233004_225_TC1_1

Trabajo Colaborativo No.1:

Fundamentos de Análisis y Evaluación de

Riesgos Palacio Miranda Freddy Arturo, código 88222670

Garcia Guacaneme Raul, código

Caucali Beltrán diana Marcela, código

Universidad Nacional Abierta y a Distancia ¨UNAD

Especialización en Seguridad en Informática

23304_225 Riesgos y Control Informático

Resumen— En el presente artículo, se pondrán en

práctica los conceptos y estándares aplicados en el

proceso de análisis y evaluación de riesgos determinando

el estándar apropiado para realizar el análisis y

evaluación de riesgos, a través de la aplicación de una

metodología apropiada para el análisis y evaluación de

riesgos.

Palabras clave— vulnerabilidad, amenaza, riesgo,

control, probabilidad, impacto

Abstract— In this article, we will implement the concepts

and standards applied in the process of analysis and risk

assessment determining the appropriate standard for

analysis and risk assessment, through the application of

an appropriate methodology for analysis and evaluation

risk..

Keywords— vulnerability, threat, risk, control,

probability, impact.

I. INTRODUCCIÓN

En este documento y con el desarrollo de la

guía de trabajo colaborativo se dará a conocer lo

concerniente a los contenidos de la Unidad No.1

Fundamentos de Análisis y Evaluación de riesgos.

Los recursos informáticos y el uso de nuevas

tecnologías para el procesamiento de información

hacen parte de todas las organizaciones, y temas

como la certificaciones de calidad y la seguridad

en la información cobran más vigencia, en el tema

de calidad han venido estandarizando los procesos

y en cuanto a la seguridad informática y de la

información se han implementado algunos

controles y planes seguridad informática.

II. OBJETIVOS

1. Identificar las vulnerabilidades, riesgos y

amenazas más frecuentes en entornos

informáticos y que pueden afectar el buen

funcionamiento de los procesos de manejo de la

información.

2. Conocer los estándares más usados a nivel

internacional para llevar a cabo el proceso de

análisis, evaluación y gestión de riesgos aplicados

a la seguridad informática y de la información

III. ETAPA DE PLANEACIÓN

Seleccionar una empresa donde pueda hacer el

levantamiento de la información

A. Información requerida:

Razón social: REGISTRADURIA NACIONAL

DEL ESTADO CIVIL

Tipo de negocio y sector comercial: Negocio de

Servicios y pertenece al Sector Público.

Antecedentes de la empresa: Mediante la Ley

89 del 16 de diciembre de 1948, se crea la

Organización Electoral, ajena a la influencia de

los partidos, de cuyo funcionamiento ningún

partido o grupo político pueda derivar ventajas

sobre los demás.

Artículo 120 de la Constitución Política de

Colombia: “La Organización Electoral está

conformada por el Consejo Nacional Electoral,

por la Registraduría Nacional del Estado Civil

y por los demás organismos que establezca la

Ley. Tiene a su cargo las elecciones, su

dirección y vigilancia, así como lo relativo a la

identidad de las personas”.

Áreas Misionales: Registraduría Delegada en lo

Electoral, Dirección de Gestión Electoral,

Dirección de Censo Electoral, Registraduría

Delegada para el Registro Civil y la

Identificación, Dirección Nacional de

Identificación, Dirección Nacional de Registro

Civil, Delegaciones Departamentales de la

Registraduría, Registradurías Especiales

Municipales y Auxiliares Registraduría del

Distrito Capital.

Áreas de Apoyo: Secretaría Privada, Secretaría

General, Gerencia de Informática, Gerencia

Administrativa y Financiera, Gerencia del

Talento Humano, Oficina Jurídica, Oficina de

Planeación, Oficina de Comunicaciones y

Prensa, Oficina de Control Interno, Oficina de

Control Disciplinario.

Organigrama general de la empresa: Ver

Anexo No. 1 Organigrama de la Empresa

Organigrama del área de tecnología y Área de

riesgos: Ver Anexo No. 2 Organigrama del área

de tecnología y Área de riesgos

Cargos y funciones:

- Resolución 6053 de 2000 - Por la cual se

establece el Manual de Funciones y Requisitos

Específicos para los empleados de la planta de

la Registraduría nacional del Estado Civil


adiciona parcialmente el artículo 21 de la

resolución 6053 del 27 de diciembre de 2000

- Resolución 3358 de 2001 - Por al cual se

modifica parcialmente el artículo 21 de la

resolución 6053 de 2000


modifica parcialmente la resolución 3358 de

2001

- Resolución 8479 de 2008 - Por medio de la

cual se establece y adopta el manual especifico

de funciones y competencias laborales, para el

desempeño de cargos de nivel directivo en la

Registraduría Nacional del Estado Civil


establece y ajusta el Manual Especifico de

Funciones y Competencias Laborales, para el

desempeño de los diferentes empleos del Fondo

Social de Vivienda de la Registraduría

Nacional del Estado Civil


adicional parcialmente el artículo 21 de la

resolución 6053 de 2000

Inventario de servicios de red: Ver Anexo No.

3 Inventario de servicios de red

IV. ETAPA DE ANALISIS

Vulnerabilidades, amenazas y riesgos de

seguridad de cada activo y servicios de red

relacionados con tecnologías de información

y telecomunicaciones que soporta el negocio

de la empresa.

Los análisis de riegos proporcionan

herramientas útiles para medir el riesgo y

valorar si este análisis es apropiado, por tanto

se deben tomar medidas para reducirlo,

intentando mantener un balance económico

entre el impacto de los riesgos y el costo de las

soluciones de un programa efectivo de

seguridad destinadas a manejarlos.

La metodología de análisis y gestión de riesgos

MAGERIT es elaborada por el Consejo

Superior de Administración Electrónica que

estima que la gestión de los riesgos es una

piedra angular en las guías de buen gobierno.

MAGERIT interesa a todos aquellos que

trabajan con información digital y sistemas

informáticos para tratarla. Si dicha

información, o los servicios que se prestan

gracias a ella, son valiosos, MAGERIT les

permitirá saber cuánto valor está en juego y les

ayudará a protegerlo. Conocer el riesgo al que

están sometidos los elementos de trabajo es,

simplemente, imprescindible para poder

gestionarlos. Con MAGERIT se persigue una

aproximación metódica que no deje lugar a la

improvisación, ni dependa de la arbitrariedad

del analista. [3], [4], [5], [6]

Ver anexo No. 4 Vulnerabilidades, Riesgos y

Amenazas

V. ETAPAS DE DISEÑO Y EJECUCIÓN

Ver anexo No. 5 Matriz de Riesgos con

Valoración

VI. CONCLUSIONES

- Este trabajo se realiza a partir del diagnóstico de

una organización y levantamiento de información,

desde los activos de información que contiene una

institución se realiza un análisis de las amenazas,

vulnerabilidades y riesgos a los que está se

encuentra expuesta, ya sean de carácter físico,

lógico o de factor humano.

- La identificación de los riesgos a partir de las

vulnerabilidades detectadas como fallas

presentes, desde los acontecimientos y sus

posibles causas.

- Los diferentes servicios que presta una

organización desde la parte de sistemas como

aplicativos y la parte física, como lo es la

información o donde esta se almacena, allí se

identificaron las vulnerabilidades a las que cada

uno de estos están expuestos y a su vez las

amenazas que es la probabilidad en la cual puede

ocurrir un suceso, que por lo general es un peligro

latente para la organización, y para concluir el

riesgo que es la conformación de circunstancia del

entorno en la cual es allí donde se presentan la

perdida.

VII. REFERENCIAS

[1] Unad. Conceptos de Vulnerabilidad, Riesgo y Amenaza,

disponible en:

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_c

onceptos_de_vulnerabilidad_riesgo_y_amenaza.html

[2] Unad. (2015). AVA Riesgos y Control Informático, disponible

en: http://152.186.37.83/ecbti01/course/view.php?id=1270

[3] Benavides Mirian, Solarte Francisco. (2012).Guía didáctica de

Riesgos y Control Informático,

http://datateca.unad.edu.co/contenidos/233004/Modulo_Riesgos_

y_Control_Informatico_V5_2012_DEFINITIVO_.pdf

[4] Laboratorios de Redes y Seguridad. UNAMFacultad de

Ingenieria, Divisón de Ingenieria Eléctrica, Esquemas de

Seguridad Informática, http://redyseguridad.fi-

p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php

[5] Portal de Administración Electrónica, MAGERIT v.3 :

Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información,

http://administracionelectronica.gob.es/pae_Home/pae_Documen

tacion/pae_Metodolog/pae_Magerit.html#.Vdk-t_l_Okp

[6] Eterovic Jorge, Pagliari Gustavo. (2011).Metodología de

Análisis de Riesgos Informáticos

http://www.cyta.com.ar/ta1001/v10n1a3.htm

VIII. BIOGRAFIA

Freddy Palacio nació en Colombia – el 8 de

Enero de 1977. Se graduó de la Universitaria

Nacional y A Distancia UNAD, en Ingeniería

de Sistemas, y actualmente es estudiante de la

misma universidad en el postgrado

Especialización en Seguridad Informática.

Se desempeña como soporte técnico en el área de las

telecomunicaciones en el manejo y administración de software con

una empresa dedicada a la identificación y procesos electorales.

Diana Caucali, Profesional en Sistemas de

Información, bibliotecología y

archivística. Le gusta la música, el deporte,

leer y running. Estudiante de postgrado

Unad Especialización en Seguridad

Informática

Raul Garcia, Ingeniero Electrónico y

trabaja en una empresa como interventor

como profesional en conectividad y

seguridad informática, estudiante de

postgrado Unad Especialización en

Seguridad Informática

Anexo No.1 Organigrama de la Empresa

Anexo No.2 Organigrama del área de tecnología y Área de riesgos:

GERENCIA DE INFORMÁTICA

COORDINACIONES

OPERACIÓN Y COMUNICACIONES

Ofimatica

Soporte Equipos PMT II

Soporte Equipos Administrativos

Mesa de Ayuda Ofimática

DESARROLLO Y PROGRMACIÓN

INTEGRACIÓN Y GESTIÓN

SOPORTE TÉCNICO PARA REGISTRO CIVIL

E IDENTIFICACIÓNSoporte Técnico

Anexo No.3 Inventario Servicios de Red

RED DE SERVICIOS SOFTWARE HADWARE(No. de equipos)

VINCULACIÓN UBICACIÓN

Comunicación Pública Gobierno en Línea 5 N/A Desarrollo y Programación & Planeación

Comunicación Pública Call Center N/A N/A Gerencia de Informática

Electoral Censo 50 Corporativa Censo

Electoral Jurados de Votación N/A N/A Gerencia de Informática

Electoral Reposición de Gastos N/A N/A Fondo de Campañas

Electoral Inscripción de Candidatos Web N/A N/A Gerencia de Informática

Electoral Estadísticas Consulta de Partidos N/A N/A Gerencia de Informática

Electoral Divulgación de Consultas de Partidos y Sala de Prensa

N/A N/A Gerencia de Informática

Electoral Escrutinios N/A N/A Gerencia de Informática

Electoral SIICNE 150 Licencia Corporativa Consejo Nacional Electoral

Electoral ENCUESTAS 3 Desarrollado por RNEC Consejo Nacional Electoral

Gestión Administrativa y Financiera SIC 100 N/A Correspondencia

Gestión Administrativa y Financiera SIIF 50 N/A Administrativa y Financiera

Gestión Administrativa y Financiera Recaudos (Coprexdi) 50 Corporativa Recaudos

Gestión Administrativa y Financiera Leader 50 Corporativa Administrativa y Financiera

Gestión Administrativa y Financiera Fesa 50 N/A Almacén

Gestión Administrativa y Financiera Contratación 50 N/A Portal Unico de Contratación

Gestión Administrativa y Financiera CONTROL DE RECAUDOS SCR 1500 Licencia Corporativa Gerencia de Informática

Gestión del Talento Humano Kactus 100 Corporativa Talento Humano

Gestión del Talento Humano Intranet 1000 N/A Talento Humano

Gestión del Talento Humano Escuela Virtual N/A N/A Talento Humano

RED DE SERVICIOS SOFTWARE HADWARE(No. de equipos)

VINCULACIÓN UBICACIÓN

Gestión del Talento Humano Sapiems 4 N/A Fondo de Vivienda

Identificación Ani 100 N/A Identificación

Identificación PMT I, II 500 N/A Identificación

Identificación VIGENCIA DE CEDULA 2 Desarrollado por RNEC Gerencia de Informática

Identificación DONDE ESTOY REGISTRADO 2 Licencia de uso Gerencia de Informática

Identificación WEB DEFUNCIONES 2 Desarrollado por RNEC Gerencia de Informática

Planeación y Direccionamiento Estratégico

BPIN 3 N/A Banco de Proyectos de Inversión


DARUMA 100 licencia de uso Gerencia de Informática


SIGES 100 N/A Planeación

_ SISBEN 1 Desarrollado por RNEC Gerencia de Informática

_ COBRO COACTIVO 1 Licencia de Uso Gerencia de Informática

En fase de desarrollo PUBLICACION ACTOS ADMINISTRATIVOS

_ _ _

En fase de desarrollo APLICATIVO DE PROCESOS JUDICIALES

_ _ _

En fase de desarrollo FONDO DE VIVIENDA _ _ _

Anexo No. 4 Vulnerabilidades, Riesgos y Amenazas

Categoría de Activo Servicio de Red Vulnerabilidad Amenaza Riesgo

1. Comunicaciones Desarrollo

tecnológico

informático

Deficiencias en los

requerimientos presentados y

en el mantenimiento de la

herramienta desarrollada.

Falta de personal que brinde

soporte a los aplicativos

Aplicación limitada de las

herramientas informáticas

desarrolladas

Desarrollo

tecnológico

informático

Obsolescencia de

herramientas tecnológicas

Ausencia de herramientas

tecnológicas

Desarrollo y aplicación de

herramientas tecnológicas no

autorizadas

Equipos de

comunicaciones

Retraso en los enlaces de los

equipos de comunicaciones

Daños presentados en los

equipos de comunicaciones

Daños de los equipos de

comunicaciones

Red telefónica Falta de comunicación entre

empleados

Fallas en la red telefónica Daños de la red telefónica

Internet Comunicación no permanente

la red

Conocimiento de información

tardía

Cortes del servicio de internet

Red Informática La interceptación de

información que es

transmitida desde o hacia el

sistema.

Penetración del sistema a través

de la red

Intercepción de las comunicaciones

2. Tecnología Software Presencia de software

malicioso

Conflictos en los recursos

compartidos

Instalación de programas

innecesarios

Registro inadecuado de

programas de windows

Daños en software

Hardware Presenta software malicioso Falla en la memoria, fuente,

disipadores, board, disco duro,

etc

Consumo de alimentos en las

áreas de trabajo

Daños en Hardware

Red Administración de la red Daños en los dispositivos de

comunicación (rack, servidores,

touters)

Fallas en la red

Sistemas de

Información

Fallas en la administración de

los aplicativos

Problemas en la configuración

de los parámetros de seguridad

del servidor del sistema de

información

Violación de los sistemas de

Información


Denegación del servicio a

través de múltiples consultas

concurrentes

Problemas en la oportunidad

de la atención en los

diferentes sistemas de

información

Falta de soporte y

mantenimiento de fabrica

Fallas en los controles para el

acceso físico a los servidores

Dispositivos de red El constante cambio

tecnológico genera que las

herramientas adquiridas

entren en inoperancia.

Referencia de repuestos

descontinuados

Aceleración de nuevas

tecnologías generando

discontinuidad de las mismas en

un corto periodo de tiempo

Obsolescencia Tecnológica

3. Seguridad Física Hardware Ausencia de Hardware Falta de dispositivos para buen

funcionamiento

Robos de hardware

Infraestructura de

red

Violación de autorización Personas no autorizadas Vandalismo

Infraestructura de

red

Perdida de hardware Riesgos físicos Incendios

Infraestructura de

red

Perdida de equipos en

funcionamiento

Daños en hardware y software Terremotos

Punto de energía

eléctrica

Funcionamiento irreparable

de dispositivos

Perdida del funcionamiento

correcto de equipos

Fallas eléctricas

Hardware Atrasos en el funcionamiento

de los procesos

Perdida de la información

almacenada

Fallas de hardware

4. Manejo de Personal Acceso Manipulación de datos

confidenciales

Extracción de datos no

autorizados

Accesos no autorizados

Tenencia de información no

autorizada.

Acciones sospechosas Fraude

Identidad Autorizaciones no verificadas Accesos no autorizados Suplantación de identidad

Autenticación Intentos fallidos Autenticación repetida Fallas de autenticación

Personal Eficiencia afectada Rendimiento desmejorado Indisponibilidad del personal

Información Obtención de información Perdida de información Fugas de Información

5. Protección de la

Información

Información Obtención de información Perdida de información Robo de información

Información Obtención de información Perdida de información Perdida de información


Información Información no veraz Personal involucrado,

Información errada

Manipulación de información

Usuario Entorpece funcionamiento Demora en servicios ofrecidos Errores de usuario

Información Falta de información completa Ausencia de información real

disponible

Eliminación de información

Backup Ante cualquier desastre la

organización es perjudicada

Perdida de datos No se encuentran definidas las

políticas de copias de seguridad

6. Seguridad Lógica Archivos y

programas

El estado de programas y

archivos se ve afectado

Programas y archivos

eliminados o cambiados

Acceso a los programas y archivos por

parte de personal no autorizado

Destinatario Extracción de información Accesos de información por

medio empleados

Información transmitida a un

destinatario incorrecto

Programas y

archivos

Vulneración y funcionamiento

errado de la información

Funcionamiento errado Modificación de los programas y

archivos por parte de los usuarios

control de acceso Información puesto es peligro Vulneración de la privacidad de

la información

Falta de software de control de acceso

virus Vulnerable todo el sistema de

información

Mal funcionamiento de software

o hardware

Entrada de virus y malware

Anexo No.5 Matriz de Riesgos con Valoración

Categoría de

Activo

Servicio de

Red

Vulnerabilidad Amenaza Riesgo Probabilidad Impacto

1.

Comunicaciones

Desarrollo

tecnológico

informático

Deficiencias en

los requerimientos

presentados y en

el mantenimiento

de la herramienta

desarrollada.

Falta de personal

que brinde soporte

a los aplicativos

Aplicación limitada de

las herramientas

informáticas

desarrolladas

medio moderado

Desarrollo

tecnológico

informático

Obsolescencia de

herramientas

tecnológicas

Ausencia de

herramientas

tecnológicas

Desarrollo y aplicación

de herramientas

tecnológicas no

autorizadas

medio moderado

Equipos de

comunicaciones

Retraso en los

enlaces de los

equipos de

comunicaciones

Daños presentados

en los equipos de

comunicaciones

Daños de los equipos

de comunicaciones

alto Catastrófico

Red telefónica Falta de

comunicación

entre empleados

Fallas en la red

telefónica

Daños de la red

telefónica

bajo leve

Internet Comunicación no

permanente la red

Conocimiento de

información tardía

Cortes del servicio de

internet

alto Catastrófico

Red

Informática

La interceptación

de información

que es transmitida

desde o hacia el

sistema.

Penetración del

sistema a través de

la red

Intercepción de las

comunicaciones

alto Catastrófico

2. Tecnología Software Presencia de

software

malicioso

Instalación de

programas

innecesarios

Daños en software medio moderado

Categoría de

Activo

Servicio de

Red


Conflictos en los

recursos

compartidos

Registro

inadecuado de

programas de

windows

Hardware Presenta software

malicioso

Falla en la

memoria, fuente,

disipadores, board,

disco duro, etc

Consumo de

alimentos en las

áreas de trabajo

Daños en Hardware alto Catastrófico

Red Administración de

la red

Daños en los

dispositivos de

comunicación

(rack, servidores,

touters)

Fallas en la red medio moderado

Sistemas de

Información

Fallas en la

administración de

los aplicativos

Denegación del

servicio a través

de múltiples

consultas

concurrentes

Problemas en la

oportunidad de la

atención en los

diferentes

sistemas de

información

Problemas en la

configuración de

los parámetros de

seguridad del

servidor del sistema

de información

Falta de soporte y

mantenimiento de

fabrica

Fallas en los

controles para el

acceso físico a los

servidores

Violación de los

sistemas de

Información

alto Catastrófico

Categoría de

Activo

Servicio de

Red


Dispositivos de

red

El constante

cambio

tecnológico

genera que las

herramientas

adquiridas entren

en inoperancia.

Referencia de

repuestos

descontinuados

Aceleración de

nuevas tecnologías

generando

discontinuidad de

las mismas en un

corto periodo de

tiempo

Obsolescencia

Tecnológica

bajo leve

3. Seguridad

Física

Hardware Ausencia de

Hardware

Falta de

dispositivos para

buen

funcionamiento

Robos de hardware bajo moderado

Infraestructura

de red

Violación de

autorización

Personas no

autorizadas

Vandalismo bajo Moderado

Infraestructura

de red

Perdida de

hardware

Riesgos físicos Incendios alto Catastrófico

Infraestructura

de red

Perdida de

equipos en

funcionamiento

Daños en hardware

y software

Terremotos alto Catastrófico

Punto de

energía

eléctrica

Funcionamiento

irreparable de

dispositivos

Perdida del

funcionamiento

correcto de equipos

Fallas eléctricas bajo leve

Hardware Atrasos en el

funcionamiento

de los procesos

Perdida de la

información

almacenada

Fallas de hardware alto catastrófico

4. Manejo de

Personal

Acceso Manipulación de

datos

confidenciales

Extracción de datos

no autorizados

Accesos no autorizados alto catastrófico

Categoría de

Activo

Servicio de

Red


Tenencia de

información no

autorizada.

Acciones

sospechosas

Fraude alto catastrófico

Identidad Autorizaciones no

verificadas

Accesos no

autorizados

Suplantación de

identidad

alto catastrófico

Autenticación Intentos fallidos Autenticación

repetida

Fallas de autenticación alto catastrófico

Personal Eficiencia

afectada

Rendimiento

desmejorado

Indisponibilidad del

personal

bajo moderado

Información Obtención de

información

Perdida de

información

Fugas de Información bajo moderado

5. Protección de

la Información


información

Perdida de

información

Robo de información alto catastrófico


información

Perdida de

información

Perdida de información alto catastrófico

Información Información no

veraz

Personal

involucrado,

Información errada

Manipulación de

información

alto catastrófico

Usuario Entorpece

funcionamiento

Demora en

servicios ofrecidos

Errores de usuario alto catastrófico

Información Falta de

información

completa

Ausencia de

información real

disponible

Eliminación de

información

alto catastrófico

Backup Ante cualquier

desastre la

organización es

perjudicada

Perdida de datos No se encuentran

definidas las políticas

de copias de seguridad

alto catastrófico

Categoría de

Activo

Servicio de

Red


6. Seguridad

Lógica

Archivos y

programas

El estado de

programas y

archivos se ve

afectado

Programas y

archivos eliminados

o cambiados

Acceso a los programas

y archivos por parte de

personal no autorizado

alto catastrófico

Destinatario Extracción de

información

Accesos de

información por

medio empleados

Información

transmitida a un

destinatario incorrecto

alto catastrófico

Programas y

archivos

Vulneración y

funcionamiento

errado de la

información

Funcionamiento

errado

Modificación de los

programas y archivos

por parte de los usuarios

alto catastrófico

control de

acceso

Información

puesto es peligro

Vulneración de la

privacidad de la

información

Falta de software de

control de acceso

alto catastrófico

virus Vulnerable todo

el sistema de

información

Mal

funcionamiento de

software o

hardware

Entrada de virus y

malware

alto catastrófico

233004_225_TC1_1

Documents

Transcript of 233004_225_TC1_1