por dependencia Se debe restringir y controlar la asignación y usos de
Servidor DHCP
con niveles de acceso privilegios.
Se debe instaurar, documentar y revisar la política de

Servidor PT Acceso con
control de acceso con base en los requisitos del
(registro y Control) Credenciales
negocio y de la seguridad para el acceso.
La información implicada en las transacciones en

línea debe estar protegida para evadir transmisión
Acceso por dependencia
Servidor PBX incompleta, enrutamiento impropio, alteración,
con niveles de acceso
divulgación, duplicación o repetición no autorizada
del mensaje.
Switch 2690 Seguridad en la red Control en el acceso de las redes físicas y lógicas
Las redes se deben conservar y controlar
Adecuada programación,
Corta Fuegos adecuadamente para resguardar de las amenazas y
control de la seguridad
5505/ASA conservar la seguridad de los sistemas y aplicaciones
de la red
que usan la red, incluyendo la información en tránsito.
En cualquier acuerdo sobre los servicios de la red se
deben nivelar e incluir las características de
seguridad, los niveles de servicio y las obligaciones
Router 2811 Seguridad en la red
de gestión de todos los servicios de la red, sin
importar si los servicios se prestan en la organización
o se acuerdan externamente.
adecuadamente para resguardar de las amenazas y
Red Telefónica Seguridad en la red conservar la seguridad de los sistemas y aplicaciones
que usan la red, incluyendo la información en
tránsito.
Acceso de Usuarios con La concesión de contraseñas se debe controlar a
Portátil
Credencial través de un proceso sensato de gestión.
Router Repetidor adecuadamente para resguardar de las amenazas y
Seguridad en la red
WRT300N conservar la seguridad de los sistemas y aplicaciones
Adecuada programación,
adecuadamente para resguardar de las amenazas y
HUB PT control de la seguridad
conservar la seguridad de los sistemas y aplicaciones
de la red
Switch 2960 Seguridad en la red
Acceso de Usuarios con La concesión de contraseñas se debe controlar a
PC-PT
Credencial través de un proceso sensato de gestión.

Red Telefónica Seguridad en la red
Se debe instaurar, documentar y revisar la política de
Acceso con
Impresora control de acceso con base en los requisitos del
Credenciales
Tabla 7. Relación de activos y salvaguardas. Fuente: elaboración propia.
3.2.4 ALCANCES.
Como resultado podemos ver que la información sensible, los equipos de trabajo y los soportes de la
información son recursos muy valiosos para la empresa, luego el hardware este revestido de importancia,
pero se puede reemplazar, al no tener seguros el impacto de una amenaza es de alta consideración, por
lo que sin los controles y las medidas respectivas se deben gestionar lo antes posible, un plan de
tratamiento para las amenazas que las atienda en caso de que se presente.
3.3 PLAN DE TRATAMIENTO.
una vez definidas las técnicas y estrategias, se debe realizar las salvaguardas como guía antes los riesgos,
generando políticas, controles, monitoreo y asignación de responsabilidades, con el fin de evitar,
controlar, trasferir y mitigar los riesgos detectados.
A continuación, se presenta el plan de tratamiento aplicado a la empresa de educación Centro de Estudios
Superiores Informáticos de Colombia:

PLAN DE TRATAMIENTO
Política de seguridad de la información
Objetivo: Brindar apoyo y orientación a la dirección con respecto a la seguridad de la
información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes
pertinentes.
Control
Documentos de las políticas de La dirección debe aprobar un documento de

políticas de seguridad de la información y lo debe
seguridad de la información.
comunicar y publicar a todos los empleados y
partes externas pertinentes.
Control
La política se debe revisar a intervalos
Se debe hacer Revisión de las políticas
planificados o cuando se producen cambios
de seguridad de la información.
significativos, para certificar que sigue siendo
apropiada, suficiente y eficaz.
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control
Procesar la autorización para los Se debe definir e implementar un procesamiento
servicios de proceso de información. de autorización de la dirección para nuevos
servicios de proceso de información.
Control
Se deben asemejar y examinar con regularidad los
Acuerdos sobre confidencialidad. requisitos de confidencialidad o los acuerdos de
no-divulgación que reflejan las insuficiencias de
la organización para el auxilio de la información.
Control
Contacto con las autoridades. Se deben conservar contactos convenientes con
las autoridades pertinentes.
Control
Se deben conservar los contactos apropiados con
Contacto con grupos de interés
grupos de provecho especiales, otros foros
especiales
especializados en seguridad de la información, y
asociaciones de expertos.
Control
La dirección de la organización para la gestión de

la seguridad de la información y su ejecución (es
decir, control, sus objetivos, políticas, procesos e
Revisión independiente de la
instrucciones para seguridad de la información) se
seguridad de la información.
deben revisar independientemente a intervalos
concebidos, o cuando ocurran cambios
importantes en la implementación de la seguridad.
GESTIÓN DE ACTIVOS
Responsabilidad en activos informáticos.
Objetivo: conseguir y mantener la defensa adecuada de los activos organizacionales.
Control
Todos los activos deben estar visiblemente identificados y se
Inventario de activos
deben elaborar y conservar un inventario de todos los activos
significativos.
Control
Toda la información y los activos agrupados con los servicios de
Propiedad de los activos
procesamiento de información deben ser de una parte elegida de
la organización
Control
Se deben nivelar, documentar y efectuar las reglas sobre el uso
Uso aceptable de los activos
admisible de la información y de los activos asociados con los
servicios de procesamiento de la información
SEGURIDAD DE LOS RECURSOS HUMANOS
Control
Se deben ejecutar estudios para la verificación de
circunstancias de los candidatos a ser empleados,
contratistas o beneficiarios de terceras partes, de
Selección acuerdo con las ordenanzas, la ética y las leyes
oportunas, y deben ser proporcionales a las
exigencias del negocio, la clasificación de la
información a la cual se va a tener acceso y los
peligros divisados
Control
Como parte de su compromiso convenido, los
Términos y condiciones laborales. practicantes, contratistas y usuarios de terceras
partes deben estar de acuerdo y firmar los términos
y situaciones de su contrato laboral, el cual debe
establecer sus compromisos y las de la
organización con relación a la seguridad de la

información.
SEGURIDAD FÍSICA Y DEL ENTORNO

Áreas seguras
Objetivo: impedir el acceso físico no autorizado, el perjuicio e interrupción a las
instalaciones y a la información de la empresa
Control
Se deben manejar perímetros de seguridad
(barreras tales como paredes, puertas de acceso
intervenidas con tarjeta o mostradores de
Perímetro de seguridad física.
admisión atendidos) para proteger las áreas que
sujetan información y servicios de procesamiento
de información
Control
Las áreas seguras deben estar resguardadas con
Controles de acceso físico. controles de acceso adecuados para afirmar que
sólo se permite el acceso a personal acreditado.
Control
Seguridad de departamentos, espacios Se debe delinear y destinar la seguridad física para
e instalaciones. oficinas, espacios e instalaciones.
Control
Se deben diseñar y aplicar protecciones físicas
Protección frente a amenazas externas contra daño por deflagración, inundación,
y ambientales. terremoto, explosión, manifestaciones sociales y
otras formas de desastre natural o artificial.
Control
Se deben delinear y aplicar la protección física y
Trabajo en áreas seguras.
las directrices para trabajar en áreas seguras.
Control
Los puntos de acceso tales como las áreas de carga
y despacho y otros puntos por donde pueda
Áreas de carga, despacho y acceso
ingresar personal no autorizado a las instalaciones
público.
se deben controlar y, si es posible, aislar de los
servicios de procesamiento de información para
evitar el acceso no autorizado.
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Protección frente a códigos maliciosos y móviles
Objetivo: resguardar la integridad del software y de la información.

Control
Se deben efectuar controles de detección,
Controles frente a códigos maliciosos. prevención y recuperación para proteger frente a
códigos maliciosos, así como procedimientos
oportunos de concientización de los usuarios.
Control
Cuando se faculta la utilización de códigos
móviles, la configuración debe certificar que
Controles contra códigos maliciosos
dichos códigos operan de acuerdo con la política
móviles.
de seguridad manifiestamente definida, y se debe
evitar la ejecución de los códigos móviles no
autorizados.
Gestión de la seguridad de las redes
Objetivo: asegurar la protección de la información en las redes y la protección de la
infraestructura de soporte.
Control
adecuadamente para resguardar de las amenazas
Controles de las redes.
y conservar la seguridad de los sistemas y
aplicaciones que usan la red, incluyendo la
información en tránsito.
Control
En cualquier acuerdo sobre los servicios de la red
se deben nivelar e incluir las características de
Seguridad de los servicios de la red. seguridad, los niveles de servicio y las
obligaciones de gestión de todos los servicios de
la red, sin importar si los servicios se prestan en
la organización o se acuerdan externamente.
Servicios de comercio electrónico
Objetivo: certificar la seguridad de los servicios de comercio electrónico, y su manejo seguro.
Control
La información envuelta en el comercio
electrónico que se transmite por las redes
Comercio electrónico. públicas debe estar resguardada contra
actividades engañosas, disputas por
contratos y divulgación o modificación
no autorizada.
Transacciones en línea. Control
La información implicada en las

transacciones en línea debe estar
protegida para evadir transmisión
incompleta, enrutamiento impropio,
alteración, divulgación, duplicación o
repetición no autorizada del mensaje.
CONTROL DE ACCESO
Requisito del negocio para la vigilancia de acceso.
Objetivo: inspeccionar el acceso a la información.
Control
Se debe instaurar, documentar y revisar la política
Política de control de acceso.
de control de acceso con base en los requisitos del
Control
Debe existir un procedimiento sensato para el
Registro de usuarios. registro y cancelación de usuarios con el fin de
otorgar y anular el acceso a todos los sistemas y
servicios de información.
Control
Gestión de privilegios. Se debe restringir y controlar la asignación y usos
de privilegios.
Control
Gestión de contraseñas para usuarios. La concesión de contraseñas se debe controlar a
través de un proceso sensato de gestión.
Control
Revisión de los derechos de acceso de La dirección debe instituir un procedimiento
formal de revisión habitual de los derechos de
los usuarios.
acceso de los usuarios.
Seguridad de los archivos del sistema
Objetivo: certificar la seguridad de los archivos del sistema.
Control
Se deben implementar procedimientos para
Control del software operativo.
controlar la instalación de software en
sistemas operativos.
Control
Protección de los datos, de prueba del Los datos de prueba deben seleccionarse
sistema. diligentemente, así como protegerse y
controlarse
Control
Control de acceso al código fuente de
los programas Se debe delimitar el acceso al código fuente
de los programas.
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Temas de seguridad de la información, gestión y prolongación del negocio

Objetivo: anular las interrupciones en las actividades del negocio y resguardar sus procesos críticos contra
los efectos de fallas trascendentales en los sistemas de información o contra desastres, y certificar su
recuperación oportuna.
Control
Inclusión de la seguridad de la
Se debe desarrollar y conservar un proceso de gestión para
información en el proceso de gestión
la continuidad del negocio
de la continuidad del negocio.
Control
Se deben detectar los eventos que pueden originar
continuidad del negocio y valoración interrupciones en los procesos del negocio junto con la
de riesgos. probabilidad y el impacto de dichos obstáculos, así como
sus consecuencias para la seguridad de la información.
Control
Se deben desarrollar y efectuar reglas para mantener o
Efectuar la documentación de planes rescatar las operaciones y asegurar la disponibilidad de la
información en el valor y la escala de tiempo solicitados,
de la seguridad el negocio.
después de la interrupción o la falla de los procesos
perentorios para el negocio.
Control
Se debe conservar una sola distribución de los planes de
Estructura para la planificación de la continuidad del negocio, para asegurar que todos los planes
continuidad del negocio sean sólidos, y considerar los requisitos de la seguridad de
la información de forma estable, así como identificar las
prioridades para pruebas y sustento.
Control
Pruebas, mantenimiento y
Los planes de continuidad del negocio se deben someter a
reevaluación de los planes de
pruebas y revisiones periódicas para asegurar su
continuidad del negocio.
actualización y su eficacia.
Tabla 8. Plan de tratamiento. Fuente: elaboración propia.
4. CONCLUSIONES.
 La Metodología MAGERIT permite que empresas como el Centro de Estudios Superiores
Informáticos de Colombia, puedan garantizar sus procesos de comercio electrónicos de manera
eficaz y segura porque está asegurando sus activos informáticos y paralelamente sus procesos de
venta.
 Poder valorizar los recursos informáticos mediante un análisis de riesgos es vital para toda
organización puesto que establecen las normas de trabajo, genera políticas de seguridad y
aumenta la administración de los sistemas, mediante una gobernanza de la información, esto
proyecta que la empresa tenga calidad en sus procesos productivos y de seguridad.
 Los controles aplicados a los riesgos son fruto del análisis de los mismos, que permiten diseñar
un plan que debe ser enfocado bajo un SGSI arrojando los tratamientos pertinentes para el control,
disminución, monitoreos y evasión de riesgos informáticos.

BIBLIOGRAFIA.
[1] Muñoz, Víctor Belmar. Prevención de riesgo - Implantación de un sistema efectivo de control
de riesgo, El Cid Editor | apuntes, 2009. ProQuest Ebook Central,
https://ebookcentral.proquest.com/lib/unadsp/detail.action?docID=3180200.
[2] Chicano, Tejada, Ester. Auditoría de seguridad informática (MF0487_3), IC Editorial, 2014.
Recuperado de: ProQuest Ebook Central,
[3] Gómez, Fernández, Luis, and Rivero, Pedro Pablo Fernández. Cómo implantar un SGSI
según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad, AENOR
- Asociación Española de Normalización y Certificación, 2015. ProQuest Ebook Central,
[4] Bracho, David, and Carlos Rincón. Modelo para la cuantificación del riesgo telemático en
una organización, Red Enlace, 2010. ProQuest Ebook Central,

Fase 2 David Rosero Apa

Cargado por

Copyright:

Formatos disponibles

Fase 2 David Rosero Apa

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase 2 David Rosero Apa

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI

Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Especialización: Seguridad Informática

FASE 2. DEFINICIÓN DEL ALACANCE DE UN ANÁLISIS DE RIESGO.

CURSO: RIESGO Y CONTROL INFORMATICO.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD.

2.1 OBJETIVOS ESPECIFICOS: ..................................................................................................................4

3. DESARROLLO DE LA ACTIVIDAD. ........................................................................................................5

3.1 DIAGNÓSTICO DE LA EMPRESA: ......................................................................................................5

3.2 ANALISIS DE RIESGOS. .........................................................................................................................7

3.2.1 CARACTERIZACIÓN DE ACTIVOS. ...............................................................................................8

3.2.2 CARACTERIZACIÓN DE AMENAZAS. ........................................................................................ 12

3.2.3 SALVAGUARDAS. ............................................................................................................................. 19

3.2.4 ALCANCES. ........................................................................................................................................ 21

3.3 PLAN DE TRATAMIENTO. ................................................................................................................. 21

empresa denominada Centro de Estudios Superiores Informáticos de Colombia, la cual se dedica al

los momentos en que se puedan presenten las crisis.

riesgos y vulnerabilidades que se presentan en la empresa denominada Centro de Estudios Superiores

Informativos de Colombia, en su área de informática.

2.1 OBJETIVOS ESPECIFICOS:

 Hacer un diagnóstico de la empresa Centro de Estudios Superiores Informáticos de

Colombia, específicamente en área de informática, identificando su actividad comercial,

estructura organizacional, cargos, funciones de los empleados y activos.

 Elaborar la caracterización de activos, y las amenazas, para comprender donde se deben

aplicar las salvaguardas a los posibles riesgos.

3.1 DIAGNÓSTICO DE LA EMPRESA:

Nombre de la Empresa: Centro de Estudios superiores Informáticos de Colombia.

Actividad Comercial: La empresa Centro de estudios superiores Informáticos de Colombia se enfoca

departamento de sistemas que brinda soporte a la infraestructura tecnológica 7/24.

Estructura Organizacional del área de Informática: La empresa, Centro de estudios superiores

Informáticos de Colombia cuenta con la siguiente organización en el área de informática,

Imagen 1. Estructura Organizacional, área de informática. Fuente: Empresa simulada

instalaciones tecnológicas del área de informática.

Imagen 2. Plano locativo área de sistemas. Fuente: Empresa simulada

sección de trabajo en el área de sistemas.

Cargos Área de Trabajo Funciones del Área

Salvaguardar la información que se trasmite por

Tabla 1. Cargos y funciones del área de sistemas. Fuente: elaboración propia.

3.2 ANALISIS DE RIESGOS.

en la ciudad de Pasto(N), dedicada al servicio de educación superior de manera virtual.

Es la información sensible que la empresa ha producido, es un

[D] DATOS bien intangible.

[K] CLAVES Listado de Claves que usan lo trabajadores, según su nivel de

[S] SERVICIOS Acceso a plataforma, registro y control, servicios académicos.

[SW] SOFTWARE Software para el desarrollo, soporte y manejo de plataforma

INFORMÁTICO Terminales, periféricos, redes e infraestructura.

COMUNICACIONES Telecomunicaciones, redes, telefonía, nube, intranet

[Media] SOPORTE DE Backups, Servidores, dispositivos de almacenamiento,

AUXILIAR Reguladores de energía, equipos móviles, muebles.

[L] INSTALACIONES Infraestructura, áreas y secciones de trabajo.

[P] PERSONAL Jefes, directores, Especialistas, Profesionales y técnicos.

Tabla 2. Descripción Activos de la empresa. Fuente: elaboración propia.

3.2.1 CARACTERIZACIÓN DE ACTIVOS.

Tabla de caracterización de activos: seguidamente se relacionan

Imprime hojas a blanco

3.2.2 CARACTERIZACIÓN DE AMENAZAS.

manera de un evento probable que puede ocurrir en función del tiempo.

de que ese evento ocurra, esto se denomina factor de riesgo.

AMENAZA ACTIVO AFECTADO PROBABILIDAD

Soportes de Información. Bajo