Академический Документы
Профессиональный Документы
Культура Документы
Presentado por:
Presentado a:
INTRODUCCIN ..................................................................................................................... 7
1.1.3. Identificar las actividades del proceso de gestin del riesgo y los factores crticos
CONSECUENCIAS. ................................................................................................................ 66
BIBLIOGRAFA ...................................................................................................................... 95
LISTADO DE FIGURAS
Figura 1 Relacin de principios, el marco de referencia y los procesos en la gestin de procesos ________________ 9
Figura 3Proceso para la administracin del riesgo segn gua del DAFP __________________________________ 13
Figura 4Proceso para la administracin del riesgo en seguridad de la informacin, segn NTC-ISO/IEC 27005 ___ 14
Figura 21: Opciones de tratamiento del riesgo ________________________________Error! Bookmark not defined.
LISTADO DE TABLAS
Tabla 14 Distribucin porcentual de los riesgos ............................................................. Error! Bookmark not defined.
Tabla 15: opciones de tratamiento de los riesgos definidos ........................................... Error! Bookmark not defined.
Tabla 16: Plan de tratamiento del riesgo ....................................................................... Error! Bookmark not defined.
INTRODUCCIN
para garantizar la continuidad del negocio, y es por esta razn que se han visto obligadas a
identificar los posibles riesgos que pueden afectarla, para poder definir las acciones necesarias
En el presente documento, dentro del contexto de la gestin del riesgo en las organizaciones,
toma como caso de estudio la Universidad Nacional Abierta y a Distancia UNAD, CCAV
todo esto tomando como referencia la norma ISO 27005, el Manual de Implementacin de la
Gestin del Riesgo para la seguridad de la informacin segn norma ISO 27005. Lpez
organizacin para crear tratamientos a ellos y lograr mitigar los impactos negativos de estos.
1. INTRODUCCIN, CONTEXTO E IDENTIFICACIN DEL RIESGO.
Cuando se habla de la gestin del riesgo, es importante entrar a definir que es un riesgo y que
involucra la gestin del riesgo, por este motivo a continuacin se toman estas definiciones de la
NTC-ISO 31000:
ambos.
riesgo.
del riesgo
Abordando el concepto de gestin de riesgos desde una arquitectura que involucra una
En este contexto de la gestin del riesgo, es importante resaltar que la gestin de riesgo debe
abarcar tres fases, las cuales se relacionan en la gua para la gestin del riesgo elaborada por de
Capacitacin en la metodologa
1.1.2. Conocer y utilizar la norma de gestin del riesgo.
Para la gestin del riesgo se han definido guas y normas a nivel nacional e internacional, las
Documento Descripcin
informacin.
SGSI.
seguridad de la informacin.
informacin.
Documento Descripcin
informacin.
pblicas o privadas
Fuente: autores
Para el caso de las normas de la familia ISO 27000, se puede observar en la siguiente figura
una estructura piramidal la cual nos servir para identificar cada uno de los niveles de seguridad
segn normatividad:
Figura 2 Estructura piramidal de las normas de la familia ISO 27000
Fuente: https://lciso27000.wordpress.com/tag/estructura/
1.1.3. Identificar las actividades del proceso de gestin del riesgo y los factores crticos para el
xito.
La gestin del riesgo est direccionada por una serie de fases que van desde el contexto de
donde se origina el riesgo, pasando por una valoracin de riesgo, donde se determinarn las
acciones para llevarlo a un nivel aceptable para la organizacin (MINTIC, Gua de gestin de
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7p10
Figura 4Proceso para la administracin del riesgo en seguridad de la informacin, segn NTC-ISO/IEC 27005
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7. p11
Las dos imgenes reflejan el proceso que lleva a la gestin del riesgo desde su identificacin,
tratamiento y aceptacin del riesgo, siendo la aceptacin del riesgo el ltimo paso que se surte
para lograr que los impactos del riesgo residual no generen efectos graves sobre la organizacin
Para que el tratamiento del riesgo logre ser efectivo, se debe dar gran importancia a las
actividades de valoracin del riesgo, de esta forma, se define que si acciones definidas para el
tratamiento del riesgo, no logran reducir el impacto del riesgo a un nivel aceptable, se debe
Cuando se definen las actividades para la aceptacin del riesgo, estas actividades deben
garantizar que los riesgos residuales puedan ser aceptados por los directores de la entidad
(MINTIC).
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7.
P.12.
de all obtener los riesgos de seguridad asociados. (MINTIC, Gua de gestin de riesgos:
Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar diferentes
enfoques, pero debe ser adecuado y que contenga criterios como: criterios de evaluacin del
riesgo, criterios de impacto, y criterios de aceptacin del riesgo. (MINTIC, Gua de gestin de
Los criterios del riesgo, segn lo establecido en el ISO 31000, Se deben definen para evaluar
la importancia del riesgo, y estar definidos desde el principio de todo proceso de gestin del
Los factores por considerar en la definicin de los criterios del riesgo estaran los siguientes
(ISO 31000):
Naturaleza, causas y consecuencias que pueden presentarse y la forma como se van a medir
La probabilidad
Marcos de temporales de probabilidad
Determinar el nivel del riesgo
considerar
Los criterios bsicos para el anlisis y valoracin de los riesgos son referenciados por
Los criterios de evaluacin de impacto del riesgo se pueden utilizar para especificar las
dao o de los costos para la entidad, causados por un evento de seguridad de la informacin,
y disponibilidad de la informacin)
Operaciones deterioradas
c) Aceptacin: Estos criterios estn influenciados por las polticas, metas, objetivos de la
organizacin y de las partes interesadas. Segn Lpez Quintero Se deben definir escalas de
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una meta de
nivel de riesgo deseable, pero con disposiciones para que la alta direccin acepte los riesgos por
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre el beneficio
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes clases de riesgos,
por ejemplo, los riesgos que podran resultar en incumplimiento con reglamentos o leyes podran no
ser aceptados, aunque se puede permitir la aceptacin de riesgos altos si esto se especifica como un
requisito contractual
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento adicional en
el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobacin y compromiso para ejecutar
acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de tiempo.
Los criterios de aceptacin del riesgo son a nivel general y pueden diferir de acuerdo con
la expectativa de duracin que se tenga del riesgo y se podran considerar los siguientes
elementos:
Operaciones
Tecnologa
Finanzas
Se recomienda desarrollar criterios para la evaluacin del riesgo con el fin de determinar el
No. 7, 2016):
Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el
especificar las prioridades del tratamiento del riesgo. (MINTIC, Gua de gestin de riesgos:
grado de dao o de los costos para la entidad, causados por un evento de seguridad de la
disponibilidad de la informacin)
Operaciones deterioradas.
dependen con frecuencia de las polticas, metas, objetivos de la organizacin y de las partes
interesadas. La organizacin debera definir sus propias escalas para los niveles de aceptacin del
riesgo. Durante el desarrollo, se deberan considerar los siguientes aspectos (MINTIC, Gua de
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una meta de
nivel de riesgo deseable, pero con disposiciones para que la alta direccin acepte los
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre el
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes clases de
riesgos, por ejemplo, los riesgos que podran resultar en incumplimiento con reglamentos
o leyes podran no ser aceptados, aunque se puede permitir la aceptacin de riesgos altos
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento adicional
en el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobacin y compromiso para
ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de
tiempo. Los criterios de aceptacin del riesgo son a nivel general y pueden diferir de acuerdo con
la expectativa de duracin que se tenga del riesgo y se podran considerar los siguientes
elementos: (MINTIC, Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua
No. 7, 2016):
Operaciones.
Tecnologa.
Finanzas.
El alcance y los lmites permiten concentrarnos de forma especfica, en una o varias reas de
la empresa, en la cual se pretende aplicar la gestin del riesgo, siendo el alcance para este
tecnolgica (SGI) en el CCAV Neiva de la UNAD. La sede CCAV de Neiva est ubicada en la
Carrera 15 # 8-06, Altico, Neiva, Huila, la cual est en la zona sur, segn distribucin geogrfica
Fuente: https://www.google.com.co/maps/dir/''/UNAD+neiva+telefono/@2.9221046,-
75.282434,14.08z/data=!4m8!4m7!1m0!1m5!1m1!1s0x8e3b746faadedaf3:0xa4aefc4aa3a8f1a7!2m2!1d-
75.2800422!2d2.9304578
Es importante que la entidad defina el alcance y los lmites para de esta manera garantizar que
todos los activos relevantes se toman en consideracin en la valoracin del riesgo. Al definir el
alcance y los lmites la entidad debera considerar la siguiente informacin (MINTIC, Gua de
Los objetivos estratgicos de la entidad se definen mediante el acuerdo nmero 001 del 29 de
cientfica, que contribuyan a dar soluciones acordes con las necesidades y posibilidades
(5), el cual est ligado al proceso de Gestin De Infraestructura tecnolgica. (C-12), proceso
Pedaggico en sus mltiples contextos y mbitos de actuacin, est comprometida con (Unad,
2017):
dems suscritos por la institucin, para la satisfaccin de todos los actores acadmicos y
misionales de la entidad.
esta.
Para el caso de estudio, la gestin del riesgo se formula, articulada bajo lo indicado en literales
universidad:
educativos.
de la Universidad.
peligrosos y de manejo especial generado en las actividades propias y de control sobre los
10. Promover el bienestar integral del personal de la UNAD y gestionar el riesgo en salud a
tecnolgico.
(C-12).
la Universidad, los resultados (productos y servicios) de estos procesos son recibidos por
que dan los procesos estratgicos y soportando su gestin con los procesos de apoyo.
Procesos de Apoyo: Su razn de ser es la de apoyar la gestin de los dems procesos del
sistema para que la Gestin Universitaria cumpla con la poltica, la misin y la visin de la
Universidad.
Procesos Evaluacin: son aquellos que sirven para medir y recopilar informacin
De los procesos indicados, la gestin del riesgo se focalizar sobre el tipo de proceso de
institucional. Tiene como actores fundamentales a la Secretara General, las gerencias, las
ejecucin de los lineamientos que dan direccin a la Universidad, con el propsito de fortalecer
tanto su gestin en los escenarios de prestacin del servicio educativo como el mejoramiento de
las relaciones de comunicacin directa entre la Universidad y los diversos usuarios. Tiene como
actores fundamentales a las escuelas, las unidades acadmicas especiales, las direcciones zonales
Fuente: https://goo.gl/XgEdTg
De la estructura organizacional se selecciona el sistema funcional en donde se encuentra la
1.2.5.2Naturaleza jurdica
del orden nacional, con rgimen especial, cuyo objeto principal es la educacin abierta y a
La UNAD, como ente universitario con autonoma especial para contratacin, rgimen
especial salarial para sus docentes (Decreto 1279/02), manejo especial en la administracin del
presupuesto y aportes especiales por parte del Gobierno Nacional (Art. 87 Ley 30 de 1992), est
Autnomos:
Universidad de Antioquia
Universidad de Atlntico
Universidad de Caldas
Universidad de Cartagena
Universidad de Crdoba
Universidad de Cundinamarca
Universidad de la Amazona
Universidad de la Guajira
Universidad de Magdalena
Universidad de Nario
Universidad de Pamplona
Universidad de Sucre
Universidad Surcolombiana
La poltica aplica a todos los procesos y procedimientos que conforman el sistema integrados
de gestin de la Universidad, as como todas las actuaciones administrativas que desarrollen sus
contratistas.
resolucin 4256 del 3 de marzo de 2015 Polticas Marco de Referencia del Sistema de
de las instalaciones de la UNAD, nicamente para desarrollar y cumplir con los objetivos
laborales y/o contractuales del personal, procurando que no se almacene en esos dispositivos
informacin institucional.
docentes, son propiedad de la entidad, y los responsables de dichos equipos debern velar
definido por GIDT con el fin de evitar la interceptacin y/o uso de indebido de la
informacin que en ellos se almacene. Por lo anterior, el acta de entrega del dispositivo, se
debe validar que dicha proteccin se haya implementado o se deba firmar la exclusin de
dicha proteccin.
Informar a la GIDT sobre los nuevos administrativos, contratistas y/o docentes que
ingresen a la institucin, con el fin de poder asignar desde GIDT, los respectivos permisos
acceso lgico para la asignacin de permisos y privilegios a los usuarios de acuerdo a sus
autenticacin definidos.
informacin digital y/o fsicas entre unidades, usuarios y terceras partes de la institucin.
Artculo 25. Los mensajes enviados a travs de cualquier medio electrnico que
propender porque solo sean conocidos por el emisor por el receptor(es), del mensaje.
CEADS, CCAVS, UDRS, son los encargados de asignar estos roles en cada una de las
Artculo 31. Cada lder de unidad ser el responsable de definir los permisos de acceso a
Artculo 33. Toda informacin clasificada como sensible o vulnerable que sea enviada
por medios electrnicos debe usar algoritmo de cifrado segn los lineamientos de GIDT.
de los equipos de respaldo masivo de datos estar a cargo de la persona designada por el
velar por los backups y por el resguardo de los datos contenidos en ellos; as como por su
Artculo 55. Los medios de respaldo empleados para efectuar las copias de seguridad en la
velar por los respectivos medios de respaldo (y los datos contenidos en stos) y sern quienes
Artculo 56. Se har Respaldo a los archivos, aplicaciones, bases de datos y configuracin
de los sistemas operativos de los servidores calificados como crticos para la UNAD,
respaldo.
Artculo 58. Para todos los casos de criticidad definidos en el Inventario de Servidores
Artculo 59, La ejecucin de las copias de seguridad debe llevarse a cabo en horas de
poca o ninguna actividad laboral; por lo tanto la GIDT ser la responsable de definir el
Pargrafo. En los casos en que el backup no finalice exitosamente dentro de los tiempos
Artculo 60. Cuando sea necesario un respaldo por demanda de los servidores crticos, se
debe solicitar formalmente a travs de la mesa de ayuda o mediante correo electrnico por
parte del personal autorizado, para informar mnimo con 24 horas de antelacin sobre
Artculo 62. La Comprobacin peridica del estado de las copias se llevar a cabo con el
restauracin de backups.
Artculo 63. Los equipos para el respaldo de informacin de la UNAD deben estar
ubicados en centros de datos (Datacenters) con las medidas de seguridad pertinentes, y tener
Artculo 64. Los medios de almacenamiento de datos deben tener un manejo adecuado
de los archivos, teniendo en cuenta los principios de procedencia, orden original, el ciclo
Artculo 66. La UNAD deber garantizar los espacios y las instalaciones necesarias para
General de la Nacin.
ejercer el pleno control de sus recursos informativos. Los archivos pblicos, por ser un bien
Universidad, sin que ello implique exoneracin de la responsabilidad a que haya lugar en
caso de irregularidades.
Central e Histrico.
Artculo 75. Todas las personas tienen derecho a la intimidad personal y familiar, honra y
buen nombre de las personas y dems derechos consagrados en la constitucin y las leyes.
Artculo 76. Slo por motivos legales, la Universidad podr autorizar la salida temporal
Secretaria General.
salida temporal de los documentos que se conservan con fines: investigativos, culturales,
ejecucin de las actividades del Sistema de Gestin Documental a nivel nacional, mediante
A continuacin, se presenta todas las sedes que tiene a nivel nacional, es decir el cubrimiento
geogrfico en la figura 8
Fuente: https://goo.gl/XHZdU8
1.2.3.9 Restricciones que afectan a la organizacin.
La UNAD por ser una organizacin tan grande, en algunos casos no todas las sedes cuentan
con la infraestructura tecnolgica necesaria para la prestacin del servicio y la mitigacin de los
riesgos, sin contar las particularidades que son propias de cada regin donde se ubica los centros
de atencin de la universidad.
Es por eso, que hay que empezar a delimitar la gestin del riesgo, se toma como caso de
estudio una de las Sedes de la UNAD, siendo para este caso, el CCAV de Neiva.
la infraestructura tecnolgica, esto lo hace una entidad eficaz y eficiente en cuanto a la mejora de
Cuenta con una infraestructura tecnolgica y recurso humano que lleva a cabo el control,
Para la valoracin se deben tener en cuenta los posibles activos que sean relevantes,
activos es posible validar si el alcance definido de forma preliminar es correcto o debe ser
Se deben tener en cuenta los tipos de amenazas que pueden presentarse (estas pueden ser
fsicas, lgicas o estratgicas y su origen puede ser natural, tcnico, humano accidental o
intencional), los daos que pueden implicar las amenazas, la determinacin sobre las prdidas
causadas por los riesgos en trminos de impacto, a partir de lo anterior es posible determinar los
controles y priorizar los riesgos, los controles a usar se clasifican en controles preventivos,
controles deductivos y controles correctivos. Los procesos deben ser priorizados con el fin de
determinar niveles de criticidad de los mismos. Segn (Castro, 2011) Las vulnerabilidades
pueden ser determinadas por varios medios como la realizacin de pruebas y listas de chequeo.
Las amenazas deben clasificarse de forma acorde y el anlisis de su impacto con respecto a la
valoracin se pueden usar tcnicas cuantitativas y/o cualitativas para la estimacin de riesgos.
Tomando como referencia la norma ISO 27000:2013, los activos de informacin corresponden, a
aquellos elementos que tiene valor para la entidad y que, por lo tanto, requiere de proteccin. Su
identificacin es indispensable para recopilar la informacin suficiente para la valoracin del riesgo.
Par el caso de estudio se determinarn los siguientes tems en la descripcin de los activos del
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 30
e al
Administrativo
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 31
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 32
e al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
e 10 7 WAN 33 al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 34
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 35
k al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 4 500 Avira fijo empresari Normal
7 3 WAN 36
k al
HP
Impresora 192.168.36.1
LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Normal
Alta 37
et
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Normal
HP
Impresora 192.168.36.1
LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
Alta 38
et
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 39
k al
192.168.36.1
Monitor Hp N/A N/A N/A N/A N/A N/A N/A N/A Regulada
40
192.168.36.1
Monitor Hp N/A N/A N/A N/A N/A N/A N/A N/A Normal
41
LAN y 192.168.36.1
Access Point Hp N/A N/A N/A N/A N/A N/A N/A Normal
WAN 99
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 42
e al
Docentes
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 43
e al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
e 10 7 WAN 44 al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 45
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 46
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 47
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 48
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 49
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 50
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 51
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 52
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 53
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 54
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 55
e al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
e 8 5 WAN 56 al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 57
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 58
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 59
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 60
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 61
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 62
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 63
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 64
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 65
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 66
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 67
e al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
e 10 7 WAN 68 al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 69
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 70
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 71
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 72
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 73
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 4 500 Avira fijo empresari Normal
7 3 WAN 74
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 75
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 76
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 77
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 78
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 79
e al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
e 10 7 WAN 80 al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 81
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 82
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 83
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 84
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 85
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 86
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 87
k al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Regulada
10 7 WAN 88
k al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 89
k al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Regulada
10 7 WAN 90
k al
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 91
k al
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
k 10 7 WAN 92 al
HP
192.168.36.1
Impr. media LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
93
et
HP
192.168.36.1
Impr. media LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
94
et
HP
192.168.36.1
Impr. media LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
95
et
HP
192.168.36.1
Impr. media LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
96
et
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Regulada
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Regulada
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Regulada
192.168.36.1
Acces Point Hp 425 N/A N/A N/A N/A N/A N/A N/A N/A Regulada
41
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 01
e al
Salas de sistemas estudiantes
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 02
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 03
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 04
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 05
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 06
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 07
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 08
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 09
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 10
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 11
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 12
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 13
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 14
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 15
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 16
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 17
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 18
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 19
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 20
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 21
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 22
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 23
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 24
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 25
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 26
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 27
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 28
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 29
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 30
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 31
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 32
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 33
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 4 500 Avira fijo empresari Regulada
7 3 WAN 34
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 34
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 35
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 36
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 37
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.s
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 38
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 39
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 40
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 41
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 42
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 43
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 44
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 45
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 46
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 47
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 48
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 49
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 49
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 50
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 51
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 52
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 53
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 54
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 55
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 56
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 57
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 58
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 59
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 60
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 61
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Regulada
10 7 WAN 62
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.2
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 63
e al
Sistema Disc Red
Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
Movistar
LAN y 192.168.36.1
Access Point Hp 425 N/A N/A N/A N/A N/A fijo empresari Normal
WAN 97
al
Movistar
LAN y 192.168.36.1
Access Point Hp 425 N/A N/A N/A N/A N/A fijo empresari Normal
WAN 98
al
Fuente: Autores
Fuente: Autores
1.3.3. Identificacin de las amenazas.
Las amenazas entran a constituirse en la gestin del riesgo como el elemento generador de
La siguiente tabla 5, muestra las amenazas especficas que se determinan para el CCAV de
Neiva:
Amenaza
Campo
tem
(Inalmbrico
dispositivas
16 Interceptacin de informacin.
de red
nes
s)
La identificacin de controles se debe hacer para poder determinar cules son las capacidades
con que cuenta la organizacin, y de igual forma, evitar repetir esfuerzos ya realizados.
de un proceso integrado por varias fases, cuyo objetivo es determinar la naturaleza de un riesgo,
Fuente: http://www.elika.eus/datos/articulos/Archivo139/13.Evaluacion%20de%20riesgos.pdf
cientficos para estimar la probabilidad de que ocurra un efecto como consecuencia por la
exposicin algn riesgo. El resultado de este proceso es la base para que pueda llevarse a cabo la
segunda de la fase que es la Gestin de Riesgos. La evaluacin del riesgo se puede llevar a cabo
de forma cualitativa y/o cuantitativa (fundacin Vasca para la seguridad agroalimentaria, 2005):
1.- Determinstica
2.- Probabilstica
figura 10.
IDENTIFICACIN DEL
PELIGRO
CARACTERIZACIN DEL
RIESGO
Fuente: http://campus08.unad.edu.co/ecbti26/mod/forum/discuss.php?d=11233#p190012
real a los riesgos por parte de una organizacin. Este anlisis tiene como objetivos la
riesgo total y posteriormente el riesgo residual luego de aplicadas las contramedidas en trminos
cuantitativos o cualitativos. El objetivo general del anlisis de riesgos es identificar sus causas
potenciales de los principales riesgos que amenazan el entorno informtico. Segn Harold F.
Tipton y Micki Krause1. la seguridad informtica puede ser definida, bsicamente, como la
Fuente: http://www.iso27000.es/sgsi.html
riesgo, donde se ilustran todos los elementos identificados, sus relaciones y los clculos
realizados.
Matriz para el anlisis de riesgo: es una herramienta utilizada para indicar los riesgos, los
las actividades, los procesos y productos ms importantes de una organizacin, el tipo y nivel de
riesgos inherentes a estas actividades y los factores exgenos y endgenos relacionados con estos
riesgos denominados factores de riesgo. El estndar ISO/IEC 27001 adopta una metodologa
dada por Alan Calder y Steve Watkins que es la del anlisis de riesgos cualitativa la cual se
cuenta los siguientes valores, los cuales se distribuyen en la matriz de anlisis de riesgo.
Para calcular el riesgo es preciso identificar primero la magnitud del dao de cada uno de los
elementos de informacin y tambin se debe identificar las probabilidades que ocurran las
amenazas, basta con multiplicar de manera individual cada probabilidad con su respectiva
magnitud de dao; de esta forma se identifica el ndice de riesgo que se obtiene en la escala de 1-
16 de acuerdo a lo mencionado anteriormente; es importante saber la probabilidad que tiene cada
recurso de ser vulnerable porque no todos poseen la misma ya que dependiendo de la funcin y
el entorno de los recursos que sirven a la informacin, algunos se encuentran ms expuestos a ser
vulnerables por el nivel de importancia en el proceso de gestin de la informacin por tal motivo
necesitan mayor proteccin dependiendo de la valoracin de activos.
Figura 13. Interpretacin de la matriz para anlisis de riesgo.
acciones de control.
Impactos. Son las consecuencias de la materializacin de las distintas amenazas y los daos
que stas puedan causar. Las prdidas generadas pueden ser financieras, tecnolgicas, fsicas,
entre otras.
organizacin. Se referencian como amenazas a las fallas, los ingresos no autorizados, los virus,
Activos. Los activos en tecnologa, es todos lo relacionado con los sistemas de informacin,
CONSECUENCIAS.
activos de la sede, estas pueden ser explotadas por las amenazas lo que causa en realidad
incidentes nada favorables a la seguridad o deterioro a los activos, por si sola la vulnerabilidad
no causa fallas, pero si genera el ambiente para que se materialicen las amenazas. En esta parte
tem Vulnerabilidades
Ca
mpo
1 La poltica de seguridad informtica de la UNAD no est aplicada para el manejo de las polticas de
Backup.
2 Sistema Operativo sin actualizaciones automticas.
3 Sistema Operativo con Protocolo FTP Habilitado
4 Sistema Operativo con puerto NETBIOS Habilitado
5 Sistema Operativo sin antivirus
Software
6 La poltica de seguridad informtica de la UNAD no est aplicada para el manejo adecuado de acceso
(autenticacin de usuario).
7 Equipos Informticos compartiendo carpetas sin filtros de usuarios. (Servidor y Terminales)
8 Aplicaciones fuera del catlogo de software instaladas sin autorizacin.
9 Falta concientizacin del Personal en cuanto a la importancia del uso de credenciales robustas, en
equipos, aplicaciones y en lnea, para proteger los datos personales.
10 Docentes, administrativos y estudiantes con poca capacitacin en proteccin y acceso a la informacin
propia, institucional y de terceros.
dwa
re
anotar que solo se permiti realizar un escaneo a la red con una herramienta de monitoreo, an se
Network Scanner: Escner de IPv4 / IPv6 con una interfaz grfica y caractersticas
computadoras pings, programa, exploraciones para escuchar puertos TCP / UDP y descubre
informacin sobre los equipos de la red a travs de WMI, SNMP, HTTP, NetBIOS.
Figura 14: Network Scanner
Fuente: https://www.softperfect.com/products/networkscanner/
Despliegue del escner: Para esta labor se realiza el escaneo de la red 192.168.36.0/24
remoto puede obtener informacin los recursos de red y las cuentas de usuario definidas en el
sistema.
Figura 15 Escner y Monitoreo a la red del CCAV Neiva.
Fuente: Autores
Figura 16. Escner 2 Monitoreo a la red de sede.
Fuente: Autores
se puede observar en la zona sombreada como existe un rbol de carpetas al cual se puede
acceder sin ninguna restriccin, este sistema de archivo se encuentra alojado en un servidor de
archivos local, de igual forma existen equipos informticos que estn compartiendo archivos con
acceso pblico.
En resumen, las vulnerabilidades encontradas son:
sirven como soporte a la conectividad de forma inalmbrica, estos dispositivos son vulnerables y
de fcil acceso si no se realiza la configuracin adecuada para restringir y proteger de los accesos
no autorizados. Se ingresa a la configuracin de los routers WIFI donde se evidencia que algunos
no cuentas con la configuracin WEP-WPA, otros tienen contraseas dbiles, dejando la seal
Fuente: Autores
Figura 17. Router con Wifi Abierta.
Fuente: Autores
Mediante la tcnica de la observacin para evaluar el estado fsico de los bienes que soportan
la gestin de los activos se pudo evidenciar algunas falencias, en algunos activos y sistemas que
aspectos:
Respecto al factor humano se indaga sobre las personas midiendo el nivel de conocimiento
Software:
Interrupcin de servicios
Perdida de la informacin.
Ataques informticos,
robo de informacin.
Hadware:
Seguridad fsica:
Las valoraciones de amenazas, consecuencias y estimacin del nivel del riesgo se establecen
tomando como referencia la Matriz del Evaluacin del riesgo (ERB, M. (2008). Gestin de Riesgo en la
Seguridad Informtica), indicada en el captulo 2.
Catego Impacto o
ra Consecuencia magnitud del dao
Interrupcin de servicios 4
Hurto de bienes 3
fsica
Fuente: Autores
2
3 3
Sabotaje, Vandalismo Uso inadecuado de equipos
Uso no autorizado de
4
sistemas informticos
Fuente: Autores
Se puede concluir, segn la grfica anterior, que las siguientes amenazas, generan mayor
Ataques informticos
Desastres naturales
La valorizacin de los incidentes que se relacionan a continuacin est entrelazada con los
riesgos de los activos de la Unad del CCAV de Neiva. Se representa en la siguiente tabla 10 y en
Categor Impacto o
a Incidentes magnitud del dao
Sucesivos intentos de login 4
Infeccin con virus 4
Softwar
Deficiencia en la plataforma 4
e:
instalacin de un rootkit 3
Gusano en la red 3
Hardwar
e Compromiso del Root 3
Dispositi
vos de red Scanning de puertos 3
Segurida
d fsica Falta de infraestrutura tecnolgica. 4
Fuente: Autores
Figura 20 Impacto incidentes
Fuente: Autores
1 2 3 4 1 2 3 4
Cam
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
Software
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
Software
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
(Inalmbricos)
Comunicaciones dispositivas de red
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
Software
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
Seguridad Fsica - Bienes
informticos
del riesgo
tem
Nivel
Vulnerabili Amen Riesg Probabil
po
dades aza o idad Impacto
Hardware
Fuente: Autores
En la siguiente tabla se ilustran el nivel del riesgo para cada riesgo definido:
Descripcin
Nivel del
Probabil
Campo
tem
idad Impacto
riesgo
nivel
Vulnerabilidades Amenaza Riesgo
1 2 3 4 1 2 3 4
Software
La poltica de
seguridad informtica Accesos no
de la UNAD no est autorizados, Robo de Ri
1
6 aplicada para el manejo Instalador de informacin X X esgo
6
adecuado de acceso software no confidencial. Alto
(autenticacin de autorizado
usuario).
Seguridad
Fsica - Bienes
informticos
La poltica de
seguridad informtica
Pedida Prdida y no Ri
de la UNAD no est 1
1 parcial o total de recuperacin de X X esgo
aplicada para el manejo 2
la Informacin. la informacin. Alto
de las polticas de
Backup.
Niv
Ca
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
m Vulnerabilidades Amenaza Riesgo
idad Impacto
Software
Ataques
informticos,
Virus, Ri
Sistema Operativo instalacin de 1
5 Accesos no X X esgo
sin antivirus software 2
autorizados Alto
malicioso, robo
de informacin.
Software
Ataque a la
integridad,
Equipos
Robo, disponibilidad y
Informticos Ri
modificacin, confidencialidad 1
7 compartiendo carpetas X X esgo
Perdida de de la 2
sin filtros de usuarios. Alto
Informacin informacin
(Servidor y Terminales)
sensible de la
sede.
Software
Falta
concientizacin del
Personal en cuanto a la Acceso no
Ri
importancia del uso de autorizado a Suplantacin 1
9 X X esgo
credenciales robustas, datos y/o de identidad. 2
Alto
en equipos, aplicaciones informacin.
y en lnea, para proteger
los datos personales.
e
Hardwar
Falla en Indisponibilid
UPS (Energa) sin Ri
1 suministro ad de la red y los 1
limpieza(recalentamient X X esgo
1 elctrico circuito equipos de 2
o) Alto
regulado cmputo.
Hardware
Poltica de
seguridad informtica
de la UNAD no est Insuficiencia
Dao Ri
1 aplicada para el de la red y los 1
prematuro en X X esgo
2 mantenimiento equipos de 2
equipos. Alto
preventivo y limpieza de cmputo.
los equipos (Red,
Computo o Energa)
dispositivas de red s dispositivas de
(Inalmbricos) red (Inalmbricos)
Comunicacione
Perdida de
informacin,
Router inalmbrico Acceso no Ri
1 ataques 1
Configuracin autorizado a la X X esgo
5 informticos. 2
vulnerable (WEP-WPA) red Alto
Lentitud en el
canal de datos.
Comunicaciones
Robo de
informacin
Interceptaci confidencial, Ri
1 Router inalmbrico 1
n de claves, usuarios, X X esgo
6 con seal abierta 2
informacin. acceso a la red. Alto
Lentitud en el
canal de datos.
Co
s)
de red
tivas
ciones
disposi
mbrico
munica
(Inal
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
m Vulnerabilidades Amenaza Riesgo
idad Impacto
no autorizado a confidencial, Alto
la red claves, usuarios,
acceso a la red.
Lentitud en el
canal de datos.
d Fsica -
Segurida
Bienes
informticos
Prdida, Indisponibilid
Cuarto de Ri
2 dao y/o ad en la 1
comunicaciones sin X X esgo
4 desconexin de prestacin de los 2
seguridad Alto
dispositivos. servicios.
Software
Ataque a la
integridad,
Sistema Operativo Ri
disponibilidad y
2 sin actualizaciones Virus X X 9esgo
confidencialidad
automticas. Medio
de la
informacin.
Software
Ataque
Aplicaciones fuera informtico,
Virus, Ri
del catlogo de instalacin de
8 Software X X 9esgo
software instaladas sin software
malicioso. Medio
autorizacin. malicioso, robo
de informacin.
Seguri
os
dad Fsica
- Bienes
informtic
Recalentamie Indisponibilid Ri
2 Servidor Sin
nto y apagado ad del sistema de X X 9esgo
2 ventilacin artificial.
del equipo. informacin. Medio
e
Hardwar
Prdida, Indisponibilid
Rack de Ri
1 dao y/o ad en la
comunicaciones sin X X 8esgo
4 desconexin de prestacin de los
proteccin. Medio
dispositivos. servicios.
Seguridad Fsica -
Bienes informticos
Indisponibilid
ad en el servicio
Equipos con
UPS (Energa) sin de quipos y Ri
1 poco tiempo de
sistema de alarma por dispositivos, X X 8esgo
8 respaldo
baja carga. daos, y pedida Medio
elctrico.
de la
informacin.
Seguridad
Fsica - Bienes
informticos
Indisponibilid
Dao y/o
Equipos ad en la
fallas en equipos Ri
2 Informticos o de red, prestacin de
por cambios de X X 8esgo
1 conectado en circuito servicios,
corriente y Medio
de corriente Normal. prdidas
voltaje.
econmicas.
d Fsica -
Segurida
Bienes
informticos
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
m Vulnerabilidades Amenaza Riesgo
idad Impacto
Software confidencialidad
malicioso de la
informacin.
Software
Docentes,
administrativos y
Ataques de
estudiantes con poca
Violacin a la ingeniera social, Ri
1 capacitacin en
informacin acceso a la X X 6esgo
0 proteccin y acceso a la
confidencial informacin sin Bajo
informacin propia,
autorizacin.
institucional y de
terceros.
Hardware
Plan de
mantenimiento Indisponibilid Sin servicio Ri
1
correctivo, preventivo ad de algunos en los equipos de X X 6esgo
3
en los PC no se equipos cmputo. Bajo
especifica.
d Fsica -
Segurida
Bienes
informticos
Apagn Indisponibilid
UPS (Energa) sin Ri
2 inesperado de ad del servicio de
funcionamiento o poca X X 6esgo
0 equipos y equipos y
carga o respaldo Bajo
dispositivos. dispositivos.
are
Softw
Indisponibilid
Insuficiencia
Algunos Circuito de ad de la Ri
2 del suministro
corriente Regulada proteccin X X 4esgo
3 elctrico
Fuera de Servicio elctrica al Bajo
regulado.
hardware.
Fuente: autores
Segn Lopez Quintero (2016, p.37), la evaluacin del riesgo la define como la actividad que
finaliza [la] anlisis y valoracin en la gestin del riesgo. [Se hace entrega de] los resultados
finales que llevan a la toma de decisiones, al igual que se definen las acciones necesarias, y el
manifiesta La evaluacin del riesgo identificar las amenazas y vulnerabilidades, y debe ser lo
suficientemente amplia para incluir factores internos y externos fundamentales como tecnologa,
seguridad. La evaluacin del riesgo permitir determinar los niveles aceptables de seguridad y
informacin que debe ser protegida. Debido a la creciente interconexin de los sistemas de
informacin, la evaluacin del riesgo debe incluir asimismo consideraciones acerca del dao
potencial que se puede causarse a terceros o que pueden tener su origen en terceras personas.
(OCDE, 2017)
Segn (ISO/IEC 27002:2005, 2005) Las evaluaciones del riesgo debieran identificar,
cuantificar y priorizar los riesgos en comparacin con el criterio para la aceptacin del riesgo y
los objetivos relevantes para la organizacin. Los resultados debieran guiar y determinar la
accin de gestin apropiada y las prioridades para gestionar los riesgos de la seguridad de la
informacin y para implementar los controles seleccionados para protegerse contra estos riesgos.
nmero de veces para abarcar las diferentes partes de la organizacin o sistemas de informacin
individuales.
La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los
riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de
cambios en sus requerimientos de seguridad y en la situacin del riesgo; por ejemplo, en los
activos, amenazas, vulnerabilidades, impactos, evaluacin del riesgo, y cuando ocurren cambios
significativos. Estas evaluaciones del riesgo se debieran realizar de una manera metdica capaz
Segn los riesgos identificados en el caso de estudio, se resume a continuacin el nivel de los
Riesgos Bajos,
6, 24%
Riesgos Altos,
12, 48%
Riesgos
Medios, 7, 28%
Fuente: Autores
Se identificaron 6 riesgos en niel bajo (24%), 7 riesgos en nivel medio (28%), 12 riesgos en
nivel alto (48%). Ante estos resultados, las decisiones generales, segn el nivel del riesgo son:
Riesgos de nivel bajo: Riesgos que necesitan Monitorizacin. Entre las acciones podran
estar los Planes de actuacin Directivos, Se consideran un tipo de Riesgo Aceptable para
la organizacin por no representar impactos significativos que afecten la continuidad del
negocio.
Riesgos de nivel medio: Riesgos que necesitan Investigacin. Se determinan en Planes de
actuacin Preventivos con el fin de reducir el nivel del riesgo.
Riesgos de nivel alto: Riesgos que necesitan Mitigacin: Planes de actuacin correctivos,
mediante una Gestin Urgente para reducir la vulnerabilidad ante las amenazas
detectadas y a su vez reducir el impacto si se presenta una materializacin del riesgo.
CONCLUSIONES
Los riesgos se presentan de forma constante en las organizaciones, es por esto que se deben
analizar para determinar el nivel de riesgo y hacer implementar controles que ayuden a mitigar
los impactos y resolverlos para que el CCAV de Neiva mejore los servicios en infraestructura
tecnolgica.
Se utiliz como referente los controles de la norma ISO 27002:2013, dando aportes para crear
el tratamiento y cronograma para cada uno de los riesgos que se encontraron con puntaje bajo,
medio y alto. A dems de los controles generales que se deben tener en cuenta en cada uno de los
Castro, A. R., & Bayona, Z. O. (2011). Gestin de Riesgos tecnolgicos basada en ISO 31000 e
ISO 27005 y su aporte a la continuidad de negocios. Ingeniera, 16(2), 56-66.
INCONTEC. (3 de noviembre de 2017). Compendio de normas de gestin del riesgo. NTC ISO
31000 y la GTC 137. Obtenido de https://es.slideshare.net/delosaga72/norma-iso-31000
MINTIC. (2016). Gua No. 5 - Gua para la Gestin y Clasificacin de Activos de Informacin.
Obtenido de https://www.mintic.gov.co/gestionti/615/articles-
5482_G5_Gestion_Clasificacion.pdf