Fase 6 Grupo 214026 1 v0 Gestion de Riesgo

FASE 4: SEGUNDA ENTREGA DEL PROYECTO DE GESTIN DEL RIESGO
Presentado por:
Juan Carlos Medina Lpez

Jennifer Tovar Quintero
Jaime Vergara Arroyo
Edwin Hernndez
Jaime Ospino Pabn
Presentado a:
Ing. Jos Fernando Lpez
Universidad Nacional Abierta y a Distancia - UNAD

Maestra en Gestin de TI
Curso: Gestin de Riesgos en TI
2017
TABLA DE CONTENIDO
LISTADO DE FIGURAS .......................................................................................................... 5
LISTADO DE TABLAS ............................................................................................................ 6
INTRODUCCIN ..................................................................................................................... 7
1. INTRODUCCIN, CONTEXTO E IDENTIFICACIN DEL RIESGO. ..................... 8
1.1. INTRODUCCIN A LA GESTIN DEL RIESGO................................................ 8
1.1.1. Conceptos generales. Visin general de la Gestin del Riesgo. ........................ 8
1.1.2. Conocer y utilizar la norma de gestin del riesgo. .......................................... 10
1.1.3. Identificar las actividades del proceso de gestin del riesgo y los factores crticos
para el xito. .......................................................................................................................... 12
1.2. CONTEXTO DE LA GESTIN DEL RIESGO. ................................................... 15
1.2.1. Consideraciones Generales. ................................................................................ 15
1.2.2. Criterios bsicos para el anlisis y valoracin de los riesgos .............................. 16
1.2.2.1. Criterios de evaluacin del riesgo ....................................................................... 19
1.2.2.2. Criterios de impacto ............................................................................................ 20
1.2.2.3. Criterios de aceptacin del riesgo ....................................................................... 21
1.2.3. El alcance y los lmites. ................................................................................... 22
1.2.4 Objetivos estratgicos de negocio, polticas y estrategias de la organizacin. ....... 23

1.2.4 Procesos del negocio ............................................................................................... 28
1.2.5 Polticas de Seguridad informtica de la Organizacin .......................................... 33
1.2.6 Ubicacin de la organizacin y sus caractersticas geogrficas. ............................. 40
1.2.7. Organizacin para la gestin. .............................................................................. 41
1.3. IDENTIFICACIN DEL RIESGO. ....................................................................... 43
1.3.1. Consideraciones Generales. ................................................................................ 43
1.3.2. Identificacin de los activos. ............................................................................... 44
1.3.3. Identificacin de las amenazas. ....................................................................... 56
1.3.4. Identificacin de los controles existentes. ....................................................... 58
2. LA UNIDAD DOS (2): ANLISIS Y EVALUACIN DEL RIESGO. ...................... 60
2.1. ANLISIS DEL RIESGO. IDENTIFICAR LAS VULNERABILIDADES Y SUS
CONSECUENCIAS. ................................................................................................................ 66
Anlisis de vulnerabilidades ................................................................................................ 66
2.1.2 Anlisis a los sistemas operativos. .......................................................................... 67
2.1.3 Anlisis a los dispositivos de red (Inalmbricos) .................................................... 71
2.1.4 Anlisis a los Bienes informticos Fsicos. ............................................................. 73
2.1.5 Anlisis al Recurso Humano. .................................................................................. 74
2.2. IDENTIFICACIN DE LAS CONSECUENCIAS. .............................................. 74

2.3. ESTIMACIN DEL RIESGO. REALIZAR LA EVALUACIN DE LA
PROBABILIDAD Y DETERMINAR EL NIVEL DEL RIESGO........................................... 75
2.3.1. Valoracin de las consecuencias. ........................................................................ 75
2.3.2. Valoracin de los incidentes. .............................................................................. 79
2.3.3. Nivel de estimacin del riesgo. ........................................................................... 80
2.4. EVALUACIN DEL RIESGO. CONCEPTUALIZAR, DEFINIR Y EJECUTAR
LA EVALUACIN DEL RIESGO. ......................................................................................... 90
BIBLIOGRAFA ...................................................................................................................... 95
LISTADO DE FIGURAS
Figura 1 Relacin de principios, el marco de referencia y los procesos en la gestin de procesos ________________ 9
Figura 2 Estructura piramidal de las normas de la familia ISO 27000 ____________________________________ 12
Figura 3Proceso para la administracin del riesgo segn gua del DAFP __________________________________ 13
Figura 4Proceso para la administracin del riesgo en seguridad de la informacin, segn NTC-ISO/IEC 27005 ___ 14
Figura 5mapa de ubicacin UNAC CCAV Neiva ______________________________________________________ 23
Figura 6 Estructura organizacional de la UNAD ______________________________________________________ 30
Figura 7 Ubicacin y caractersticas geogrficas de los centros de atencin de la UNAD _____________________ 40
Figura 8: Organigrama de la Gerencia de Innovacin y Desarrollo Tecnolgico (GIDT) de la UNAD _____________ 42
Figura 9: Fases para el Anlisis de riesgos __________________________________________________________ 60
Figura 10: Evaluacin del riesgo __________________________________________________________________ 61
Figura 11. Plan anlisis del riesgo ISO 27001 ________________________________________________________ 62
Figura 12. Matriz para anlisis de riesgo ___________________________________________________________ 63
Figura 13. Interpretacin de la matriz para anlisis de riesgo. __________________________________________ 65
Figura 14: Network Scanner _____________________________________________________________________ 68
Figura 15 Escner y Monitoreo a la red del CCAV Neiva. _______________________________________________ 69
Figura 16. Router con encriptacin Wep ___________________________________________________________ 72
Figura 17. Router con Wifi Abierta. _______________________________________________________________ 73
Figura 18: niveles de valoracin de las consecuencias_________________________________________________ 76
Figura 19: Escala de valoraciones de amenazas vs impacto de las consecuencias ___________________________ 77
Figura 20 Impacto incidentes ____________________________________________________________________ 79
Figura 21: Opciones de tratamiento del riesgo ________________________________Error! Bookmark not defined.
LISTADO DE TABLAS
Tabla 1Normas para la gestin del riesgo ...................................................................................................................10
Tabla 2Actividades de la gestin del riesgo en la seguridad de la informacin ..........................................................15
Tabla 3: Identificacin de activos del CCAV Neiva .......................................................................................................44
Tabla 4 Resumen de activos del CCAV de Neiva ..........................................................................................................56
Tabla 5 Identificacin de las amenazas de los activos .................................................................................................57
Tabla 6: Valoracin de las amenazas ..........................................................................................................................58
Tabla 7: Identificacin de controles existentes ............................................................................................................58
Tabla 8 Vulnerabilidades de los activos .......................................................................................................................66
Tabla 9: valoracin de consecuencias ..........................................................................................................................75
Tabla 10: valoracin de consecuencias vs amenazas ..................................................................................................76
Tabla 11 Valorizacin incidentes .................................................................................................................................79
Tabla 12 Estimacin del riesgo CCAV de Neiva ............................................................................................................80
Tabla 13: Clasificacin de los riesgos segn su valoracin ..........................................................................................86
Tabla 14 Distribucin porcentual de los riesgos ............................................................. Error! Bookmark not defined.
Tabla 15: opciones de tratamiento de los riesgos definidos ........................................... Error! Bookmark not defined.
Tabla 16: Plan de tratamiento del riesgo ....................................................................... Error! Bookmark not defined.
INTRODUCCIN
La organizaciones en el desarrollo de sus actividades y en la toma de decisiones, han venido
generando un gran volumen de informacin, la cual se ha convertido en un recurso indispensable
para garantizar la continuidad del negocio, y es por esta razn que se han visto obligadas a
identificar los posibles riesgos que pueden afectarla, para poder definir las acciones necesarias
para proteger este recurso, y garantizar su integridad, confidencialidad y disponibilidad, entre
otras propiedades propias de la informacin.
En el presente documento, dentro del contexto de la gestin del riesgo en las organizaciones,
toma como caso de estudio la Universidad Nacional Abierta y a Distancia UNAD, CCAV
Neiva, donde se las temticas: Contexto de la gestin del riesgo; el alcance de la
implementacin; la definicin de los criterios, y la estructura que soportar la implementacin;
todo esto tomando como referencia la norma ISO 27005, el Manual de Implementacin de la
Gestin del Riesgo para la seguridad de la informacin segn norma ISO 27005. Lpez
Quintero, J. (2016) y la Gua de Gestin del Riesgo de MINTIC (2016).
Es de vital importancia reconocer e identificar los riesgos que se presentan en la
organizacin para crear tratamientos a ellos y lograr mitigar los impactos negativos de estos.
1. INTRODUCCIN, CONTEXTO E IDENTIFICACIN DEL RIESGO.
1.1. INTRODUCCIN A LA GESTIN DEL RIESGO
1.1.1. Conceptos generales. Visin general de la Gestin del Riesgo.
Cuando se habla de la gestin del riesgo, es importante entrar a definir que es un riesgo y que
involucra la gestin del riesgo, por este motivo a continuacin se toman estas definiciones de la
NTC-ISO 31000:
Riesgo: Efecto de la incertidumbre sobre los objetivos.
o Un efecto es una desviacin de aquello que se espera, sea positivo, negativo o
ambos.
Gestin del riesgo:
o Actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo.
o Se refiere a la arquitectura (principios, marco y procesos) para la gestin eficaz
del riesgo
Abordando el concepto de gestin de riesgos desde una arquitectura que involucra una
relacin de principios, el marco de referencia y los procesos, en la siguiente figura se ve
representada esta relacin:

Figura 1 Relacin de principios, el marco de referencia y los procesos en la gestin de procesos
Fuente: ICONTEC NTC-ISO 31000:2011
En este contexto de la gestin del riesgo, es importante resaltar que la gestin de riesgo debe
abarcar tres fases, las cuales se relacionan en la gua para la gestin del riesgo elaborada por de
MINTIC, las cuales comprende:
Compromiso de las alta y media direccin
Conformacin de un Equipo MECI o de un grupo interdisciplinario
Capacitacin en la metodologa
1.1.2. Conocer y utilizar la norma de gestin del riesgo.
Para la gestin del riesgo se han definido guas y normas a nivel nacional e internacional, las
cuales se relacionan a continuacin:
Tabla 1Normas para la gestin del riesgo
Documento Descripcin
1. Gua No. 7. Gua de Gua emitida por MINTIC la gestin de riesgos
gestin de riesgos asociados a la Seguridad y privacidad de la
informacin.
2. Gua para la Gua emitida por el Departamento
3. administracin del Administrativo de la Funcin Pblica (DAFP), para
riesgo la gestin de riesgos en las entidades pblicas
4. GTC 137 Gestin del Riesgo Vocabulario
5. ISO GUIA 73 Gestin del Riesgo Vocabulario
6. ISO 27000 Vocabulario estndar para el SGSI.
7. ISO 27001 Especifica los requisitos para la implantacin del
SGSI.
8. ISO 27002 Cdigo de buenas prcticas para la gestin de
seguridad de la informacin.
9. ISO 27003 Directrices para la implementacin del SGSI.
10. ISO 27004 Mtricas para la gestin de seguridad de la
informacin.
Documento Descripcin
11. ISO 27005 Gestin de riesgos en seguridad de la
informacin.
12. ISO 27006 Requisitos para acreditacin de organizaciones

que proporcionan certificacin de SGSI.
13. ISO 27007 Es una gua para auditar al SGSI.
14. ISO 27799 Es una gua para implementar ISO 27002 en la

industria de la salud.
15. ISO 27035 Actividades de: deteccin, reporte y evaluacin
de incidentes de seguridad y sus vulnerabilidades
16. ISO 31000 Proporciona principios y directrices genricas
para la gestin del riesgo en organizaciones
pblicas o privadas
Fuente: autores
Para el caso de las normas de la familia ISO 27000, se puede observar en la siguiente figura
una estructura piramidal la cual nos servir para identificar cada uno de los niveles de seguridad
segn normatividad:
Figura 2 Estructura piramidal de las normas de la familia ISO 27000
Fuente: https://lciso27000.wordpress.com/tag/estructura/
1.1.3. Identificar las actividades del proceso de gestin del riesgo y los factores crticos para el
xito.
La gestin del riesgo est direccionada por una serie de fases que van desde el contexto de
donde se origina el riesgo, pasando por una valoracin de riesgo, donde se determinarn las
acciones para llevarlo a un nivel aceptable para la organizacin (MINTIC, Gua de gestin de
riesgos: seguridad y privacidad de la informacin. Gua No. 7, 2016). Este proceso se ve
sintetizado en las siguientes imgenes:

Figura 3Proceso para la administracin del riesgo segn gua del DAFP
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7p10
Figura 4Proceso para la administracin del riesgo en seguridad de la informacin, segn NTC-ISO/IEC 27005
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7. p11
Las dos imgenes reflejan el proceso que lleva a la gestin del riesgo desde su identificacin,
tratamiento y aceptacin del riesgo, siendo la aceptacin del riesgo el ltimo paso que se surte
para lograr que los impactos del riesgo residual no generen efectos graves sobre la organizacin
o sobre uno o ms procesos.
Para que el tratamiento del riesgo logre ser efectivo, se debe dar gran importancia a las
actividades de valoracin del riesgo, de esta forma, se define que si acciones definidas para el
tratamiento del riesgo, no logran reducir el impacto del riesgo a un nivel aceptable, se debe
reanudar nuevamente el ciclo de actividades indicadas en el proceso segn figura 2 (MINTIC).
Cuando se definen las actividades para la aceptacin del riesgo, estas actividades deben
garantizar que los riesgos residuales puedan ser aceptados por los directores de la entidad
(MINTIC).
En el contexto de la gestin del riesgo en la seguridad de la informacin, se han definido
actividades especficas, agrupadas dentro del modelo PHVA (Planear, hacer/implementar,
Verificar/gestionar, y Actuar/mejora continua), las cuales se relacionan en la siguiente tabla 2:
Tabla 2Actividades de la gestin del riesgo en la seguridad de la informacin
Fuente: MINTIC. Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7.
P.12.
1.2. CONTEXTO DE LA GESTIN DEL RIESGO.
1.2.1. Consideraciones Generales.
En el momento de definir el objetivo y el alcance del proyecto, as como la poltica de
Seguridad de la Entidad; es necesario tener claro el entorno en el cual se va a desarrollar el
proyecto, precisando cul ser el contexto en el que se desenvolver, qu procesos involucrar,

cual es el flujo de dicho o dichos procesos; y de sta forma identificar sus objetivos y finalmente,
de all obtener los riesgos de seguridad asociados. (MINTIC, Gua de gestin de riesgos:
seguridad y privacidad de la informacin. Gua No. 7, 2016)
1.2.2. Criterios bsicos para el anlisis y valoracin de los riesgos
Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar diferentes
enfoques, pero debe ser adecuado y que contenga criterios como: criterios de evaluacin del
riesgo, criterios de impacto, y criterios de aceptacin del riesgo. (MINTIC, Gua de gestin de
riesgos: seguridad y privacidad de la informacin. Gua No. 7, 2016).
Los criterios del riesgo, segn lo establecido en el ISO 31000, Se deben definen para evaluar
la importancia del riesgo, y estar definidos desde el principio de todo proceso de gestin del
riesgo, reflejando valores, objetivos y recursos de la organizacin.
Los factores por considerar en la definicin de los criterios del riesgo estaran los siguientes
(ISO 31000):
Naturaleza, causas y consecuencias que pueden presentarse y la forma como se van a medir
La probabilidad
Marcos de temporales de probabilidad
Determinar el nivel del riesgo
Punto de vista de las partes involucradas
Nivel en el cual el riesgo se torna aceptable o tolerable.
Determinar si se tendrn en cuenta combinacin de riesgos mltiples y cuales combinaciones
considerar
Los criterios bsicos para el anlisis y valoracin de los riesgos son referenciados por
Quintero (2016) en tres categoras:
a) Evaluacin: Este criterio permite determinar el riesgo en la seguridad de la informacin
de la organizacin, y se tendr en cuenta los siguientes aspectos
El valor estratgico del proceso de informacin para la entidad
La criticidad de los activos de informacin involucrados en el proceso
Los requisitos legales y reglamentarios, as como las obligaciones contractuales
La importancia de la disponibilidad de la, confidencialidad, e integridad de la
informacin para las operaciones y la entidad.
Las expectativas y percepciones de las partes interesadas y las consecuencias negativas
para el buen nombre y la reputacin de la entidad.
Los criterios de evaluacin de impacto del riesgo se pueden utilizar para especificar las
prioridades del tratamiento del riesgo (Lopez Quintero, 2016).
b) Impacto: Los criterios de impacto se recomienda especificarlos en trminos del grado de
dao o de los costos para la entidad, causados por un evento de seguridad de la informacin,
considerando los siguientes aspectos:
Nivel de clasificacin de los activos de informacin del proceso
Brechas en la seguridad de la informacin (ejemplo: perdidas de confidencialidad, integridad
y disponibilidad de la informacin)
Operaciones deterioradas
Perdida del negocio y del valor financiero

Alteracin de planes y fechas limites
Daos para la reputacin
Incumplimiento de los requisitos legales.
c) Aceptacin: Estos criterios estn influenciados por las polticas, metas, objetivos de la
organizacin y de las partes interesadas. Segn Lpez Quintero Se deben definir escalas de
aceptacin del riesgo considerando los siguientes aspectos:
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una meta de
nivel de riesgo deseable, pero con disposiciones para que la alta direccin acepte los riesgos por
encima de este nivel, en circunstancias definidas.
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre el beneficio
estimado (u otros beneficios del negocio) y el riesgo estimado.
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes clases de riesgos,
por ejemplo, los riesgos que podran resultar en incumplimiento con reglamentos o leyes podran no
ser aceptados, aunque se puede permitir la aceptacin de riesgos altos si esto se especifica como un
requisito contractual
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento adicional en
el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobacin y compromiso para ejecutar
acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de tiempo.
Los criterios de aceptacin del riesgo son a nivel general y pueden diferir de acuerdo con
la expectativa de duracin que se tenga del riesgo y se podran considerar los siguientes
elementos:
Criterios del negocio

Aspectos legales y reglamentarios
Operaciones
Tecnologa
Finanzas
Factores sociales y humanitarios
1.2.2.1. Criterios de evaluacin del riesgo
Se recomienda desarrollar criterios para la evaluacin del riesgo con el fin de determinar el
riesgo en la seguridad de la informacin de la organizacin teniendo en cuenta los siguientes
aspectos (MINTIC, Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua
No. 7, 2016):
El valor estratgico del proceso de informacin para la entidad.
La criticidad de los activos de informacin involucrados en el proceso.
Los requisitos legales y reglamentarios, as como las obligaciones contractuales.
La importancia de la disponibilidad de la, confidencialidad, e integridad de la informacin para
las operaciones y la entidad.
Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el
buen nombre y la reputacin de la entidad.

De igual modo, los criterios de evaluacin de impacto del riesgo y se pueden utilizar para
especificar las prioridades del tratamiento del riesgo. (MINTIC, Gua de gestin de riesgos:
seguridad y privacidad de la informacin. Gua No. 7, 2016)
1.2.2.2. Criterios de impacto
Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en trminos del
grado de dao o de los costos para la entidad, causados por un evento de seguridad de la
informacin, considerando los siguientes aspectos (MINTIC, Gua de gestin de riesgos:
seguridad y privacidad de la informacin. Gua No. 7, 2016):
Nivel de clasificacin de los activos de informacin de los procesos.
Brechas en la seguridad de la informacin (ejemplo: perdidas de confidencialidad, integridad y
disponibilidad de la informacin)
Operaciones deterioradas.
Perdida del negocio y del valor financiero.
Alteracin de planes y fechas lmites.
Daos para la reputacin.
Incumplimiento de los requisitos legales.

1.2.2.3. Criterios de aceptacin del riesgo
Es recomendable desarrollar y especificar criterios de aceptacin del riesgo. Estos criterios
dependen con frecuencia de las polticas, metas, objetivos de la organizacin y de las partes
interesadas. La organizacin debera definir sus propias escalas para los niveles de aceptacin del
riesgo. Durante el desarrollo, se deberan considerar los siguientes aspectos (MINTIC, Gua de
gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7, 2016):
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una meta de
nivel de riesgo deseable, pero con disposiciones para que la alta direccin acepte los
riesgos por encima de este nivel, en circunstancias definidas.
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre el
beneficio estimado (u otros beneficios del negocio) y el riesgo estimado.
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes clases de
riesgos, por ejemplo, los riesgos que podran resultar en incumplimiento con reglamentos
o leyes podran no ser aceptados, aunque se puede permitir la aceptacin de riesgos altos
si esto se especifica como un requisito contractual.
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento adicional
en el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobacin y compromiso para
ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de
tiempo. Los criterios de aceptacin del riesgo son a nivel general y pueden diferir de acuerdo con
la expectativa de duracin que se tenga del riesgo y se podran considerar los siguientes
elementos: (MINTIC, Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua
No. 7, 2016):
Criterios del negocio.
Aspectos legales y reglamentarios.
Operaciones.
Tecnologa.
Finanzas.
Factores sociales y humanitarios
1.2.3. El alcance y los lmites.
El alcance y los lmites permiten concentrarnos de forma especfica, en una o varias reas de
la empresa, en la cual se pretende aplicar la gestin del riesgo, siendo el alcance para este
proyecto, El diseo de la gestin del riesgo en el proceso de gestin de la infraestructura
tecnolgica (SGI) en el CCAV Neiva de la UNAD. La sede CCAV de Neiva est ubicada en la
Carrera 15 # 8-06, Altico, Neiva, Huila, la cual est en la zona sur, segn distribucin geogrfica
de los centros de atencin de la Universidad.

Figura 5mapa de ubicacin UNAC CCAV Neiva
Fuente: https://www.google.com.co/maps/dir/''/UNAD+neiva+telefono/@2.9221046,-
75.282434,14.08z/data=!4m8!4m7!1m0!1m5!1m1!1s0x8e3b746faadedaf3:0xa4aefc4aa3a8f1a7!2m2!1d-
75.2800422!2d2.9304578
Es importante que la entidad defina el alcance y los lmites para de esta manera garantizar que
todos los activos relevantes se toman en consideracin en la valoracin del riesgo. Al definir el
alcance y los lmites la entidad debera considerar la siguiente informacin (MINTIC, Gua de
gestin de riesgos: seguridad y privacidad de la informacin. Gua No. 7, 2016).
1.2.4 Objetivos estratgicos de negocio, polticas y estrategias de la organizacin.
1.2.3.1 Objetivos Estratgicos
Los objetivos estratgicos de la entidad se definen mediante el acuerdo nmero 001 del 29 de
agosto de 2006, en su artculo 6, los cuales se presentan a continuacin:

1. Educacin abierta y permanente: Formular polticas, planes, proyectos, estrategias y
acciones de educacin abierta y permanente, que faciliten el diseo y realizacin de
programas de formacin de adultos en todos los niveles y ciclos educativos,
competencias laborales, desarrollo comunitario y atencin de poblaciones vulnerables,
mediante el uso intensivo de las tecnologas de la informacin y comunicacin.
2. Investigacin y desarrollo: Fomentar la cultura investigativa y el espritu emprendedor,
para el diseo y desarrollo de procesos de innovacin social, tecnolgica, productiva y
cientfica, que contribuyan a dar soluciones acordes con las necesidades y posibilidades
de los diferentes contextos regionales y socioculturales.
3. Redes acadmicas: Promover la construccin de redes apoyadas en tecnologas, para
consolidar las comunidades acadmicas de docentes, tutores, estudiantes y egresados, que
promuevan los principios y las prcticas de la identidad Unadista, y generen nuevas
formas de asociacin, convivencia y participacin comunitaria.
4. Liderazgo en educacin abierta y a distancia: Fomentar polticas para el desarrollo y
5. Sostenibilidad de la modalidad de educacin abierta y a distancia, con la utilizacin de
tecnologas telemticas y virtuales, en el contexto de la sociedad del conocimiento, en los
mbitos local, regional, nacional y global.
6. Sostenibilidad holstica: Disear alternativas para la diversificacin de fuentes de
financiacin a travs de la oferta de programas, de prestacin de servicios, asesoras,
consultoras y proyectos especiales, que promuevan la gestin de la universidad y
coadyuven a su impacto social y sostenibilidad financiera.

Para el trabajo caso de estudio, se tomar como enfoque el objetivo estratgico nmero cinco
(5), el cual est ligado al proceso de Gestin De Infraestructura tecnolgica. (C-12), proceso
sobre el cual se realizarn las actividades de gestin del riesgo.
1.2.3.2 Polticas del sistema integrados de gestin
La Universidad Nacional Abierta y a Distancia - UNAD, en el marco de su autonoma y en
cumplimiento de su misin universitaria, coherente con sus criterios de actuacin, su estructura
organizacional, su direccionamiento estratgico y en especial con el Modelo Acadmico
Pedaggico en sus mltiples contextos y mbitos de actuacin, est comprometida con (Unad,
2017):
a. El mejoramiento continuo de su gestin y el cumplimiento de los requisitos legales y
dems suscritos por la institucin, para la satisfaccin de todos los actores acadmicos y
administrativos, beneficiarios y usuarios de sus programas y servicios educativos, en
procura de superar sus expectativas.
b. La proteccin del medio ambiente y la prevencin de la contaminacin, controlando los
aspectos ambientales significativos asociados a las actividades desarrolladas en la
Institucin, mitigando los impactos ambientales asociados al consumo de recursos
naturales y a la generacin de residuos, y fomentando el desarrollo sostenible y la
educacin ambiental en la Universidad.
c. La promocin de la salud y la prevencin de lesiones y enfermedades laborales del
personal, identificando, mitigando y controlando los riesgos laborales que pueden
generarse en el desarrollo de las actividades acadmicas y administrativas.

d. El diseo, desarrollo, puesta en produccin, provisin y operacin de los servicios de
infraestructura tecnolgica, para la prestacin eficaz y eficiente dentro de los mrgenes
de disponibilidad definidos, propendiendo por el cumplimiento de las funciones
misionales de la entidad.
e. La proteccin, preservacin y soporte de la informacin institucional almacenada en
medio electrnico, salvaguardando la confidencialidad, integridad y disponibilidad de
esta.
Para el caso de estudio, la gestin del riesgo se formula, articulada bajo lo indicado en literales
d y e, de la poltica de calidad. Estos compromisos institucionales estn articulados con el
proceso de Gestin De Servicios de Infraestructura tecnolgica. (C-12), proceso sobre el cual se
realizarn las actividades de gestin del riesgo.
1.2.3.3 Objetivos integrales
Se presentan a continuacin los objetivos que en enmarcan los sistemas de gestin de la
organizacin (Unad, 2017), articulados bajo lo establecido en la poltica de calidad de la
universidad:
1. Mejorar las competencias, habilidades, conocimientos y condiciones de trabajo del
talento humano, para responder a las necesidades, expectativas y caractersticas de los
stakeholders de la Universidad, en funcin de la calidad en la prestacin de los servicios
educativos.
2. Mejorar continuamente la calidad de los materiales, la atencin al estudiante, el
acompaamiento tutorial y de consejera, y los procesos de evaluacin en Ambientes

Virtuales de Aprendizaje, fortaleciendo el modelo pedaggico Unadista apoyado en e-
learning a partir de la fundamentacin y operacin de sus componentes pedaggicos,
didcticos, curriculares, tecnolgicos y organizacionales.
3. Fomentar la Gestin del Conocimiento, la innovacin y la investigacin a travs del
diseo, implementacin y seguimiento de la produccin intelectual por parte de los
actores acadmicos para con ello garantizar la calidad, la pertinencia, la usabilidad y la
accesibilidad de los recursos educativos fortaleciendo pedaggica y didcticamente los
ambientes virtuales de aprendizaje.
4. Optimizar la gestin universitaria a travs del seguimiento y control de los procesos,
haciendo uso sostenible de los recursos disponibles, apoyndose en los dispositivos
definidos por la universidad.
5. Incrementar el impacto de los programas de Bienestar Institucional mediante la gestin y
desarrollo de estrategias acordes con la poltica institucional y normatividad vigente.
6. Disear estrategias de dinamizacin de la proyeccin social en las regiones y evaluar su
impacto, de manera que se identifiquen programas, proyectos y servicios sociales
pertinentes a las necesidades locales.
7. Visibilizar el uso racional y eficiente de recursos de origen orgnico, inorgnico y
energtico necesarios para la ejecucin de las actividades administrativas y acadmicas
de la Universidad.
8. Gestionar la disposicin adecuada de los residuos slidos recuperables, no recuperables,
peligrosos y de manejo especial generado en las actividades propias y de control sobre los
proveedores de la UNAD, relacionados con actividades in situ de mantenimiento y del
componente prctico institucional.

9. Controlar las cargas contaminantes de las emisiones atmosfricas relacionadas con el uso
de combustibles fsiles y los vertimientos de aguas residuales no domsticas relacionadas
con las actividades de componente prctico en la UNAD.
10. Promover el bienestar integral del personal de la UNAD y gestionar el riesgo en salud a
travs de estrategias que contribuyan al mejoramiento continuo del entorno laboral, la
identificacin de peligros, evaluacin y valoracin de riesgos y la disminucin de
accidentes y enfermedades laborales, dando cumplimiento a la normatividad vigente.
11. Optimizar los sistemas de informacin y de gestin tecnolgica de la universidad
garantizando su operacin y seguridad integral con un enfoque de innovacin y desarrollo
tecnolgico.
La gestin del riesgo del caso de estudio se enfocar en lo establecido en el objetivo
nmero 11, el cual se articula con el proceso de Gestin de la Infraestructura tecnolgica.
(C-12).
1.2.4 Procesos del negocio
A UNAD en su pgina del Sistema Integrado de Gestin
(https://sig.unad.edu.co/documentacion/mapa-procesos), define 4 tipo de procesos de gestin:
Procesos Estratgicos: son aquellos que direcciona el Sistema Integrado de Gestin,
definiendo los lineamientos de direccin sobre los procesos del mismo.
Procesos Misionales: Son aquellos que apuntan al cumplimento de la misin y visin de
la Universidad, los resultados (productos y servicios) de estos procesos son recibidos por
los usuarios de la Gestin Universitaria, estudiantes, egresados y dems beneficiarios.

Estos procesos desarrollan sus diferentes actividades teniendo en cuenta los lineamientos
que dan los procesos estratgicos y soportando su gestin con los procesos de apoyo.
Procesos de Apoyo: Su razn de ser es la de apoyar la gestin de los dems procesos del
sistema para que la Gestin Universitaria cumpla con la poltica, la misin y la visin de la
Universidad.
Procesos Evaluacin: son aquellos que sirven para medir y recopilar informacin
destinada a realizar el anlisis del desempeo y la mejora de la eficacia y la eficiencia de
todos los procesos que componen el Sistema Integrado de Gestin.
De los procesos indicados, la gestin del riesgo se focalizar sobre el tipo de proceso de
apoyo, en donde est definido el proceso de Gestin de Servicios de Infraestructura
tecnolgica de la Gerencia e innovacin de desarrollo tecnolgico.
1.2.5.1 Funciones y estructura de la organizacin
Sistema de Alta Poltica: Orientado a la definicin y formulacin de las polticas y planes
institucionales relacionados con el desarrollo de las responsabilidades sustantivas y la
sostenibilidad holstica de la Institucin. Tiene como actores fundamentales al Consejo Superior
Universitario, al Consejo Acadmico a la Rectora.
Sistema Misional: Integra las unidades y estrategias que responden directamente al
cumplimiento de la misin y las responsabilidades sustantivas de la Universidad, as como la
articulacin de los programas y servicios orientados a satisfacer las necesidades y expectativas
de los usuarios. Tiene como actores fundamentales a las vicerrectoras.

Sistema Funcional: Integra las unidades y estrategias orientadas a la as consultora
especializada, asistencia tcnica, control y seguimiento a la gestin, ara la observancia de la
misin y el aseguramiento de la sostenibilidad, modernizacin y calidad del modelo de gestin
institucional. Tiene como actores fundamentales a la Secretara General, las gerencias, las
oficinas de Control Interno, Control interno Disciplinario y la Oficina Asesora de Planeacin.
Sistema Operacional: Integra las unidades, estrategias de coordinacin y dispositivos para la
ejecucin de los lineamientos que dan direccin a la Universidad, con el propsito de fortalecer
tanto su gestin en los escenarios de prestacin del servicio educativo como el mejoramiento de
las relaciones de comunicacin directa entre la Universidad y los diversos usuarios. Tiene como
actores fundamentales a las escuelas, las unidades acadmicas especiales, las direcciones zonales
sus respectivos equipos de trabajo.
Figura 6 Estructura organizacional de la UNAD
Fuente: https://goo.gl/XgEdTg
De la estructura organizacional se selecciona el sistema funcional en donde se encuentra la
Gerencia de Innovacin y Desarrollo Tecnolgico.
Los requisitos legales, reglamentarios y contractuales aplicables a la organizacin.
1.2.5.2Naturaleza jurdica
La Universidad Nacional Abierta y a Distancia (UNAD) es un ente universitario autnomo
del orden nacional, con rgimen especial, cuyo objeto principal es la educacin abierta y a
distancia, vinculado al Ministerio de Educacin Nacional en lo que a polticas y planeacin del
sector educativo se refiere.
1.2.5.3Entidades del sector
La UNAD, como ente universitario con autonoma especial para contratacin, rgimen
especial salarial para sus docentes (Decreto 1279/02), manejo especial en la administracin del
presupuesto y aportes especiales por parte del Gobierno Nacional (Art. 87 Ley 30 de 1992), est
vinculada al Ministerio de Educacin Nacional y con los siguientes Entes Universitarios
Autnomos:
Universidad Colegio Mayor de Cundinamarca
Universidad de Antioquia
Universidad de Atlntico
Universidad de Caldas
Universidad de Cartagena
Universidad de Crdoba
Universidad de Cundinamarca
Universidad de la Amazona
Universidad de la Guajira
Universidad de Los Llanos
Universidad de Magdalena
Universidad de Nario
Universidad de Pamplona
Universidad de Sucre
Universidad del Cauca
Universidad del Quindo
Universidad del Tolima
Universidad del Valle
Universidad Distrital Francisco Jos de Caldas
Universidad Francisco de Paula Santander
Universidad Industrial de Santander - UIS -
Universidad Militar Nueva Granada
Universidad Nacional Abierta y a Distancia - UNAD -
Universidad Nacional de Colombia
Universidad Pedaggica Nacional
Universidad Pedaggica y Tecnolgica de Colombia
Universidad Popular del Cesar
Universidad Surcolombiana
Universidad Tecnolgica de Pereira

Universidad Tecnolgica del Choc "Diego Luis Crdoba"
1.2.5 Polticas de Seguridad informtica de la Organizacin
La poltica aplica a todos los procesos y procedimientos que conforman el sistema integrados
de gestin de la Universidad, as como todas las actuaciones administrativas que desarrollen sus
distintas unidades, por intermedio de sus funcionarios administrativos, cuerpo docente o
contratistas.
Para el caso de la UNAD, la poltica de seguridad de la informacin est definida en la
resolucin 4256 del 3 de marzo de 2015 Polticas Marco de Referencia del Sistema de
Gestin de Seguridad de la Informacin (SGSI).
Polticas para dispositivos mviles
Artculo 4. Se permite el uso de dispositivos mviles de conexin inalmbrica al interior
de las instalaciones de la UNAD, nicamente para desarrollar y cumplir con los objetivos
laborales y/o contractuales del personal, procurando que no se almacene en esos dispositivos
informacin institucional.
Artculo 5. Los dispositivos mviles asignados a administrativos, contratistas y/o
docentes, son propiedad de la entidad, y los responsables de dichos equipos debern velar
por su adecuado uso, cuidado, mantenimiento y proteccin.
Artculo 6. Los medios de almacenamiento de estos dispositivos deben ser protegidos
tecnolgicamente con medio de cifrado de datos o mediante cualquier otro mecanismo
definido por GIDT con el fin de evitar la interceptacin y/o uso de indebido de la
informacin que en ellos se almacene. Por lo anterior, el acta de entrega del dispositivo, se
debe validar que dicha proteccin se haya implementado o se deba firmar la exclusin de
dicha proteccin.
Artculo 7. La solicitud de conexin de dichos dispositivos a la red inalmbrica de la
institucin se realizar por intermedio de la mesa de ayuda de tecnologa o por los
funcionarios debidamente autorizados por la GIDT.
Poltica de control de acceso lgico
Artculo 12. Es responsabilidad de la Gerencia de Talento Humano- GTHUM.
Informar a la GIDT sobre los nuevos administrativos, contratistas y/o docentes que
ingresen a la institucin, con el fin de poder asignar desde GIDT, los respectivos permisos
para el acceso a los recursos tecnolgicos de la institucin.
Artculo 13. La GIDT es la encargada de definir y suministrar los mecanismos de
acceso lgico para la asignacin de permisos y privilegios a los usuarios de acuerdo a sus
funciones, trminos contractuales y /o roles definidos al interior de la entidad, as como la
modificacin los permisos y privilegios de los usuarios en los mecanismos y /o sistemas de
autenticacin definidos.
Artculo 14. La GTHUM es la encargada de notificar y dar los lineamientos para la
creacin, modificacin y supresin de permisos y privilegios de usuarios.
Artculo 15. Se prohbe el uso de las cuentas de usuario administrador local de la
institucin, salvo en aquellos casos que estn debidamente justificados y autorizados.

Poltica de transferencia e intercambio de informacin
Artculo 24. La GIDT debe realizar acciones de mejoramiento respecto a la seguridad de
la informacin, especialmente respecto al uso de protocolos para realizar transferencia de
informacin digital y/o fsicas entre unidades, usuarios y terceras partes de la institucin.
Artculo 25. Los mensajes enviados a travs de cualquier medio electrnico que
contengan informacin pblica, controlada o reservada, deben ir cifrados y se debe
propender porque solo sean conocidos por el emisor por el receptor(es), del mensaje.
Artculo 30. La GIDT es la responsable de definir los roles para la administracin,
operacin y gestin de la informacin. Cada uno de los lderes de la unidad, o directores de
CEADS, CCAVS, UDRS, son los encargados de asignar estos roles en cada una de las
unidades, y/o sedes a nivel nacional.
Artculo 31. Cada lder de unidad ser el responsable de definir los permisos de acceso a
la SAN, como repositorio de informacin institucional.
Artculo 32. La recepcin de correspondencia rotulada como informacin confidencial
nicamente podr ser revisada y visualizada por el destinatario de los documentos.
Artculo 33. Toda informacin clasificada como sensible o vulnerable que sea enviada
por medios electrnicos debe usar algoritmo de cifrado segn los lineamientos de GIDT.
Backups y Copias De Seguridad

Artculo 54. La responsabilidad de la gestin de las copias de respaldo y la administracin
de los equipos de respaldo masivo de datos estar a cargo de la persona designada por el
Gerente de Innovacin y Desarrollo Tecnolgico.
Pargrafo. El encargado de la administracin de equipos de respaldo masivo de datos,
velar por los backups y por el resguardo de los datos contenidos en ellos; as como por su
integridad, disponibilidad y confidencialidad.
Artculo 55. Los medios de respaldo empleados para efectuar las copias de seguridad en la
UNAD sern los definidos por la Gerencia de Innovacin y Desarrollo Tecnolgico en el
procedimiento de Copias de Respaldo o aquel que lo supla.
Pargrafo. El responsable de la administracin de equipos de respaldo masivo de datos,
velar por los respectivos medios de respaldo (y los datos contenidos en stos) y sern quienes
tengan acceso a ellos.
Artculo 56. Se har Respaldo a los archivos, aplicaciones, bases de datos y configuracin
de los sistemas operativos de los servidores calificados como crticos para la UNAD,
contemplados en el Inventario de Servidores Crticos asociado al Procedimiento copias de
respaldo.
Pargrafo. Se incluye como informacin a respaldar, las configuraciones completas de los
servidores relacionados en el Inventario de Servidores Crticos.

Artculo 57. La GIDT ser la responsable de definir los mecanismos adecuados para la
ejecucin de los respaldos de informacin, as como la periodicidad, etiquetado, lugar de
archivo y el tiempo de retencin de las copias.
Artculo 58. Para todos los casos de criticidad definidos en el Inventario de Servidores
Crticos, ser obligatorio contar con mnimo das niveles de respaldo.
Artculo 59, La ejecucin de las copias de seguridad debe llevarse a cabo en horas de
poca o ninguna actividad laboral; por lo tanto la GIDT ser la responsable de definir el
horario de ejecucin de stas.
Pargrafo. En los casos en que el backup no finalice exitosamente dentro de los tiempos
establecidos, ste se relanzar despus de evidenciado el fallo, en los tiempos establecidos
en el procedimiento de Copias de Respaldo.
Artculo 60. Cuando sea necesario un respaldo por demanda de los servidores crticos, se
debe solicitar formalmente a travs de la mesa de ayuda o mediante correo electrnico por
parte del personal autorizado, para informar mnimo con 24 horas de antelacin sobre
posibles interrupciones en el servicio a las personas afectadas.
Artculo 61. Todos los respaldos se revisarn con la periodicidad definida en el
Procedimiento de Copias de respaldo y se evidenciarn en la bitcora de backups.
Artculo 62. La Comprobacin peridica del estado de las copias se llevar a cabo con el
fin de garantizar la disponibilidad e integridad de los datos almacenados. Los responsables
de la administracin de equipos de respaldo masivo de datos evidenciarn la comprobacin

peridica del estado de las copias de seguridad en el formato para pruebas peridicas de
restauracin de backups.
Artculo 63. Los equipos para el respaldo de informacin de la UNAD deben estar
ubicados en centros de datos (Datacenters) con las medidas de seguridad pertinentes, y tener
contratos de soporte y mantenimiento regular vigentes.
Artculo 64. Los medios de almacenamiento de datos deben tener un manejo adecuado
para mitigar la ocurrencia de daos fsicos y por consiguiente la prdida de la informacin.
Poltica De Gestin, Administracin Y Conservacin Documental
Artculo 65. La UNAD est obligada a la creacin, organizacin, preservacin y control
de los archivos, teniendo en cuenta los principios de procedencia, orden original, el ciclo
vital de los documentos y la normatividad archivstica.
Artculo 66. La UNAD deber garantizar los espacios y las instalaciones necesarias para
la conservacin de sus archivos. En los casos de construccin de edificios pblicos,
adecuacin de espacios, adquisicin o arrendamiento, debern tenerse en cuenta las
especificaciones tcnicas existentes sobre reas de archivos, como lo establece el Archivo
General de la Nacin.
Artculo 67. La documentacin institucional es producto y propiedad de la UNAD, y sta
ejercer el pleno control de sus recursos informativos. Los archivos pblicos, por ser un bien
de uso pblico, no son susceptibles de enajenacin.

Artculo 68. Los funcionarios, contratistas y docentes de la Universidad, al desvincularse
de las funciones titulares, entregarn los documentos y archivos a su cargo debidamente
organizados e inventariados, conforme a las normas y procedimientos que establezca la
Universidad, sin que ello implique exoneracin de la responsabilidad a que haya lugar en
caso de irregularidades.
Artculo 69. La Secretara General, tendr la obligacin de velar por la integridad,
autenticidad, veracidad y fidelidad de la informacin de los documentos de archivo,
liderando mediante su Sistema de Gestin Documental la planeacin, control, direccin,
organizacin, capacitacin, inspeccin o vigilancia, promocin y otras actividades
involucradas en la gestin del ciclo de vida de la informacin, incluyendo la creacin,
mantenimiento (uso, almacenamiento, recuperacin), y disposicin, independientemente de
los medios o soportes., as como la prestacin de los servicios archivsticos en el Archivo
Central e Histrico.
Artculo 75. Todas las personas tienen derecho a la intimidad personal y familiar, honra y
buen nombre de las personas y dems derechos consagrados en la constitucin y las leyes.
Artculo 76. Slo por motivos legales, la Universidad podr autorizar la salida temporal
de los documentos, de archivo, previa autorizacin del sistema de gestin documental de la
Secretaria General.
Artculo 77. El archivo de carcter histrico podr autorizar de manera excepcional, la
salida temporal de los documentos que se conservan con fines: investigativos, culturales,
cientficos, legales e histricos y en tal evento la Secretaria General, mediante un sistema de

Gestin Documental, deber tomar todas las medidas que garanticen la integridad, la
seguridad, la conservacin o el reintegro de los mismos.
Artculo 78. La Universidad contar con instrumentos de planeacin, y control para la
ejecucin de las actividades del Sistema de Gestin Documental a nivel nacional, mediante
el plan institucional de archivos, programa de gestin documental fsico y/o electrnico,
sistema integrado de conservacin y dems instrumentos informacionales o de control.
1.2.6 Ubicacin de la organizacin y sus caractersticas geogrficas.
A continuacin, se presenta todas las sedes que tiene a nivel nacional, es decir el cubrimiento
geogrfico en la figura 8
Figura 7 Ubicacin y caractersticas geogrficas de los centros de atencin de la UNAD
Fuente: https://goo.gl/XHZdU8
1.2.3.9 Restricciones que afectan a la organizacin.
La UNAD por ser una organizacin tan grande, en algunos casos no todas las sedes cuentan
con la infraestructura tecnolgica necesaria para la prestacin del servicio y la mitigacin de los
riesgos, sin contar las particularidades que son propias de cada regin donde se ubica los centros
de atencin de la universidad.
Es por eso, que hay que empezar a delimitar la gestin del riesgo, se toma como caso de
estudio una de las Sedes de la UNAD, siendo para este caso, el CCAV de Neiva.
1.2.7. Organizacin para la gestin.
Las organizaciones de manera constante estn incorporando nuevas herramientas o mejoras en
la infraestructura tecnolgica, esto lo hace una entidad eficaz y eficiente en cuanto a la mejora de
los servicios en los procesos informticos.
Cuenta con una infraestructura tecnolgica y recurso humano que lleva a cabo el control,
gestin y monitoreo de los recursos tecnolgicos de la UNAD.

Encontramos para el caso de la UNAD, a nivel nacional una Gerencia de Innovacin y
desarrollo tecnolgico que est conformada de siguiente manera:
Figura 8: Organigrama de la Gerencia de Innovacin y Desarrollo Tecnolgico (GIDT) de la UNAD
Fuente: UNAD (2017). https://gidt.UNAD.edu.co/gidt/acerca-de/organigrama

1.3. IDENTIFICACIN DEL RIESGO.
1.3.1. Consideraciones Generales.
En la etapa de valoracin de riesgos segn la norma ISO27005 las consideraciones o
procedimientos para tener en cuenta son:
Identifica los activos que se quieren proteger
Identificar las debilidades de los activos a proteger,
Identificar las amenazas a las cuales se encuentran expuestos.
Identificar los controles Existentes en la organizacin.
Para la valoracin se deben tener en cuenta los posibles activos que sean relevantes,
incluyendo procesos, informacin, datos y activos de soporte, luego de establecer el listado de
activos es posible validar si el alcance definido de forma preliminar es correcto o debe ser
ajustado para cumplir con los propsitos. (Devia, 2014)
Se deben tener en cuenta los tipos de amenazas que pueden presentarse (estas pueden ser
fsicas, lgicas o estratgicas y su origen puede ser natural, tcnico, humano accidental o
intencional), los daos que pueden implicar las amenazas, la determinacin sobre las prdidas
causadas por los riesgos en trminos de impacto, a partir de lo anterior es posible determinar los
controles y priorizar los riesgos, los controles a usar se clasifican en controles preventivos,
controles deductivos y controles correctivos. Los procesos deben ser priorizados con el fin de
determinar niveles de criticidad de los mismos. Segn (Castro, 2011) Las vulnerabilidades
pueden ser determinadas por varios medios como la realizacin de pruebas y listas de chequeo.
Las amenazas deben clasificarse de forma acorde y el anlisis de su impacto con respecto a la
frecuencia de ocurrencia es importante para la determinacin correcta de los riesgos. En la
valoracin se pueden usar tcnicas cuantitativas y/o cualitativas para la estimacin de riesgos.
1.3.2. Identificacin de los activos.
Tomando como referencia la norma ISO 27000:2013, los activos de informacin corresponden, a
aquellos elementos que tiene valor para la entidad y que, por lo tanto, requiere de proteccin. Su
identificacin es indispensable para recopilar la informacin suficiente para la valoracin del riesgo.
Par el caso de estudio se determinarn los siguientes tems en la descripcin de los activos del
CCAV Neiva, correspondientes al proceso (C-12) GESTIN DE SERVICIOS DE
INFRAESTRUCTURA TECNOLGICA, tomando como referencia la Gua No. 5 emitida por
MINTIC Gua para la Gestin y Clasificacin de Activos de Informacin.
Tabla 3: Identificacin de activos del CCAV Neiva
Sistema Disc Red

Marc Antivir Red de Tip
rea
RA
Equipos Operativ M
CPU o IP ISP Elctric
a us acceso o
o duro a
HP Movistar
Windows Intel CORE LAN y 192.168.36.1
AIO ProOn 6 500 Avira fijo empresari Regulada
8 5 WAN 30
e al
Administrativo
HP Movistar
8 5 WAN 31
e al
HP Movistar
10 7 WAN 32
e al
AIO HP 8 500 Avira fijo Movistar Regulada

ProOn empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
e 10 7 WAN 33 al
HP Movistar
10 7 WAN 34
e al
HP Movistar
Porttil proboo 8 500 Avira fijo empresari Normal
10 7 WAN 35
k al
HP Movistar
7 3 WAN 36
k al
HP
Impresora 192.168.36.1
LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Normal
Alta 37
et
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Normal
HP
Impresora 192.168.36.1
LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
Alta 38
et
HP Movistar
10 7 WAN 39
k al
192.168.36.1
Monitor Hp N/A N/A N/A N/A N/A N/A N/A N/A Regulada
40
192.168.36.1
Monitor Hp N/A N/A N/A N/A N/A N/A N/A N/A Normal
41
LAN y 192.168.36.1
Access Point Hp N/A N/A N/A N/A N/A N/A N/A Normal
WAN 99
HP Movistar
10 7 WAN 42
e al
Docentes
HP Movistar
10 7 WAN 43
e al

ProOn empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
e 10 7 WAN 44 al
HP Movistar
10 7 WAN 45
e al
HP Movistar
10 7 WAN 46
e al
HP Movistar
10 7 WAN 47
e al
HP Movistar
10 7 WAN 48
e al
HP Movistar
7 3 WAN 49
e al
HP Movistar
AIO ProOn 8 500 Avira fijo empresari Normal
10 7 WAN 50
e al
HP Movistar
10 7 WAN 51
e al
HP Movistar
10 7 WAN 52
e al
HP Movistar
10 7 WAN 53
e al
HP Movistar
7 3 WAN 54
e al
HP Movistar
7 3 WAN 55
e al

ProOn empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
e 8 5 WAN 56 al
HP Movistar
10 7 WAN 57
e al
HP Movistar
10 7 WAN 58
e al
HP Movistar
10 7 WAN 59
e al
HP Movistar
10 7 WAN 60
e al
HP Movistar
10 7 WAN 61
e al
HP Movistar
10 7 WAN 62
e al
HP Movistar
10 7 WAN 63
e al
HP Movistar
7 3 WAN 64
e al
HP Movistar
7 3 WAN 65
e al
HP Movistar
8 5 WAN 66
e al
HP Movistar
8 5 WAN 67
e al

ProOn empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
e 10 7 WAN 68 al
HP Movistar
10 7 WAN 69
e al
HP Movistar
10 7 WAN 70
e al
HP Movistar
10 7 WAN 71
e al
HP Movistar
10 7 WAN 72
e al
HP Movistar
10 7 WAN 73
e al
HP Movistar
7 3 WAN 74
e al
HP Movistar
10 7 WAN 75
e al
HP Movistar
10 7 WAN 76
e al
HP Movistar
10 7 WAN 77
e al
HP Movistar
10 7 WAN 78
e al
HP Movistar
10 7 WAN 79
e al

ProOn empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
e 10 7 WAN 80 al
HP Movistar
10 7 WAN 81
e al
HP Movistar
10 7 WAN 82
e al
HP Movistar
10 7 WAN 83
e al
HP Movistar
10 7 WAN 84
e al
HP Movistar
10 7 WAN 85
e al
HP Movistar
10 7 WAN 86
e al
HP Movistar
10 7 WAN 87
k al
HP Movistar
Porttil proboo 8 500 Avira fijo empresari Regulada
10 7 WAN 88
k al
HP Movistar
10 7 WAN 89
k al
HP Movistar
Porttil proboo 8 500 Avira fijo empresari Regulada
10 7 WAN 90
k al
HP Movistar
10 7 WAN 91
k al
Porttil HP 8 500 Avira fijo Movistar Normal

proboo empresari
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
k 10 7 WAN 92 al
HP
192.168.36.1
Impr. media LaserJ N/A N/A N/A N/A N/A N/A N/A N/A Regulada
93
et
HP
192.168.36.1
94
et
HP
192.168.36.1
95
et
HP
192.168.36.1
96
et
Video Beam BENQ N/A N/A N/A N/A N/A N/A N/A N/A N/A Regulada
192.168.36.1
Acces Point Hp 425 N/A N/A N/A N/A N/A N/A N/A N/A Regulada
41
HP Movistar
10 7 WAN 01
e al
Salas de sistemas estudiantes
HP Movistar
10 7 WAN 02
e al
HP Movistar
10 7 WAN 03
e al
HP Movistar
10 7 WAN 04
e al
HP Movistar
10 7 WAN 05
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
HP Movistar
10 7 WAN 06
e al
HP Movistar
10 7 WAN 07
e al
HP Movistar
10 7 WAN 08
e al
HP Movistar
10 7 WAN 09
e al
HP Movistar
10 7 WAN 10
e al
HP Movistar
10 7 WAN 11
e al
HP Movistar
10 7 WAN 12
e al
HP Movistar
10 7 WAN 13
e al
HP Movistar
10 7 WAN 14
e al
HP Movistar
10 7 WAN 15
e al
HP Movistar
10 7 WAN 16
e al
HP Movistar
10 7 WAN 17
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
HP Movistar
10 7 WAN 18
e al
HP Movistar
10 7 WAN 19
e al
HP Movistar
10 7 WAN 20
e al
HP Movistar
10 7 WAN 21
e al
HP Movistar
10 7 WAN 22
e al
HP Movistar
10 7 WAN 23
e al
HP Movistar
10 7 WAN 24
e al
HP Movistar
7 3 WAN 25
e al
HP Movistar
7 3 WAN 26
e al
HP Movistar
7 3 WAN 27
e al
HP Movistar
7 3 WAN 28
e al
HP Movistar
7 3 WAN 29
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
HP Movistar
7 3 WAN 30
e al
HP Movistar
7 3 WAN 31
e al
HP Movistar
7 3 WAN 32
e al
HP Movistar
7 3 WAN 33
e al
HP Movistar
7 3 WAN 34
e al
HP Movistar
8 5 WAN 34
e al
HP Movistar
8 5 WAN 35
e al
HP Movistar
8 5 WAN 36
e al
HP Movistar
10 7 WAN 37
e al
HP Movistar
Windows Intel CORE LAN y 192.168.36.s
10 7 WAN 38
e al
HP Movistar
10 7 WAN 39
e al
HP Movistar
10 7 WAN 40
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
HP Movistar
10 7 WAN 41
e al
HP Movistar
10 7 WAN 42
e al
HP Movistar
10 7 WAN 43
e al
HP Movistar
10 7 WAN 44
e al
HP Movistar
10 7 WAN 45
e al
HP Movistar
10 7 WAN 46
e al
HP Movistar
10 7 WAN 47
e al
HP Movistar
10 7 WAN 48
e al
HP Movistar
10 7 WAN 49
e al
HP Movistar
10 7 WAN 49
e al
HP Movistar
10 7 WAN 50
e al
HP Movistar
10 7 WAN 51
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
HP Movistar
10 7 WAN 52
e al
HP Movistar
10 7 WAN 53
e al
HP Movistar
10 7 WAN 54
e al
HP Movistar
10 7 WAN 55
e al
HP Movistar
10 7 WAN 56
e al
HP Movistar
10 7 WAN 57
e al
HP Movistar
10 7 WAN 58
e al
HP Movistar
10 7 WAN 59
e al
HP Movistar
10 7 WAN 60
e al
HP Movistar
10 7 WAN 61
e al
HP Movistar
10 7 WAN 62
e al
HP Movistar
10 7 WAN 63
e al
Sistema Disc Red
rea
RA
Equipos Operativ M
a us acceso o
o duro a
Movistar
LAN y 192.168.36.1
Access Point Hp 425 N/A N/A N/A N/A N/A fijo empresari Normal
WAN 97
al
Movistar
LAN y 192.168.36.1
Access Point Hp 425 N/A N/A N/A N/A N/A fijo empresari Normal
WAN 98
al
Fuente: Autores
Tabla 4 Resumen de activos del CCAV de Neiva
Descripcin Sistemas operativos

Equipo Cantidad Windows 7 Windows 8 Windows 10
Escritorio 115 16 8 91
Porttiles 9 0 1 8
Servidor 2 N/A N/A N/A
Switch X 24 1 N/A N/A N/A
Switch X 48 2 N/A N/A N/A
Gabinete de pared 1 N/A N/A N/A
Modem ADSL 1 N/A N/A N/A
Impresoras media 4 N/A N/A N/A
Impresora Alta 2 N/A N/A N/A
UPS 1 N/A N/A N/A
Acces Point 4 N/A N/A N/A
Monitor 2 N/A N/A N/A
Video Beam 4 N/A N/A N/A
Fuente: Autores
1.3.3. Identificacin de las amenazas.
Las amenazas entran a constituirse en la gestin del riesgo como el elemento generador de
daos a los activos de informacin de la organizacin, por eso es importante su identificacin
para posteriormente determinar los controles que se requieren.
La siguiente tabla 5, muestra las amenazas especficas que se determinan para el CCAV de
Neiva:
Tabla 5 Identificacin de las amenazas de los activos
Amenaza
Campo
tem
1 Pedida parcial o total de la Informacin.

2 Virus
3 Robo, modificacin de Informacin.
4 Robo, modificacin de Informacin, Software malicioso
Software
5 Virus, Accesos no autorizados

6 Accesos no autorizados, Instalador de software no autorizado
7 Robo, modificacin, Perdida de Informacin
8 Virus, Software malicioso.
9 Acceso no autorizado a datos y/o informacin.
10 Violacin a la informacin confidencial
11 Falla en suministro elctrico circuito regulado
Hardwa
12 Dao prematuro en equipos.

re
13 Indisponibilidad de algunos equipos

14 Prdida, dao y/o desconexin de dispositivos.
15 Acceso no autorizado a la red
Comunicacio
(Inalmbrico
dispositivas
16 Interceptacin de informacin.
de red
nes
s)
17 Ataques externos, Acceso no autorizado a la red
18 Equipos con poco tiempo de respaldo elctrico.

Fsica - Bienes
informticos
19 Sede sin energa alterna en caso de corte de energa comercial.

Seguridad
20 Apagn inesperado de equipos y dispositivos.

21 Dao y/o fallas en equipos por cambios de corriente y voltaje.
22 Recalentamiento y apagado del equipo.
23 Insuficiencia del suministro elctrico regulado.
Fuente: Autores
Tabla 6: Valoracin de las amenazas
Categora Amenazas Tipo de amenazas

Probabilidad de
ocurrencia
Virus informticos o cdigo
Fallas en los sistemas de procesamiento de malicioso 2
la informacin
Ataques informticos, 2
Desastres naturales Desastres Naturales 2
Suplantacin de identidad 2
Uso inadecuado de equipos
1
Uso no autorizado de sistemas
informticos 2
Actos malintencionados Sabotaje, Vandalismo 1
Espionaje 1
Divulgacin de informacin 2
Alteracin de la informacin 2
Ataques de fuerza Bruta 3
Fuente: Autores
1.3.4. Identificacin de los controles existentes.
La identificacin de controles se debe hacer para poder determinar cules son las capacidades
con que cuenta la organizacin, y de igual forma, evitar repetir esfuerzos ya realizados.
Tabla 7: Identificacin de controles existentes
Tipo de Tipo de amenaza Controles existentes Valoracin

activo [ineficaz,
insuficiente,
injustificado]
Software Afectacin al Software Poltica de seguridad de la Insuficiente
informacin
Designacin de roles y
funciones
Proteccin contra malware
Copias de seguridad
Tipo de Tipo de amenaza Controles existentes Valoracin
activo [ineficaz,
insuficiente,
injustificado]
Red Afectacin de la Poltica de seguridad de la Insuficiente
disponibilidad de red informacin
Comunicaciones Seguridad en los
(Inalmbricos) dispositivos de
Proteccin de la red de
comunicaciones
Lugar Afectacin Seguridad Poltica de seguridad de la Insuficiente
fsica bienes informacin
informticos Seguridad fsica
Proteccin de la red de
comunicaciones.
Designacin de roles y
funciones
Personal Suplantacin Autenticacin de usuarios Insuficiente
Fuente: Autores
2. LA UNIDAD DOS (2): ANLISIS Y EVALUACIN DEL RIESGO.
Es una forma sistemtica de evaluar riesgos asociados a la presencia de peligros para
facilitar la adopcin de decisiones en materia de gestin de riesgos y su comunicacin. Consta
de un proceso integrado por varias fases, cuyo objetivo es determinar la naturaleza de un riesgo,
expresarlo en trminos cualitativos o cuantitativos y establecer las medidas adecuadas para
minimizarlo o limitarlo a un nivel aceptable. Las fases se integran en la figura 9. (fundacin
Vasca para la seguridad agroalimentaria, 2005).
Figura 9: Fases para el Anlisis de riesgos
Fuente: http://www.elika.eus/datos/articulos/Archivo139/13.Evaluacion%20de%20riesgos.pdf
La Evaluacin de Riesgos, es la primera fase del Anlisis de Riesgos, se basa en hechos
cientficos para estimar la probabilidad de que ocurra un efecto como consecuencia por la
exposicin algn riesgo. El resultado de este proceso es la base para que pueda llevarse a cabo la
segunda de la fase que es la Gestin de Riesgos. La evaluacin del riesgo se puede llevar a cabo
de forma cualitativa y/o cuantitativa (fundacin Vasca para la seguridad agroalimentaria, 2005):
Cualitativa: Son tratamientos categricos o descriptivos de la informacin.

Cuantitativo: Es un anlisis matemtico de los datos numricos, si se dispone de los
datos y de la informacin cuantitativa necesaria. Se distinguen dos categoras:
1.- Determinstica
2.- Probabilstica
La Evaluacin de Riesgos se lleva a cabo siguiendo cuatro fases que se identifican en la
figura 10.
Figura 10: Evaluacin del riesgo
IDENTIFICACIN DEL
PELIGRO
CARACTERIZACIN DEL EVALUACIN DE LA

PELIGRO EXPOSICIN
CARACTERIZACIN DEL
RIESGO
Fuente: http://campus08.unad.edu.co/ecbti26/mod/forum/discuss.php?d=11233#p190012
Anlisis de Riesgos: Es una herramienta de diagnstico que permite establecer la exposicin
real a los riesgos por parte de una organizacin. Este anlisis tiene como objetivos la
identificacin de los riesgos (mediante la identificacin de sus elementos), lograr establecer el
riesgo total y posteriormente el riesgo residual luego de aplicadas las contramedidas en trminos
cuantitativos o cualitativos. El objetivo general del anlisis de riesgos es identificar sus causas
potenciales de los principales riesgos que amenazan el entorno informtico. Segn Harold F.
Tipton y Micki Krause1. la seguridad informtica puede ser definida, bsicamente, como la
preservacin de la confidencialidad, la integridad y la disponibilidad de los sistemas de
informacin (Benavides Ruano & Solarte, 2012).
Figura 11. Plan anlisis del riesgo ISO 27001
Fuente: http://www.iso27000.es/sgsi.html
El proceso de anlisis genera habitualmente un documento que se conoce como matriz de
riesgo, donde se ilustran todos los elementos identificados, sus relaciones y los clculos
realizados.
Matriz para el anlisis de riesgo: es una herramienta utilizada para indicar los riesgos, los
controles y su valoracin por probabilidad e impacto. Normalmente es utilizada para identificar
las actividades, los procesos y productos ms importantes de una organizacin, el tipo y nivel de
riesgos inherentes a estas actividades y los factores exgenos y endgenos relacionados con estos
riesgos denominados factores de riesgo. El estndar ISO/IEC 27001 adopta una metodologa
dada por Alan Calder y Steve Watkins que es la del anlisis de riesgos cualitativa la cual se
trata en mediante las matrices. (Benavides Ruano & Solarte, 2012).
Figura 12. Matriz para anlisis de riesgo
Fuente: ERB, M. (2008). Gestin de Riesgo en la Seguridad Informtica.

El riesgo total es la combinacin de los elementos que lo conforman, calculando el valor del
impacto por la probabilidad de ocurrencia de la amenaza y cul es el activo que ha sido
impactado. Presentado en una ecuacin matemtica para la combinacin vlida de activos y
amenazas. La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los valores y
condiciones respectivamente, por lo tanto, la valoracin de los riesgos se realiza teniendo en
cuenta los siguientes valores, los cuales se distribuyen en la matriz de anlisis de riesgo.
Bajo Riesgo = 1 6 (verde)

Medio Riesgo = 8 9 (amarillo)
Alto Riesgo = 12 16 (rojo)
RT (riesgo total) = probabilidad x impacto (Magnitud del dao)
Para calcular el riesgo es preciso identificar primero la magnitud del dao de cada uno de los
elementos de informacin y tambin se debe identificar las probabilidades que ocurran las
amenazas, basta con multiplicar de manera individual cada probabilidad con su respectiva
magnitud de dao; de esta forma se identifica el ndice de riesgo que se obtiene en la escala de 1-
16 de acuerdo a lo mencionado anteriormente; es importante saber la probabilidad que tiene cada
recurso de ser vulnerable porque no todos poseen la misma ya que dependiendo de la funcin y
el entorno de los recursos que sirven a la informacin, algunos se encuentran ms expuestos a ser
vulnerables por el nivel de importancia en el proceso de gestin de la informacin por tal motivo
necesitan mayor proteccin dependiendo de la valoracin de activos.
Figura 13. Interpretacin de la matriz para anlisis de riesgo.
Probabilidad. Para determinar la probabilidad de ocurrencia es posible de la forma
cualitativa o cuantitativamente, considerando que la medida no debe contemplar la existencia de
acciones de control.
Impactos. Son las consecuencias de la materializacin de las distintas amenazas y los daos
que stas puedan causar. Las prdidas generadas pueden ser financieras, tecnolgicas, fsicas,
entre otras.
Amenazas. Son acciones que pueden generar consecuencias negativas en la operacin de la
organizacin. Se referencian como amenazas a las fallas, los ingresos no autorizados, los virus,
los desastres ocasionados por fenmenos naturales o ambientales, etc.

Vulnerabilidades. Son ciertas condiciones a las que se exponen los activos, estn presentes
en su entorno, facilitan que las amenazas se materialicen y se conviertan en vulnerabilidad.
Activos. Los activos en tecnologa, es todos lo relacionado con los sistemas de informacin,
las redes las, comunicaciones y la informacin en s misma.
2.1. ANLISIS DEL RIESGO. IDENTIFICAR LAS VULNERABILIDADES Y SUS
CONSECUENCIAS.
Anlisis de vulnerabilidades. La s vulnerabilidades constituyen debilidades presentes en los
activos de la sede, estas pueden ser explotadas por las amenazas lo que causa en realidad
incidentes nada favorables a la seguridad o deterioro a los activos, por si sola la vulnerabilidad
no causa fallas, pero si genera el ambiente para que se materialicen las amenazas. En esta parte
se analizan las vulnerabilidades y se obtiene como resultado una matriz de vulnerabilidades
presentes en los activos de la sede.
Tabla 8 Vulnerabilidades de los activos
tem Vulnerabilidades
Ca
mpo
1 La poltica de seguridad informtica de la UNAD no est aplicada para el manejo de las polticas de
Backup.
2 Sistema Operativo sin actualizaciones automticas.
3 Sistema Operativo con Protocolo FTP Habilitado
4 Sistema Operativo con puerto NETBIOS Habilitado
5 Sistema Operativo sin antivirus
Software
6 La poltica de seguridad informtica de la UNAD no est aplicada para el manejo adecuado de acceso
(autenticacin de usuario).
7 Equipos Informticos compartiendo carpetas sin filtros de usuarios. (Servidor y Terminales)
8 Aplicaciones fuera del catlogo de software instaladas sin autorizacin.
9 Falta concientizacin del Personal en cuanto a la importancia del uso de credenciales robustas, en
equipos, aplicaciones y en lnea, para proteger los datos personales.
10 Docentes, administrativos y estudiantes con poca capacitacin en proteccin y acceso a la informacin
propia, institucional y de terceros.
dwa
11 UPS (Energa) sin limpieza(recalentamiento)

Har
re
12 Poltica de seguridad informtica de la UNAD no est aplicada para el mantenimiento preventivo y

limpieza de los equipos (Red, Computo o Energa)
13 Plan de mantenimiento correctivo, preventivo en los PC no se especifica.
14 Rack de comunicaciones sin proteccin.
caciones
dispositi
Comuni
Router inalmbrico Configuracin vulnerable (WEP-WPA)

(Inalm
bricos) 15
vas de
red
16 Router inalmbrico con seal abierta

17 Router inalmbrico contraseas dbiles
18 UPS (Energa) sin sistema de alarma por baja carga.
Seguridad Fsica -
19 Planta elctrica no funciona.

informticos
20 UPS (Energa) sin funcionamiento o poca carga o respaldo

Bienes
21 Equipos Informticos o de red, conectado en circuito de corriente Normal.

22 Servidor Sin ventilacin artificial.
23 Algunos Circuito de corriente Regulada Fuera de Servicio
24 Cuarto de comunicaciones sin seguridad
25 Fcil acceso a los dispositivos de comunicacin y e informtica.
Fuente: Autores
2.1.2 Anlisis a los sistemas operativos.
Se realizan mediante pruebas de penetracin (Pentesting), escaneo de la red, escaneo de
puertos y pruebas de vulnerabilidades realizadas y en el rea de redes y sistemas de sede, cabe
anotar que solo se permiti realizar un escaneo a la red con una herramienta de monitoreo, an se
realiz con la herramienta:
Network Scanner: Escner de IPv4 / IPv6 con una interfaz grfica y caractersticas
avanzadas. Es usado por administradores de sistemas y usuarios en general. Realiza en las
computadoras pings, programa, exploraciones para escuchar puertos TCP / UDP y descubre
carpetas compartidas, incluyendo el sistema y las ocultas. Adems, se puede recuperar
informacin sobre los equipos de la red a travs de WMI, SNMP, HTTP, NetBIOS.
Figura 14: Network Scanner
Fuente: https://www.softperfect.com/products/networkscanner/
Despliegue del escner: Para esta labor se realiza el escaneo de la red 192.168.36.0/24
NETBIOS - Recursos de red compartidos no protegidos Algunos protocolos de red incluidos
en el sistema operativo Windows 7 no ofrecen mecanismos de proteccin adecuados, por lo que
un atacante remoto puede obtener acceso a la informacin almacenada en los ordenadores.
Obtencin de informacin mediante sesiones de usuario annimas Si el ordenador, en
Windows 7 permite la conexin de usuarios annimos (sin usuario ni contrasea), un atacante
remoto puede obtener informacin los recursos de red y las cuentas de usuario definidas en el
sistema.
Figura 15 Escner y Monitoreo a la red del CCAV Neiva.
Fuente: Autores
Figura 16. Escner 2 Monitoreo a la red de sede.
Fuente: Autores
Resultados y vulnerabilidades encontradas: En el anlisis realizado mediante el escaneo a
la red se encontraron vulnerabilidades asociadas al manejo y gestin de archivos, en este sentido
se puede observar en la zona sombreada como existe un rbol de carpetas al cual se puede
acceder sin ninguna restriccin, este sistema de archivo se encuentra alojado en un servidor de
archivos local, de igual forma existen equipos informticos que estn compartiendo archivos con
acceso pblico.
En resumen, las vulnerabilidades encontradas son:
La poltica de seguridad informtica de la UNAD no est aplicada para el manejo de las

polticas de Backup para el sistema de archivo generados por los usuarios.
Se encontraron en equipos, Sistema Operativo sin actualizaciones automticas.
Se encontraron en equipos, Sistema Operativo con Protocolo FTP Habilitado.
Se encontraron en equipos, Sistema Operativo con puerto NETBIOS Habilitado.
Se encontraron en equipos, Sistema Operativo sin antivirus.
La poltica de seguridad informtica de la UNAD no est aplicada para el manejo adecuado
de acceso (autenticacin de usuario).
Se encontraron equipos Informticos compartiendo carpetas sin filtros de usuarios.
En varios equipos es posible instalar aplicaciones sin autorizacin.
2.1.3 Anlisis a los dispositivos de red (Inalmbricos)
Se realizan pruebas dirigidas en el administrador del router ubicado en el cuarto de cableado.
En el CCAV de Neiva se pudo evidenciar fallas de configuracin en algunos dispositivos que
sirven como soporte a la conectividad de forma inalmbrica, estos dispositivos son vulnerables y
de fcil acceso si no se realiza la configuracin adecuada para restringir y proteger de los accesos
no autorizados. Se ingresa a la configuracin de los routers WIFI donde se evidencia que algunos
no cuentas con la configuracin WEP-WPA, otros tienen contraseas dbiles, dejando la seal
abierta a cualquier posible ingreso a la red privada.

Figura 16. Router con encriptacin Wep
Fuente: Autores
Figura 17. Router con Wifi Abierta.
Fuente: Autores
Segn el anlisis realizado, se determinan las siguientes vulnerabilidades:
Router inalmbrico. Configuracin vulnerable (wep-wpa)

Router inalmbrico con seal abierta
Router inalmbrico contraseas dbiles
2.1.4 Anlisis a los Bienes informticos Fsicos.
Mediante la tcnica de la observacin para evaluar el estado fsico de los bienes que soportan
la gestin de los activos se pudo evidenciar algunas falencias, en algunos activos y sistemas que
sirven al funcionamiento de la sede. En el estado actual se pudieron conocer los siguientes
aspectos:
UPS (Energa) sin sistema de alarma por baja carga.

Planta elctrica no funciona.
UPS (Energa) sin funcionamiento o poca carga o respaldo.
Algunos equipos Informticos o de red, conectado en circuito de corriente Normal.
Servidor Sin ventilacin artificial.
Circuito de corriente Regulada Fuera de Servicio.
Cuarto de comunicaciones sin seguridad.
Fcil acceso a los dispositivos de comunicacin y e informtica.
2.1.5 Anlisis al Recurso Humano.
Respecto al factor humano se indaga sobre las personas midiendo el nivel de conocimiento
en el manejo y uso de la informacin y de los dispositivos computacionales tanto hardware
como software. Se identifican las siguientes vulnerabilidades:
Falta concientizacin del Personal en cuanto a la importancia del uso de credenciales

seguras en equipos, aplicaciones, para proteger los datos personales.
Docentes, administrativos y estudiantes con poca capacitacin en proteccin y acceso a la
informacin propia, institucional y de terceros.
Desconocimiento de las polticas de seguridad de la informacin
2.2. IDENTIFICACIN DE LAS CONSECUENCIAS.
Se relacionan a continuacin las siguientes consecuencias definidas segn las
vulnerabilidades antes mencionadas:
Software:
Interrupcin de servicios
Perdida de la informacin.
Ataques informticos,
instalacin de software malicioso,
robo de informacin.
Hadware:
Uso inadecuado de equipos
Daos de infraestructura tecnolgica
Instalacin de software malicioso, robo de informacin.
Seguridad fsica:
Errores en la disponibilidad de servicios tecnolgicos
Afectacin de la continuidad del negocio
Daos, y prdida de la informacin.
Indisponibilidad del sistema de informacin.
2.3. ESTIMACIN DEL RIESGO. REALIZAR LA EVALUACIN DE LA
PROBABILIDAD Y DETERMINAR EL NIVEL DEL RIESGO.
Las valoraciones de amenazas, consecuencias y estimacin del nivel del riesgo se establecen
tomando como referencia la Matriz del Evaluacin del riesgo (ERB, M. (2008). Gestin de Riesgo en la
Seguridad Informtica), indicada en el captulo 2.
2.3.1. Valoracin de las consecuencias.
Tabla 9: valoracin de consecuencias
Catego Impacto o
ra Consecuencia magnitud del dao
Interrupcin de servicios 4
Softwar Perdida de la informacin. 4

e: Denegacin de Servicios (DoS) 4
instalacin de software malicioso, 3
Robo de informacin. 3
Fraudes basados en el uso de computadores 3
Hardwa
Daos de infraestructura tecnolgica 4
re
Perdida de equipos tecnolgicos 3
Errores en la disponibilidad de servicios
tecnolgicos 3
Segurid Afectacin de la continuidad del negocio 4
ad fsica
Hurto de bienes 3
Fuente: Autores
Figura 18: niveles de valoracin de las consecuencias
Impacto o magnitud del dao

Seguridad
Hurto de bienes 3
fsica
Afectacin de la continuidad del negocio 4

Errores en la disponibilidad de servicios tecnolgicos 3
Hardware
Perdida de equipos tecnolgicos 3

Fraudes basados en el uso de computadores 3
Robo de informacin. 3
Software:
instalacin de software malicioso, 3

Denegacin de Servicios (DoS) 4
Perdida de la informacin. 4
Interrupcin de servicios 4
0 1 2 3 4 5
Fuente: Autores
En la grfica se identifican el 50% de los impactos en nivel 3 (magnitud mediana) y en nivel 4
(magnitud alta), de 12 consecuencias identificadas.
Tabla 10: valoracin de consecuencias vs amenazas

Probabi Impacto o
Tipo de amenazas lidad de Consecuencia magnitud del
ocurrencia dao
Virus informticos o
cdigo malicioso 2 Perdida de la informacin. 4
Ataques
Denegacin de Servicios (DoS)
informticos, 2 4
Afectacin de la continuidad del
Desastres Naturales
2 negocio 4
Suplantacin de
identidad 2 Hurto de bienes 3
Uso inadecuado de Fraudes basados en el uso de
equipos 1 computadores 3
Uso no autorizado de Daos de infraestructura
sistemas informticos 2 tecnolgica 4
Sabotaje, Vandalismo 1 Robo de informacin 3
Espionaje 1 Robo de informacin 3
Alteracin de la Errores en la disponibilidad de
informacin 2 servicios tecnolgicos 3
Ataques de fuerza Bruta 3 Denegacin de Servicios (DoS) 4
Fuente: Autores
Figura 19: Escala de valoraciones de amenazas vs impacto de las consecuencias

Probabilidad de ocurrencia Impacto o magnitud del dao
Virus informticos o cdigo

4
malicioso
4 4 4
Ataques de fuerza Bruta 3.5 Ataques informticos,
3 3 2
2.5 2
2
Alteracin de la 1.5 4
Desastres Naturales
informacin 3 2 1 2
0.5
0
1
2
Espionaje 3 1 1
3 Suplantacin de identidad
2
3 3
Sabotaje, Vandalismo Uso inadecuado de equipos
Uso no autorizado de
4
sistemas informticos
Fuente: Autores
Se puede concluir, segn la grfica anterior, que las siguientes amenazas, generan mayor
magnitud o impactos sobre la seguridad de la informacin:
Virus informticos o cdigo malicioso
Ataques informticos
Desastres naturales
Uso no autorizado de sistemas informticos
Ataques de fuerza bruta

2.3.2. Valoracin de los incidentes.
La valorizacin de los incidentes que se relacionan a continuacin est entrelazada con los
riesgos de los activos de la Unad del CCAV de Neiva. Se representa en la siguiente tabla 10 y en
la figura 20 el impacto de los incidentes:
Tabla 11 Valorizacin incidentes
Categor Impacto o
a Incidentes magnitud del dao
Sucesivos intentos de login 4
Infeccin con virus 4
Softwar
Deficiencia en la plataforma 4
e:
instalacin de un rootkit 3
Gusano en la red 3
Hardwar
e Compromiso del Root 3
Dispositi
vos de red Scanning de puertos 3
Segurida
d fsica Falta de infraestrutura tecnolgica. 4
Fuente: Autores
Figura 20 Impacto incidentes
Fuente: Autores
2.3.3. Nivel de estimacin del riesgo.
Considerando los diferentes activos que se relacionan en el CCAV de Neiva se exponen en
nivel en cual estn los riesgos, Se presenta el siguiente tabla 12:
Tabla 12 Estimacin del riesgo CCAV de Neiva
Vulnerabili Amen Riesg Probabil

Nivel del riesgo
Campo
dades aza o idad Impacto

tem
1 2 3 4 1 2 3 4
Cam
del riesgo
tem
Nivel
po
Software
6 La poltica de Accesos Robo de X X 1

seguridad no informacin
informtica de la autorizados, confidencial. 6
UNAD no est Instalador de
aplicada para el software no
manejo adecuado de autorizado
acceso
(autenticacin de
usuario).
Fsica - Bienes
informticos
Seguridad
1 Planta elctrica Sede sin Indispon X X 1

9 no funciona. energa ibilidad en la
alterna en prestacin 6
caso de corte de servicios
de energa del centro o
comercial. la sede.
Software
1 La poltica de Pedida Prdida X X 1

seguridad parcial o y no
informtica de la total de la recuperacin 2
UNAD no est Informacin. de la
aplicada para el informacin.
manejo de las
polticas de Backup.
Software
5 Sistema Virus, Ataques X X 1

Operativo sin Accesos no informticos
antivirus autorizados , instalacin 2
de software
malicioso,
robo de
informacin.
Software
7 Equipos Robo, Ataque a X X 1

Informticos modificacin la integridad,
compartiendo , Perdida de disponibilida 2
carpetas sin filtros Informacin dy
de usuarios. confidenciali
(Servidor y dad de la
Terminales) informacin
sensible de
la sede.
Cam
del riesgo
tem
Nivel
po
Software
9 Falta Acceso Suplanta X X 1

concientizacin del no cin de
Personal en cuanto a autorizado a identidad. 2
la importancia del datos y/o
uso de credenciales informacin.
robustas, en
equipos,
aplicaciones y en
lnea, para proteger
los datos personales.
Hardware
1 UPS (Energa) Falla en Indispon X X 1

1 sin suministro ibilidad de la
limpieza(recalentam elctrico red y los 2
iento) circuito equipos de
regulado cmputo.
Hardware
1 Poltica de Dao Insuficie X X 1

2 seguridad prematuro en ncia de la
informtica de la equipos. red y los 2
UNAD no est equipos de
aplicada para el cmputo.
mantenimiento
preventivo y
limpieza de los
equipos (Red,
Computo o Energa)
(Inalmbricos)
Comunicaciones dispositivas de red
1 Router Acceso Perdida X X 1

5 inalmbrico no de
Configuracin autorizado a informacin, 2
vulnerable (WEP- la red ataques
WPA) informticos
. Lentitud en
el canal de
datos.
Cam
del riesgo
tem
Nivel
po
(Inalmbricos)
1 Router Intercept Robo de X X 1

6 inalmbrico con acin de informacin
seal abierta informacin. confidencial, 2
claves,
usuarios,
acceso a la
red. Lentitud
en el canal
de datos.
(Inalmbricos)
1 Router Ataques Robo de X X 1

7 inalmbrico externos, informacin
contraseas dbiles Acceso no confidencial, 2
autorizado a claves,
la red usuarios,
acceso a la
red. Lentitud
en el canal
de datos.
Seguridad Fsica -
Bienes informticos
2 Cuarto de Prdida, Indispon X X 1

4 comunicaciones sin dao y/o ibilidad en la
seguridad desconexin prestacin 2
de de los
dispositivos. servicios.
Cam
del riesgo
tem
Nivel
po
Software
2 Sistema Virus Ataque a X X 9

Operativo sin la integridad,
actualizaciones disponibilida
automticas. dy
confidenciali
dad de la
informacin.
Software
8 Aplicaciones Virus, Ataque X X 9

fuera del catlogo Software informtico,
de software malicioso. instalacin
instaladas sin de software
autorizacin. malicioso,
robo de
informacin.
Seguridad Fsica - Bienes
informticos
2 Servidor Sin Recalent Indispon X X 9

2 ventilacin amiento y ibilidad del
artificial. apagado del sistema de
equipo. informacin.
Hardware
1 Rack de Prdida, Indispon X X 8

4 comunicaciones sin dao y/o ibilidad en la
proteccin. desconexin prestacin
de de los
Cam
del riesgo
tem
Nivel
po
Seguridad Fsica - Bienes
informticos
1 UPS (Energa) Equipos Indispon X X 8

8 sin sistema de con poco ibilidad en el
alarma por baja tiempo de servicio de
carga. respaldo quipos y
elctrico. dispositivos,
daos, y
pedida de la
informacin.
- Bienes Fsica - Bienes
informticos informticos
Seguridad
2 Equipos Dao y/o Indispon X X 8

1 Informticos o de fallas en ibilidad en la
red, conectado en equipos por prestacin
circuito de corriente cambios de de servicios,
Normal. corriente y prdidas
voltaje. econmicas.
Seguridad Fsica
2 Fcil acceso a Prdida, Indispon X X 8

5 los dispositivos de dao y/o ibilidad en la
comunicacin y e desconexin prestacin
informtica. de de los
Software
4 Sistema Robo, Ataque a X X 6

Operativo con modificacin la integridad,
puerto NETBIOS , de disponibilida
Habilitado Informacin, dy
Software confidenciali
malicioso dad de la
informacin.
Software
1 Docentes, Violaci Ataques X X 6

0 administrativos y n a la de ingeniera
estudiantes con poca informacin social,
capacitacin en confidencial acceso a la
proteccin y acceso informacin
a la informacin sin
propia, institucional autorizacin.
y de terceros.
Cam
del riesgo
tem
Nivel
po
Hardware
1 Plan de Indispon Sin X X 6

3 mantenimiento ibilidad de servicio en
correctivo, algunos los equipos
preventivo en los equipos de cmputo.
PC no se especifica.
e Fsica - Bienes
informticos
Seguridad
2 UPS (Energa) Apagn Indispon X X 6

0 sin funcionamiento inesperado ibilidad del
o poca carga o de equipos y servicio de
respaldo dispositivos. equipos y
dispositivos.
Softwar
3 Sistema Robo, Perdida X X 4

Operativo con modificacin de la
Protocolo FTP de informacin.
Habilitado Informacin.
Fsica - Bienes
informticos
Seguridad
2 Algunos Insuficie Indispon X X 4

3 Circuito de corriente ncia del ibilidad de la
Regulada Fuera de suministro proteccin
Servicio elctrico elctrica al
regulado. hardware.
Fuente: Autores
Se identifica y clasifican segn la puntuacin de probabilidad por el impacto, determinado el
nivel segn la siguiente grfica:
Figura 21: Matriz para anlisis de riesgo

En la siguiente tabla se ilustran el nivel del riesgo para cada riesgo definido:
Tabla 13: Determinacin del nivel del riesgo
Descripcin
Nivel del
Probabil
Campo
tem
idad Impacto
riesgo
nivel
Vulnerabilidades Amenaza Riesgo
1 2 3 4 1 2 3 4
Software
La poltica de
seguridad informtica Accesos no
de la UNAD no est autorizados, Robo de Ri
1
6 aplicada para el manejo Instalador de informacin X X esgo
6
adecuado de acceso software no confidencial. Alto
(autenticacin de autorizado
usuario).
Seguridad
Fsica - Bienes
informticos
Sede sin Indisponibilid

energa alterna ad en la Ri
1 Planta elctrica no 1
en caso de corte prestacin de X X esgo
9 funciona. 6
de energa servicios del Alto
comercial. centro o la sede.
Software
La poltica de
seguridad informtica
Pedida Prdida y no Ri
de la UNAD no est 1
1 parcial o total de recuperacin de X X esgo
aplicada para el manejo 2
la Informacin. la informacin. Alto
de las polticas de
Backup.
Niv
Ca
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
m Vulnerabilidades Amenaza Riesgo
idad Impacto
Software
Ataques
informticos,
Virus, Ri
Sistema Operativo instalacin de 1
5 Accesos no X X esgo
sin antivirus software 2
autorizados Alto
malicioso, robo
de informacin.
Software
Ataque a la
integridad,
Equipos
Robo, disponibilidad y
Informticos Ri
modificacin, confidencialidad 1
7 compartiendo carpetas X X esgo
Perdida de de la 2
sin filtros de usuarios. Alto
Informacin informacin
(Servidor y Terminales)
sensible de la
sede.
Software
Falta
concientizacin del
Personal en cuanto a la Acceso no
Ri
importancia del uso de autorizado a Suplantacin 1
9 X X esgo
credenciales robustas, datos y/o de identidad. 2
Alto
en equipos, aplicaciones informacin.
y en lnea, para proteger
los datos personales.
e
Hardwar
Falla en Indisponibilid
UPS (Energa) sin Ri
1 suministro ad de la red y los 1
limpieza(recalentamient X X esgo
1 elctrico circuito equipos de 2
o) Alto
regulado cmputo.
Hardware
Poltica de
seguridad informtica
de la UNAD no est Insuficiencia
Dao Ri
1 aplicada para el de la red y los 1
prematuro en X X esgo
2 mantenimiento equipos de 2
equipos. Alto
preventivo y limpieza de cmputo.
los equipos (Red,
Computo o Energa)
dispositivas de red s dispositivas de
(Inalmbricos) red (Inalmbricos)
Comunicacione
Perdida de
informacin,
Router inalmbrico Acceso no Ri
1 ataques 1
Configuracin autorizado a la X X esgo
5 informticos. 2
vulnerable (WEP-WPA) red Alto
Lentitud en el
canal de datos.
Comunicaciones
Robo de
informacin
Interceptaci confidencial, Ri
1 Router inalmbrico 1
n de claves, usuarios, X X esgo
6 con seal abierta 2
informacin. acceso a la red. Alto
Lentitud en el
canal de datos.
Co
s)
de red
tivas
ciones
disposi
mbrico
munica
(Inal
1 Router inalmbrico Ataques Robo de 1 Ri

X X
7 contraseas dbiles externos, Acceso informacin 2 esgo
Niv
Ca
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
idad Impacto
no autorizado a confidencial, Alto
la red claves, usuarios,
acceso a la red.
Lentitud en el
canal de datos.
d Fsica -
Segurida
Bienes
informticos
Prdida, Indisponibilid
Cuarto de Ri
2 dao y/o ad en la 1
comunicaciones sin X X esgo
4 desconexin de prestacin de los 2
seguridad Alto
Software
Ataque a la
integridad,
Sistema Operativo Ri
disponibilidad y
2 sin actualizaciones Virus X X 9esgo
confidencialidad
automticas. Medio
de la
informacin.
Software
Ataque
Aplicaciones fuera informtico,
Virus, Ri
del catlogo de instalacin de
8 Software X X 9esgo
software instaladas sin software
malicioso. Medio
autorizacin. malicioso, robo
de informacin.
Seguri
os
dad Fsica
- Bienes
informtic
Recalentamie Indisponibilid Ri
2 Servidor Sin
nto y apagado ad del sistema de X X 9esgo
2 ventilacin artificial.
del equipo. informacin. Medio
e
Hardwar
Prdida, Indisponibilid
Rack de Ri
1 dao y/o ad en la
comunicaciones sin X X 8esgo
4 desconexin de prestacin de los
proteccin. Medio
Seguridad Fsica -
Bienes informticos
Indisponibilid
ad en el servicio
Equipos con
UPS (Energa) sin de quipos y Ri
1 poco tiempo de
sistema de alarma por dispositivos, X X 8esgo
8 respaldo
baja carga. daos, y pedida Medio
elctrico.
de la
informacin.
Seguridad
Fsica - Bienes
informticos
Indisponibilid
Dao y/o
Equipos ad en la
fallas en equipos Ri
2 Informticos o de red, prestacin de
por cambios de X X 8esgo
1 conectado en circuito servicios,
corriente y Medio
de corriente Normal. prdidas
voltaje.
econmicas.
d Fsica -
Segurida
Bienes
informticos
Fcil acceso a los Prdida, Indisponibilid

Ri
2 dispositivos de dao y/o ad en la
X X 8esgo
5 comunicacin y e desconexin de prestacin de los
Medio
informtica. dispositivos. servicios.
are
Softw
Sistema Operativo Robo, Ataque a la Ri

4 con puerto NETBIOS modificacin, de integridad, X X 6esgo
Habilitado Informacin, disponibilidad y Bajo
Niv
Ca
De
te
scripci
riesgo
el del
nivel
mpo
Probabil
n
idad Impacto
Software confidencialidad
malicioso de la
informacin.
Software
Docentes,
administrativos y
Ataques de
estudiantes con poca
Violacin a la ingeniera social, Ri
1 capacitacin en
informacin acceso a la X X 6esgo
0 proteccin y acceso a la
confidencial informacin sin Bajo
informacin propia,
autorizacin.
institucional y de
terceros.
Hardware
Plan de
mantenimiento Indisponibilid Sin servicio Ri
1
correctivo, preventivo ad de algunos en los equipos de X X 6esgo
3
en los PC no se equipos cmputo. Bajo
especifica.
d Fsica -
Segurida
Bienes
informticos
Apagn Indisponibilid
UPS (Energa) sin Ri
2 inesperado de ad del servicio de
funcionamiento o poca X X 6esgo
0 equipos y equipos y
carga o respaldo Bajo
dispositivos. dispositivos.
are
Softw
Sistema Operativo Robo, Ri

Perdida de la
3 con Protocolo FTP modificacin de X X 4esgo
informacin.
Habilitado Informacin. Bajo
Seguridad
Fsica - Bienes
informticos
Indisponibilid
Insuficiencia
Algunos Circuito de ad de la Ri
2 del suministro
corriente Regulada proteccin X X 4esgo
3 elctrico
Fuera de Servicio elctrica al Bajo
regulado.
hardware.
Fuente: autores
2.4. EVALUACIN DEL RIESGO. CONCEPTUALIZAR, DEFINIR Y EJECUTAR
LA EVALUACIN DEL RIESGO.
Segn Lopez Quintero (2016, p.37), la evaluacin del riesgo la define como la actividad que
finaliza [la] anlisis y valoracin en la gestin del riesgo. [Se hace entrega de] los resultados
finales que llevan a la toma de decisiones, al igual que se definen las acciones necesarias, y el
plan de comunicacin y monitoreo que se desarrollan ms adelante.

De igual manera la OCDE (Organisation for Economic Co-operation and Development)
manifiesta La evaluacin del riesgo identificar las amenazas y vulnerabilidades, y debe ser lo
suficientemente amplia para incluir factores internos y externos fundamentales como tecnologa,
factores fsicos y humanos, y polticas y servicios de terceros que tengan repercusiones en la
seguridad. La evaluacin del riesgo permitir determinar los niveles aceptables de seguridad y
ayudar en la seleccin de controles apropiados para administrar el riesgo de daos potenciales a
los sistemas y redes de informacin, en relacin con la naturaleza e importancia de la
informacin que debe ser protegida. Debido a la creciente interconexin de los sistemas de
informacin, la evaluacin del riesgo debe incluir asimismo consideraciones acerca del dao
potencial que se puede causarse a terceros o que pueden tener su origen en terceras personas.
(OCDE, 2017)
Segn (ISO/IEC 27002:2005, 2005) Las evaluaciones del riesgo debieran identificar,
cuantificar y priorizar los riesgos en comparacin con el criterio para la aceptacin del riesgo y
los objetivos relevantes para la organizacin. Los resultados debieran guiar y determinar la
accin de gestin apropiada y las prioridades para gestionar los riesgos de la seguridad de la
informacin y para implementar los controles seleccionados para protegerse contra estos riesgos.
Es posible que el proceso de evaluacin de riesgos y la seleccin de controles se deba realizar un
nmero de veces para abarcar las diferentes partes de la organizacin o sistemas de informacin
individuales.
La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los
riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de
riesgo para determinar la importancia de los riesgos (evaluacin del riesgo).

Las evaluaciones del riesgo tambin se debieran realizar peridicamente para tratar los
cambios en sus requerimientos de seguridad y en la situacin del riesgo; por ejemplo, en los
activos, amenazas, vulnerabilidades, impactos, evaluacin del riesgo, y cuando ocurren cambios
significativos. Estas evaluaciones del riesgo se debieran realizar de una manera metdica capaz
de producir resultados comparables y reproducibles.
Segn los riesgos identificados en el caso de estudio, se resume a continuacin el nivel de los
niveles de los riesgos, representados en la siguiente grfica:
Figura 22: Niveles de riesgo identificados
Riesgos Bajos,
6, 24%
Riesgos Altos,
12, 48%
Riesgos
Medios, 7, 28%
Fuente: Autores
Se identificaron 6 riesgos en niel bajo (24%), 7 riesgos en nivel medio (28%), 12 riesgos en
nivel alto (48%). Ante estos resultados, las decisiones generales, segn el nivel del riesgo son:
Riesgos de nivel bajo: Riesgos que necesitan Monitorizacin. Entre las acciones podran
estar los Planes de actuacin Directivos, Se consideran un tipo de Riesgo Aceptable para
la organizacin por no representar impactos significativos que afecten la continuidad del
negocio.
Riesgos de nivel medio: Riesgos que necesitan Investigacin. Se determinan en Planes de
actuacin Preventivos con el fin de reducir el nivel del riesgo.
Riesgos de nivel alto: Riesgos que necesitan Mitigacin: Planes de actuacin correctivos,
mediante una Gestin Urgente para reducir la vulnerabilidad ante las amenazas
detectadas y a su vez reducir el impacto si se presenta una materializacin del riesgo.
CONCLUSIONES
Los riesgos se presentan de forma constante en las organizaciones, es por esto que se deben
analizar para determinar el nivel de riesgo y hacer implementar controles que ayuden a mitigar
los impactos y resolverlos para que el CCAV de Neiva mejore los servicios en infraestructura
tecnolgica.
Se utiliz como referente los controles de la norma ISO 27002:2013, dando aportes para crear
el tratamiento y cronograma para cada uno de los riesgos que se encontraron con puntaje bajo,
medio y alto. A dems de los controles generales que se deben tener en cuenta en cada uno de los
riesgos de los activos que se presentaron del CCAV de Neiva.

BIBLIOGRAFA
Castro, A. R., & Bayona, Z. O. (2011). Gestin de Riesgos tecnolgicos basada en ISO 31000 e
ISO 27005 y su aporte a la continuidad de negocios. Ingeniera, 16(2), 56-66.
Benavides Ruano, M., & Solarte, F. N. (Febrero de 2012). Unad.edu.co. Recuperado el 12 de

Febrero de 2016, de datatetaca.unad.edu.co
DAFP. (2014). Gua para la administracin del riesgo . Obtenido de https://goo.gl/uLSjgT
fundacin Vasca para la seguridad agroalimentaria. (2005). Qu es la evaluacin de riesgos?

Obtenido de
http://www.elika.eus/datos/articulos/Archivo139/13.Evaluacion%20de%20riesgos.pdf
INCONTEC. (3 de noviembre de 2017). Compendio de normas de gestin del riesgo. NTC ISO
31000 y la GTC 137. Obtenido de https://es.slideshare.net/delosaga72/norma-iso-31000
ISO/IEC 27002:2005. (2005). Tecnologa de Informacin Tcnicas de seguridad Cdigo

para la prctica de la gestin de la seguridad de la informacin. ISO.
Lopez Quintero, J. (2016). Manual de Implementacin de la Gestin del Riesgo para la

seguridad de la informacin segn norma ISO 27005. Obtenido de
http://hdl.handle.net/10596/10594
MINTIC. (2016). Gua de gestin de riesgos: seguridad y privacidad de la informacin. Gua

No. 7. Obtenido de http://www.mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf
MINTIC. (2016). Gua No. 5 - Gua para la Gestin y Clasificacin de Activos de Informacin.
Obtenido de https://www.mintic.gov.co/gestionti/615/articles-
5482_G5_Gestion_Clasificacion.pdf
OCDE. (5 de noviembre de 2017). directrices de la ocde para la seguridad de sistemas y redes

de informacin : Hacia una cultura de seguridad. Obtenido de
https://www.oecd.org/sti/ieconomy/34912912.pdf
Unad. (2017). Obtenido de https://sig.unad.edu.co/acerca-del-sig/politica-y-objetivos-del-

sistema-integrado-de-gestion

Fase 6 Grupo 214026 1 v0 Gestion de Riesgo

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Fase 6 Grupo 214026 1 v0 Gestion de Riesgo

Загружено:

Авторское право:

Доступные форматы

FASE 4: SEGUNDA ENTREGA DEL PROYECTO DE GESTIN DEL RIESGO

Juan Carlos Medina Lpez

Ing. Jos Fernando Lpez

Universidad Nacional Abierta y a Distancia - UNAD

LISTADO DE FIGURAS .......................................................................................................... 5

LISTADO DE TABLAS ............................................................................................................ 6

1. INTRODUCCIN, CONTEXTO E IDENTIFICACIN DEL RIESGO. ..................... 8

1.1. INTRODUCCIN A LA GESTIN DEL RIESGO................................................ 8

1.1.1. Conceptos generales. Visin general de la Gestin del Riesgo. ........................ 8

1.1.2. Conocer y utilizar la norma de gestin del riesgo. .......................................... 10

para el xito. .......................................................................................................................... 12

1.2. CONTEXTO DE LA GESTIN DEL RIESGO. ................................................... 15

1.2.1. Consideraciones Generales. ................................................................................ 15

1.2.2. Criterios bsicos para el anlisis y valoracin de los riesgos .............................. 16

1.2.2.1. Criterios de evaluacin del riesgo ....................................................................... 19

1.2.2.2. Criterios de impacto ............................................................................................ 20

1.2.2.3. Criterios de aceptacin del riesgo ....................................................................... 21

1.2.3. El alcance y los lmites. ................................................................................... 22

1.2.4 Objetivos estratgicos de negocio, polticas y estrategias de la organizacin. ....... 23

1.2.5 Polticas de Seguridad informtica de la Organizacin .......................................... 33

1.2.6 Ubicacin de la organizacin y sus caractersticas geogrficas. ............................. 40

1.2.7. Organizacin para la gestin. .............................................................................. 41

1.3. IDENTIFICACIN DEL RIESGO. ....................................................................... 43

1.3.1. Consideraciones Generales. ................................................................................ 43

1.3.2. Identificacin de los activos. ............................................................................... 44

1.3.3. Identificacin de las amenazas. ....................................................................... 56

1.3.4. Identificacin de los controles existentes. ....................................................... 58

2. LA UNIDAD DOS (2): ANLISIS Y EVALUACIN DEL RIESGO. ...................... 60

2.1. ANLISIS DEL RIESGO. IDENTIFICAR LAS VULNERABILIDADES Y SUS

Anlisis de vulnerabilidades ................................................................................................ 66

2.1.2 Anlisis a los sistemas operativos. .......................................................................... 67

2.1.3 Anlisis a los dispositivos de red (Inalmbricos) .................................................... 71

2.1.4 Anlisis a los Bienes informticos Fsicos. ............................................................. 73

2.1.5 Anlisis al Recurso Humano. .................................................................................. 74

2.2. IDENTIFICACIN DE LAS CONSECUENCIAS. .............................................. 74

PROBABILIDAD Y DETERMINAR EL NIVEL DEL RIESGO........................................... 75

2.3.1. Valoracin de las consecuencias. ........................................................................ 75

2.3.2. Valoracin de los incidentes. .............................................................................. 79

2.3.3. Nivel de estimacin del riesgo. ........................................................................... 80

2.4. EVALUACIN DEL RIESGO. CONCEPTUALIZAR, DEFINIR Y EJECUTAR

LA EVALUACIN DEL RIESGO. ......................................................................................... 90

Figura 2 Estructura piramidal de las normas de la familia ISO 27000 ____________________________________ 12

Figura 5mapa de ubicacin UNAC CCAV Neiva ______________________________________________________ 23

Figura 6 Estructura organizacional de la UNAD ______________________________________________________ 30

Figura 7 Ubicacin y caractersticas geogrficas de los centros de atencin de la UNAD _____________________ 40

Figura 8: Organigrama de la Gerencia de Innovacin y Desarrollo Tecnolgico (GIDT) de la UNAD _____________ 42

Figura 9: Fases para el Anlisis de riesgos __________________________________________________________ 60

Figura 10: Evaluacin del riesgo __________________________________________________________________ 61

Figura 11. Plan anlisis del riesgo ISO 27001 ________________________________________________________ 62

Figura 12. Matriz para anlisis de riesgo ___________________________________________________________ 63

Figura 13. Interpretacin de la matriz para anlisis de riesgo. __________________________________________ 65

Figura 14: Network Scanner _____________________________________________________________________ 68

Figura 15 Escner y Monitoreo a la red del CCAV Neiva. _______________________________________________ 69

Figura 16. Router con encriptacin Wep ___________________________________________________________ 72

Figura 17. Router con Wifi Abierta. _______________________________________________________________ 73

Figura 18: niveles de valoracin de las consecuencias_________________________________________________ 76

Figura 19: Escala de valoraciones de amenazas vs impacto de las consecuencias ___________________________ 77

Figura 20 Impacto incidentes ____________________________________________________________________ 79

Tabla 1Normas para la gestin del riesgo ...................................................................................................................10

Tabla 2Actividades de la gestin del riesgo en la seguridad de la informacin ..........................................................15

Tabla 3: Identificacin de activos del CCAV Neiva .......................................................................................................44

Tabla 4 Resumen de activos del CCAV de Neiva ..........................................................................................................56

Tabla 5 Identificacin de las amenazas de los activos .................................................................................................57

Tabla 6: Valoracin de las amenazas ..........................................................................................................................58