Universidad Piloto de Colombia. Vigus Jorge, Rodrguez Mauricio. Anlisis de Riesgo Mapa de Riesgo.

Servicios y Aplicaciones web de una

Entidad y/o Organizacin
Rodrguez Mauricio, Vigus Jorge, mauriciorodriguezfigueroa@gmail.com, jvirguez.83@gmail.com
Universidad Piloto de Colombia

ResumenEste artculo tiene como fin, definir controles

cibernticos de una empresa y/o organizacin, de mitigar los
riesgos y controlar as los mismos. De analizar los peligros
que se ocasionan a una red privada dando controles para velar
por su confidencialidad, integridad y disponibilidad de los
datos. Poder controlar la suplantacin de identidad para
vigilar la perdida de informacin y aminorar los riesgos dados
por estos delincuentes cibernticos dando controles y
soluciones pertinentes para un buen manejo de la empresa.
Abstract This article aims to define cyber controls a
company and / or organization, and mitigate risks and control
them. To analyze the dangers that are caused to a private
network giving controls to ensure confidentiality, integrity and
availability of data. To control spoofing to monitor the loss of
data and reduce the risks taken by these cyber criminals
controls and giving relevant solutions for good management of
the company.

ndice de Trminos Firewalls (computing), Base de

Datos, red Interna, Amenaza, Vulnerabilidad
I.INTRODUCCIN
CON

LA

TECNOLOGA

QUE

VA

EN

PASOS

GIGANTESCOS SE TIENE EL PELIGRO DE PRDIDA DE

LA INFORMACIN MS VALIOSA DE UNA EMPRESA
CON MTODOS CADA VEZ MAS INDETECTABLES
PARA LAS PERSONAS Y HAY QUE ACTUAR DE
MANERA RPIDA PARA CONTRARRESTAR EL ROBO
DE LA INFORMACIN Y UTILIZAR MECANISMOS DE
CONTROL Y PODER DISMINUIR PARA LA EMPRESA
ESOS HOYOS QUE NO SE PUEDEN REPONER DADO
QUE LA INFORMACIN QUE SE MANEJA ES MUY
VALIOSA PARA LA MISMA.

POR ESTA RAZN LA EMPRESA REALIZA UN ESTUDIO

Y SE VE EN LA RESPONSABILIDAD DE INVOLUCRAR

IMPLANTAR UN SGSI INICIANDO PARA ELLO CON EL

ANLISIS DEL RIESGO QUE SE PLANTEAR EN ESTE
DOCUMENTO.

II.

PROCEDIMIENTO

Dado la siguiente situacin una red necesita

acceder a una base de datos la cual necesitan para
consultar y acceder a ella lo realizan con un login y
un password pasando por un firewall son usuarios
registrados de la empresa.
Para ello existen diferentes amenazas latentes que
hemos catalogado como Tipos de Riesgo R1 Critico
R2 Alto R3 Medio R4 Bajo y unos activos los
cuales son Firewall, Bases de Datos Celulares
Robados DZM, Red LAN.
Primera amenaza

Universidad Piloto de Colombia. Vigus Jorge, Rodrguez Mauricio. Anlisis de Riesgo Mapa de Riesgo.

Segundo amenaza

NIVEL
IMPACTO

RIESGO PURO

CRITICO
MAYOR

MODERADO

1-3

Probable
(P)

posible
(PO)

poco
probable
(Pp)

MENOR
Casi
Seguro
(CS)

PROBABILIDAD

Tercera Amenaza

Existen instrumentos que estando alineados con

estos estndares ISO 27001 y que facilitan a una
empresa enfocarse en implementar herramientas y
metodologas que satisfagan los requerimientos
bsicos de la administracin de riesgos en sus
sistemas de informacin tales como la metodologa
Magerit para realizar el anlisis y gestin del riesgo
enfatizando en las polticas y controles de seguridad
por cada capa o capitulacin del compendio de ISO
27001 para realizar los controles realizamos los
siguientes de la norma 27001
A.10 GESTIN DE COMUNICACIONES Y
OPERACIONES A.10.1.3 Distribucin de

Universidad Piloto de Colombia. Vigus Jorge, Rodrguez Mauricio. Anlisis de Riesgo Mapa de Riesgo.

funciones. Control Las funciones y las reas de

responsabilidad se deben distribuir para reducir las
oportunidades de modificacin no autorizada o no
intencional, o el uso inadecuado de los activos de la
organizacin. A.10.1.4 [20]
Separacin de las instalaciones de desarrollo,
ensayo y operacin. Control Las instalaciones de
desarrollo, ensayo y operacin deben estar
separadas para reducir los riesgos de acceso o
cambios no autorizados en el sistema operativo.
[21] A.10.4.1 Controles contra cdigos maliciosos.
Control Se deben implementar controles de
deteccin, prevencin y recuperacin para proteger
contra cdigos maliciosos, as como procedimientos
apropiados de concientizacin de los usuarios. [22]
A.10.4.2 Controles contra cdigos mviles Control
Cuando se autoriza la utilizacin de cdigos
mviles, la configuracin debe asegurar que dichos
cdigos operan de acuerdo con la poltica de
seguridad claramente definida, y se debe evitar la
ejecucin de los cdigos mviles no autorizados.
A.10.10.4 Registros del administrador y del
operador Control Se deben registrar las actividades
tanto del operador como del administrador del
sistema. [24] A.10.10.5 Registro de fallas Control
Las fallas se deben registrar y analizar, y se deben
tomar las acciones adecuadas. [24] A.11.4.6 Control
de conexin a las redes. Control Para redes
compartidas, especialmente aquellas que se
extienden ms all de las fronteras de la
organizacin, se debe restringir la capacidad de los
usuarios para conectarse a la red, de acuerdo con la
poltica de control del acceso y los requisitos de
aplicacin del negocio. [26] Identificacin y
Valoracin de Activos: Se realiza el anlisis de
riesgo el primer paso es identificar los activos que
existen en la entidad y determinar el tipo y su valor
en la dimensiones de seguridad (Integridad,
Autenticidad, Confidencialidad, Disponibilidad).
Dentro de esta etapa se realizan Entrevistas con los
responsables de los activos, se tabula la informacin
recolectada. Identificacin y Valoracin de
Amenazas: Se identifican las amenazas en los
activos y determinar el nivel de exposicin en la
que se encuentra cada activo de informacin en la
entidad. Despus se realiza la valoracin de las
vulnerabilidades en cada uno de los activos, es
decir, determinar que amenazas los puede afectar,

con qu frecuencia se puede presentar la amenaza y

que dimensin de seguridad puede ser afectada.
Firewall Perimetral Redundante (H.A) La entidad
posee un Firewall Perimetral tipo UTM (Gestin
Unificada de Amenazas). Es un sistema que puede
detectar y eliminar virus, gusanos y otras amenazas
basadas en contenido, sin afectar el rendimiento de
la red, incluso para aplicaciones que estn
funcionando en tiempo real. Algunas de estos
servicios son: Inspeccin de paquetes, funcin
VPN, Anti Spam (para evitar los correos no
deseados o spam), Anti Phishing, Antispyware,
Filtrado de contenidos (para el bloqueo de sitios no
permitidos mediante categoras), Antivirus de
permetro (evitar la infeccin de virus informticos
en
computadoras
clientes
y
servidores),
Deteccin/Prevencin de Intrusos

CONCLUSIONES
Aplicar la metodologa Magerit para el anlisis de
riesgo es el primer paso para garantizar la seguridad
de los activos de informacin y el normal
funcionamiento interno de la entidad. Los controles
resultados de este anlisis de riesgos pueden ser
tomados como soporte para la implementacin del
SGSI; encaminado a incrementar la confiabilidad,
integridad y disponibilidad de la informacin. En
los procedimientos para analizar el riesgo fue de
gran importancia el estudio de Ethical Hacking que
se pudo realizar a la infraestructura tecnolgica y a
los Sistemas de Informacin de la Entidad; le siguen
en orden de importancia las entrevistas a los

Universidad Piloto de Colombia. Vigus Jorge, Rodrguez Mauricio. Anlisis de Riesgo Mapa de Riesgo.

administradores de la seguridad y de los servicios y

la encuesta para evaluar las buenas prcticas en
tecnologa de todos los empleados de la entidad.
REFERENCIAS

NORMA TCNICA NTC-ISO/IEC COLOMBIANA

27001 2006-03-22 Instituto Colombiano de Normas
Tcnicas y Certificacin (ICONTEC)
[22]
NORMA TCNICA NTC-ISO/IEC COLOMBIANA
27001 2006-03-22 Instituto Colombiano de Normas
Tcnicas y Certificacin (ICONTEC)
[24]
NORMA TCNICA NTC-ISO/IEC COLOMBIANA
27001 2006-03-22 Instituto Colombiano de Normas
Tcnicas y Certificacin (ICONTEC)
[26] NORMA TCNICA NTC-ISO/IEC COLOMBIANA
27001 2006-03-22 Instituto Colombiano de Normas
Tcnicas y Certificacin (ICONTEC)
[21]