MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE...

1

MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE

ALLEGRO EN ENTIDADES DEL SECTOR FIDUCIARIO

SANDRA MILENA TORRES MORALES

CÓDIGO: 20151678016

JEIMY LORENA ROJAS CRUZ

CÓDIGO: 20151678014

PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR POR EL TÍTULO

DE INGENIERÍA EN TELEMÁTICA

MODALIDAD DE MONOGRAFIA

TUTOR

JAIRO HERNANDEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

BOGOTA D.C.

2017

2

Nota de aceptación.

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

________________________________________

Firma del jurado

________________________________________

Firma del tutor

3

AGRADECIMIENTOS

Agradecemos primeramente a DIOS por sembrar en nuestro corazón el sueño de

ser Ingenieras, por permitirnos ser mejores cada día, por ayudarnos a confiar en

nosotras mismas y en nuestras capacidades de lograr cada meta que nos

proponemos, por darnos la fuerza para seguir adelante y correr la milla extra.

Durante el desarrollo del este proyecto, quiero agradecer infinitamente a cada

docente que influyo de manera directa o indirecta durante las dos carreras

ejercidas en la Universidad Distrital Francisco José de Caldas, a nuestro tutor

Jairo Hernández por la paciencia y por compartir sus conocimientos en nuestro

proyecto por poner su confianza en nosotras.

Agradecemos infinitamente a nuestros padres por apoyarnos durante esta etapa

tan importante de nuestra vida, por ser nuestro apoyo en los momentos difíciles,

por acompañarnos en las noches largas que hoy dan fruto al esfuerzo y a la

confianza que han puesto en nosotras, a nuestros hermanos menores, queremos

ser el ejemplo de persistencia.

4

DEDICATORIA

Siempre ha sido mi inspiración, para enseñar que cada paso que se da confiado en Dios, es un éxito

inevitable, hermano mío, no dejes de desistir por lo que siempre has soñado, aun estas joven y fuerte

para llegar más alto de lo que yo he llegado, confía en lo eres, en los valores que nos han enseñado

nuestros padres.

Se fuerte y valiente como lo ha dicho el Señor y el te llevara más alla de lo que has soñado, mas Él

conoce nuestro corazón, nuestros sueños y anhelos, porque estos primero nacieron en el corazón de Dios.

“Mira que te mando que te esfuerces y seas valiente; no temas ni desmayes.

Porque Jehová tu Dios estará contigo en dondequiera que vayas” Josué 1:7

5

RESUMEN

En el presente trabajo de grado se presenta y se desarrolla un modelo de gestión

de riesgos, aplicando los ocho pasos de la metodología Octave Allegro en el

sector fiduciario, tomando como ejemplo la compañía Acción Fiduciaria ubicada en

Bogotá D.C, identificando los activos más importantes de la empresa.

En el primer capítulo se realiza la planeación y organización del proyecto,

planteando la definición del problema que abarca las fiduciarias en cuanto la

gestión de riesgos, se identifica los objetivos tanto generales como específicos

que se pretenden alcanzar y el alcance del proyecto.

En el segundo capítulo se realiza un análisis general teniendo en cuenta que se

realizó con base a una entrevista en la cual fue dada por la analista de riesgos y el

ingeniero de infraestructura de Acción Fiduciaria.

En el tercer capítulo se desarrolla el análisis basado en la metodología Octave

Allegro en los diferentes ochos pasos el cual nos permite identificar las amenazas

y las vulnerabilidades que se puedan presentar, y así generar estrategias que

puedan transferir, aceptar o mitigar los riesgos encontrados.

En el cuarto capítulo se realiza el analisis y la implementacion del prototipo,

utilizando casos de uso, diagramas de secuencia, diagramas de colaboración,

diagramas de actividad, diagramas de proceso y el modelo entidad - relación.

Por ultimo se encuentran las conclusiones, a las que se han llegado durante el

desarrollo del proyecto de grado y algunas recomendaciones sobre el uso del

prototipo, estas con el fin de emplear un uso adecuado a la herramienta.

6

ABSTRACT

This document present and amplify a risk management model, applying the eight

steps of Octave Allegro’s metodology on fiduciary sector, take like example the

Acción Fiduciaria Company located in Bogotá D.C, Identifying the more important

company’s actives.

In the first chapter is performed the project’s planning and organization, posing the

problem definition encompassing the fiduciary concerning the risk management,

indetifying the general and specifid objectives and the project´s scope.

In the second chapter is performed a general anlysis taking account the risk

analyst and infrastructure enginner’s Accion Fiduciaria interview.

In the third chapter is development a analysis on Octave Allegro metodology step

by step identify the possible menaces and vulnerabilities, with the purpose the

generate strategy that may shift, accept or mitigate the found risk.

In the fourth chapter, prototype analysis and implementation are performed, using use cases, sequence diagrams, collaboration diagrams, activity diagrams, process diagrams and the entity - relationship model. Finally, there are the conclusions, which have been reached during the development of the degree project and some recommendations on the use of the prototype, in order to use appropriate use of the tool.

7

INTRODUCCIÓN

La gestión de riesgos contempla el desarrollo e implementación de metodologías

que permiten identificar, cuantificar, mitigar y monitorear los diferentes riesgos que

pueden atribuirse en una Fiduciaria, con el fin de minimizar las amenazas y

vulnerabilidades que se pueden tener con respecto a la seguridad de la

información, en la que encierra diferentes activos de una compañía como

software, bases de datos hardware y todo lo que la organización valore como un

activo.

La información para la organización debe ser un elemento intangible de mucho

valor y debe estar administrada por personal capacitado que la organización

determine, evitando que personal ajeno a la compañía tenga acceso o la

manipule, la información también debe estar disponible en el momento oportuno,

teniendo respaldos o copias de seguridad por si la información es borrada, robada

o alterada.

En la actualidad el plan de continuidad es una necesidad para cualquier empresa

sea grande o pequeña debido a que la tecnología avanza y es cambiante, exige

buscar alternativas que garanticen la continuidad operacional de la organización.

Para el análisis de riesgos de este proyecto se trabajó con la metodología Octave

Allegro que se centra en los activos de información. Los activos importantes de

una organización son identificados y evaluados en base a los activos de

información. OCTAVE Allegro consta de ocho etapas organizadas en cuatro fases:

• Desarrollar criterios de medición de riesgo consistentes con la misión de la

organización, los objetivos objetivos y los factores críticos de éxito.

• Cree un perfil de cada activo de información crítico que establezca límites

claros para el activo, identifique sus requisitos de seguridad e identifique

todos sus contenedores.

• Identificar las amenazas a cada activo de información en el contexto de sus

contenedores.

• Identificar y analizar los riesgos de los activos de información y comenzar a

desarrollar enfoques de mitigación.

8

TABLA DE CONTENIDO

RESUMEN ..................................................................................................................... 5

ABSTRACT .................................................................................................................... 6

INTRODUCCIÓN ........................................................................................................... 7

1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN ................................. 25

1.1 TITULO DEL PROYECTO: ..................................................................................... 25

1.2 TEMA ................................................................................................................... 25

1.3 DEFINICIÓN DEL PROBLEMA: ............................................................................. 25

1.3.1 Descripción: .................................................................................................... 25

1.3.2 Formulación:.................................................................................................... 26

1.4 OBJETIVOS: .......................................................................................................... 26

1.4.1 Objetivo general: ............................................................................................. 26

1.4.2 Objetivos específicos: ...................................................................................... 26

1.5 ALCANCES Y LIMITACIÓN: .................................................................................. 27

1.5.1 Alcances: ......................................................................................................... 27

1.5.2 Limitaciones: ................................................................................................... 30

1.6 JUSTIFICACIÓN: ................................................................................................... 30

1.7 MARCOS DE REFERENCIA .................................................................................. 31

1.7.1 Marcos histórico: ............................................................................................. 31

1.7.2 Marco teórico: .................................................................................................. 35

1.7.3 Marco metodológico: ....................................................................................... 37

1.7.3.1 Metodología RUP ............................................................................................. 37

1.7.4 Marco conceptual: ............................................................................................... 44

1.8 FACTIBILIDAD DE DESARROLLO: ....................................................................... 45

1.8.1 Técnica: ........................................................................................................... 45

1.8.2 Operativa: ........................................................................................................ 45

1.8.3 Económica: ..................................................................................................... 46

1.8.4 Legal: .............................................................................................................. 47

1.8.5 Cronograma de actividades: ............................................................................ 48

2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS

ENTIDADES FIDUCIARIAS ......................................................................................... 50

9

2.1. Evaluación de la seguridad de la información del caso estudio. ............................ 52

2.1.1. Dominio 5: Políticas de seguridad de la Información .......................................... 53

2.1.2. Dominio 6: Organización de la seguridad de la información ............................... 53

2.1.3. Dominio 7: Seguridad de los Recursos Humanos ............................................... 53

2.1.4 Dominio 8: Gestión de recursos .......................................................................... 54

2.1.5 Dominio 9: Gestión de acceso de usuario. .......................................................... 55

2.1.6 Dominio 10: Criptografía ...................................................................................... 55

2.1.7 Dominio: 11: Seguridad física y ambiental ........................................................... 56

2.1.8 Dominio 12: Seguridad Operacional .................................................................... 56

2.1.9. Dominio 13: Seguridad de las Comunicaciones ................................................. 57

2.1.10 Dominio 15: Relaciones con los proveedores .................................................... 57

2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información ................ 57

2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la

continuidad del negocio ................................................................................................ 57

2.1.13. Dominio 18: Cumplimiento................................................................................ 58

3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES

FIDUCIARIAS CON LA METODOLOGÍA OCTAVE .................................................... 59

3.2.1 Establecer criterio de medición de riesgos .......................................................... 61

3.2.2. Desarrollar un Perfil de los Activos Informáticos: ............................................... 63

3.2.3. Identificar los Contenedores de los Activos Informáticos: ................................. 67

3.2.4. Identificar las áreas de preocupación ................................................................ 70

3.2.6. Identificación de Riesgos .................................................................................... 80

3.2.7. Análisis de Riesgos ............................................................................................ 82

3.2.8. Enfoque de mitigación ........................................................................................ 86

4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO ................................................. 92

4.1 Fase De Requerimientos ........................................................................................ 92

4.1.1. Descripción y diagramas de proceso .................................................................. 92

4.1.1.1. Diagramas de proceso para Activos ................................................................ 92

4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo ............................. 94

4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto .................................... 95

4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos .............................. 95

4.1.1.5 Diagramas de Proceso Configuración de Contenedores .................................. 96

10

4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores .......................... 98

4.1.1.7 Diagramas de Proceso para Áreas de Preocupación ....................................... 98

4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo ........................................ 100

4.1.1.9 Diagramas de proceso Enfoque de Mitigación ................................................ 100

4.1.1.10 Diagramas de Proceso Generación de Reportes .......................................... 102

4.1.1.11 Diagramas de Proceso Administrar Usuarios ............................................... 102

4.2 Requerimientos funcionales y no funcionales ....................................................... 104

4.2.1.Requerimientos Funcionales ............................................................................. 104

4.2.2 Requerimientos no funcionales ......................................................................... 105

4.3. Fase de análisis .................................................................................................. 106

4.3.1 Definición de Actores ........................................................................................ 106

4.3.2 Lista preliminar de casos de uso ....................................................................... 107

4.3.3 Depuración de casos de uso ............................................................................. 107

4.3.4 Documentación de Casos De Uso ..................................................................... 111

4.3.5 Diagrama de secuencia ..................................................................................... 114

4.3.6. Diagramas de Actividad .................................................................................... 117

4.3.7. Diagramas de estado ....................................................................................... 119

4.3.8 Modelo Objeto Relacional ................................................................................. 122

4.3.9. Diccionario de datos ......................................................................................... 123

4.4 . Implementación .................................................................................................. 127

4.5 Pruebas ................................................................................................................ 129

CONCLUSIONES ...................................................................................................... 142

RECOMENDACIONES .............................................................................................. 143

REFERENCIAS ......................................................................................................... 144

11

TABLA DE FIGURAS

Tabla 1 Características técnicas ............................................................................ 45

Tabla 2 Características de software ....................................................................... 45

Tabla 3 Recursos economicos ............................................................................... 46

Tabla 4 Criterios de medición de riesgos ............................................................... 61

Tabla 5 Areas de impacto ...................................................................................... 62

Tabla 6 Perfilamiento del activo correo electrónico ................................................ 65

Tabla 7 Perfilamiento del activo Intranet ................................................................ 65

Tabla 8 Perfilamiento del activo Plataforma de pagos ........................................... 66

Tabla 9 Contendor interno bases de datos ............................................................ 68

Tabla 10 Contendor interno plataforma de correo ................................................. 68

Tabla 11 Contendor interno directorio activo ......................................................... 68

Tabla 12 Contendor interno data center ................................................................ 68

Tabla 13 Contendor interno servidor de aplicaciones ............................................ 68

Tabla 14 Contendor interno Compañia .................................................................. 69

Tabla 15 Contendor interno usb ............................................................................. 69

Tabla 16 Contendor interno impresora .................................................................. 69

Tabla 17 Contendor interno disco duro .................................................................. 69

Tabla 18 Contendor interno computador ............................................................... 69

Tabla 19 Contendor interno areas de preocupación .............................................. 70

Tabla 20. Area de preocupación exposición de los activos de información .......... 71

Tabla 21 Área de preocupación exposición de los activos de información, ........... 71

Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas .. 72

Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica ...... 72

Tabla 24 Area de preocupación problemas de conectividad en la red interna ....... 73

Tabla 25 Área de preocupación interrupción del servicio de internet ..................... 73

Tabla 26 Área de preocupación falla en los componentes de hardware. ............... 74

Tabla 27 Area de preocupación desactualización de los sistemas ........................ 74

Tabla 28 Área de preocupación alta rotación de personal ..................................... 75

Tabla 29 Área de preocupación desastres naturales ............................................. 75

Tabla 30 Área de preocupación falla o defecto de software .................................. 75

Tabla 31 Árbol de amenazas ................................................................................. 76

Tabla 32 Probabilidad de amenaza ....................................................................... 77

Tabla 33 Árbol de amenaza plataforma de recaudo .............................................. 77

Tabla 34 Árbol de amenaza sistema de documentación de clientes ..................... 78

Tabla 35 Árbol de amenaza centro de negocios .................................................... 78

Tabla 36 Árbol de Amenaza AcciónBack ............................................................... 79

Tabla 37 Árbol de Amenaza Inveracción ............................................................... 79

12

Tabla 38 Tabla de consecuencias de AcciónBack ................................................. 80

Tabla 39 Tabla de consecuencias de la Intranet.................................................... 81

Tabla 40 Puntaje para determinar riesgos según el área de preocupaciónt ......... 82

Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo ........... 83

Tabla 42 Puntaje para determinar riesgos exposición de los activos . ................... 83

Tabla 43 Puntaje para determinar riesgos Problemas de conectividad. ................ 83

Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet . 83

Tabla 45 Puntaje para determinar riesgos Falla en los componentes. .................. 84

Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas ....... 84

Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software ................. 84

Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio . ................. 85

Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal ................... 85

Tabla 50 Puntaje para determinar Desastres Naturales ........................................ 85

Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales 85

Tabla 52 Matriz de riesgos relativos ...................................................................... 86

Tabla 53 Mitigación de riesgo según el activo Intranet .......................................... 87

Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo .................. 89

Tabla 55 Definición de Actores ............................................................................ 106

Tabla 56 Lista preliminar de casos de uso ........................................................... 107

Tabla 57 Documentación de caso de uso crear activo ........................................ 111

Tabla 58 Documentación de caso de uso consultar activos ................................ 112

Tabla 59 Documentación de caso de uso Actualizar activo ................................. 112

Tabla 60 Documentación de caso de uso Eliminar Activo ................................... 113

Tabla 61 Prueba Menú Activos ............................................................................ 129

Tabla 62 Prueba Menú Activos Críticos ............................................................... 130

Tabla 63 Prueba Menú Criterios de Medida de Riesgo ....................................... 131

Tabla 64 Prueba Menú Priorizar Áreas de Impacto ............................................. 132

Tabla 65 Prueba Menú Contenedores ................................................................. 133

Tabla 66 Prueba Menú Asociar Activos a Contenedores ..................................... 134

Tabla 67 Prueba Menú Áreas de Preocupación .................................................. 135

Tabla 68 Prueba Menú Puntaje de Riesgo Relativo ............................................ 136

Tabla 69 Prueba Menú Enfoque de Mitigación .................................................... 137

Tabla 70 Prueba Menú Descarga de Reportes .................................................... 139

Tabla 71 Prueba Menú Administración de Usuarios ............................................ 140

Tabla 72 Perfilamiento del activo Bases de datos AcciónBack ............................ 148

Tabla 73 Perfilamiento del activo Centro de negocios ......................................... 148

Tabla 74 Perfilamiento del activo Sistema AcciónBack ....................................... 149

Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos ........ 149

Tabla 76 Perfilamiento del activo Documentos .................................................... 150

13

Tabla 77 Perfilamiento del activo Sistema Inveracción ........................................ 150

Tabla 78 Perfilamiento del activo Directorio Activo .............................................. 151

Tabla 79 Perfilamiento del activo Servidor de aplicaciones ................................. 151

Tabla 80 Perfilamiento del activo servidor de desarrollo ...................................... 152

Tabla 81 Perfilamiento del activo servidor de Pruebas ........................................ 152

Tabla 82 Perfilamiento del activo Control de acceso ........................................... 153

Tabla 83 Área de preocupación Exposición de los activos de información, ......... 154

Tabla 84 Exposición de los activos de información, Exposición de los activos. ... 154

Tabla 85 Exposición de los activos de información, Desconocimiento en el ...... 154

Tabla 86 Interrupción en el servicio de energía electrónica ................................. 155

Tabla 87 Problemas de conectividad en la red interna de la organización .......... 155

Tabla 88 Interrupción en el servicio internet ....................................................... 155

Tabla 89 Falla en los componentes de hardware en los equipos informáticos .... 155

Tabla 90 Desactualización de los sistemas ......................................................... 156

Tabla 91 Alta rotación de Personal ...................................................................... 156

Tabla 92 Desastres naturales ............................................................................. 156

Tabla 93 Falla o defecto de software ................................................................... 156

Tabla 94 Exposición de los activos de información, acceso no autorizado .......... 157

Tabla 95 Exposición de los activos de información, acceso no autorizado. ......... 157

Tabla 96 Desconocimiento en el manejo de los sistemas o equipos ................... 157

Tabla 97 Interrupción en el servicio de energía electrónica ................................. 157

Tabla 98 Problemas de conectividad en la red interna de la organización .......... 158

Tabla 99 Interrupción en el servicio internet ........................................................ 158

Tabla 100 Falla en los componentes de hardware en los equipos informáticos .. 158

Tabla 101 Desactualización de los sistemas ....................................................... 158

Tabla 102 Alta rotación de Personal .................................................................... 159

Tabla 103 Desastres naturales ............................................................................ 159

Tabla 104 Falla o defecto de software ................................................................. 159

Tabla 105 Exposición de los activos de información, acceso no autorizado ........ 159

Tabla 106 Exposición de los activos de información, acceso no autorizado. ....... 160

Tabla 107 Desconocimiento en el manejo de los sistemas o equipos ................. 160

Tabla 108 Interrupción en el servicio de energía electrónica ............................... 160

Tabla 109 Problemas de conectividad en la red interna de la organización ........ 160

Tabla 110 Interrupción en el servicio internet ...................................................... 161






14














Tabla 129 Área de preocupación desconocimiento en el manejo ........................ 166









Tabla 138 Exposición de los activos de información, acceso no autorizado a lo . 168

















15



















Tabla 173 Desconocimiento en el manejo de los sistemas o equipos ................ 178





















16


Tabla 195 Desconocimiento en el manejo de los sistemas o equipos ................183



Tabla 198 Interrupción en el servicio de internet ................................................. 184





Tabla 203 Fallo o defecto de software ................................................................. 185












Tabla 215 Árbol de Amenaza Correo Electrónico ................................................ 189

Tabla 216 Árbol de Amenaza Directorio Activo ................................................... 189

Tabla 217 Árbol de Amenaza Base de datos AcciónBack ................................... 189

Tabla 218 Árbol de Amenaza Servidor de desarrollo ........................................... 190

Tabla 219 Árbol de Amenaza Servidor de pruebas ............................................. 190

Tabla 220 Árbol de Amenaza Servidor de Aplicaciones ...................................... 190

Tabla 221 Árbol de Amenaza Documentos ......................................................... 191

Tabla 222 Árbol de Amenaza Intranet ................................................................. 191

Tabla 223 Consecuencias del centro de negocios ............................................... 192

Tabla 224 Consecuencias de la plataforma de recaudo ...................................... 192

Tabla 225 Consecuencias de las bases de datos de AcciónBack ....................... 193

Tabla 226 Consecuencias del correo electrónico ................................................ 193

Tabla 227 Consecuencias del digitalizador de documentos ................................ 194

Tabla 228 Consecuencias de Inveracción ........................................................... 195

Tabla 229 Consecuencias del servidor de aplicaciones ...................................... 195

Tabla 230 Consecuencias del servidor de desarrollo .......................................... 196

Tabla 231 Consecuencias del servidor de pruebas ............................................. 196

Tabla 232 Consecuencias del directorio activo .................................................... 197

17

Tabla 233 Consecuencias del control de acceso ................................................. 197

Tabla 234 Consecuencias de documentos .......................................................... 198

Tabla 235 Análisis de riesgo del centro de negocios según la Exposición. ......... 199

Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento .... 199

Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento....199

Tabla 238 Análisis de riesgo del centro de negocios según Problemas . ............ 199

Tabla 239 Análisis de riesgo del centro de negocios según Interrupción ........... 200

Tabla 240 Análisis de riesgo del centro de negocios según Falla en los ............ 200

Tabla 241 Análisis de riesgo del centro de negocios según Desactualizació ...... 200

Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto....... 200

Tabla 243 Análisis de riesgo del centro de negocios según Interrupción. ........... 200

Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación .......... 201

Tabla 245 Análisis de riesgo del centro de negocios según Desastres ............... 201

Tabla 246 Análisis de riesgo del centro de negocios ........................................... 201

Tabla 247 Análisis de riesgo de la plataforma de recaudo .................................. 201












Tabla 259 Análisis de riesgo de la Base de datos AcciónBack ............................ 204












Tabla 271 Análisis de riesgo del correo electrónico ............................................. 207

18












Tabla 283 Análisis de riesgo del sistema AcciónBack ......................................... 209












Tabla 295 Análisis de riesgo del sistema Inveracción .......................................... 212












Tabla 307 Análisis de riesgo del servidor de aplicaciones ................................... 215




19









Tabla 319 Análisis de riesgo del servidor de pruebas .......................................... 217












Tabla 331 Análisis de riesgo del servidor de producción ..................................... 220












Tabla 343 Análisis de riesgo del directorio activo ................................................ 223







20






Tabla 355 Análisis de riesgo de los documentos ................................................. 225
























Tabla 379 Análisis de riesgo del digitalizador de documentos ............................. 231

Tabla 380 Análisis de riesgo del digitalizador de documentos ............................ 231









21



Tabla 391 Análisis de riesgo del control de acceso ............................................. 233











Tabla 402 Mitigación de riesgos Bases de datos ................................................. 236

Tabla 403 Mitigación de riesgos correo electrónico ............................................. 237

Tabla 404 Mitigación de riesgos centro de negocios ........................................... 239

Tabla 405 Mitigación de riesgos Accionback ....................................................... 241

Tabla 406 Mitigación de riesgos documentos ...................................................... 242

Tabla 407 Mitigación de riesgos digitalizador de documentos ............................. 244

Tabla 408 Mitigación de riesgos Inveracción ....................................................... 245

Tabla 409 Mitigación de riesgos directorio activo ................................................ 247

Tabla 410 Mitigación de riesgos servidor de desarrollo ....................................... 248

Tabla 411 Mitigación de riesgos servidor de aplicaciones ................................... 250

Tabla 412 Mitigación de riesgos servidor de pruebas .......................................... 252

Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo ...... 254

Tabla 414 Documentación de caso de uso consulta de criterios de Medida ...... 254

Tabla 415 Documentación de caso de uso Actualización de Criterios ................. 255

Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida..............255

Tabla 417 Documentación de caso de uso Consultar Priorización ...................... 256

Tabla 418 Documentación de caso de uso Actualizar Priorización...................... 256

Tabla 419 Documentación de caso de uso Creación de Activo crítico ............... 257

Tabla 420 Documentación de caso de uso Consulta de Activos Críticos ............ 257

Tabla 421 Documentación de caso de uso Actualización de Activo Crítico ......... 258

Tabla 422 Documentación de caso de uso Eliminar Activo Crítico ...................... 258

Tabla 423 Documentación de caso de uso Crear Contenedor ............................ 259

Tabla 424 Documentación de caso de uso Consultar Contenedores .................. 260

Tabla 425 Documentación de caso de uso Actualizar Contendor........................ 260

Tabla 426 Documentación de caso de uso Eliminar Contenedor ........................ 261

Tabla 427 Documentación de caso de uso Crear área de preocupación ............ 261

22

Tabla 428 Documentación de caso de uso Consultar área de Preocupación ...... 262

Tabla 429. Documentación de caso de uso Actualizar área de preocupación .... 262

Tabla 430 Documentación de caso de uso Eliminar área de preocupación. ...... 263

Tabla 431 Documentación de caso de uso Consultar Puntaje ............................ 263

Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación ..... 264

Tabla 433 Documentación de caso de uso Ver controles ................................... 264

Tabla 434 Documentación caso de uso Crear Control ........................................ 265

Tabla 435 Documentación de caso de uso Actualizar Control ............................. 265

Tabla 436 Documentación de caso de uso Eliminar Control ............................... 266

Tabla 437 Documentación de caso de uso Descargar Reportes ........................ 267

Tabla 438 Documentación de caso de uso Crear Usuario ................................... 267

Tabla 439 Documentación de caso de uso Consultar Usuarios .......................... 268

Tabla 440 Documentación de caso de uso Actualizar Usuario ............................ 268

Tabla 441. Documentación de caso de uso Eliminar Usuario ............................. 269

23

TABLA DE ILUSTRACIONES

Ilustración 1 Cronograma de actividades ............................................................... 48

Ilustración 2 Diagrama de red actual ..................................................................... 51

Ilustración 3 Perfilamiento de activos ..................................................................... 63

Ilustración 4 Contenedores de información ............................................................ 67

Ilustración 5 Ecuación de riesgo ............................................................................ 70

Ilustración 6 Enfoque de mitigación según el grupo ............................................... 87

Ilustración 7. Diagrama de proceso creación de Activo..........................................93

Ilustración 8. Diagrama de proceso Listar activos.................................................. 93

Ilustración 9. Diagrama de proceso Actualizar Activo.............................................88

Ilustración 10. Proceso Eliminar Activo .................................................................. 93

Ilustración 11. Diagrama de Proceso Agregar Medida de Riesgo.......................... 94

Ilustración 12. Diagrama de Proceso eliminar Medidas de Riesgo ........................ 94

Ilustración 13 Diagrama de Proceso Actualizar......................................................89

Ilustración 14. Diagrama de Proceso listarMedidas de Riesgo............................. 94

Ilustración 15. Diagrama de proceso priorizar área de impacto ............................. 95

Ilustración 16. Diagrama de proceso crear Activo Crítico.......................................90

Ilustración 17. Diagrama de proceso Listar Activos Críticos .................................. 95

Ilustración 18. Diagrama de proceso Actualizar Activo Critico ............................... 96

Ilustración 19. Diagrama de proceso Eliminar Activo Crítico ................................. 96

Ilustración 20. Diagrama de proceso Crear Contenedor .......................................92

Ilustración 21. Diagrama de proceso Listar Contenedores.....................................97

Ilustración 22. Diagrama de proceso Actualizar.....................................................92

Ilustración 23. Diagrama de proceso Eliminar Contendor Contenedor .................. 97

Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores .................. 98

Ilustración 25. Diagrama de proceso crear área de Figura preocupación ............. 99

Ilustración 26. Diagrama de proceso listar áreas de preocupación........................ 99

Ilustración 27. Diagrama de proceso actualizar área de preocupación .................. 99

Ilustración 28. Diagrama de proceso eliminar área de preocupación ................... 99

Ilustración 29. Diagrama de proceso puntaje de riesgo relativo........................... 100

Ilustración 30. Diagrama de proceso ver enfoque de mitigación ......................... 100

Ilustración 31. Diagrama de proceso ver controles .............................................. 101

Ilustración 32. Diagrama de proceso agregar control .......................................... 101

Ilustración 33. Diagrama de proceso actualizar control ....................................... 101

Ilustración 34. Diagrama de proceso eliminar contro ........................................... 101

Ilustración 35. Diagrama de proceso descargar reportes .................................... 102

24

Ilustración 36. Diagrama de proceso crear usuario................................................97

Ilustración 37. Diagrama de proceso listar

usuarios...............................................103

Ilustración 38. Diagrama de proceso Actualizar usuario.........................................98

Ilustración 39. Diagrama de proceso Eliminar usuario ......................................... 103

Ilustración 40. Depuración de caso de uso Gestionar Activo ............................... 107

Ilustración 41. Depuración de caso de uso Gestionar Criterios ........................... 108

Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico .................... 108

Ilustración 43. Depuración de caso de uso Gestionar Contenedores .................. 108

Ilustración 44. Depuración de caso de uso Gestionar Activos criticos ................. 109

Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto ............... 109

Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación .... 109

Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo .......... 110

Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación ..... 110

Ilustración 49. Depuración de caso de uso Gestionar Usuarios........................... 110

Ilustración 50. Depuración de caso de uso Generar Reportes ............................ 111

Ilustración 51 Diagrama de secuencia crear activo.............................................. 114

Ilustración 52 Diagrama de secuencia crear activo critico ................................... 115

Ilustración 53 Diagrama de secuencia crear area de preocupación .................... 115

Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación .............. 116

Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo ......... 116

Ilustración 56 Diagrama de actividad crear activo................................................ 117

Ilustración 57 Diagrama de actividad crear area de preocupación ...................... 117

Ilustración 58 Diagrama de actividad crear activo critico ..................................... 118

Ilustración 59 Diagrama de actividad consultar enfoque de mitigación ................ 118

Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo ...................... 119

Ilustración 61 Diagrama de estado gestionar activo ............................................ 119

Ilustración 62 Diagrama de estado gestionar área de preocupación ................... 120

Ilustración 63 Diagrama de estado gestionar activo critico .................................. 120

Ilustración 64 Diagrama de estado Consultar puntajer de riesgo relativo ........... 121

Ilustración 65 Diagrama de estado consultar enfoque de mitigación .................. 121

Ilustración 66 Modelo entidad relación ................................................................. 122

25

1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN

1.1 TITULO DEL PROYECTO:

Modelo De Gestión De Riesgos Aplicando Metodología Octave Allegro En

Entidades Del Sector Fiduciario

1.2 TEMA

Gestión de Riesgos: Enfoque estructurado para manejar la incertidumbre relativa

a una amenaza, a través de una secuencia de actividades humanas que incluyen

evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del

riesgo utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo

a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar

algunas o todas las consecuencias de un riesgo particular.

Metodología OCTAVE Allegro: Metodología que permite una amplia evaluación

del entorno del riesgo operativo sin la necesidad de un amplio conocimiento de

evaluación de riesgos y requiere menos tiempo de implementación.

Fiduciarias: Es un mecanismo elástico por medio del cual una persona natural o

jurídica (Fideicomitente), entrega uno o más de sus bienes a una Sociedad

Fiduciaria para que los administre de conformidad con la finalidad establecida en

el contrato.

1.3 DEFINICIÓN DEL PROBLEMA:

1.3.1 Descripción:

Hoy en día las fiduciarias son sectores de financieros a los que se les atribuye

grandes cantidades de dinero al igual que clientes, este sector maneja grandes

https://es.wikipedia.org/wiki/Indecisi%C3%B3n

https://es.wikipedia.org/wiki/Evaluaci%C3%B3n_de_riesgo

26

cantidades de información que son registrados en diferentes sistemas como lo son

fondos de inversión, pensiones voluntarias, proyectos inmobiliarios entre otros.

Estos sistemas contienen información valiosa en la cual si no se cuenta con

controles de seguridad adecuados puede estar expuesta y generar grandes

amenazas para la compañía, estas amenazas se pueden representar en hacking,

interrupción de servicios, fallas criticas de infraestructura y perdida de sistemas

centrales, permitiendo que la confidencialidad, integridad y disponibilidad sea

vulnerable.

Según un estudio realizado por Cisco Colombia es un país débil en seguridad

informática, la nación obtuvo la calificación más baja en el Índice de Seguridad

Cisco, quien evaluó la seguridad de la información en seis países más de la

región, según el estudio el 35% de las empresas colombianas tienen la aprobación

de las políticas de seguridad por la junta directiva y no por ingenieros

especializados. De esta forma se puede concluir que muchas compañías aun no

reconocen que la seguridad también puede ser una gran estrategia para el

negocio.

Teniendo en cuenta lo expresado anteriormente surge la pregunta: ¿Podría un

modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad de la

información en el sector fiduciario en Colombia?

1.3.2 Formulación:

¿Podría un modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad

de la información en el sector fiduciario en Colombia?

1.4 OBJETIVOS:

1.4.1 Objetivo general:

• Desarrollar un Modelo de Gestión de Riesgos para el sector Fiduciario en

Colombia.

1.4.2 Objetivos específicos:

27

• Analizar la situación actual de las entidades del sector fiduciario con

respecto a la seguridad de la información.

• Aplicar la metodología OCTAVE Allegro para la gestión de riesgos.

• Desarrollar un prototipo de herramienta web que permita realizar la gestión

de riesgos bajo la metodología OCTAVE Allegro

• Realizar pruebas del prototipo de la herramienta web desarrollada

1.5 ALCANCES Y LIMITACIÓN:

1.5.1 Alcances:

Con el fin de establecer claramente las áreas que abarca el proyecto, se han

identificado los aspectos que se tendrán en cuenta para el diseño y desarrollo del

mismo.

A continuación, se describen dichos aspectos realizando la división

correspondiente entre el documento que contiene el desarrollo del modelo de

gestión de riesgos y el prototipo de herramienta web:

Modelo de Gestión de riesgos:

A continuación, se realiza una descripción de la información que contendrá el

documento entregado.

• Definición de criterios que permiten conocer la postura de las

organizaciones fiduciarias en cuanto a su propensión a los riegos a través

de los cuales se puede medir el grado en que la organización se verá

afectada cuando se materializa una amenaza.

• Se realiza la documentación de los activos más representativos de las

organizaciones asignando los requisitos de seguridad para cada uno de

ellos.

• Se realiza una identificación de los contenedores de los activos de

información especificados de acuerdo a las características propias de cada

uno.

28

• Se realiza el desarrollo de unos perfiles de riesgo para los activos de

información los cuales son el resultado de la combinación de la posibilidad

de materialización de una amenaza y sus consecuencias.

• Se realiza a extensión de las áreas de preocupación a escenarios de

amenaza, lo que conllevará a la identificación de otras preocupaciones para

la organización que están relacionadas con sus activos de información

críticos y que no son visibles a primera vista

• Se realiza la identificación de riegos, realizando una descripción detallada

de la manera en que se ve afectada la organización

• Se realiza une medición cualitativa del grado en que la organización es

afectada por una amenaza asignado una puntuación a cada riesgo de cada

uno de los activos de la organización.

• Por último, se realiza una determinación de las opciones de tratamiento de

riesgos con base en el resultado de los análisis, se busca mitigar los riegos

que hayan obtenido la puntuación más alta y con una probabilidad de

ocurrencia alta.

Prototipo de Herramienta Web

La herramienta contará con una interfaz de login para el acceso al aplicativo y el

correspondiente módulo de registro y modificación de usuarios.

Además, se tendrá la opción de exportar informes en archivos PDF para ser

impresos y sirvan de material de soporte para la implementación del modelo de

gestión de riesgos.

El prototipo será diseñado con el fin de aplicar todas las fases de la metodología

de gestión de riesgos OCTAVE ALLEGRO.

A continuación, se describen los módulos que tendrá la herramienta web:

Criterios de medición de riesgos: Este módulo permite la creación de un

conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del

riesgo contra la misión y objetivos de la organización en 5 categorías:

• Reputación/confianza del cliente

• Financiera

• Productividad

29

• Seguridad/salud

• Multas/penas legales

En este módulo el usuario ingresará la información de cada uno de los riesgos

agrupándolos en áreas de impacto, es decir, indicando cómo la compañía se verá

afectada por algún incidente de seguridad, el usuario debe definir el impacto que

se generará (bajo, medio, alto) esto será configurable en la herramienta.

También contará con una pestaña para la opción de priorización de estas áreas de

acuerdo con los intereses de la organización. La categoría más importante recibe

el puntaje más alto y la menos importante recibe la calificación más baja, con una

escala de 1 a 5.

Perfil de activos de información: Este módulo permite que el usuario registre los

activos de información de la organización realizando la descripción del activo y

especificando las razones por las cuales se elige.

A cada uno de estos activos se les puede asignar un usuario responsable el cual

debe llenar la información pertinente a los requisitos de seguridad necesarios para

el activo.

Contenedores de activos de información: En este módulo el usuario podrá

crear los contenedores de los activos, es decir cada uno de los lugares en donde

se almacena la información y así mismo tendrá la opción de asignar cada activo

creado a uno de estos contenedores.

Áreas de preocupación: En este módulo el usuario puede crear los perfiles de

riesgo para cada uno de los activos creados, en donde se podrán documentar las

condiciones que preocupan a la organización en cuanto a su información crítica,

realizando el registro de la información sobre quien podría llevar a cabo esta

amenaza (actores), los medios por los cuales se podría ejecutar, motivos y

resultados.

Escenarios de Amenaza: En este módulo el usuario podrá configurar los

escenarios de amenaza para cada una de las áreas de preocupación que creó en

el paso anterior relacionándolas con los activos críticos, en este paso se puede

documentar el actor, motivo y consecuencia de que se materialice la amenaza.

30

Identificación de Riesgos: En este módulo el usuario puede documentar el

impacto que tendría la organización sí se realiza un escenario de amenaza, en

este paso se define la prioridad realista de que ocurra la amenaza.

Análisis de Riesgos: En este módulo el usuario puede medir de manera

cualitativa el grado en que la organización es afectada por una amenaza y se

calcula una puntuación para cada riesgo de cada área de preocupación.

Enfoque de Mitigación: En este módulo podrá ver el resultado del análisis que

realiza la metodología basada en la información ingresada, y podrá determinar de

acuerdo a la matriz de riesgo usada y la puntuación obtenida, la sugerencia de si

debe aceptar, transferir, mitigar o aplazar el riesgo.

El prototipo estará desarrollado bajo las siguientes herramientas:

• Lenguaje de Programación NodeJS, IONIC, AngularJS

• Motor de Base de Datos MYSLQ

• Sistema Operativo Ubuntu

1.5.2 Limitaciones:

La gestión de riesgos desarrollada será aplicada únicamente al sector fiduciario en

Bogotá - Colombia.

El prototipo Web que servirá para aplicar la metodología OCTAVE Allegro

únicamente abarcará todas las 8 etapas de la metodología.

El prototipo web funcionará únicamente en navegador Firefox versión 47.0 o

superior y navegador Chrome versión 51.0 o superior.

Las pruebas de la aplicación móvil serán realizadas únicamente en sistema

Android 6.0

1.6 JUSTIFICACIÓN:

31

La información es la parte más importante y de mayor susceptibilidad en cualquier

empresa, para algunas entidades como lo son las del sector fiduciario un mal

manejo de la información se puede representar en pérdidas económicas

considerables y es por ello que en sus procesos se debe considerar la aplicación

de estrategias que establezcan controles de seguridad con el fin de asegurar el

cumplimiento de sus objetivos de negocio. La propuesta realizada se hace con el

fin de brindar una guía a las entidades del sector fiduciario en cuanto a la gestión

de riesgos de seguridad informática y proporcionar además una herramienta de

software que le permita realizar esta gestión de manera práctica y sencilla sin

necesidad de tener conocimientos avanzados en tecnología. Finalmente, el

desarrollo de este proyecto es una oportunidad para aportar a las entidades

fiduciarias y a la academia conocimientos que apuntan al avance colectivo a

través de la tecnología, además de incentivar a otros estudiantes a trabajar por

crear proyectos que nos enriquezcan como profesionales, sin olvidar que somos

parte de una gran sociedad que necesita soluciones oportunas a través del

desarrollo y uso de tecnología.

1.7 MARCOS DE REFERENCIA

1.7.1 Marcos histórico:

ESTUDIO DEL RIESGO OPERACIONAL EN EL SECTOR FIDUCIARIO, UN

ENFOQUE PARA FIDUCIARIA BOGOTA S.A.

Investigación realizada por estudiantes de La Universidad de la Salle en agosto de

2007 para la facultad de Economía. En este estudio los estudiantes realizan la

investigación del riesgo operativo de las compañías fiduciarias en Colombia el cual

definen como la posibilidad de incurrir en pérdidas por deficiencias, fallas o

inadecuaciones, en el recurso humano, los procesos, la tecnología, la

infraestructura o por la ocurrencia de acontecimientos externos.

Se realiza una breve descripción de los métodos establecidos internacional y

nacionalmente para tratar los riegos operativos en las compañías fiduciarias, para

el caso de las medidas establecidas nacionalmente describen que en Colombia el

Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), emitió la

norma NTC 5254 la cual es una guía para la gestión del riesgo.

32

Dicha norma define la gestión del riesgo como “el termino aplicado a un método

lógico y sistematizado para el establecimiento del contexto, identificación, análisis,

evaluación, tratamiento, monitoreo y comunicación de los riesgos asociados con

cualquier actividad, función o proceso; de forma que posibilite que las

organizaciones minimicen perdidas y maximicen oportunidades. La gestión del

riesgo tiene que ver tanto con la identificación de oportunidades como con la

prevención o mitigación de pérdidas.

Finalmente realizan el desarrollo de la gestión del riesgo operativo para la

Fiduciaria Bogotá S.A en donde se realiza en cada una de las fases a manera

explicativa como se debe implementar el modelo de gestión de riesgos y que

cosas se deben tener en cuenta para realizar su mantenimiento sin aplicar ningún

tipo de salvaguardas ni hacer una identificación de amenazas reales en la

fiduciaria Bogotá S.A.

RIESGO OPERATIVO EN CARTERA DE UNA SOCIEDAD FIDUCIARIA

Ensayo realizado por estudiante de la universidad Militar como opción de grado en

contaduría pública en 2014, en este ensayo se realiza una investigación a cerca

de cada uno de los métodos de medición para el riesgo operativo, y se realiza una

profundización en la norma NTC 5254 especificando cada una de sus etapas. En

desarrollo de la gestión de riesgo en cartera de una Fiduciaria se dan las pautas

generales de la aplicación del SARO (Sistema de Administración de Riesgo

Operativo) y del SARLAFT (Sistema de Administración de Riesgo de Lavado) y

finalmente se realiza un desglose de los perfiles de riesgo y se realiza la matriz de

riesgo de la cartera fiduciaria.

Herramienta de Evaluación de Seguridad de Microsoft (MSAT)

Esta herramienta gratuita de Microsoft emplea un enfoque integral para la

medición de la seguridad para temas que abarcan tanto personas, procesos y

tecnología; ofreciendo información y recomendaciones para la seguridad del

ambiente informático de empresa con menos de 1000 empleados, a fin de

ayudarles a comprender los riesgos potenciales que afrontan y el nivel de madurez

de seguridad de la organización. Utiliza el concepto de defensa en profundidad

para implementar capas de defensa que incluyen controles técnicos, estándares

organizativos y operativos, basándose en las mejores prácticas aceptas para

reducir el riesgo en ambientes de TI como son ISO 17799 y NIST -800.x

33

MSAT proporciona:

• Conocimiento constante, complejo y fácil de utilizar acerca del nivel de

seguridad.

• Marco de defensa de profundidad con análisis comparativos del sector.

• Informes detallados y actuales comparando el plan inicial con los avances

Obtenidos.

• Recomendaciones comprobadas y actividades prioritarias para mejorar la

seguridad.

• Consejos estructurados de Microsoft y de la industria.

La evaluación de riesgos consiste en dos partes:

• Un perfil de los riesgos comerciales (BRP). - Consta de alrededor 200

preguntas distribuidas sobre el modelo de la empresa para calcular el

riesgo.

• Una evaluación para determinar las medidas de seguridad formadas por

capas de defensa compuesta por cuatro áreas de análisis: infraestructura,

aplicaciones, operaciones y usuarios.

RISICARE

Es una herramienta basada en el método MEHARI que mejora la productividad y

la precisión de un enfoque de gestión de riesgos especialmente en contexto de

empresas 24 medianas. RISICARE define un perímetro de procesos claves para

optimizar el proceso y los recursos sean internos o externos, apoyado en los

siguientes parámetros:

• Utilizar el método MEHARI desarrollado dentro de CLUSIF.

• Personalizar la base de conocimientos e incluso construir su propia base de

conocimiento.

• Relacionar la cuantificación de los escenarios de riesgo con una posible

auditoría.

• Desarrollar planes coherentes para optimizar la reducción de riesgos

generales.

• Ser una herramienta potente y de fácil uso integrándose con Windows

RISICARE consta de 4 fases:

34

Fase 1: Establecimiento del contexto. -Primero se identifican y se clasifican los

activos, luego se establece un vínculo entre los procesos del negocio y finalmente

se cuantifican las vulnerabilidades de los activos.

Fase 2: Análisis de lo Existente. - Se mide el nivel de madurez de la empresa en

función de la taxonomía de temas de auditoría de CLUSIF 2010.

Fase 3: Tratamiento de Riesgos. - Se garantiza el cumplimiento de la norma ISO

27005, realizando planes de acción destinados a reducir la gravedad de los

riesgos.

Fase 4: Aceptación del Riesgo. - Definir medios para evitar, transferir y reducir el

riesgo.

PILAR

Es una herramienta desarrollada para soportar el análisis y la gestión de riesgos

de sistemas de información siguiendo la metodología MAGERIT. Las siglas de

PILAR provienen de “Procedimiento Informático Lógico para el Análisis de

Riesgos”. Analiza los riesgos en varias dimensiones: confidencialidad, integridad,

disponibilidad, autenticidad y trazabilidad. Para tratar el riesgo se proponen:

salvaguarda o contramedidas, normas y procedimientos de seguridad.

Esta herramienta soporta las fases del método MAGERIT:

• Caracterización de los activos: identificación, clasificación, dependencias y

valoración.

• Caracterización de las amenazas

• Evaluación de las salvaguardas.

Evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual,

presentándolo de forma que permita el análisis de por qué se da cierto impacto o

cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporación

a un mismo modelo de diferentes situaciones temporales. Se puede incorporar el

resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del

plan de seguridad, monitorizando la mejora del sistema.

35

PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas

o tablas que se pueden agregar a una hoja de cálculo, logrando elaborar

diferentes tipos de informes y presentaciones de los resultados.

Finalmente, la herramienta calcula calificaciones de seguridad respecto a normas

ampliamente conocidas, como son UNE-ISO/IEC 27002:2009: sistemas de gestión

de seguridad, RD 1720/2007: datos de carácter personal y RD 3/2010: Esquema

Nacional de Seguridad.

Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como

cuantitativos, logrando alternarse entre estos para extraer el máximo beneficio de

las posibilidades teóricas de cada uno de ellos.

1.7.2 Marco teórico:

Aplicaciones Web: Una aplicación web es un tipo esencial de aplicación

cliente/servidor, donde tanto el cliente (el navegador, explorador o visualizador)

como el servidor (el servidor web) y el protocolo mediante el cual se comunican

(HTTP) están estandarizados y no han de ser creados por el programador de

aplicaciones.

El protocolo HTTP forma parte de la familia de protocolos de comunicaciones

TCP/IP, que son empleados en Internet. Estos protocolos permiten la conexión de

sistemas heterogéneos, lo que facilita el intercambio de información entre distintos

ordenadores. HTTP se sitúa en el nivel 7 (aplicación) del modelo OSI

El cliente: El cliente Web es un programa con el que se interactúa para solicitar a

un servidor web el envío de los recursos que desea obtener mediante HTTP.

La parte cliente de las aplicaciones web suelen estar formadas por el código

HTML de la página web, mas algo de código ejecutable realizado en el lenguaje

script (Java Script) o mediante pequeños programas (applets) realizados en java.

También se suelen emplear plagios que permiten visualizar otros contenidos

multimedia.

El servidor: El servidor web es un programa que está esperando

permanentemente las solicitudes de conexión mediante HTTP por parte de los

clientes WEB.

36

Amenazas: Peligro latente de que un evento físico de origen natural, o causado, o

inducido por la acción humana de manera accidental, se presente con una

severidad suficiente para causar daños, pérdidas en los bienes e infraestructura,

básicamente, podemos agrupar las amenazas a la información en cuatro grandes

categorías: Factores Humanos (accidentales, errores), fallas en los sistemas de

procesamiento de información; desastres naturales y actos maliciosos o

malintencionados, algunas de estas amenazas son:

• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas Informáticos

• Robo de Información

• Fraudes basados en el uso de computadores

• Suplantación de identidad

• Denegación de Servicios (DoS)

• Ataques de Fuerza Bruta

• Alteración de la Información

• Divulgación de Información

• Desastres Naturales

• Sabotaje, vandalismo

• Espionaje

Algunas principales amenazas son:

Spyware: (Programas espías): Código malicioso cuyo principal objetivo es recoger

información sobre las actividades de un usuario en un computador, para permitir el

despliegue sin autorización, o para robar información personal (p.ej. números de

tarjetas de crédito).

Troyanos, virus y gusanos: Son programas de código malicioso, que de

diferentes maneras se alojan en los computadores con el propósito de permitir el

acceso no autorizado a un atacante, o permitir el control de forma remota de los

sistemas.

Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es

obtener de manera fraudulenta datos confidenciales de un usuario, especialmente

financieros, aprovechando la forma en que operan y la oferta de servicios en

algunos casos con pocos conocimientos que éste tiene en los servicios

tecnológicos y en medidas de seguridad.

37

Spam: Recibo de mensajes no solicitados, principalmente por correo electrónico,

cuyo propósito es difundir grandes cantidades de mensajes comerciales Se han

presentado casos en los que los envíos se hacen a sistemas de telefonía celular.

Botnets (Redes de robots): Son máquinas infectadas y controladas

remotamente, que se comportan como “zombis”, quedando incorporadas a redes

distribuidas de computadores llamados robot, los cuales envían de forma masiva

mensajes de correo “spam”.

Gestión del riesgo: Es el proceso social de planeación, ejecución, seguimiento y

evaluación de políticas y acciones permanentes para el conocimiento del riesgo y

promoción de una mayor conciencia del mismo, impedir o evitar que se genere,

reducirlo o controlarlo cuando ya existe y para prepararse y manejarlas situaciones

de desastre, así como para la posterior recuperación.

Vulnerabilidad: es la capacitad y posibilidad de un sistema de responder o

reaccionar a una amenaza o de recuperarse de un daño. Las vulnerabilidades

están en directa interrelación con las amenazas porque si no existe una amenaza,

tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede

ocasionar un daño. La vulnerabilidad es el punto o aspecto del sistema que es

susceptible de ser atacado o de dañar la seguridad del mismo, Representan las

debilidades o aspectos falibles o atacables en el sistema informático.

Riesgos: Los sistemas se ven afectados por un sin número de acciones que se

valen de las deficiencias o limitantes de ellos y que de una u otra manera pueden

llegar a afectar los beneficios para los cuales fue creado. El riesgo es la

probabilidad de que un bien pueda sufrir un daño y por lo tanto se puede

cuantificar como alto, medio o bajo.

1.7.3 Marco metodológico:

1.7.3.1 Metodología RUP

Modelado del negocio: Con este flujo de trabajo pretendemos llegar a un mejor

entendimiento de la organización donde se va a implantar el producto.

38

Los objetivos del modelado de negocio son:

• Entender la estructura y la dinámica de la organización para la cual el

sistema va ser desarrollado (organización objetivo).

• Entender el problema actual en la organización objetivo e identificar

potenciales mejoras.

• Asegurar que clientes, usuarios finales y desarrolladores tengan un

entendimiento común de la organización objetivo.

• Derivar los requisitos del sistema necesarios para apoyar a la organización

objetivo.

Para lograr estos objetivos, el modelo de negocio describe como desarrollar una

visión de la nueva organización, basado en esta visión se definen procesos, roles

y responsabilidades de la organización por medio de un modelo de Casos de Uso

del negocio y un Modelo de Objetos del Negocio. Complementario a estos

modelos, se desarrollan otras especificaciones tales como un Glosario.

Requisitos: Este es uno de los flujos de trabajo más importantes, porque en él se

establece qué tiene que hacer exactamente el sistema que construyamos. En esta

línea los requisitos son el contrato que se debe cumplir, de modo que los usuarios

finales tienen que comprender y aceptar los requisitos que especifiquemos.

Los objetivos del flujo de datos Requisitos son:

• Establecer y mantener un acuerdo entre clientes sobre lo que el sistema

podría hacer.

• Proveer a los desarrolladores un mejor entendimiento de los requisitos del

sistema

• Definir el ámbito del sistema.

• Proveer una base para la planeación de los contenidos técnicos de las

iteraciones.

• Proveer una base para estimar costos y tiempo de desarrollo del sistema.

• Definir una interfaz de usuarios para el sistema, enfocada a las

necesidades y metas del usuario.

Los requisitos se dividen en dos grupos. Los requisitos funcionales representan la

funcionalidad del sistema. Se modelan mediante diagramas de Casos de Uso. Los

requisitos no funcionales representan aquellos atributos que debe exhibir el

39

sistema, pero que no son una funcionalidad específica. Por ejemplo, requisitos de

facilidad de uso, fiabilidad, eficiencia, portabilidad, entre otras.

Para capturar los requisitos es preciso entrevistar a todos los interesados en el

proyecto, no sólo a los usuarios finales, y anotar todas sus peticiones. A partir de

ellas hay que descubrir lo que necesitan y expresarlo en forma de requisitos.

En este flujo de trabajo, y como parte de los requisitos de facilidad de uso, se

diseña la interfaz gráfica de usuario. Para ello habitualmente se construyen

prototipos de la interfaz gráfica de usuario que se contrastan con el usuario final.

Análisis y Diseño: El objetivo de este flujo de trabajo es traducir los requisitos a

una especificación que describe cómo implementar el sistema.

Los objetivos del análisis y diseño son:

• Transformar los requisitos al diseño del futuro sistema.

• Desarrollar una arquitectura para el sistema.

• Adaptar el diseño para que sea consistente con el entorno de

implementación, diseñando para el rendimiento.

El análisis consiste en obtener una visión del sistema que se preocupa de ver qué

hace, de modo que sólo se interesa por los requisitos funcionales. Por otro lado, el

diseño es un refinamiento del análisis que tiene en cuenta los requisitos no

funcionales, en definitiva, cómo cumple el sistema sus objetivos.

Al principio de la fase de elaboración hay que definir una arquitectura candidata:

crear un esquema inicial de la arquitectura del sistema, identificar clases de

análisis y actualizar las realizaciones de los Casos de Uso con las interacciones

de las clases de análisis. Durante la fase de elaboración se va refinando esta

arquitectura hasta llegar a su forma definitiva. En cada iteración hay que analizar

el comportamiento para diseñar componentes. Además, si el sistema usará una

base de datos, habrá que diseñarla también, obteniendo un modelo de datos.

El resultado final más importante de este flujo de trabajo será el modelo de diseño.

Consiste en colaboraciones de clases, que pueden ser agregadas en paquetes y

subsistemas.

Otro producto importante de este flujo es la documentación de la arquitectura de

software, que captura varias vistas arquitectónicas del sistema.

40

Implementación: En este flujo de trabajo se implementan las clases y objetos en

ficheros fuente, binarios, ejecutables y demás. Además, se deben hacer las

pruebas de unidad: cada implementador es responsable de probar las unidades

que produzca. El resultado final de este flujo de trabajo es un sistema ejecutable.

En cada iteración habrá que hacer lo siguiente:

• Planificar qué subsistemas deben ser implementados y en qué orden deben

ser integrados, formando el Plan de Integración.

• Cada implementador decide en qué orden implementa los elementos del

subsistema.

• Si encuentra errores de diseño, los notifica.

• Se prueban los subsistemas individualmente.

• Se integra el sistema siguiendo el plan.

La estructura de todos los elementos implementados forma el modelo de

implementación. La integración debe ser incremental, es decir, en cada momento

sólo se añade un elemento. De este modo es más fácil localizar fallos y los

componentes se prueban más a fondo. En fases tempranas del proceso se

pueden implementar prototipos para reducir el riesgo. Su utilidad puede ir desde

ver si el sistema es viable desde el principio, probar tecnologías o diseñar la

interfaz de usuario. Los prototipos pueden ser exploratorios (desechables) o

evolutivos. Estos últimos llegan a transformarse en el sistema final.

Pruebas: Este flujo de trabajo es el encargado de evaluar la calidad del producto

que estamos desarrollando, pero no para aceptar o rechazar el producto al final

del proceso de desarrollo, sino que debe ir integrado en todo el ciclo de vida.

Esta disciplina brinda soporte a las otras disciplinas. Sus objetivos son:

• Encontrar y documentar defectos en la calidad del software.

• Generalmente asesora sobre la calidad del software percibida.

• Provee la validación de los supuestos realizados en el diseño y

especificación de requisitos por medio de demostraciones concretas.

• Verificar las funciones del producto de software según lo diseñado.

• Verificar que los requisitos tengan su apropiada implementación.

Las actividades de este flujo comienzan pronto en el proyecto con el plan de

prueba (el cual contiene información sobre los objetivos generales y específicos de

41

las pruebas en el proyecto, así como las estrategias y recursos con que se dotará

a esta tarea), o incluso antes con alguna evaluación durante la fase de inicio, y

continuará durante todo el proyecto.

El desarrollo del flujo de trabajo consistirá en planificar que es lo que hay que

probar, diseñar cómo se va a hacer, implementar lo necesario para llevarlos a

cabo, ejecutarlos en los niveles necesarios y obtener los resultados, de forma que

la información obtenida nos sirva para ir refinando el producto a desarrollar.

Despliegue: El objetivo de este flujo de trabajo es producir con éxito

distribuciones del producto y distribuirlo a los usuarios. Las actividades implicadas

incluyen:

• Probar el producto en su entorno de ejecución final.

• Empaquetar el software para su distribución

• Distribuir el software.

• Instalar el software.

• Proveer asistencia y ayuda a los usuarios.

• Formar a los usuarios y al cuerpo de ventas.

• Migrar el software existente o convertir bases de datos.

Este flujo de trabajo se desarrolla con mayor intensidad en la fase de transición, ya

que el propósito del flujo es asegurar una aceptación y adaptación sin

complicaciones del software por parte de los usuarios. Su ejecución inicia en fases

anteriores, para preparar el camino, sobre todo con actividades de planificación,

en la elaboración del manual de usuario y tutoriales.

Gestión del proyecto: La Gestión del proyecto es el arte de lograr un balance al

gestionar objetivos, riesgos y restricciones para desarrollar un producto que sea

acorde a los requisitos de los clientes y los usuarios.

Los objetivos de este flujo de trabajo son:

Proveer un marco de trabajo para la gestión de proyectos de software intensivos.

Proveer guías prácticas realizar planeación, contratar personal, ejecutar y

monitorear el proyecto.

Proveer un marco de trabajo para gestionar riesgos.

42

La planeación de un proyecto posee dos niveles de abstracción: un plan para las

fases y un plan para cada iteración.

Configuración y control de cambios: La finalidad de este flujo de trabajo es

mantener la integridad de todos los artefactos que se crean en el proceso, así

como de mantener información del proceso evolutivo que han seguido.

Entorno: La finalidad de este flujo de trabajo es dar soporte al proyecto con las

adecuadas herramientas, procesos y métodos. Brinda una especificación de las

herramientas que se van a necesitar en cada momento, así como definir la

instancia concreta del proceso que se va a seguir.

En concreto las responsabilidades de este flujo de trabajo incluyen:

• Selección y adquisición de herramientas

• Establecer y configurar las herramientas para que se ajusten a la

organización.

• Configuración del proceso.

• Mejora del proceso.

• Servicios técnicos.

El principal artefacto que se usa en este flujo de trabajo es el caso de desarrollo

que específica para el proyecto actual en concreto, como se aplicará el proceso,

que productos se van a utilizar y cómo van a ser utilizados. Además, se tendrán

que definir las guías para los distintos aspectos del proceso, como pueden ser el

modelado del negocio y los Casos de Uso, para la interfaz de usuario, el diseño, la

programación, el manual de usuario.

Metodología PHVA: también conocido como círculo PDCA (del inglés plan-do-

check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua,

es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un

concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de

gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la

información (SGSI).

Los resultados de la implementación de este ciclo permiten a las empresas una

mejora integral de la competitividad, de los productos y servicios, mejorando

continuamente la calidad, reduciendo los costos, optimizando la productividad,

reduciendo los precios, incrementando la participación del mercado y aumentando

la rentabilidad de la empresa u organización.

43

El control de procesos, se establece a través del ciclo P.H.V.A, este ciclo está

compuesto por las cuatro fases básicas del control: planificar, ejecutar, verificar y

actuar correctivamente.

Planear (P): En esta se establecen los objetivos y procesos necesarios para

conseguir resultados de acuerdo con los requisitos del cliente y las políticas de

organización, además se crea la manera para alcanzar las metas propuestas. Esta

etapa contiene cuatro pasos a seguir que consisten en la identificación del

problema, descripción del fenómeno, análisis de causas y plan de acción.

En el caso de un plan de mejoramiento, la fase de planeación tiene, entre otros, el

objetivo de asegurar que el plan que se seleccionará para análisis es realmente el

más importante en cuanto a su contribución al mejoramiento de los indicadores

clave del negocio. Las empresas siempre tendrán problemas, por lo que encontrar

cuál de ellos es el más importante, nunca será tarea fácil.

Hacer (H): En esta fase se enfoca en el análisis de las causas que provocaron la

aparición del problema y la búsqueda de alternativas de solución, para después

implementar las mejora, y de esta manera proporcionar la solución que se

considere más apropiada para resolver el problema. Durante todo este proceso se

recomienda que se utilice la toma de decisiones por consenso.

Verificar (V): En esta etapa se realiza el seguimiento tomando como base los

datos recolectados durante la ejecución, se compara el resultado obtenido con la

meta planificada, se miden los procesos y productos contra las políticas, los

objetivos y los requisitos, finalmente se informan los resultados. Las mismas

técnicas que fueron utilizadas durante la fase de planeación para evaluar y

detectar áreas de oportunidad para el mejoramiento pueden ser utilizadas durante

esta fase.

Actuar (A): Esta es la etapa en la cual el usuario detectó desvíos y toma acciones

para mejorar continuamente el desarrollo de los procesos de modo que el

problema no se repita nunca más, esta fase consiste en incorporar los ajustes

necesarios que se hayan evidenciado en la fase de verificación. En esta fase es

importante garantizar que la experiencia adquirida no solamente en el problema

analizado, sino también en la capacidad y habilidad para trabajar en equipo, sirve

de base para lograr una mayor efectividad en la solución de problemas futuros.

44

1.7.4 Marco conceptual:

Amenaza: Se puede definir como amenaza a todo elemento o acción capaz de

atentar contra la seguridad de la información. Las amenazas surgen a partir de la

existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si

existe una vulnerabilidad que pueda ser aprovechada, e independientemente de

que se comprometa o no la seguridad de un sistema de información.

Vulnerabilidad: Es el grado de pérdida de un elemento o grupo de elementos

bajo riesgo, resultado de la probable ocurrencia de un suceso desastroso

expresada en una escala. La vulnerabilidad se entiende como un factor de riesgo

interno, expresado como la factibilidad de que el sujeto o sistema expuesto sea

afectado por el fenómeno que caracteriza la amenaza.

Riesgo: se puede definir como aquella eventualidad que imposibilita el

cumplimiento de un objetivo, de manera cuantitativa, es la probabilidad de que una

amenaza se materialice, utilizando la vulnerabilidad existente de un activo o un

grupo de activos generándole pérdidas o daños.

Gestión: Se denomina gestión al correcto manejo de los recursos de los que

dispone una determinada organización, como, por ejemplo, empresas, organismos

públicos, organismos no gubernamentales, entre otras. El término gestión puede

abarcar una larga lista de actividades, pero siempre se enfoca en la utilización

eficiente de estos recursos, en la medida en que debe maximizarse sus

rendimientos.

Seguridad informática: Se denomina seguridad informática para conservar los

ordenadores y equipos relacionados en buen estado. La seguridad informática

permite asegurarse que los recursos del sistema se utilizan de la manera en la que

se espera y que quienes puedan acceder a la información que en él se encuentran

sean las personas acreditadas para hacerlo

Información: es un conjunto organizado de datos procesados, que constituyen un

mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe

dicho mensaje

Activo: Un activo es un bien que la empresa posee y que puede convertirse en

dinero u otros medios líquidos equivalentes.

45

1.8 FACTIBILIDAD DE DESARROLLO:

1.8.1 Técnica:

Técnica: Para el desarrollo del proyecto se cuenta con 2 computadores con las

siguientes características:

Tabla 1 Características técnicas

Articulo Características

Computador

portátil

Procesador: 2.4GHz Intel Core i3

Memoria RAM: DDR3 6 GB.

Disco Duro: 600 GB

Procesador: 2.3GHz Intel Core i7-3610QM de cuatro núcleos.

Memoria RAM: DDR3 SDRAM 6 GB.

Disco Duro: 650 GB

Fuente: Propia

Además, se cuenta con los siguientes recursos de Software:

Tabla 2 Características de software

Programa Descripción

Ubuntu 14 Sistema Operativo

Jdeveloper 11.1.1.4.0 Interfaz de desarrollo

Eclipse Interfaz de desarrollo

JEE Especificación del lenguaje de Programación

MySql 5.6.10 Sistema manejador de base de datos

Fuente: Propia

1.8.2 Operativa:

46

El proyecto cuenta con la participación del ingeniero Jairo Hernández, como

encargado de la asesoría en temas técnicos y metodologías durante la

elaboración del proyecto.

Los estudiantes de Ingeniería en Telemática Jeimy Lorena Rojas Cruz y Sandra

Milena Torres Morales quienes estarán a cargo del diseño y desarrollo del

proyecto. El proyecto es viable operativamente debido a que se cuenta con el

compromiso y participación de las personas requeridas para dicho desarrollo.

1.8.3 Económica:

El proyecto requiere para su desarrollo la implementación de los siguientes

recursos:

Tabla 3 Recursos economicos

Costos Recursos Valor Proveedor Total

Hardware

Procesador: 2.4GHz

Intel Core i3

Memoria RAM: DDR3 6

GB.

Disco Duro: 600 GB

$1’200.000

Grupo de

trabajo

$ 2’800.000 Procesador: 2.3GHz

Intel Core i7-3610QM

de cuatro núcleos.

Memoria RAM: DDR3

SDRAM 6 GB.

Disco Duro: 650 GB.

Computador portátil

$ 1’600.000 Grupo de

Trabajo

Software

Windows 7 Ultímate $ 0 Grupo de

trabajo

$ 0

Manejador de base de

datos MySQL 5 $ 0

Comunidad

software

libre

ATOM $ 0

Comunidad

software

libre

Humano Asesor técnico $15.000 x

60 horas

Grupo de

trabajo

$5’580.000

47

Desarrolladores $7800 x

600 horas

Grupo de

trabajo

Otros Papelería, fotocopias,

transportes, $ 200.000

Grupo de

trabajo $ 200.000

Imprevisto $429.000 $429.000

Costo Total del proyecto $

9.009.000

Fuente: Propia

El proyecto es viable económicamente ya que se cuentan con los recursos de

hardware necesarios y los recursos de software son de código abierto.

1.8.4 Legal:

Gracias a que todas las herramientas de software son libres (con Licencia Pública

General “GPL”), nosotros no tendremos que correr altercados con ninguna licencia

de uso para el desarrollo de este proyecto. Lo cual nos indica que el proyecto es

legalmente viable.

48

1.8.5 Cronograma de actividades:

Ilustración 1 Cronograma de actividades

49

Fuente: Propia

50

2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS

ENTIDADES FIDUCIARIAS

Se tomó como referencia la compañía Acción Fiduciaria, fiducia que opera

actualmente en Bogotá hace más de 20 años, el análisis se realiza bajo la norma

ISO 27000 en donde se especifican los objetivos estándar que deberían ser

aplicados.

Para realizar el análisis de la situación actual de la fiduciaria, se realizó todo un

proceso de levantamiento de información donde el primer paso fue realizar una

visita en la compañía en la sede del Polo, se realizó un recorrido por las

instalaciones en el cual se encontraron dos plantas en la primera se encuentra

situada la recepción, cuatro salas de juntas, un parqueadero, el comedor, cuatro

baños, el datacenter y el archivador, en la segunda planta se encontraron las

diferentes áreas de la compañía tales como servicio al cliente, contabilidad, el área

de sistemas, el área jurídica, auditoria, mesa de dinero, tesorería y la gerencia en

este recorrido se realizó de la mano de la analista de riesgos.

Se realizó una entrevista a la analista de riesgos y al ingeniero de infraestructura,

en la cual se realizó una serie de preguntas (Anexo 1),

donde se dio a conocer información sobre cada uno de los controles basados en la

norma ISO 27000, con base en las respuestas y comentarios realizados durante la

entrevista, se logró identificar aspectos de gran impacto que permitieron definir el

estado actual de la compañía, algunos eventos actualmente afectan la seguridad

de la información.

A continuación, se seleccionan los objetivos de control afines para la

determinación de la situación actual en el marco del proyecto.

Acción Fiduciaria cuenta con un Datacenter ubicado en el primer piso, en él se

encontró varios dispositivos, como medio de control de acceso cuenta con un

firewall WATCHGUARD XTM 5 SERIES que integra una protección completa,

reduce el tiempo y los costos de administrar múltiples productos de seguridad, un

Servidor BladeCenter IBM HS23 que ofrece un rendimiento excelente con

compatibilidad con los procesadores Intel® para una mayor velocidad,

compatibilidad y gran capacidad de memoria, la empresa cuenta con 3 Router dos

de ellos son cisco 2900 Series y el otro es cisco 860 series.

51

La estructura del cableado horizontal cuenta con cable UTP, par trenzado

Categoría 6A, se usa tanto para el backbone vertical como el horizontal, la red

actual está diseñada bajo la tipología estrella en donde todos los segmentos de

cable de cada equipo están conectados a un punto central.

Accion Fiduciaria cuenta con conectividad WAN, en diferentes sedes en el país

tales como Medellín, Popayán, Cali, Bucaramanga, Barranquilla; la ciudad de

Bogotá cuenta con tres sedes Polo, calle 85 y calle 93, el area de infraestructura

realiza la asignación de las direcciones IP de manera estática segmentada por

sedes, usando un modelo de direccionamiento IPV4.

Diagrama de red actual.

Ilustración 2 Diagrama de red actual

Fuente: Propia

52

2.1. Evaluación de la seguridad de la información del caso estudio.

La metodología Octave Allegro, no sugiere controles durante el desarrollo de su

metodología, por tanto se tomaron los dominios de la norma ISO 27000, que

permiten gestionar la seguridad de la información en los diferentes procesos de la

compañía; estos dominios se incorporan en los activos que se van a proteger, con

el fin de garantizar el correcto uso, operatividad y gestión de la información,

dentro de los marcos legales.

Los dominios permiten identificar los riesgos, analizarlos y gestionar un plan de

acción que permitan mitigarlos, teniendo en cuenta la integridad, disponibilidad y

confidencialidad de la información.

Para el análisis del caso estudio se seleccionaron los siguientes dominios de la

norma ISO 27000:

• Dominio 5: Políticas de seguridad de la Información.

• Dominiou5 6: Organización de la seguridad de la información.

• Dominio 7: Seguridad de los Recursos Humanos.

• Dominio 8: Gestión de recursos.

• Dominio 9: Gestión de acceso de usuario.

• Dominio 10: Criptografía.

• Dominio 11: Seguridad física y ambiental.

• Dominio 12: Seguridad Operacional.

• Dominio 13: Seguridad de las Comunicaciones.

• Dominio 15: Relaciones con los proveedores.

• Dominio 16: Gestión de Incidentes de Seguridad de la Información.

• Dominio 17: Aspectos de Seguridad de la Información de la gestión de la

continuidad del negocio.

• Dominio 18: Cumplimiento.

Cada dominio fue seleccionado según el criterio de la analista de riesgos y el

ingeniero de infraestructura con el fin de evaluar la situación actual de la fiduciaria

en cuanto a seguridad de la información y la seguridad física de la misma.

A continuación, se realiza un análisis de cada uno de los objetivos de control para

determinar la situación actual de la fiduciaria en el marco del proyecto:

53

2.1.1. Dominio 5: Políticas de seguridad de la Información

Las políticas de seguridad son analizadas por la junta directiva en la cual indican

claramente las necesidades que tiene la organización, en cuanto a la seguridad

de la información, teniendo en cuenta algunos riesgos presentados anteriormente

en la compañía, estas políticas van dirigidas a todo el personal de la compañía,

una vez elaboradas las políticas deben ser revisados y aprobadas por la junta

directiva, a su vez los empleados deben ser informados sobre las mismas y

publicadas en la intranet de la organización.

2.1.2. Dominio 6: Organización de la seguridad de la información

En la compañía no se cuenta con una persona o un área que se encargue

directamente de la seguridad de la información, solo se cuentan con algunas

políticas establecidas por la junta directiva, por lo que es posible que la

información del negocio sea vulnerable, hoy en día la compañía cuenta con una

plataforma de recaudo y es de suma importancia que la información que se

presente en los diferentes portales sea segura y sea confiable.

2.1.3. Dominio 7: Seguridad de los Recursos Humanos

En Acción Fiduciaria, antes de ser contratado el personal se solicitan algunos

documentos importantes, como lo son referencias personales, visitas domiciliarias,

antecedentes disciplinarios, comprobación de las notas académicas y

profesionales, entre otros, para corroborar que la información del personal sea

correcta.

Cuando ingresa el personal se le entrega una serie de tareas, responsabilidades y

se le proporciona los medios y la información necesaria para que pueda llevarlas a

cabo las actividades correspondientes a su cargo, como capacitaciones en

herramientas web entre la cual se destaca e-learning en el cual se encuentran

cursos relacionados con SARO, SARLAFT, entre otros. Cada tres meses se

realiza una capacitación general explicando cada una de las amenazas

informáticas o fraudes que se pueden encontrar por medio del correo electrónico.

Cuando un empleado sale de la compañía, muchas veces reportan la salida del

mismo varios días después, dejando los permisos del usuario habilitados corriendo

el riesgo que pueda existir fuga de información, para este proceso no existen

54

políticas, solo existe un acuerdo en el que indica que el área de recursos humanos

reporta por correo electrónico las salidas definitivas de los empleados.

2.1.4 Dominio 8: Gestión de recursos

El inventario está a cargo del área de sistemas, quien debe elaborar y

mantener actualizado el inventario de los equipos de hardware y software, que

poseen cada una de las áreas y las sedes de la organización.

Algunas características que se deben registrar en el inventario son clasificación,

valoración, ubicación y acceso de la información. Existen una gran variedad de

activos de información tales como las bases de datos, documentación del sistema,

manuales de usuario, procedimientos operativos, registros de auditoría. Activos de

software, activos físicos garantizando la integridad y confidencialidad de la

información.

La clasificación de la información se basa según el valor, criticidad y sensibilidad a

la divulgación o modificación de la misma, determinando la forma en que se debe

manejar y los niveles de protección que debe tener.

Estos niveles se tienen en cuenta según la integridad y confidencialidad de la

información sin poner en riesgo la imagen de la compañía, debido a que cada nivel

de protección se basa en el cargo y área en cual se desempeña el personal de la

organización estos niveles son divulgados y oficializados a los usuarios.

El uso de dispositivos de almacenamiento externo está prohibido dentro de la

compañía este con el fin de evitar fuga de información, toda la información que se

necesite ser expuesta fuera de la compañía debe ser tramitada con autorización

del jefe inmediato y en unidades de CD o DVD, si algunos de los documentos que

se necesitan están en servidores de almacenamiento (la nube) tales como Drive,

Dropbox, Wetransfer deben ser descargados por el área de sistemas con

autorización del jefe inmediato.

55

2.1.5 Dominio 9: Gestión de acceso de usuario.

El área de recursos humanos de Acción Fiduciaria envía al área de sistemas un

formato de vinculación de nuevo usuario o cambio de permisos, en cual especifica

cuáles son las aplicaciones a las que el nuevo funcionario debe tener acceso, se

informa por correo electrónico el usuario y contraseña de cada una de las

aplicaciones a las cuales se les dio acceso, cuando el funcionario se retira de la

compañía se le inhabilita el usuario en cada una de las aplicaciones y se elimina la

cuenta de correo electrónico.

Para el acceso se establecen políticas de complejidad de contraseña, así mismo

se realiza control de intentos fallidos.

La responsabilidad del usuario colocar claves seguras, personales e intransferibles

a los sistemas de información y abstenerse de ingresarlas cuando algún

compañero este presente mientras se ingresa al sistema.

El hacer buen uso de los equipos que están al servicio del usuario tales como

computadores, impresoras papelería entre otras., es decir debe velar por

mantener los recursos en buen estado, óptimas condiciones esto le ayudara a

desempeñar las funciones sin contratiempos.

Es responsabilidad del usuario cuando se ausente de su puesto de trabajo

bloquear la sesión del equipo, de lo contrario apague el equipo, así evitara que

compañeros de trabajo pueda robar información sensible que puede afectar las

funciones y/o desempeño laboral.

2.1.6 Dominio 10: Criptografía

En Acción Fiduciaria no se cuentan con sistemas de encriptación, los documentos

de los clientes tales como extractos, estados de cuenta, plan de pagos, rendición

de cuentas son encriptados por bases de datos y exportados a pdf estos

documentos pueden ser abiertos solo con el número de identificación, pero al no

tener un sistema de encriptación seguro es posible que la confidencialidad e

integridad de la información pueda ser vulnerable.

56

2.1.7 Dominio: 11: Seguridad física y ambiental

En Acción fiduciaria se cuenta con seguridad en la puerta principal, allí también se

ubica una cámara de seguridad y un sensor que permite abrir la puerta, en el

tercer piso se encuentra una cerca eléctrica y varias cámaras alrededor de la

propiedad, en el parqueadero se encuentra una puerta que se maneja a control

remoto, este acceso es solo para guardar los vehículos, en el Datacenter se

encuentra una puerta con la cual se abre con una clave y una sensor de huella,

cada una de las esquinas de los pisos se encuentran cámaras y algunas de estas

captan imágenes con el sensor de movimiento.

El centro de computo y la mesa de dinero, son áreas que poseen un acceso

restringido, es decir para acceder a ellas se debe tener registrado la huella digital

y una contraseña de acceso, a estas áreas solo tiene acceso personal capacitado.

No se cuentan con planes de contingencia en caso de inundaciones, terremotos,

explosiones, tampoco se realizan simulaciones contra desastres naturales, en

caso de corte de energía se cuenta con una planta, en caso de incendio no se

cuenta con detectores de humo, solo en el centro de cómputo se cuenta con un

extinguidor.

2.1.8 Dominio 12: Seguridad Operacional

El área de sistemas de Acción fiduciaria se encarga entre otras cosas de asegurar

que los equipos del personal cuenten con antivirus actualizados para prevención

de Malware, actualmente no se cuenta con un proceso de Backup definido

oficialmente, se sacan copias periódicas de información la cual en algunas

ocasiones al intentar ser usada ya se encuentra inservible lo cual ha significado

grandes pérdidas de información.

La instalación de cualquier producto y/o servicio también es responsabilidad del

área de sistemas, actualmente no se cuenta con sistemas espejos y finalmente

Acción fiduciaria se encuentra implementando un sistema que le permita tener

documentadas sus vulnerabilidades para saber cuál es la mejor forma de

atacarlas.

57

2.1.9. Dominio 13: Seguridad de las Comunicaciones

Acción fiduciaria cuenta con un Data Center, con control de acceso en el que se

cuenta con un área refrigerada para los servidores, así como una UPS, que

permite asegurar que los equipos se puedan apagar de manera correcta, a este

cuarto solo puede acceder personal autorizado, mediante un sistema biométrico.

También se encuentra segregada la red, para las diferentes áreas de la compañía,

como lo son administrativas, contabilidad, sistemas, entre otras.

2.1.10 Dominio 15: Relaciones con los proveedores

Acción fiduciaria maneja el contrato con los proveedores de manera legal,

estableciendo compromisos y sanciones por incumplimiento, así mismo como

fechas de entregables, compromisos y responsabilidades adquiridas, estos

contratos están supervisados por abogados contratados por prestación de servicio

por la compañía.

En cuanto a los ambientes de desarrollo, son los proveedores quienes deben

solventar todos sus ambientes y Acción Fiduciaria recibe al final de la fecha

establecida de entrega, el producto finalizado para realizar pruebas funcionales, y

reportar las irregularidades encontradas o dar el visto bueno del producto recibido.

En caso de llegar a establecer un contrato con un proveedor que requiera tener

acceso a servidores expuestos por Acción fiduciaria no existen políticas

establecidas para uso y control de VPNs.

2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información

Acción fiduciaria, no cuenta con políticas de seguridad establecidas que indiquen

cuál es el procedimiento a seguir en caso de presentarse un ataque a la seguridad

de cualquier servidor o sistema, si llega a presentarse algún incidente de este tipo

se responde de manera correctiva, más no se tiene un plan preventivo.

2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la

continuidad del negocio

58

Acción fiduciaria no cuenta con planes de contingencia para dar continuidad al

negocio, no ha implementado, por ejemplo: pararrayos, detectores de humo entre

otras. No se cuenta con un plan para restablecer la operación de la compañía

luego de un desastre natural.

2.1.13. Dominio 18: Cumplimiento

Acción fiduciaria cuenta con un área de auditoría, en donde se busca asegurar

que las políticas establecidas estén siendo cumplidas, así como los estándares de

calidad de servicio al cliente, y compromisos con clientes y proveedores.

De la misma manera todas las fiducias deben cumplir con la norma establecida

por el gobierno colombiano llamada SARO, en donde esta asegura el

cumplimiento y la mitigación de los riesgos operacionales a nivel de negocio.

Para los riesgos informáticos se realizan auditorías internas, para asegurar que se

estén cumpliendo con las políticas de seguridad establecidas, y se esté llevando a

cabo el registro y seguimiento de los incidentes reportados por los clientes.

Acción Fiduciaria junto con el área de auditoria, está realizando mejoras y

monitoreos constantes con el fin de garantizar la seguridad de la información,

implementando procesos, capacitando al personal, realizando y mejorando los

manuales de las aplicaciones, para así evitar riesgos que puedan afectar tanto la

información como cualquier activo.

59

3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES

FIDUCIARIAS CON LA METODOLOGÍA OCTAVE

3.1 introducción al análisis de riesgos

Antes de definir lo que es el análisis de riesgos, se debe considerar lo que es un

riesgo, a continuación, se exponen las siguientes definiciones:

Según Fernando Izquierdo Duarte 20051“El Riesgo es un incidente o situación,

que ocurre en un sitio concreto durante un intervalo de tiempo determinado, con

consecuencias positivas o negativas que podrían afectar el cumplimiento de los

objetivos”.

Ahora bien, un análisis de riesgo es muy importante para la gestión de la

seguridad de la información de la organización en el cual se realizará un análisis

completo para determinar, evaluar y clasificar los activos de información más

importantes según la criticidad de los mismos.

Dentro del tema de análisis de riesgo se ven reflejados elementos muy

importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,

vulnerabilidades, activos e impactos.

Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de

manera cuantitativa o cualitativa, pero siempre considerando que la medida no

debe contemplar la existencia de ninguna acción paliativa, o sea, debe

considerarse en cada caso qué posibilidades existen que la amenaza se presente

independientemente del hecho que sea o no contrarrestada.

Amenazas: son eventos que pueden causar alteraciones a la información de la

organización ocasionándole pérdidas materiales, económicas, de información, y

de prestigio. Las amenazas se consideran como exteriores a cualquier sistema, es

posible establecer medidas para protegerse de las amenazas, pero prácticamente

imposible controlarlas y menos aún eliminarlas.

Vulnerabilidad: debilidad de cualquier tipo que compromete la seguridad del

sistema informático, mediante el uso de las debilidades existentes es que las

1 Administración de riesgos de tecnología de información de una empresa del sector informático,2005, ennifer Dennise Maxitana Cevallos1, Bertha Alice Naranjo Sánchez Consultado el 1/03/2017

60

amenazas logran materializarse, o sea, las amenazas siempre están presentes,

pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún

impacto.

Activos: Los activos a reconocer son aquellos relacionados con sistemas de

información. Ejemplos típicos son los datos, el hardware, el software, servicios,

documentos, edificios y recursos humanos.

Impacto: Las consecuencias de la ocurrencia de las distintas amenazas son

siempre negativas. Las pérdidas generadas pueden ser financieras, no

financieras, de corto plazo o de largo plazo.

3.2. Metodología Octave Allegro

En este presente capitulo se describe la metodología Octave Allegro, para realizar

un análisis general teniendo en cuenta para esto, los objetivos y el alcance que se

planteó en el capítulo 1, con esta metodología se pretender mostrar un modelo

diferente y adecuado para el análisis de riesgos, también se tendrá en cuenta un

marco de referencia como es la norma ISO 27000 que especifica, entre otros

aspectos, los requerimientos y actividades que se deben desarrollar para el diseño

de un Sistema de Gestión de Seguridad de la Información.

"El enfoque de OCTAVE Allegro está diseñado para permitir una evaluación

amplia del entorno de riesgo operacional de una organización con el objetivo de

producir resultados más sólidos sin la necesidad de un conocimiento extenso de

evaluación de riesgos, centrándose principalmente en los activos de información

en el contexto de cómo se utilizan, en la que se almacenan, transportan y

procesan, y la forma en que están expuestos a amenazas, vulnerabilidades y

perturbaciones como consecuencia de ello."2 La metodología OCTAVE Allegro

también es adecuada para personas que desean realizar una evaluación de

riesgos sin una participación organizacional muy extensa.

Para la aplicación de esta metodología se tomará como referencia la Compañía

Acción Fiduciaria al igual que en la situación actual, este con el fin de realizar una

evaluación de riesgos completa para esto se tiene en cuenta los pasos de la

metodología que se describen con más detalle a continuación:

2 Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process Richard A. Caralli, James F. Stevens, Lisa R. Young, William R. Wilson Mayo 2017 Consultado el 1/03/2017 http://resources.sei.cmu.edu/asset_files/technicalreport/2007_005_001_14885.pdf

61

3.2.1 Establecer criterio de medición de riesgos

"El primer paso consiste en definir criterios que permitan conocer la postura de la

organización en cuanto a su propensión a los riesgos"3 .Los criterios de medición

del riesgo son un conjunto de medidas cualitativas para evaluar los efectos de un

riesgo realizado y constituir la base de una evaluación del riesgo de los activos de

la información.

El método establece la creación de un conjunto de criterios cualitativos con las

cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la

organización en 5 categorías:

• Reputación/confianza del cliente

• Financiera

• Productividad

• Seguridad/salud

• Multas/penas legales

Para el desarrollo de este primer paso se establecieron los criterios definidos en la

siguiente tabla:

Tabla 4 Criterios de medición de riesgos

Área de impacto

criterio de medición de riesgo

Bajo Moderado Alto

Consumidor financiero

Reclamaciones esporádicas por parte del cliente

Incrementos de las reclamaciones por parte de los clientes hasta en un 50% de un semestre a otro

Incrementos de las reclamaciones por parte de los clientes hasta en más de un 50% de un semestre a otro

Reputación

Comentarios injuriosos o malintencionados aislados

Campaña de desprestigio de la entidad en redes sociales

Impacto que afecte la imagen de la fiduciaria en el mercado relacionado con el servicio al cliente

3 http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/

62

legal

No genere sanciones o pérdidas económicas significativas para la fiduciaria

llamado de atención por parte de los 3entes de control

Sanciones económicas par al fiduciaria por parte de autoridades legales o entes reguladores

Seguridad /Salud

incapacidad menor a 3 días

incapacidad entre 3 y 180 días

incapacidad entre 181 y 540 días

Productividad

interrupción de las operaciones de la fiduciaria por menos de 8 horas

interrupción de las operaciones de la fiduciaria entre 8 y 16 horas

Destrucción parcial de las instalaciones físicas. Interrupción de las operaciones de la fiduciaria entre 16 y 24 horas. No hay acceso a las instalaciones de la fiduciaria

Fuente: Propia

Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la

organización, por lo que el orden puede variar de una empresa a otra. La

categoría más importante recibe el puntaje más alto y la menos importante recibe

la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de

impacto y solo utiliza las descritas en OCTAVE Allegro:

Tabla 5 Areas de impacto

Área de impacto Prioridad

Consumidor financiero 5

Reputación 4

Legal 3

Productividad 2

Seguridad /Salud 1 Fuente: Propia

63

3.2.2. Desarrollar un Perfil de los Activos Informáticos:

Se enfoca en desarrollar un perfil para cada uno de los activos informáticos de la

organización. El perfil consiste en describir para cada uno de ellos, sus

características únicas, sus cualidades y valor. Este perfil no debe dar a lugar a

información ambigua, y garantiza que los requerimientos de seguridad para ese

activo queden claramente definidos. Adicionalmente en este perfil se establecen

parámetros como el responsable y los niveles de Confidencialidad, Integridad y

Disponibilidad, identificando cuál es el más importante.

Ilustración 3 Perfilamiento de activos

Fuente: James F. Stevens Information Asset Profiling

Actividad 1 Capturar información de fondo: El propósito de este paso es recopilar información, sobre la persona que está completando el perfil de activos de información. Actividad 2 - Definir el activo de información El propósito de este paso es caracterizar un activo de información. Antes de que cualquier tipo de actividad de análisis pueda realizarse en un activo de información, la organización debe entender y acordar lo que contiene un bien de información. Actividad 3 - Identificar al propietario del activo El propósito de esta actividad es identificar y documentar el propietario del activo de información es importante porque el propietario debe trabajar con el individuo o grupo.

64

Actividad 4 - Identificar Contenedores El propósito de este paso es capturar una lista de todos los contenedores en los que el activo se almacena, transporta o procesa y la lista asociada de los gestores de dichos contenedores. Actividad 5 - Identificar los requisitos de seguridad El propósito de este paso es capturar los requisitos específicos de seguridad de la información del activo. Actividad 6 - Determinar la Valoración del Activo de Información Antes de que se puedan evaluar los riesgos para un activo de información, se debe conocer el valor tangible e intangible del activo. 3.2.2.1 Desarrollo del perfilamiento de los activos Para el desarrollo del modelo se tomaron en cuenta los perfiles de información más relevantes de la compañía en las siguientes tablas se les realizo un análisis según las 6 actividades relacionadas anteriormente, los activos que se identificaron para el perfilamiento son:

• Intranet

• PSE

• Base de datos AcciónBack

• Correo electrónico

• Centro de negocios

• AcciónBack

• Documentos

• Digitalizador

• Inveracción

• Directorio activo

• Control de acceso

• Cableado

• Red eléctrica

• Servidor de aplicaciones

• Servidor de producción

• Servidor de pruebas

65

3.2.2.1.1. Perfilamiento del activo correo electrónico

Tabla 6 Perfilamiento del activo correo electrónico

Hoja de trabajo Metodología Octave Allegro

Perfil de activos de información

Activo Critico: Correo electrónico

Descripción: El correo electrónico es un servicio de red que permite que dos o más usuarios se comuniquen entre sí por medio de mensajes que son enviados y recibidos a través de una computadora o dispositivo móvil. Por este medio se reciben varias peticiones o solicitudes ya sea de los clientes o de los empleados, es un medio de comunicación vital para la compañía ya que gran parte de las tareas son recibidas por este medio.

Fecha de creación: 01/01/2017

Titular del activo: Gerente de infraestructura.

Contenedores para los activos de información

Hardware: Servidor de correo electrónico.

Requerimientos de seguridad

Confidencialidad: Todos los correos electrónicos o PQR recibidos por parte de los clientes se consideran como información de alta confidencialidad.

Integridad: Toda la información recibida o enviada por correo electrónico debe ser exacta y correcta.

Disponibilidad: La información que se encuentra en el correo electrónico de debe estar disponible siempre y cuando sea necesaria tanto para el usuario como para los administradores de la compañía.

Valoración:

Confidencialidad: Integridad: Disponibilidad: X

El correo electrónico debe estar siempre accesible a cualquier hora para los empleados de la compañía. Fuente: Propia

3.2.2.1.2. Perfilamiento del activo Intranet

Tabla 7 Perfilamiento del activo Intranet



Activo Critico: Intranet

Descripción: La intranet es una plataforma interna de la compañía donde los empleados de la compañía pueden acceder a varias aplicaciones Core conectadas a diferentes servidores internos en la intranet también se aloja información muy importante como procesos y manuales de aplicaciones.


66

Titular del activo: Gerente de infraestructura, Gerente de tecnología.


Hardware: Servidor interno


Confidencialidad: Con un perfil, usuario y contraseña proporcionada por el área de tecnología solo algunos usuarios pueden realizar modificaciones sobre la intranet y los documentos que en ella se encuentran.

Integridad: Solo con un usuario y contraseña se puede acceder a la intranet y a las respectivas aplicaciones.

Disponibilidad: La intranet debe estar siempre disponible para los empleados de la compañía para puedan realizar las actividades diarias como: Registrar clientes en el formulario de vinculación, consultar y modificar información de clientes registrados en el formulario de vinculación, consultar saldos de los clientes, consultar proyectos inmobiliarios entre otros.

Valoración:


La intranet debe estar disponible y accesible a todos los usuarios de la compañía para acceder a los diferentes aplicativos, realizar consultas de los documentos que se encuentran publicados y realizar las tareas diarias.

Fuente: Propia

3.2.2.1.3. Perfilamiento del activo Plataforma de pagos

Tabla 8 Perfilamiento del activo Plataforma de pagos



Activo Critico: Plataforma de pagos.

Descripción: Es una aplicación Core, plataforma de recaudo en el cual los clientes realizan los pagos de las obligaciones pactadas con la compañía, también se encuentra el histórico de pagos realizados por los clientes, y el estado de la transacción.


Titular del activo: Gerente de infraestructura.


Hardware: Servidor de recaudo.


Confidencialidad: Con un usuario, una contraseña y un código de verificación que el cliente debe ingresar a la plataforma para validar y realiza el pago del cumplimiento.

Integridad: La información que se encuentra alojada en la plataforma de pagos debe ser verídica y confiable, solo el cliente podrá acceder con usuario, contraseña y un código de verificación.

67

Disponibilidad: La plataforma de recaudo debe estar disponible las 24 horas del día debido a que la compañía tiene clientes a nivel nacional e internacional, realizando los pagos de las obligaciones en cualquier momento del día.

Valoración:


La plataforma debe estar disponible todo el tiempo debido a que lo clientes pueden realizar pagos en cualquier momento. Fuente: Propia

El análisis del perfilamiento de los activos de información restantes se encuentra

en el Anexo 2.

3.2.3. Identificar los Contenedores de los Activos Informáticos:

Se enfoca en identificar los contenedores de los activos informáticos. "Un contenedor es el lugar donde estos activos son guardados, procesados y transportados"4. Pueden residir dentro o fuera de la organización, pero todo aquello que los amenace, incide directamente sobre ellos. La metodología OCTAVE Allegro define así este concepto: “Un contenedor de información es cualquier lugar donde la información ‘vive’; es decir, allí donde la información es procesada, almacenada o transportada”5.

Ilustración 4 Contenedores de información

Fuente: Miguel Sanchez Barroso Perfilado de Activos de Información

4 http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html 5 https://technologyincontrol2.wordpress.com/2016/01/14/perfilado-de-activos-de-informacion/

68

Para el desarrollo de este modelo se tienen en cuenta los contenedores más utilizados por la compañía, realizando una pequeña descripción e indicando el directamente responsable sobre el contenedor. Tabla 9 Contendor interno bases de datos

Contenedor interno

Nombre- Descripción Propietario

Servidor de Bases de datos: Banco de datos que almacenan la información de la entidad

Administrador de aplicaciones

Fuente: Propia

Tabla 10 Contendor interno plataforma de correo

Contenedor interno


Plataforma de correo: Correo electrónico corporativo de la entidad Plataforma de correo

Administrador de infraestructura

Fuente: Propia

Tabla 11 Contendor interno directorio activo

Contenedor interno


Directorio Activo: Servicio establecido donde están los objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red


Fuente: Propia

Tabla 12 Contendor interno data center

Contenedor interno


Data center: Instalación física y principal de procesamiento donde reside la infraestructura para soporta la operación del negocio.


Fuente: Propia

Tabla 13 Contendor interno servidor de aplicaciones

Contenedor interno


Servidor de aplicaciones: Servidor donde se alojan las aplicaciones Core del negocio tales como Microsoft Office, Sumatra, Skype, NAS, Aplicativo web transaccional, Pagina Digitalizador de Documentos y firmas Baseware, Intranet, Orfeo, Antivirus

Administrador de aplicaciones

Fuente: Propia

69

Tabla 14 Contendor interno Compañia

Contenedor interno


Compañía: Instalación física donde residen los empleados, la infraestructura y los aplicación CORE

Gerente de la compañía

Fuente: Propia

Tabla 15 Contendor interno usb

Contenedor interno


USB: Dispositivo de almacenamiento interno y externo que se utiliza entre las diferentes áreas para enviar archivos de gran volumen

Personal autorizado, gerentes de áreas

Fuente: Propia

Tabla 16 Contendor interno impresora

Contenedor interno


Impresora: Dispositivo de impresión donde se archiva información temporalmente mientras se ejecuta el proceso se impresión

Todos los empleados

Fuente: Propia

Tabla 17 Contendor interno disco duro

Contenedor interno


Disco Duro: Dispositivo de almacenamiento en el cual se guardan algunos backups tales como documentos, carpetas, correos electrónico e información confidencial

Gerente de tecnología, Gerentes de infraestructura y administrador de aplicaciones

Fuente: Propia

Tabla 18 Contendor interno computador

Contenedor interno


Computador: Dispositivos de escritorio o portátiles asignados a los empleados de la compañía, en el cual se puede almacenar información de clientes

Todo el personal de la compañía

Fuente: Propia

70

3.2.4. Identificar las áreas de preocupación

La identificación de áreas de preocupación inicia con la elaboración de los perfiles de riesgos de los activos de información, el cual contiene un componente denominado amenaza a través de una ecuación de riesgo. Ilustración 5 Ecuación de riesgo

Fuente: Propia

Por medio de una lluvia de ideas se realiza un análisis sobre las posibles condiciones o situaciones que se pueden representar y poner en peligro los activos de información de la organización, "estos escenarios en el mundo real se denominan área de preocupación y se pueden representar en amenazas y causar resultado indeseables para la compañía"6 Tabla 19 Contendor interno areas de preocupación

Activos de información Áreas de Preocupación

• Intranet

• Plataforma de recaudo

• Sistema de documentación de clientes

• Centro de negocios

• Bases de datos

• Correo electrónico

• Sistema de Administración inmobiliaria

Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.

Exposición de los activos de información, acceso no autorizado a la infraestructura física.

Desconocimiento en el manejo de los sistemas o equipos informáticos

Interrupción en el servicio de energía electrónica

Problemas de conectividad en la red interna de la organización

Interrupción en el servicio de internet

Falla en los componentes de hardware en los equipos informáticos

Desactualización de los sistemas

Alta rotación de Personal

Desastres naturales

Fallo o defecto de software Fuente: Propia

6 Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process

Amenaza (condición) +Impacto (Consecuencia) =

Riesgo

71

3.2.4.1. Áreas de preocupación sistema de digitalizador de documentos

3.2.4.1.1 Exposición de los activos de información, acceso no autorizado a los

sistemas informáticos

Tabla 20. Area de preocupación exposición de los activos de información, acceso no autorizado a los

sistemas informáticos en el Sistema de Digitalizador de Documentos.


Áreas de preocupación de activos de información

Activo Critico: Sistema de Digitalizador de Documentos

Área de preocupación:


Actor: Personal interno.

Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía

Motivos: Intereses personales, robo.

Resultados: Divulgación: Modificación: X Destrucción: Interrupción:

Requisito de Seguridad:

Solo personal autorizado deberá ingresar a la aplicación, solo con autorización del jefe inmediato y con soportes de solicitud del cliente podrá realizar cambios en la información.

Fuente: Propia

3.2.4.2. Exposición de los activos de información, acceso no autorizado a la infraestructura informática Tabla 21 Área de preocupación exposición de los activos de información, acceso no autorizado a la

infraestructura informática



Activo Critico: Sistema de Digitalizador de Documentos.



Actor: Personal interno y externo

Medio: Ingreso al datacenter o a las oficinas sin ser autorizado


Resultados: Divulgación: Modificación: Destrucción: Interrupción: X

Requisito de seguridad:

Solo el personal autorizado tendrá acceso al datacenter y a las oficinas.

Fuente: Propia

72

3.2.4.1.3. Desconocimiento en el manejo de los sistemas o equipos informáticos Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas o equipos informáticos






Actor: Personal interno


Motivos: Intereses personales, robo



Solo personal autorizado deberá ingresar a la aplicación con un usuario y contraseña proporcionada por el área de sistemas, sola con autorización del jefe inmediato y con soportes de solicitud del cliente podrá realizar cambios en la información.

Fuente: Propia

3.2.4.1.4. Interrupción en el servicio de energía eléctrica Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica





Interrupción en el servicio de energía electrónica

Actor: Agentes externos

Medio: *Descarga eléctrica *Falta de pago al proveedor

Motivos: *Causas naturales *Sobre carga de energía.



Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio

Fuente: Propia

73

3.2.4.1.5. Problemas de conectividad en la red interna de la organización

Tabla 24 Area de preocupación problemas de conectividad en la red interna de la organización





Problemas de conectividad en la red interna de la organización


Medio:

*Manipulación de los dispositivos de comunicación como swicth y router *Saturación del canal de comunicaciones por implantación de virus o malware en la red *Configuración errónea de los dispositivos de comunicación

Motivos: Falta de capacitación, robo



Los dispositivos de comunicación contienen un control de acceso para proteger el

uso no autorizado de los recursos de red

Fuente: Propia

3.2.4.1.6. Interrupción en el servicio internet Tabla 25 Área de preocupación interrupción del servicio de internet Hoja de trabajo Metodología Octave Allegro




Interrupción en el servicio internet


Medio:

*Falta de pago al proveedor. *Falla en los dispositivos. *Mantenimiento por parte del proveedor

Motivos: *Falta de comunicación



El sistema no estará disponible mientras se resuelve la interrupción del servicio

Fuente: Propia

74

3.2.4.1.8. Falla en los componentes de hardware en los equipos informáticos

Tabla 26 Área de preocupación falla en los componentes de hardware en los equipos informáticos.





Falla en los componentes de hardware en los equipos informáticos


Medio: *Uso inadecuado de los equipos informáticos *Conexión errónea de los equipos *Falta de monitoreo de los equipos de hardware

Motivos: Falla de fabricación, mala manipulación



Los dispositivos no estarán disponibles durante la reposición y configuración de los nuevos componentes de hardware por parte del proveedor y del área de tecnología

Fuente: Propia

3.2.4.1.9. Desactualización de los sistemas.

Tabla 27 Area de preocupación desactualización de los sistemas







Medio: El personal no actualiza los parches de seguridad

Motivos: Falta de actualización de los parches de seguridad



al no realizar las actualizaciones a los diferentes sistemas se puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios

Fuente: Propia

75

3.2.4.10. Alta rotación de Personal Sistema de Digitalizador de Documentos

Tabla 28 Área de preocupación alta rotación de personal





Alta rotación de Personal


Medio: Renuncia o despedida por parte de la compañía

Motivos: *Ambiente laboral *Crecimiento personal *Intereses personales



El sistema no estará disponible hasta que no se encuentre reemplazo

Fuente: Propia

3.2.4.1.11. Desastres naturales

Tabla 29 Área de preocupación desastres naturales





Desastres naturales

Actor: Fenómenos naturales

Medio: Incendios, tormentas, inundaciones, terremotos

Motivos: Factores climáticos

Resultados: Divulgación: Modificación: Destrucción: X Interrupción:


El sistema no estará disponible mientras se presentan algún fenómeno natural

Fuente: Propia

3.2.4.1.12. Falla o defecto de software

Tabla 30 Área de preocupación falla o defecto de software





Falla o defecto de software

Actor: Personal interno o externo

76

Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.

Motivos: *Falta de capacitación



El sistema no estará disponible hasta que no se encuentre el fallo o se instale otro software.

Fuente: Propia

El análisis de cada una de las áreas de preocupación para cada uno de los activos

de información restantes se encuentra en el Anexo 3.

3.2. 5. Identificar Escenarios De Amenaza

Identificación de Escenarios de Amenazas, en este paso las áreas de preocupación se expanden en escenarios de amenaza, permitiendo conocer las propiedades de la misma, estos pueden ser representados a través de una estructura conocida como árbol de amenaza, el árbol de amenaza representa e identifica las amenazas potenciales del activo la información como base para determinar el riesgo. Se consideran cuatro arboles de amenazas que se describen a continuación Tabla 31 Árbol de amenazas

Definición de los distintos Árboles de Amenaza

Árbol de Amenaza Descripción

Actores humanos utilizado medios técnicos

Esta categoría se refiere a las amenazas a los activos de información realizadas por un actor humano de forma directa sea accidental o deliberada a la infraestructura técnica de la organización.

Actores Humanos utilizando acceso físico.

Esta categoría se refiere a las amenazas a los activos de información realizadas por un actor humano por acceso físico de manera directa o sobre su contenedor sea accidental o deliberada a la organización.

Problemas técnicos

Esta categoría se refiere a las amenazas a los activos de información por problemas con la tecnología y los sistemas de información de la organización. Incluye los defectos de hardware, software, virus y otros problemas relacionados con el sistema.

77

Otros

Esta categoría se refiere a las amenazas a los activos de información son los problemas o situaciones que están fueran del alcance de control de la organización. Incluye los desastres naturales (inundaciones, terremotos, incendios) y los riesgos de interdependencia por ejemplo fuente de alimentación eléctrica.

Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion

virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo

La probabilidad es necesaria para determinar que escenarios son más propensos a ocurrir, en este caso se consideró la probabilidad subjetiva debido a que en la mayoría de los casos no existe un registro o control de las ocurrencias presentadas. Tabla 32 Probabilidad de amenaza

.

Valor Frecuencia

Alto Más de 5 veces al año

Medio De 2 a 4 veces al año

Bajo 1 vez al año

Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion

virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo

Tabla 33 Árbol de amenaza plataforma de recaudo

Árbol de Amenaza: Activo de Información Plataforma de Recaudo

Árbol de amenaza Área de preocupación Resultado

Actores Humanos utilizando medios técnicos.


Interrupción


Interrupción

Actores Humanos utilizando medios físicos.


Interrupción

Problemas técnicos

Problemas de conectividad en la red interna de la organización.

Interrupción

Interrupción en el servicio de internet Interrupción

Falla en los componentes de hardware de los equipos

Interrupción

Desactualización de los sistemas Interrupción

Fallo o defecto de Software Interrupción

Otros Problemas Interrupción en el servicio de energía Interrupción

78

eléctrica.

Alta Rotación de Personal Interrupción

Desastres Naturales Destrucción Fuente: Propia

Tabla 34 Árbol de amenaza sistema de documentación de clientes

Árbol de Amenaza: Activo de Información Sistema de documentación de clientes




Modificación


Interrupción



Interrupción

Problemas técnicos


Interrupción



Interrupción



Otros Problemas

Interrupción en el servicio de energía eléctrica.

Interrupción



Tabla 35 Árbol de amenaza centro de negocios

Árbol de Amenaza: Activo de Información: Centro de Negocios




Divulgación


Modificación



Interrupción

Problemas técnicos


Interrupción

79



Interrupción



Otros Problemas


Interrupción

Alta Rotación de Personal Modificación


Tabla 36 Árbol de Amenaza AcciónBack

Árbol de Amenaza: Activo de Información: AcciónBack




Modificación


Modificación



Interrupción

Problemas técnicos


Interrupción



Interrupción



Otros Problemas

Interrupción en el servicio de energía eléctrica. Interrupción



Tabla 37 Árbol de Amenaza Inveracción

Árbol de Amenaza: Activo de Información: Inveracción




Modificación

80


Modificación



Interrupción

Problemas técnicos


Interrupción



Interrupción



Otros Problemas


Interrupción



El análisis de árbol de amenaza para cada uno de los activos de información

restantes se encuentra en el Anexo 4.

3.2.6. Identificación de Riesgos

En el Paso 6 se capturan las consecuencias para una organización si se realiza una amenaza, completando la imagen de riesgo. Una amenaza puede tener múltiples impactos potenciales en una organización. Por ejemplo, la interrupción del sistema de comercio electrónico de una organización puede afectar la reputación de la organización con sus clientes, así como su posición financiera. Tabla 38 Tabla de consecuencias de AcciónBack


Consecuencias de los activos de información

Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio de la aplicación

Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas, asignaciones, cesiones o desistimientos en la aplicación

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de AcciónBack

81

Problemas de conectividad en la red interna de la organización: AcciónBack estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria

Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria

Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de planes de pagos, cesiones y desistimientos presentando retrasos en las operaciones afectando a más de un área.

Desactualización de los sistemas: La interfaz de AcciónBack presenta fallas mostrando inconvenientes en los registros, las consultas de los planes de pagos, cesiones o desistimientos.

Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a AcciónBack

Interrupción en el servicio de energía eléctrica: AcciónBack estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio

Desastres Naturales: AcciónBack estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria Fuente: Propia

Tabla 39 Tabla de consecuencias de la Intranet



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la intranet para regresar al estado anterior a la exposición

Desconocimiento en el manejo de los sistemas informáticos: El usuario presenta inconvenientes para realizar consultas en la intranet y para ingresar a las aplicaciones

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar a la intranet debido a la interrupción del servicio

Problemas de conectividad en la red interna de la organización: La intranet estará fuera de servicio mientras se restablece el servicio de red interna, las operaciones de la fiduciaria presentarían retrasos

Interrupción en el servicio de internet: La intranet estará fuera de servicio mientras se restablece el servicio de red, las operaciones de la fiduciaria presentarían retrasos

82

Falla en los componentes de hardware de los equipos: Los usuarios presentarían retrasos en las operaciones de la fiduciaria afectando a una o más áreas

Desactualización de los sistemas: La interfaz de la intranet puede presentar fallas mostrando dificultad en las descargas de los procedimientos o en el acceso a las aplicaciones

Fallo o defecto de Software: El personal de la fiduciaria deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado de la intranet

Interrupción en el servicio de energía eléctrica: La intranet estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la intranet y al contenido

Desastres Naturales: La intranet estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria Fuente: Propia

El análisis de las consecuencias para cada uno de los activos de información

restantes se encuentra en el Anexo 5.

3.2.7. Análisis de Riesgos

En este paso se mide cualitativamente el grado en que la organización se ve afectada por una amenaza mediante el cálculo de una puntuación para cada riesgo de cada activo de información. La información del puntaje se utiliza para determinar qué riesgos se necesita mitigar inmediatamente y para dar prioridad a las acciones de mitigación para el resto de los riesgos en el paso ocho de la metodología OCTAVE Allegro Tabla 40 Puntaje para determinar riesgos según el área de preocupación exposición de los activos de

información, acceso no autorizado a los sistemas informáticos del activo intranet


Área de preocupación Área de impacto Ranking Valor del impacto

Score


Consumidor financiero 5 Medio(2) 10

Reputación 4 Medio(2) 8

Legal 3 Medio(2) 6

Productividad 2 Bajo (1) 2

Seguridad /Salud 1 Bajo (1) 1

Total: 27 Fuente: Propia

83

Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo de los sistemas informáticos Hoja de trabajo Metodología Octave Allegro

Área de preocupación

Área de impacto Ranking Valor del impacto

Score

Desconocimiento en el manejo de los sistemas informáticos.

Consumidor financiero 5 Bajo (1) 5

Reputación 4 Bajo (1) 4

Legal 3 Bajo (1) 3




Tabla 42 Puntaje para determinar riesgos exposición de los activos de información, acceso no autorizado a la infraestructura física.




Score




Legal 3 Bajo (1) 3

Productividad 2 Medio (2) 4



Tabla 43 Puntaje para determinar riesgos Problemas de conectividad en la red interna de la organización.




Score




Legal 3 Bajo (1) 3




Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet




Score




Legal 3 Bajo (1) 3

84

Productividad 2 Alto (3) 6



Tabla 45 Puntaje para determinar riesgos Falla en los componentes de hardware de los equipos.




Score

Falla en los componentes de hardware de los equipos.



Legal 3 Bajo (1) 3




Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas




Score




Legal 3 Bajo (1) 3




Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software



Área de impacto Rankin

g Valor del impacto

Score

Fallo o defecto de Software



Legal 3 Bajo (1) 3




85

Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio de energía eléctrica.




Score




Legal 3 Bajo (1) 3




Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal




Score

Alta Rotación de Personal



Legal 3 Bajo (1) 3




Tabla 50 Puntaje para determinar Desastres Naturales Hoja de trabajo Metodología Octave Allegro



Score

Desastres Naturales



Legal 3 Bajo (1) 3


Seguridad /Salud 1 Medio(2) 2


Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales


Área de preocupación Impacto Puntaje

Exposición de los activos de información, acceso no Medio 27

86

autorizado a los sistemas informáticos.

Desconocimiento en el manejo de los sistemas informáticos. Bajo 15


Bajo 17


Bajo 17

Interrupción en el servicio de internet Bajo 19

Falla en los componentes de hardware de los equipos Bajo 17

Desactualización de los sistemas Bajo 15

Fallo o defecto de Software Bajo 17

Interrupción en el servicio de energía eléctrica. Bajo 19

Alta Rotación de Personal Bajo 17

Desastres Naturales Bajo 20 Fuente: Propia

El análisis de riesgos de los activos de información restantes se encuentra en el

Anexo 6.

3.2.8. Enfoque de mitigación

En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad: Tabla 52 Matriz de riesgos relativos

Matriz de riesgos relativos

Probabilidad Puntaje de riesgo

30 A 45 16 A29 0 A 15

Alta Grupo 1 Grupo 2 Grupo 2

Media Grupo 2 Grupo 2 Grupo 3

Baja Grupo 3 Grupo 3 Grupo 4

Fuente: 8 pasos para hacer una evaluación de riesgos Miguel Ángel Mendoza

87

La puntuación del riesgo se agrupa como se muestra en la siguiente figura. Ilustración 6 Enfoque de mitigación según el grupo

Fuente: : Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion

virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo Propia

A continuación, se realiza el análisis de la mitigación de riesgos de cada uno de los activos. Como la metodología Octave Allegro no maneja controles propios se usó como guía la norma ISO 27000 del 2013 Anexo a Tabla 53 Mitigación de riesgo según el activo Intranet

Nombre del activo: Intranet

Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.

Puntaje de riesgo relativo: 27

Probabilidad subjetiva: Medio

Categoría: Grupo 2

Acción: Mitigar o Transferir

Control

• Solo los empleados de la compañía pueden acceder a la intranet

• Cada uno de los empleados deben tener una usuario y contraseña

• La contraseña de acceso a la intranet debe contener letras mayúsculas, minúsculas, números y caracteres especiales.

• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.

• Solo el ingeniero de infraestructura y el gerente de tecnología deben tener conocimiento para realizar modificaciones sobre la intranet

• Los empleados que no pertenezcan al área de tecnología solo deben tener acceso de consulta a la intranet.

Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.



Categoría: Grupo 3

Acción: Transferir o Aceptar

Control

• Se deben realizar un instructivo para el uso adecuado de la intranet.

• Se deben realizar capacitaciones trimestrales o bimestrales sobre el uso adecuado de la intranet.

88

Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.


Probabilidad subjetiva: Bajo

Categoría: Grupo 3


Control:

• Solo el personal autorizado del área de sistemas y/o tecnología como lo es el ingeniero de infraestructura y gerente de tecnología podrá accedes al datacenter.

Área de preocupación: Problemas de conectividad en la red interna de la organización.



Categoría: Grupo 3


Control:

• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.

Área de preocupación: Interrupción en el servicio de internet



Categoría: Grupo 3


Control:

• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.

Área de preocupación: Falla en los componentes de hardware de los equipos



Categoría: Grupo 3


Control:

• Capacitar al personal para el uso adecuado de los equipos.

• Realizar mantenimientos preventivos de los equipos.

• Verificar la ventilación de los equipos.

• Adquirir repuestos compatibles con los equipos y con proveedores de confianza

• Verificar el voltaje de la tomas de corriente Área de preocupación: Desactualización de los sistemas



Categoría: Grupo 4

Acción: Aceptar

Control:

• Instalar actualizaciones en los equipos y servidores de la compañía.

• Se deben desinstalar los programas que no sean de uso corporativo.

• Se debe adquirir software licenciado. Área de preocupación: Fallo o defecto de Software



Categoría: Grupo 3


Control:

• Instalar antivirus en cada uno de los equipos y los servidores de la compañía

• Desinstalar los programas que no sean necesarios para la correcta

89

funcionalidad de la intranet

• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet

• Instalar las actualizaciones y parches de seguridad Área de preocupación: Interrupción en el servicio de energía eléctrica.



Categoría: Grupo 3


Control:

• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.

• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal para continuar con las operaciones de la compañía.

Área de preocupación: Alta Rotación de Personal



Categoría: Grupo 3


Control:

• Reconocimiento profesional

• Mejorar las condiciones de trabajo

• Brindar mejoras de ascenso

• Bonificaciones por cumplimiento de metas.

• Mejorar ambiente laboral

• Capacitar constantemente al personal Área de preocupación: Desastres Naturales



Categoría: Grupo 3


Control:

• Adecuar un servidor dedicado que permita tener copias de seguridad de la intranet en otra ciudad, asegurando la continuidad de la operación

• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores, señalización.

• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia prudencial

Fuente: Propia

Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo

Nombre del activo: Plataforma de recaudo




Categoría: Grupo 3


90

Control

• Solo los clientes pueden acceder a la plataforma de recaudo.

• Los clientes deben ingresar a la plataforma con el número de identificación y la contraseña.

• El sistema solicita el cambio de contraseña cada 30 a 45 días. Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.



Categoría: Grupo 2


Control:

• Se debe realizar un instructivo que permita al cliente ingresar y realizar operaciones en la plataforma de recaudo.

• Se debe realizar capacitación al personal de servicio al cliente y administradores de negocios sobre la plataforma de recaudo.




Categoría: Grupo 3


Control:

• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar modificaciones sobre la plataforma.

• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a la administrador de la plataforma de recaudo con un usuario y contraseña




Categoría: Grupo 3


Control:




Categoría: Grupo 2


Control:

• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de plataforma de recaudo.




Categoría: Grupo 3


Control:

• Realizar mantenimientos preventivos de los equipos.

• Verificar la ventilación de los equipos.

• Adquirir repuestos compatibles con los equipos y con proveedores de confianza.

91

Área de preocupación: Desactualización de los sistemas



Categoría: Grupo 3


Control: Instalar actualizaciones en los equipos y servidores de la compañía.

• Se debe adquirir software licenciado.

• Se deben desinstalar los programas que no sean de uso corporativo. Área de preocupación: Fallo o defecto de Software



Categoría: Grupo 3


Control:

• Instalar las actualizaciones y parches de seguridad

• Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo. Área de preocupación: Interrupción en el servicio de energía eléctrica.



Categoría: Grupo 2


Control:

• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.




Categoría: Grupo 3


Control: Reconocimiento profesional





• Capacitar constantemente al personal Área de preocupación: Desastres Naturales


Probabilidad subjetiva: Alto

Categoría: Grupo 1

Acción: Mitigar

Control:

• Adecuar un servidor dedicado que permita tener copias de seguridad de la plataforma de recaudo en otra ciudad, asegurando la continuidad de la operación.

• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores, señalización

• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia prudencial

Fuente: Propia

El análisis de la mitigación de riesgos de los activos de información restantes se

encuentra en el Anexo 7.

92

4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO

Esta fase se tiene como objetivó principal hacer un enfoque detallado en el diseño

en la que se definen los requisitos funcionales y no funcionales de la aplicación, se

realiza un análisis de los casos de uso y la respectiva documentación, se diseñan

los diagramas de secuencia, de actividad, colaboración para la implementación del

prototipo, se realizan pruebas funcionales con el fin de implementar mejoras para

obtener como resultado el éxito del proyecto.

4.1 Fase De Requerimientos

En esta fase se realiza el análisis funcional en el que se estudian las necesidades

del sistema, haciendo uso de representaciones gráficas, definición de

requerimientos funcionales y no funcionales de manera precisa y clara, se

determina la lista de los casos de uso y se documentaran los casos de uso

4.1.1. Descripción y diagramas de proceso

Es una representación gráfica de los pasos que se siguen en toda una secuencia

de actividades, dentro de un proceso o un procedimiento, identificándolos

mediante símbolos de acuerdo con su naturaleza; incluye, además, toda la

información que se considera necesaria para el análisis.

4.1.1.1. Diagramas de proceso para Activos

A continuación se muestran los diagramas de proceso que permitirán al usuario la

creación, lista, actualización y eliminación de un activo.

93

Ilustración 7. Diagrama de proceso creación de Activo Ilustración 8. Diagrama de proceso Listar activos

Fuente: Propia Fuente: Propia

Ilustración 9. Diagrama de proceso Actualizar Activo Ilustración 10. Proceso Eliminar Activo


94

4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo

A continuación se listan los procesos que debe realizar el usuario para listar, crear,

actualizar y eliminar un criterio de Medida de Riesgo.

Ilustración 11. Diagrama de Proceso Agregar Medida

de Riesgo

Ilustración 12. Diagrama de Proceso eliminar Medidas de Riesgo


Ilustración 13 Diagrama de Proceso Actualizar Ilustración 14. Diagrama de Proceso listar Medidas de Riesgo Medidas de Riesgo


95

4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto

El usuario debe priorizar las áreas de impacto de acuerdo a las necesidades

propias de la compañía, a continuación se presenta el flujo para llevar a cabo esta

tarea.

Ilustración 15. Diagrama de proceso priorizar área de impacto

Fuente: Propia

4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos

El usuario debe seleccionar de su lista de activos, cuáles son los activos que al

hacerse efectiva una amenaza pueden comprometer gravemente la compañía. A

continuación se presenta el flujo para que el usuario pueda crear, listar, actualizar

o eliminar un activo crítico.

Ilustración 16. Diagrama de proceso crear Activo Crítico Ilustración 17. Diagrama de proceso Listar Activos

Críticos


96

Ilustración 18. Diagrama de proceso Actualizar Activo Critico

Ilustración 19. Diagrama de proceso Eliminar Activo

Crítico


4.1.1.5 Diagramas de Proceso Configuración de Contenedores

El usuario debe identificar a qué tipo de contenedor pertenece el activo, teniendo

tres tipos definidos, físico, técnico y persona, para de esta manera poder realizar

la identificación de riesgos y amenazas. A continuación de presentan los procesos

que debe realizar el usuario para crear, listar, editar y eliminar un contenedor.

97

Ilustración 20. Diagrama de proceso Crear Contenedor Ilustración 21. Diagrama de proceso Listar

Contenedores


Ilustración 22. Diagrama de proceso Actualizar Ilustración 23. Diagrama de proceso Eliminar Contendor

Contenedor


98

4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores

Una vez identificados los contenedores existentes en la compañía el usuario debe

realizar de asociación de activo – contenedor para indicar a que contenedor

pertenece el activo.

Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores

Fuente: Propia

4.1.1.7 Diagramas de Proceso para Áreas de Preocupación

El usuario puede crear varias áreas de preocupación que estarán relacionadas a

las áreas de impacto definidas por la metodología. A continuación se presentan los

flujos que el usuario realizará para listar, crear, actualizar y eliminar un área de

preocupación

99

Ilustración 25. Diagrama de proceso crear área de

Figura preocupación

Ilustración 26. Diagrama de proceso listar áreas de

preocupación


Ilustración 27. Diagrama de proceso actualizar área de

preocupación

Ilustración 28. Diagrama de proceso eliminar área de

preocupación


100

4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo

Una vez el usuario a diligenciado la información de su compañía, se realiza un

análisis de la información para generar el puntaje de riesgo relativo para cada una

de las áreas de preocupación definidas por el usuario.

Ilustración 29. Diagrama de proceso puntaje de riesgo relativo

Fuente: Propia

4.1.1.9 Diagramas de proceso Enfoque de Mitigación

De acuerdo al puntaje de riesgo relativo y a la matriz de riesgo se calcula cual es

el tipo de acción que se debe aplicar para cada área de preocupación ya sea,

transferir, aceptar o mitigar. Además el usuario puede documentar los controles

que planea aplicar para los riesgos encontrados. A continuación se presenta el

proceso que deberá realizar el usuario para ver el resultado del enfoque de

mitigación, agregar, actualizar y eliminar controles

Ilustración 30. Diagrama de proceso ver enfoque de mitigación

Fuente: Propia

101

Ilustración 31. Diagrama de proceso ver controles

Ilustración 32. Diagrama de proceso agregar

control


Ilustración 33. Diagrama de proceso actualizar control Ilustración 34. Diagrama de proceso eliminar control


102

4.1.1.10 Diagramas de Proceso Generación de Reportes

El usuario tiene la opción de descargar algunos reportes que le servirán durante

su proceso de documentación, esta documentación está disponible en formato

PDF

Ilustración 35. Diagrama de proceso descargar reportes

Fuente: Propia

4.1.1.11 Diagramas de Proceso Administrar Usuarios

Se pueden crear usuarios en el aplicativo de tipo administradores y de consulta, a

continuación se presenta el flujo que debe realizar el usuario para crear, listar,

actualizar o eliminar usuarios.

103

Ilustración 36. Diagrama de proceso crear usuario Ilustración 37. Diagrama de proceso listar


Ilustración 38. Diagrama de proceso Actualizar usuario Ilustración 39. Diagrama de proceso Eliminar usuario


104

4.2 Requerimientos funcionales y no funcionales

Los requerimientos funcionales son las condiciones o las funciones que debe

realizar el sistema, estas deben ser muy especificas ya que de estas dependen la

funcionalidad correcta del sistema, los requerimientos no funcionales tienen que

ver con características que de una u otra forma puedan limitar el sistema.

4.2.1.Requerimientos Funcionales

• Debe ser una aplicación para dispositivo móvil Android.

• Permitir crear, listar, actualizar y eliminar activos.

• El aplicativo debe permitir la configuración de las medidas de riesgo para

cada una de las áreas de impacto definidas por la metodología octave

allegro, estas medidas de riesgo especifican la definición de los niveles alto,

moderado y alto para cada una de ellas.

• El aplicativo debe permitir que el usuario pueda priorizar las áreas de

impacto definidas por la metodología octave allegro en un rango de

puntuación de 1 a 5 en donde 5 es la de mayor prioridad y 1 es la de menor

prioridad.

• Permitir la configuración de los activos críticos, para ello se debe desplegar

los activos ya creados y el usuario seleccionará los que considere como

críticos, agregando la justificación, descripción, propietario del activo, como

se ve afectada la confidencialidad, disponibilidad y disponibilidad del activo,

así mismo como los requisitos de seguridad más importantes para el

mismo.

• Los activos críticos deben poder listarse, visualizarse, modificarse y

eliminarse.

• El aplicativo le permitirá al usuario configurar los contenedores,

categorizados n tres tipos: Físico, Técnico y Personas, añadiendo un

descripción interna y externa así como los propietarios.

• Los contenedores creados deben poder listarte, visualizarse, actualizarse y

eliminarse si el usuario lo desea.

• Se debe permitir asociar los activos a los contenedores creados, cada

activo podrá estar una única vez dentro del mismo contenedor.

• El usuario podrá modificar los activos asociados a un contenedor.

• El usuario podrá documentar cada una de las áreas de preocupación

creadas de acuerdo a lo que se especifica bajo la metodología octave

allegro.

105

• La documentación de las áreas de preocupación podrá ser vista,

actualizada o modificada por el usuario.

• El aplicativo debe calcular el puntaje de riesgo relativo de acuerdo a la

priorización dada por el usuario al área de impacto y a la probabilidad que

haya dado el usuario en la documentación del área de preocupación. Este

puntaje será almacenado y no podrá ser modificado debido a que es un

cálculo que se realizar basado en la información que se ingresa. Si se

actualiza la documentación del área de preocupación el puntaje debe

calcularse nuevamente.

• El usuario podrá consultar el puntaje de riesgo relativo calculado por el

software para cada una de las áreas de preocupación definidas por el

usuario.

• Se debe calcular el enfoque de mitigación de acuerdo a la matriz de riesgo

definida por la metodología octave allegro y al puntaje de riesgo relativo

calculado.

• El usuario debe poder ingresar, modificar o eliminar los controles que

considere pertinentes para cada uno de los enfoques de mitigación

sugeridos por la metodología.

• El usuario debe poder descargar documentos en formato PDF en donde se

encuentre, la documentación de los criterios de medida de riesgo, perfil de

los activos críticos, documentación de las áreas de preocupación, riesgo

relativo y enfoque de mitigación.

• Deben manejarse perfiles dentro de la aplicación, se manejara perfil

administrador y usuario de consulta.

• El usuario con perfil administrador tiene acceso a todas las opciones de

todos los menús, así como a la administración de los usuarios en el

sistema. El usuario con perfil de consulta únicamente puede ver los menús

que permiten listar y consultar, sin poder realizar cambios persistentes en el

aplicativo, y únicamente podrá modificar la información propia de su

usuario.

4.2.2 Requerimientos no funcionales

• El aplicativo debe funcionar de manera web, desde un navegador.

• La contraseña del usuario debe estar enmascarada.

• La contraseña del usuario debe almacenarse encriptada con MD5

• Si el usuario o la contraseña es incorrecta únicamente debe limpiarse el

campo de contraseña.

106

• El usuario debe permanecer con sesión activa hasta el momento que desee

realizar logout.

• Se debe pedir confirmación antes de realizar cualquier eliminación.

• La contraseña de los usuarios debe ser aleatoria y enviada por correo.

• El código debe estar documentado.

4.3. Fase de análisis

En esta fase se definen cuales son los principales actores que interactúan con el

sistema, se realiza una lista preliminar para cada una de las funciones que

realizan los actores sobre la aplicación. Luego se realiza una representación

gráfica de cómo interactúa el actor sobre la funcionalidad y se documenta el flujo

de la interacción paso a paso, indicando cuales son los requerimientos iniciales

para ejecutar la función y las excepciones que se deben presentar al ejecutar

dicha funcionalidad.

4.3.1 Definición de Actores

Tabla 55 Definición de Actores

Actor Descripción

Administrador Es el usuario que tendrá acceso a todas las funcionalidades del

sistema, así como también a la administración de usuarios,

podrá crear usuarios, actualizarlos o eliminarlos, así como ver

listados todos los usuarios existentes.

Consulta El usuario de consulta podrá ver todos los menús pero

únicamente podrá ver los datos listados, y podrá visualizar su

contenido sin poder realizar ninguna acción sobre los mismos,

es decir, sin poder modificarlos, eliminarlos o agregar nuevos

ítems. Este usuario también podrá actualizar sus datos

personales y contraseña. Fuente: Propia

107

4.3.2 Lista preliminar de casos de uso

Tabla 56 Lista preliminar de casos de uso

Actor Lista Preliminar

Todos los actores

del sistema

• Iniciar Sesión

• Cerrar Sesión

• Ver puntaje de riesgo relativo

• Ver enfoque de mitigación

• Descargar Reportes

• Modificar datos personales y contraseña

Administrador

• CRUD Activos

• CRUD Activos Críticos

• CRUD Criterios de Medida de Riesgo

• Modificar Priorización de áreas de impacto

• CRUD Contenedores

• Asociar y/o Desasociar activos a contenedores

• CRUD Áreas de preocupación

• CRUD usuarios

Consulta

• Listar Activos, Ver Activos

• Listar Activos Críticos, Ver Activos Críticos

• Listar Criterios de Medida de Riesgo, Ver Criterios

• Ver priorización de áreas de impacto

• Listar contenedores, Ver contenedores

• Ver activos asociados a contenedores

• Lista de áreas de preocupación , ver área de preocupación

Fuente: Propia

4.3.3 Depuración de casos de uso

Ilustración 40. Depuración de caso de uso Gestionar Activo

Fuente: Propia

108

Ilustración 41. Depuración de caso de uso Gestionar Criterios de Medida de Riesgo

Fuente: Propia

Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico

Fuente: Propia

Ilustración 43. Depuración de caso de uso Gestionar Contenedores

Fuente: Propia

109

Ilustración 44. Depuración de caso de uso Gestionar Activos críticos y contenedores

Fuente: Propia

Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto

Fuente: Propia

Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación

Fuente: Propia

110

Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo Relativo

Fuente: Propia

Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación

Fuente: Propia

Ilustración 49. Depuración de caso de uso Gestionar Usuarios

Fuente: Propia

111

Ilustración 50. Depuración de caso de uso Generar Reportes

Fuente: Propia

4.3.4 Documentación de Casos De Uso

Tabla 57 Documentación de caso de uso crear activo

Caso de uso No. 1 Nombre: Crear Activo

Actores: Administrador

Objetivo: Registrar un nuevo Activo

Descripción: Se crea un nuevo activo de la compañía

Precondiciones: En cumplimiento a la metodología Octave Allegro se debe haber

realizado previamente la identificación de activos.

- El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Ver Activos

3.Hacer clic en el botón Agregar Activo

5.Dar clic en el botón Guardar

7.Dar clic en el botón aceptar del

mensaje Activo creado correctamente

Acciones del Sistema

2.Desplegar los activos existentes en el

sistema

4. Mostrar el formulario con los campos

necesarios para crear un activo

6.Retornar mensaje Activo Creado

Correctamente

7.Limpiar todos los campos

8.Mostrar la interfaz con todos los

activos creados, incluyendo el activo

nuevo

Manejo de situaciones Excepcionales

1. Si no existen activos creados, se debe mostrar un mensaje que diga: no

112

se han registrado activos.

Flujo Alterno

Autor Fecha Versión

Lorena Rojas 26/06/17 1.0 Fuente: Propia

Tabla 58 Documentación de caso de uso consultar activos

Caso de uso No. 2 Nombre: Consultar Activos

Actores: Administrador, Consulta

Objetivo: Consultar Activos

Descripción: Se listan los activos creados en el sistema

Precondiciones: Deben existir activos creados previamente.


Flujo de Eventos

Acciones del Actor




sistema, con las opciones ver y eliminar

para cada uno de los activos


2. Si no existen activos creados, se debe mostrar un mensaje que diga: no se han registrado activos.

Flujo Alterno



Tabla 59 Documentación de caso de uso Actualizar activo

Caso de uso No. 3 Nombre: Actualizar Activo


Objetivo: Actualizar Activo

Descripción: Se actualiza un activo creado anteriormente

Precondiciones:

-El usuario debe haber iniciado sesión en el sistema

- Deben existir activos creados

Flujo de Eventos

Acciones del Actor




113

3.Hacer clic en el icono ver

5.Dar clic en el botón Actualizar


mensaje Activo creado correctamente

sistema

4. Mostrar el formulario de creación con

los campos diligenciados con la

información del activo

6.Retornar mensaje Activo Actualizado

Correctamente



activos creados, con la actualización del

activo



Flujo Alterno



Tabla 60 Documentación de caso de uso Eliminar Activo

Caso de uso No. 4 Nombre: Eliminar Activo


Objetivo: Eliminar Activo

Descripción: Se elimina un activo registrado

Precondiciones:

-El usuario debe haber iniciado sesión en el sistema

-Deben existir activos creados

Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono eliminar

5.Dar clic en el botón Aceptar del

mensaje de confirmación


mensaje Activo Eliminado

correctamente



sistema

4. Mostrar un mensaje de confirmación

preguntando si está seguro que desea

eliminar el activo

6.Retornar mensaje Activo Eliminado

Correctamente


activos, excepto el activo eliminado

114



Flujo Alterno

1. Si en el cuadro de confirmación el usuario da clic en cancelar, se debe cerrar el cuadro de confirmación y mostrar nuevamente la lista de activos creados.



El análisis de la documentación de los casos de uso restantes se encuentra en el

Anexo 8.

4.3.5 Diagrama de secuencia

A continuación se presentaran los diagramas de secuencia más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación. Ilustración 51 Diagrama de secuencia crear activo

Fuente: Propia

115

Ilustración 52 Diagrama de secuencia crear activo critico

Fuente: Propia

Ilustración 53 Diagrama de secuencia crear área de preocupación

Fuente: Propia

116

Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación

Fuente: Propia

Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo

Fuente: Propia

117

4.3.6. Diagramas de Actividad

A continuación se presentaran los diagramas de actividad más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación. Ilustración 56 Diagrama de actividad crear activo

Fuente: Propia

Ilustración 57 Diagrama de actividad crear área de preocupación

Fuente: Propia

118

Ilustración 58 Diagrama de actividad crear activo critico

Fuente: Propia

Ilustración 59 Diagrama de actividad consultar enfoque de mitigación

Fuente: Propia

119

Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo

Fuente: Propia

4.3.7. Diagramas de estado

A continuación se presentaran los diagramas de estado más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación.

Ilustración 61 Diagrama de estado gestionar activo

Fuente: Propia

120

Ilustración 62 Diagrama de estado gestionar área de preocupación

Fuente: Propia

Ilustración 63 Diagrama de estado gestionar activo critico

Fuente: Propia

121

Ilustración 64 Diagrama de estado Consultar puntaje de riesgo relativo

Fuente: Propia

Ilustración 65 Diagrama de estado consultar enfoque de mitigación

Fuente: Propia

122

4.3.8 Modelo Objeto Relacional

Ilustración 66 Modelo entidad relación

Fuente: Propia

123

4.3.9. Diccionario de datos

A continuación se presentan las tablas existentes para almacenar todas la información del

sistema.

4.3.9.1 Activo Ilustración 67 Activo

CAMPO TIPO NULO LLAVE DESCRIPCIÓN

Id INT NO PK Id activo

Nombre Varchar(256) NO Nombre del activo

Descripción Varchar(500) SI Descripción del activo

Is_archived TINYINT No Default 0 Determina si el activo fue eliminado

Fuente: Propia

4.3.9.2. Activo_Contenedor Ilustración 68 Activo Contenedor


Activo_id INT NO FK REF activo(Id) Id del activo

Contenedor_id INT NO FK REF contendor(id)

Id del contenedor en donde se encuentra el activo

Fuente: Propia

4.3.9.3 Activo_Critico Ilustración 69 Activo Critico


Activo_id INT NO FK REF activo(id)

Id del activo

Justificación VARCHAR(500)

SI Justificación del por qué el activo es crítico

Descripción VARCHAR(500)

SI Descripción del activo

Propietarios VARCHAR(250)

SI Propietarios del activo

Confidencialidad

VARCHAR(500)

SI Como se ve afectada en el activo

Integridad VARCHAR(500)

SI Como se ve afectaba en el activo

Requisitos_importantes

VARCHAR(500)

SI Requisitos importantes de seguridad para el activo

disponibilidad VARCHAR(500)

SI Como se ve afectada en el activo

Is_archived TINYINT NO Determina si el activo crítico es eliminado o no

Fuente: Propia

124

4.3.9.4 Area_consecuencias Ilustración 70 Area consecuencias


Área_preocupacion_id

INT NO FK REF área_preocupacion(id)

Id del área de preocupación

Consecuencia_id INT NO FK consecuencias (id)

Id de la consecuencia relacionada con el área de preocupación

Fuente: Propia

4.3.9.5 Area_impacto Ilustración 71 Area impacto


Id INT NO PK Id área de impacto

nombre VARCHAR(256) NO Nombre del área de impacto

indice INT NO Prioridad del área de impacto Fuente: Propia

4.3.9.6 Area_preocupacion Ilustración 72 Area preocupación


Id INT NO PK Id área de preocupación

Activo_critico_id

INT NO FK REF

activo_critico(id)

Id del activo crítico relacionado

Nombre VARCHAR(256) NO Nombre del área de

preocupación

Actor VARCHAR(256) SI Actor de amenaza

Motivo VARCHAR(256) SI Motivo por el que puede

ocurrir la amenaza

Requisitos_seguridad

VARCHAR(256) SI Requisitos de seguridad

necesarios

Resultado VARCHAR(256) SI Resultado de la ejecución

de la amenaza

Probabilidad VARCHAR(256) SI Probabilidad de que ocurra

la amenaza

Acción VARCHAR(10) SI Acción a tomar

Is_archived TINYINT NO Determina si el área de

preocupación se eliminó Fuente: Propia

4.3.9.7 Consecuencias Ilustración 73 Consecuencias


Id INT NO PK Id consecuencia

Nombre VARCHAR(250) NO Nombre consecuencia

125

Descripción VARCHAR(250) NO Descripción consecuencia

Área_impacto_id INT NO FK REF

área_impacto(id)

Id del área de impacto afectada

Valor_impacto INT NO Valor cualitativo de la

consecuencia

Puntaje INT NO Puntaje de riesgo relativo Fuente: Propia

4.3.9.8 Contenedor Ilustración 74 Contenedor


Id INT NO PK Id contenedor

Nombre VARCHAR(45) NO Nombre del contenedor

Descripción_intero

VARCHAR(500)

SI Descripción interna del

contenedor

Propietario_interno

VARCHAR(500)

SI Propietario interno del

contenedor

Descripción_externo

VARCHAR(500)

SI Descripción externa del

contenedor

Propietario_externo

VARCHAR(500)

SI Propietario externo del

contenedor

Tipo_contenedor INT SI Tipo físico, técnico, personas

Is_archived TINYINT

NO Determina si el contenedor se

eliminó Fuente: Propia

4.3.9.9 Controles Ilustración 75 Controles


Id INT NO PK Id del control


INT NO FK REF área_preocupacion(id)

Id área de preocupación del control

control VARCHAR(1280)

NO Descripción del

control

Suggested_control_id

INT SI FK REF suggested_control(id)

Id del control sugerido por la metodología

Fuente: Propia

4.3.9.10 criterios_riesgo_seleccionado Ilustración 76 criterios riesgo seleccionado


Área_impacto_id INT

NO FK REF área_impacto(id)

Id del área de impacto

Bajo VARCHAR(500) NO Descripción de

126

impacto bajo

Medio VARCHAR(500)

NO Descripción de

impacto medio

Alto VARCHAR(500)

NO Descripción de

impacto alto Fuente: Propia

4.3.9.11Profile Ilustración 77 Profile


id INT NO PK Id del perfil

name VARCHAR(100) NO Nombre del perfile

Fuente: Propia

4.3.9.12 Suggested_control Ilustración 78 Suggested_control


Id INT NO

PK Id del control sugerido


INT

NO

FK REF área_preocupacion(id)

Id de área de preocupación a la que pertenece el control

Name VARCHAR(200) NO

Nombre del control sugerido

Description VARCHAR(500) NO

Descripción del control sugerido

Fuente: Propia

4.3.9.13. User Ilustración 79 User


Id INT NO PK Id del usuario

Name VARCHAR(50) NO Nombre del usuario

Lastname VARCHAR(100) NO Apellido del usuario

Username VARCHAR(100) NO Login del usuario

Password VARCHAR(252) NO Contraseña del usuario

Profile INT NO FK REF profile(id)

Perfil del usuario administrador o de consulta

sessionActive TINYINT NO Indica si tiene una sesión activa

Is_archived TINYINT NO Indica si el usuario fue eliminado

Fuente: Propia

127

4.4. Implementación

4.4.1 Modelo de despliegue

A continuación se describe el diagrama de despliegue de la aplicación, en el cual

se pueden observar cada uno de los componentes que participan en la operación

del sistema.

Del lado del servidor tenemos NodeJS, el cual está basado en el servidor V8 de

JavaScript de Google. Este motor está diseñado para correr en un navegador y

ejecutar el código de JavaScript de una forma extremadamente rápida. La

tecnología que está detrás de NodeJS permite ejecutar este motor en el lado del

servidor, este abre un puerto que el usuario específica y expone servicios REST.

Del lado del FrontEnd tenemos un framework open source llamado Ionic, este

framework trabaja entre otros componentes con AngularJS y Apache Cordova,

este último permite utilizar las tecnologías estándar web como HTML5, CSS3 y

JavaScript para desarrollo multiplataforma, evitando el lenguaje de desarrollo

nativo para cada plataforma móvil.

Ilustración 80 Modelo de despliegue

Fuente: Propia

4.4.2 Modelo de componentes

A continuación se describe el diagrama de componentes del sistema, en el cual se

observa la relación de dependencia entre los mismos.

La aplicación fue construida bajo el patrón de arquitectura de software modelo-

vista-controlador, el cual consiste en separar los datos y la lógica de negocio de la

128

interfaz. La vista que en este caso puede ser por navegador o aplicación móvil

consulta la información a través de servicios REST que expone el Backend, y este

quien se comunica con la base de datos y retorna la información que será

presentada en el FrontEnd.

Ilustración 81 Modelo de componentes

Fuente: Propia

4.4.3 Diagrama de Paquetes

Tanto el Backend como el FrontEnd tienen definida su estructura de directorios

definidos, la cual se presenta a continuación

Ilustración 82 Diagrama de paquetes

Fuente: Propia

129

4.5 Pruebas

Las pruebas de la aplicación fueron realizadas por la Analista de riesgos, quien es

la persona encargada de verificar el correcto funcionamiento de la aplicación, es

también quien usara la aplicación en la compañía empleando el rol de

administrador en la herramienta.

Estas pruebas se hicieron con el fin de revisar y evaluar la funcionalidad de la

aplicación, según las especificaciones o requisitos funcionales, identificando los

posibles errores que se puedan presentar en cada uno de los módulos.

Estas pruebas también se realizaron con el fin de recibir una retroalimentación por

parte de la analista, en cuanto a la presentación y diseño grafico de la aplicación.

A continuación se presentan algunas de las pruebas realizadas sobre los módulos que componen la aplicación. 4.5.1 Prueba Menú Activos Tabla 61 Prueba Menú Activos

Prueba Menú Activos

Dirigida Por Asistente Estado

Lorena Rojas Sandra Torres Proceso OK

Terminada SI

Concepto Revisar el funcionamiento de las secciones que componen el

módulo de Activos

Perfil Administrador

Acción Elemento de

Prueba Resultado Esperado Estado

Registrar Activo Formulario de

Registro

Validación de campos

requeridos, el usuario llena el

formulario y el activo debe ser

registrado en la base de datos.

OK

Consultar Activo

Opción Ver

de cada

activo

Al dar clic en la opción ver, se

debe ver la información que el

usuario escribió al momento de

crear el activo, se deben llenar

todos los campos

OK

Actualizar Activo Formulario de

Actualización

Al actualizar un activo se deben

realizar las validaciones de los OK

130

campos la actualización debe ser

guardada en base de datos

Eliminar Activo

Opción

Eliminar de

cada activo

Al eliminarse el activo se debe

pedir confirmación al usuario de

la acción, si no está de acuerdo

el activo no debe eliminarse, si

acepta se debe quitar el activo de

la lista de activos

OK

ERRORES

El textArea en donde se diligencia la descripción del activo,

tenía un tamaño muy pequeño, haciendo difícil la lectura de

la descripción

CORRECCIONES Se aplica estilo para ampliar el tamaño del textArea Fuente: Propia

4.5.2. Prueba Menú Activos Críticos Tabla 62 Prueba Menú Activos Críticos

Prueba Menú Activos Críticos



Terminada SI


módulo de Activos Críticos


Acción Elemento de


Registrar Activo

Crítico

Formulario de

Registro

Validación de campos requeridos, el

usuario llena el formulario y el activo

crítico debe ser registrado en la base

de datos.

OK

Consultar Activo

Crítico

Opción Ver de

cada activo

crítico

Al dar clic en la opción ver, se debe

ver la información que el usuario

escribió al momento de crear el activo

crítico, se deben llenar todos los

campos

OK

Actualizar Activo

Crítico

Formulario de

Actualización

Al actualizar un activo crítico se

deben realizar las validaciones de los

campos la actualización debe ser

guardada en base de datos

OK

Eliminar Activo Opción Al eliminarse el activo se debe pedir OK

131

Crítico Eliminar de

cada activo

crítico

confirmación al usuario de la acción,

si no está de acuerdo el activo crítico

no debe eliminarse, si acepta se debe

quitar el activo crítico de la lista de

activos

ERRORES El selector de activo no mostraba completo el nombre del

activo

CORRECCIONES Se ajusta selector para que muestre el nombre del activo

seleccionado completo. Fuente: Propia

4.5.3 Prueba Menú Criterios de Medida de Riesgo

Tabla 63 Prueba Menú Criterios de Medida de Riesgo

Prueba Menú Criterios de Medida de Riesgo



Terminada SI


módulo de Criterios de Medida de Riesgo


Acción Elemento de


Registrar Criterio

de Medida de

Riesgo

Formulario

de Registro

Validación de campos requeridos,

el usuario llena el formulario y

debe registrarse el criterio de

medida de riesgo en base de datos

OK

Consultar Criterios

de Medida de

Riesgo

Configurados

Opción Ver

de cada

criterio de

riesgo




crear el criterio de medida de

riesgo, se deben llenar todos los

campos

OK

Actualizar Criterio

de Medida de

Riesgo

Formulario

de

Actualización

Al actualizar un criterio de medida

de riesgo se deben realizar las

validaciones de los campos la

actualización debe ser guardada

en base de datos

OK

Eliminar Criterio Opción Al eliminarse el criterio de medida OK

132

de Medida de

Riesgo

Eliminar de

cada criterio

de Medida de

Riesgo

de riesgo se debe pedir

confirmación al usuario de la

acción, si no está de acuerdo el

criterio no debe eliminarse, si

acepta se debe quitar el criterio de

la lista de criterios configurados

ERRORES

Cuando se selecciona el área de impacto Reputación y

confianza del cliente el texto no se ve completo en el

selector

CORRECCIONES Se ajusta estilo para que se vea completo el nombre del

área de preocupación Fuente: Propia

4.5.4 Prueba Menú Priorizar Áreas de Impacto Tabla 64 Prueba Menú Priorizar Áreas de Impacto

Prueba Menú Priorizar Áreas de Impacto



Terminada SI

Concepto Revisar el funcionamiento del componente que permite la

priorización de las áreas de impacto


Acción Elemento

de Prueba Resultado Esperado Estado

Priorizar las áreas

de impacto

Drag and

Drop

Cuando el usuario arrastre un área

de impacto, esta debe ubicarse en

donde el usuario le indique, y la

visualización debe ser correcta

OK

Guardar

Priorización de

áreas de impacto

Botón

Guardar

Cuando el usuario de clic en

guardar, en base de datos debe

guardarse el orden dado por el

usuario y este debe pintarse de la

manera en que el usuario lo

organizó una vez se recargue la

página o vaya a otro menú y

regrese

OK

ERRORES En el dispositivo móvil no funcionaba el drag and drop

133

correctamente.

CORRECCIONES Se hace ajuste para la correcta visualización tanto en web

como en móvil. Fuente: Propia

4.5.5 Prueba Menú Contenedores

Tabla 65 Prueba Menú Contenedores

Prueba Menú Contenedores



Terminada SI


módulo de Contenedores


Acción Elemento de


Registrar

Contenedor

Formulario

de Registro


el usuario llena el formulario y

debe registrarse contenedor en

base de datos

OK

Consultar

Contenedor

Opción Ver

de cada

contenedor




crear el contenedor, se deben

llenar todos los campos

OK

Actualizar

Contenedor

Formulario

de

Actualización

Al actualizar un contenedor se

deben realizar las validaciones de

los campos la actualización debe

ser guardada en base de datos

OK

Eliminar

Contenedor

Opción

Eliminar de

cada

contenedor

Al eliminarse un contenedor se

debe pedir confirmación al usuario

de la acción, si no está de acuerdo

el contenedor no debe eliminarse,

si acepta se debe quitar el

contenedor de la lista

OK

ERRORES

Cuando se crea un nuevo contenedor, en el formulario de

creación solo se muestra el selector de tipo y al

seleccionarlo se muestran todos los campos, sin embargo

134

luego de abrir un contenedor para editarlo y hacer clic en

crear uno todos los campos se muestran antes de

seleccionar el contenedor

CORRECCIONES

Se agrega validación al momento de cerrar el modal para

que se limpie el modelo y funcione de la misma manera que

en crear Fuente: Propia

4.5.6 Prueba Menú Asociar Activos a Contenedores

Tabla 66 Prueba Menú Asociar Activos a Contenedores

Prueba Menú Asociar Activos a Contenedores



Terminada SI


módulo de Asociar Activos a Contenedores


Acción Elemento de


Listar

contenedores de

acuerdo al tipo

seleccionado

Selectores de

tipo de

contenedor y

contenedor

Al iniciar solamente debe estar

lleno el selector de tipo de

contenedor, cuando seleccione

uno , se debe llenar el otro

selector con los contenedores

del tipo seleccionado

OK

Asociar activos a

contenedor Drag and Drop

Una vez seleccionado el

contenedor, se deben mostrar si

existen, los activos que estén

asociados al contenedor, el

usuario debe poder arrastrar de

la sección de activos a la

sección del contenedor y la

visualización debe ser correcta

OK

Desasociar activos

de contenedor Drag and Drop

El usuario debe poder arrastrar

de la sección del contenedor los

activos que desee desasociar

OK

Guardar Botón Guardar Al dar clic en guardar la OK

135

Asociación asociación de los activos debe

persistirse en base de datos

ERRORES En la lista de activos se muestran los que se encuentran con

estado archivado

CORRECCIONES Se ajusta consulta de base de datos para agregar

condicional de estado archivado en false Fuente: Propia

4.5.7 Prueba Menú Áreas de Preocupación

Tabla 67 Prueba Menú Áreas de Preocupación

Prueba Menú Áreas de Preocupación



Terminada SI


módulo de Áreas de Preocupación


Acción Elemento de


Registrar Área de

preocupación

Formulario de

Registro

(wizard)


la funcionalidad del wizard debe

funcionar de manera correcta,

permitiendo al usuario que avance

y retroceda si lo desea, una vez da

clic en Guardar todo se debe

almacenar en base de datos

OK

Consultar Área de

Preocupación

Opción Ver de

cada área de

preocupación




crear el área de preocupación, se

deben llenar todos los campos en

el wizard

OK

Actualizar Área de

Preocupación

Formulario de

Actualización

Al actualizar un área de

preocupación se deben realizar las

validaciones de los campos la

actualización debe ser guardada

en base de datos

OK

136

Eliminar Área de

Preocupación

Opción

Eliminar de

cada área de

preocupación

Al eliminarse un área de

preocupación se debe pedir

confirmación al usuario de la

acción, si no está de acuerdo el

área de preocupación no debe

eliminarse, si acepta se debe

quitar el contenedor de la lista

OK

ERRORES

-Al momento de diligenciar una consecuencia el selector de

área de impacto no muestra el nombre completo del área de

impacto

- Cuando se consulta un área de preocupación al momento

de ver las consecuencias no se está mostrando el valor de

impacto ni la descripción ingresada

- Al seleccionar el activo crítico el selector no muestra el

nombre del activo crítico completo

-Al actualizar el área de preocupación el mensaje que

muestra dice que la acción fue Guardar

CORRECCIONES

-Se cambia el estilo del selector para mostrar el nombre

completo

-Se ajusta la asignación de datos durante la consulta para

que se muestre la descripción y el valor del impacto

seleccionado

-Se cambia el estilo del selector del activo crítico para que el

nombre se muestre completo

-Se ajusta mensaje para que la acción se muestre

correctamente Fuente: Propia

4.5.8 Prueba Menú Puntaje de Riesgo Relativo

Tabla 68 Prueba Menú Puntaje de Riesgo Relativo

Prueba Menú Puntaje de Riesgo Relativo



Terminada SI

Concepto

Revisar el funcionamiento de la consulta de puntaje de

riesgo relativo de acuerdo a la información ingresada por el

usuario


Acción Elemento de Resultado Esperado Estado

137

Prueba

Consultar Puntaje

de Riesgo Relativo

Lista de Puntaje

Relativo por

área de

preocupación

El usuario debe visualizar para

cada área de preocupación cual

es el puntaje de riesgo relativo y

la probabilidad subjetiva de

acuerdo a las consecuencias

que agregó durante la

documentación del área de

preocupación

OK

ERRORES

-Cuando no hay áreas de preocupación, no se muestra nada

al dar clic en el menú

- Se guarda cache de la consulta realizada a base de datos

al momento de modificar el área de preocupación no se

actualiza el puntaje ni la probabilidad

CORRECCIONES

-Se añade mensaje indicando que no se han creado áreas

de preocupación

-Se deshabilita opción de guardar cache en la vista de

puntaje de probabilidad de riesgo Fuente: Propia

4.5.9 Prueba Menú Enfoque de Mitigación

Tabla 69 Prueba Menú Enfoque de Mitigación

Prueba Menú Enfoque de Mitigación



Terminada SI

Concepto

Revisar el funcionamiento de la consulta de enfoque de

mitigación de acuerdo al riesgo relativo y probabilidad

subjetiva


Acción Elemento de


Consultar

Enfoque de

Mitigación

Lista de

Enfoques de

Mitigación

El usuario debe visualizar para

cada área de preocupación cual es

el enfoque de mitigación dado de

acuerdo al puntaje de riesgo

relativo, la probabilidad subjetiva y

la matriz de riesgos

OK

Consulta de Opción Ver El usuario debe poder visualizar si OK

138

Controles controles de

cada uno de

los enfoques

de mitigación

existen, los controles registrados

para la acción sugerida por la

metodología

Crear Control

Formulario de

registro de

control

El usuario puede seleccionar o no

un control sugerido de acuerdo al

anexo A de la norma ISO 27000 o

puede crear un control propio, esta

información debe quedar

registrada en la base de datos

OK

Actualizar

Control

Formulario de

Actualización

Cuando el usuario quiera editar

uno de los controles, se debe

mostrar el formulario con los datos

que el usuario diligenció en el

momento de la creación del

control, todos los campos deben

estar llenos, la actualización debe

ser guardada en la base de datos

OK

Consultar Control

Opción Ver de

cada uno de

los controles

listados

El usuario podrá ver la información

completa del control, podrá

identificar si seleccionó o no un

control predeterminado

OK

Eliminar Control

Opción

Eliminar de

cada uno de

los controles

listados

Al eliminar un control se debe

pedir confirmación al usuario de la

acción, si está de acuerdo el

control debe eliminarse y no

mostrarse más en la lista de

controles

OK

ERRORES

-Cuando no se han creado áreas de preocupación, no se

muestra nada en la pantalla

-Se guarda cache de los datos , entonces cuando se actualiza

un área preocupación no se muestra el enfoque actualizado

- Al guardar un control sin Id de control sugerido sale error en

Backend

CORRECCIONES

Se añade mensaje indicando que no se han creado áreas de

preocupación aún

-Se deshabilita la opción de guardar caché en la vista

- Se ajusta Backend para que guarde con o sin id de control

139

sugerido Fuente: Propia

4.5.10 Prueba Menú Descarga de Reportes

Tabla 70 Prueba Menú Descarga de Reportes

Prueba Menú Descarga de Reportes



Terminada SI

Concepto Revisar el funcionamiento de la descarga de reportes


Acción Elemento de


Descargar Reporte

de Criterios de

Medida de Riesgo

PDF generado

Se debe generar el PDF con

la información ingresada en

el sistema, la visualización

debe ser correcta

OK

Descargar reporte

de Perfil de

Activos

PDF generado




debe ser correcta

OK

Descargar reporte

de Documentación

de áreas de

preocupación

PDF generado




debe ser correcta

OK

Descargar reporte

de riesgo relativo y

probabilidad

subjetiva

PDF generado




debe ser correcta

OK

Descargar reporte

de Enfoque de

Mitigación

PDF generado

Se debe generar el PDF con la

información ingresada en el

sistema, la visualización debe

ser correcta

OK

ERRORES

-Cuando el nombre del archivo tiene espacios, este no se

descarga

-Cuando los textos son muy largos no se genera una nueva

página y queda cortado el contenido del PDF

CORRECCIONES -Se ajusta nombre de pdf para que quede sin espacios

- Se realiza ajuste para crear la nueva página y mostrar el

140

contenido completo Fuente: Propia

4.5.11 Prueba Menú Administración de Usuarios

Tabla 71 Prueba Menú Administración de Usuarios

Prueba Menú Administración de Usuarios



Terminada SI

Concepto Revisar el funcionamiento del proceso de administración de

usuarios


Acción Elemento de


Crear usuario Formulario de

Creación

El usuario diligencia el formulario

de creación, se realiza validación

de campos, el email debe ser

escrito correctamente, se debe

enviar un correo al usuario con la

contraseña para ingresar, el

usuario debe ser almacenado en

base de datos

OK

Consultar Usuario

Opción Ver de

cada uno de

los usuarios

listados

Se deben visualizar todos los

campos llenos con la información

que el usuario diligenció en el

momento de la creación del

usuario, la contraseña no debe

mostrarse

OK

Editar Usuario Formulario de

Actualización


validación de email escrito

correctamente, se debe tener la

opción de generar nuevamente la

contraseña por el usuario, si se

selecciona está opción se debe

enviar un correo al usuario

indicando cuál es su nueva

contraseña, los datos actualizados

deben ser guardados en base de

datos

OK

141

Eliminar Usuario

Opción

Eliminar de

cada uno de

los usuarios

listados

Se le debe pedir confirmación al

usuario de la acción , si el usuario

acepta se debe eliminar el usuario

y quitarlo de la lista

OK

Actualizar Datos

del usuario

logueado en el

sistema

Ver y

actualizar

información

El usuario puede modificar sus

datos, cambiar su contraseña, si

cambia la contraseña, se debe

enviar un correo notificando el

cambio de contraseña, el usuario

no podrá modificar su perfil

OK

ERRORES No se notifica cuando se intenta crear un usuario con un

correo que ya existe

CORRECCIONES Se agrega notificación cuando el correo ya está registrado en

el sistema Fuente: Propia

142

CONCLUSIONES

Al realizar este trabajo se logró identificar las fortalezas y debilidades que se pueden presentar en una fiduciaria en cuanto a la seguridad de la información, si bien se encontraron fortalezas estas mismas se mejoraron. Durante el análisis se encontraron debilidades, éstas tuvieron un manejo especial con controles y procedimientos que permitieron que los eventos de riesgo se materialicen cada vez menos, hasta llegar al riesgo residual o eliminar el riesgo definitivamente. El análisis de riesgo fue un elemento muy importante, dentro del desarrollo del proyecto, ya que permitió que tanto el analista de riesgo como el ingeniero de infraestructura, realizaran un análisis más extenso, identificando riesgos que no se habían contemplado. La metodología Octave Allegro, permitió identificar las falencias que existían en algunos procesos internos y políticas de la organización, a partir de estas se tomaron decisiones y se implementaron mejoras. La metodología Octave Allegro, fue de gran utilidad, ya que permite enfocarse en los activos de información, contemplando varios escenarios de amenazas y así tener un mayor alcance en la identificación de los riesgos, como los controles que se deben implementar, para evitar que el riesgo se materialice. La implementación de un prototipo en la que se encuentran los ocho pasos de la metodología Octave Allegro, permite que el usuario registre y consulte de manera ordenada la información de los activos, controles, áreas de preocupación entre otras. Al realizar las pruebas se logró identificar algunas falencias que se presentaron en la interfaz grafica y se implementaron mejoras sobre la aplicación tanto móvil como web mejorando la navegación del usuario. Al desarrollar este proyecto se pusieron en práctica los conocimientos que se obtuvieron en las diferentes asignaturas de Ingeniera en Telemática, fortaleciendo y mejorando nuestro desempeño a nivel profesional.

143

RECOMENDACIONES

• Usar el manual de usuario para el manejo correcto de la aplicación.

• Contar con un buen equipo de trabajo con experiencia y amplios conocimientos sobre la gestión de riesgos.

• Usar el manual para la correcta instalación del aplicativo.

• Documentar todos los procesos internos de la compañía.

• Realizar capacitaciones contantes al personal de la compañía con el fin de orientarlos en el uso adecuado de los sistemas de información.

• Realizar comités con la junta directiva para revisar, analizar e implementar mejoras en los procesos internos de la compañía.

• Implementar un plan de continuidad que involucre a toda la compañía.

• El comité debería evaluar periódicamente el de continuidad inicialmente dos veces al años para comprobar su efectividad y después anualmente para actualizar el mismo.

144

REFERENCIAS

● Andrés F. Doria Corcho, 2014, Metodologías De Análisis, Evaluación Y

Gestión De Riesgos Informáticos, 01/03/2017, Recuperado:

http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html.

● Banco GNB Sudameris S.A., 2017, servitrust gnbsudameris, Definición de

gestión de fiduciaria 13/08/2016, Recuperado http://www.servitrust.gnbsuda

meris.com.co/academia-fiducia.php

● Cees van W esten, Lección 1: Conceptos de Vulnerabilidad, Riesgo y

Amenaza, International Institute for Geo-Information Science and Earth

Observation 13/08/2016 Recuperado: http://datateca.unad.edu.co /contenid

os/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_amena

za.html.

● Daniela Bravo, 2013, CICLO PHVA, 01/03/2017, recuperado:

http://adpphva.blogspot.com.co/

● Elvira Mifsud 2012 Introducción a la seguridad informática Vulnerabilidades

de un sistema informático, Gobierno de España Ministerio de Educación,

cultura y Deporte 13/08/2016 Recuperado:http://recursostic.

educacion.es/observatorio/web/es/component/content/article/1040-introducc

ion-a-la-seguridad-informatica?start=3

● Expresión Binaria,2014, 8 pasos para hacer una evaluación de riesgos con

OCTAVE Allegro, 01/03/2017, Recuperado: http://www.expresionbinaria.

com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/

● Gestión del riesgo 13/08/16 http://www.eird.org/cd/toolkit08/material/

proteccioni_nfraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_ri

esgo.pdf.

● Jhonn Álvaro Cuesta Hernandez, John Neftali Mojica Morales, (2007).

Estudio Del Riesgo Operacional En El Sector Fiduciario, Un Enfoque Para

Fiduciaria Bogotá S.A. Universidad De La Salle Facultad De Economía

13/08/2016, Recuperado:http://repository.lasalle.edu.co/bitstream/handle/10

185/11740/10011230.pdf?sequence=2

● Juan Manuel Corzo 2012 Román Sistema Nacional de Gestión del Riesgo,

Ministerio del Interior, 13/08/2016 Recuperado: https://www.dimar.mil.co

/sites/default/files/atach/cartilla_sistema_nacional_de_gestion_del_riesgo_0

.pdf.

● Julián Pérez Porto y Ana Gardey, 2008, Concepto de seguridad - Definición,

Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/seguridad/

#ixzz4HYj42nH

http://www.servitrust.gnbsudameris.com.co/academia-fiducia.php



http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_amenaza.html




http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-seguridad-informatica?start=3




http://www.eird.org/cd/toolkit08/material/proteccion-infraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_riesgo.pdf




http://repository.lasalle.edu.co/bitstream/handle/10185/11740/10011230.pdf?sequence=2

http://repository.lasalle.edu.co/bitstream/handle/10185/11740/10011230.pdf?sequence=2

https://www.dimar.mil.co/sites/default/files/atach/cartilla_sistema_nacional_de_gestion_del_riesgo_0.pdf



http://definicion.de/seguridad/#ixzz4HYj42nH

http://definicion.de/seguridad/#ixzz4HYj42nH

145

● Julián Pérez Porto y Ana Gardey, 2015 Concepto de seguridad - Definición,

Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/activo-

financiero/.

● María Fernanda Molina Miranda, (2015) Propuesta de un plan de Gestión

de Riesgos de tecnología aplicado en la escuela superior politécnica del

litoral, Universidad Politécnica de Madrid Escuela Técnica Superior de

Ingenieros de Telecomunicación,13/08/16 Recuperado: http://www.dit.upm

.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Mi

randa_2015 .pdf.

● Maria Esperanza Bulla Pinzón, (2014). Riesgo Operativo En Cartera De

Una Sociedad Fiduciaria, Universidad Militar Nueva Granada 13/08/2016,

Recuperado: http://repository.unimilitar.edu.co/bitstream/10654/12755/1/EN

SAYO%20OPCION%20GRADO%202014%20definitivo.pdf.

● Markus Erb, 2003, Gestión de Riesgo en la Seguridad Informática

13/08/2016 Recuperado:https://protejete.wordpress.com/gdr_principal/ame

naza _vulne rabilidades/

● Marta Mejia, 2014, ISO27001 2013 - Anexo a - En Tabla Excel, 30/06/2017,

Recuperado:https://es.scribd.com/doc/232787821/ISO27001-2013-Anexo-a-

En-Tabla-Excel.

● Maxitana Cevallos, Jennifer Dennise, 2005, Administración de riesgos de

tecnología de información de una empresa del sector informático 1/03/2017,

Recuperado: http://www.dspace.espol.edu.ec/handle/123456789/25283

● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de

riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com

/la-es/2014/09/29/8-pasos-evaluacion-de-riesgos-1/

● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de

riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com

/la-es/2014/09/30/8-pasos-evaluacion-de-riesgos-2/

● Miguel A. Sánchez, 2016, Perfilado de Activos de Información, 01/03/2017

Recuperado: https://technologyincontrol2.wordpress.com/2016/01/14/perfila

do-de-activos-de-información/

● Richard A. Caralli James F. Stevens Lisa R. Young William R. Wilson, 2007,

Introducing OCTAVE Allegro: Improving the Information Security Risk

Assessment Process, 1/03/2017, Recuperado: http://resources.sei.cmu.edu

/asset_files/technicalreport/2007_005_001_14885.pdf.

http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf




http://repository.unimilitar.edu.co/bitstream/10654/12755/1/ENSAYO%20OPCION%20GRADO%202014%20definitivo.pdf

http://repository.unimilitar.edu.co/bitstream/10654/12755/1/ENSAYO%20OPCION%20GRADO%202014%20definitivo.pdf

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

146

Anexo 1.

Entrevista a la Analista de Riesgo y al Ingeniero de Infraestructura ¿Acción Fiduciaria cuenta con políticas de seguridad de información? ¿Las políticas de la información revisadas, publicadas, y comunicadas al personal? ¿Se realizan revisiones de las políticas y con qué regularidad? ¿Existen procedimientos para la revisión de las políticas de seguridad y con qué regularidad realizan esta actividad? ¿Las actividades de seguridad de la información son coordinadas por alguna persona responsable? ¿Se realiza verificación de antecedentes de los candidatos al empleo? ¿Se firman contratos de confidencialidad? ¿Existen procesos para los cambios de cargo del personal? ¿Manejan algún inventario de todos los activos de información? ¿Acción Fiduciaria cuenta con políticas en cuenta al uso de los equipos? ¿Existen políticas del uso aceptable para cada tipo de información? ¿Existen políticas para el uso de medios extraíbles? ¿Existen controles para asegurar el acceso a páginas que no son utilizadas para las actividades diarias? ¿Acción Fiduciaria cuenta políticas para el control de acceso? ¿Existen políticas para asegurar la eliminación de los accesos de los usuarios que finalizan contrato? ¿Existen políticas para el uso de encriptación? ¿Se han diseñado medidas de protección física para prevenir desastres naturales, ataques maliciosos o accidentes? ¿Tiene sistemas de control de acceso adecuados para las zonas de acceso restringido? ¿Existen procesos para mantener la seguridad de bloquear, limpiar escritorios? ¿Hay un sistema UPS o un generador de respaldo? ¿Están documentados los procedimientos operativos? ¿Están los procedimientos disponibles para todos los usuarios que los necesitan? ¿Se mantienen los registros de eventos apropiados y se revisan periódicamente? ¿Existe un proceso de gestión de la red? ¿Existen procedimientos para la transferencia de datos a todos los empleados? ¿Los empleados, contratistas y agentes firman acuerdos de confidencialidad o no divulgación? ¿Están sujetos a revisión periódica estos acuerdos? ¿Se incluye la seguridad de la información en los contratos establecidos con proveedores y proveedores de servicios? ¿Se controla el acceso de los proveedores a los activos y la infraestructura de la información? ¿Las responsabilidades de gestión están claramente identificadas y documentadas en los procesos de gestión de incidentes?

147

¿Existe un proceso para la información oportuna de los eventos de seguridad de la información? ¿Existe un proceso para revisar y tratar los informes de manera oportuna? ¿Existe un proceso para asegurar que los eventos de seguridad de la información sean debidamente evaluados y clasificados? ¿Está incluida la seguridad de la información en los planes de continuidad de la organización? ¿El enfoque de las organizaciones para gestionar la seguridad de la información está sujeto a una revisión independiente regular?

148

Anexo 2

Perfilamiento de los activos de información

A continuación, se realiza el perfilamiento de la base de datos de AcciónBack

Tabla 72 Perfilamiento del activo Bases de datos AcciónBack



Activo Critico: Bases de datos AcciónBack

Descripción: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la compañía se encuentran alojadas en las base de datos.


Titular del activo: Gerente de infraestructura, Administrador de bases de datos.


Hardware: Servidor de bases de datos.


Confidencialidad: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la compañía se encuentran alojadas en las base de datos.

Integridad: Toda la información que se encuentra en las bases de datos ya sea registrada por las diferentes áreas debe ser verídica y confiable debido a que la información que se aloja es muy sensible.

Disponibilidad: La información que se encuentra alojada en las bases de datos debe estar siempre disponible ya que en ella reposa la información del cliente, pagos, fideicomiso y se debe poder realizar cualquier consulta en cualquier momento por los empleados de la compañía solo aquellos que tiene autorización.

Valoración:


Las bases de datos deben estar disponibles y accesibles para los usuarios autorizados de la compañía para acceder a las diferentes consultas y actividades diarias realizadas.

Fuente: Propia

A continuación, se realizó el perfilamiento del centro de negocios.

Tabla 73 Perfilamiento del activo Centro de negocios



Activo Critico: centro de negocios

Descripción: Plataforma de consulta de proyectos inmobiliarios, por fideicomitentes y administradores sobre, unidades encargos, planes de pagos, saldos, cesiones y desistimientos de cada uno de los clientes asociados a un proyecto inmobiliario.


Titular del activo: Gerente de tecnología, administradores de negocios.


Hardware: Servidor interno.


Confidencialidad: Solo el personal autorizado puede ingresar al centro de negocios con un usuario y contraseña y código de verificación se puede acceder al centro de negocios, usuarios como administradores de negocios y fideicomitentes.

Integridad: En el centro de negocios los usuarios sea administrador y/o fideicomitente solo realizaran consultas sobre los proyectos inmobiliarios.

Disponibilidad: La disponibilidad del centro de negocios debe ser 24x7 ya que los administradores y/o fideicomitentes deben consultar los recaudos efectuados por los clientes a los proyectos inmobiliarios.

149

Valoración:

Confidencialidad: Integridad: X Disponibilidad:

Dado que la información almacenada en el centro de negocios debe ser válida y confiable ya que se trata de recaudos realizados por los clientes a la inmobiliaria.

Fuente: Propia

A continuación, se realiza el perfilamiento del sistema Accionback

Tabla 74 Perfilamiento del activo Sistema AcciónBack



Activo Critico: Sistema AcciónBack.

Descripción: Sistema de administración de unidades, encargos y planes de pagos, cesiones y desistimientos de proyectos de inmobiliarios.


Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.


Hardware: Servidor de aplicaciones.


Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar operaciones.

Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas operaciones, solo personal autorizado puede ingresar a realizar consultas.

Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el cual reposa información sensible para los clientes y los fideicomitentes.

Valoración:


Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan operaciones de registro de unidades, encargos y planes de pago que son migrados al centro de negocios.

Fuente: Propia

A continuación, se realiza el perfilamiento del digitalizador de documentos

Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos



Activo Critico: Sistema de Digitalizador de Documentos.

Descripción: Sistema de administración de digitalizador de documentos en el cual reposa documentos escaneados tales como cedulas de ciudadanía, tarjetas de identidad, pasaportes, cedulas de extranjería, contratos, formularios de vinculación.


Titular del activo: Gerente de tecnología, administradores de negocio, digitalizador de documentos, Administrador de aplicaciones.




Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar la digitalización de documentos.

Integridad: Solo el personal autorizado puede acceder al sistema con permisos de escanear documentos, el resto del personal también autorizado solo puede realizar consultas sobre el sistema.

150

Disponibilidad: Este sistema debe estar disponible ya que en él se encuentra información sensible que puede afectar las actividades diarias debidas que en este sistema reposa información para validación de documentos de clientes.

Valoración:

Confidencialidad: X Integridad: Disponibilidad:

La información que reposa en este sistema no puede ser expuesta a terceros debido a que puede causar problemas para la compañía tanto legales como financieros.

Fuente: Propia

A continuación, se realiza el perfilamiento de documentos

Tabla 76 Perfilamiento del activo Documentos



Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).

Descripción: Son archivos alojados en dispositivos como computadores de escritorio, correos electrónicos, es un contenedor de información que permite gestionar, presentar y organizar datos con un fin determinado.


Titular del activo: Administrador de aplicaciones, servicio al cliente, administrador de negocios, gerente de tecnología.


Hardware: Servidor de aplicaciones, Los documentos pueden ser almacenados en dispositivos USB, discos duros, carpetas pueden ser impresos en hojas membretadas y alojadas en archivador de la compañía, también pueden ser almacenados en los computadores portátiles y de escritorios de los empleados de la compañía.


Confidencialidad: Toda la información que contienen los documentos no deben ser difundidos ni dentro ni fuera de la compañía, solo podrán acceder a estos documentos el personal autorizado.

Integridad: Toda la información que se encuentra alojada en los documentos no debe perderse ni ser entregados a otras personas que no sean el cliente.

Disponibilidad: Los documentos deben estar disponibles para el cliente cuando se les necesite de forma ágil y sencilla.

Valoración:


Dado que la información almacenada en los documentos debe ser válida y confiable ya que esta información se envía al cliente a través del correo electrónico.

Fuente: Propia

A continuación, se realiza el perfilamiento de Inveracción

Tabla 77 Perfilamiento del activo Sistema Inveracción



Activo Critico: Sistema Inveracción.

Descripción: Sistema de administración de pagos de carteras y/o fondos de inversión, consulta de movimientos de encargos y de pagos a terceros, administración de apertura de encargos y de retiros de cliente.


Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.




151

Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar operaciones.

Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas operaciones, solo personal autorizado puede ingresar a realizar consultas.

Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el cual reposa información sensible para los clientes y los fideicomitentes, pagos, movimientos de encargos y traslado de dineros a diferentes entidades bancarias.

Valoración:


Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan operaciones de traslado de dineros entre fondo y entidades bancarias, consulta de información de movimientos de pagos realizados por los clientes.

Fuente: Propia

A continuación, se realiza el perfilamiento del Directorio Activo

Tabla 78 Perfilamiento del activo Directorio Activo



Activo Critico: Directorio Activo

Descripción: En el directorio activo se almacena información de los usuarios de la compañía tales como, nombres, apellidos, usuarios y contraseñas del personal de la compañía.


Titular del activo: Gerente de tecnología, Ingeniero de infraestructura.


Hardware: Servidor de aplicaciones


Confidencialidad: Solo el ingeniero de infraestructura, puede acceder con un usuario y contraseña asignado únicamente por el área de sistemas.

Integridad: Toda la información alojada en el directorio activo debe ser verídica ya que en él se aloja información sensible para la compañía.

Disponibilidad: La información debe estar disponible siempre y cuando sea necesaria para el ingeniero para realizar consultas sobre los usuarios de la compañía.

Valoración


La información alojada en el directorio activo debe estar disponible debido que se realizan consultas constantes para el registro, modificación y eliminación de usuarios.

Fuente: Propia

A continuación, se realiza el perfilamiento del servidor de aplicaciones

Tabla 79 Perfilamiento del activo Servidor de aplicaciones



Activo Critico: Servidor de aplicaciones

Descripción: Proporciona servicios que soportan la ejecución y disponibilidad de las aplicaciones desplegadas, en el se alojan aplicaciones como AcciónBack, Orfeo, Documentos, Inveracción.


Titular del activo: Gerente de tecnología, Ingeniero de infraestructura, administrador de aplicaciones.




Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de aplicaciones con un usuario y contraseña, asignado por el área de sistemas.

152

Integridad: Todas las aplicaciones alojadas en el servidor deben funcionar de manera correcta, la información alojada en el servidor debe ser verídica ya que estas aplicaciones contienen información muy valiosa.

Disponibilidad: El servidor de aplicaciones debe estar disponible debido a que la información y las aplicaciones alojadas, debe ser consultada por cualquier usuario de la compañía.

Valoración:


El servidor de aplicaciones debe estar disponible ya que aloja las aplicaciones Core de la compañía, por tanto son consultadas por los usuarios de la compañía.

Fuente: Propia

A continuación, se realiza el perfilamiento del servidor de desarrollo

Tabla 80 Perfilamiento del activo servidor de desarrollo



Activo Critico: Servidor de desarrollo.

Descripción: Proporciona servicios que soportan la ejecución y desarrollo de las aplicaciones a desplegar que permiten el mejoramiento de las actividades del personal de la compañía, buscando mejorar los procesos.


Titular del activo: Gerente de tecnología, gerente de proyectos.




Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de desarrollo con un usuario y contraseña, asignado por el área de sistemas.

Integridad: Todos los desarrollos ejecutados por el área de sistemas deben estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores.

Disponibilidad: El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos implementados por el personal de sistemas.

Valoración


El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos implementados por el personal de sistemas.

Fuente: Propia

A continuación, se realiza el perfilamiento de servidor de pruebas

Tabla 81 Perfilamiento del activo servidor de Pruebas



Activo Critico: Servidor de pruebas.

Descripción: Proporciona servicios que soportan la ejecución de las aplicaciones a desplegar que permiten el mejoramiento de las actividades del personal de la compañía, buscando mejorar los procesos realizando actividades de validaciones y pruebas sobre las aplicaciones o prototipos implementados por el área de sistemas.




Hardware: Servidor de pruebas.


Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de pruebas con un usuario y contraseña, asignado por el área de sistemas.

153

Integridad: Todas las validaciones y pruebas implementadas por los desarrolladores de sistemas deben estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores y gerente de proyectos.

Disponibilidad: El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de QA del área de sistemas.

Valoración:


El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de QA del área de sistemas.

Fuente: Propia

A continuación, se realiza el perfilamiento de control de acceso

Tabla 82 Perfilamiento del activo Control de acceso



Activo Critico: Control de acceso.

Descripción: Procedimiento que aplica para todos los usuarios de la compañía, se les asigna un usuario y contraseña para acceder a las aplicaciones y solo algunas personas a diferentes áreas de la compañía.






Confidencialidad: Solo el personal autorizado puede acceder ciertas aplicaciones y áreas de la compañía con un usuario y contraseña asignado por el área de sistemas.

Integridad: Todas las operaciones que se realizan en las aplicaciones debe quedar registrado el usuario quien ejecuta la operación.

Disponibilidad: El control de acceso debe estar disponible solo para los usuarios activos de la compañía, para acceder a las aplicaciones de la compañía.

Valoración:


El control de acceso debe estar disponible solo para el personal activo, y así acceder a las aplicaciones de la compañía y realizar las actividades diarias.

Fuente: Propia

154

ANEXO 3

Análisis de cada una de las áreas de preocupación en cada uno de los

activos de información

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo AcciónBack.

Tabla 83 Área de preocupación Exposición de los activos de información, acceso no autorizado a los sistemas

informáticos sistema AcciónBack.



Activo Critico: Sistema AcciónBack






Requisito de seguridad: Solo personal autorizado deberá ingresar a la aplicación y realizar las operaciones y modificaciones correspondientes.

Fuente: Propia

Tabla 84 Exposición de los activos de información, Exposición de los activos de información, acceso no

autorizado a la infraestructura física sistema AcciónBack.



Activo Critico: Sistemas AcciónBack




Motivos: Intereses personales


Requisito de seguridad: El servidor de - AcciónBack solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área

Fuente: Propia

Tabla 85 Exposición de los activos de información, Desconocimiento en el manejo de los sistemas o equipos

informáticos




Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos

Actor: personal interno y externo

Medio: Ingreso al Sistema AcciónBack

Motivos: Intereses personales, divulgación información, falta de conocimiento


Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al Sistema AcciónBack con usuario y contraseña otorgado por el área de sistemas

Fuente: Propia

155

Tabla 86 Interrupción en el servicio de energía electrónica




Área de preocupación: Interrupción en el servicio de energía electrónica





Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio

Fuente: Propia

Tabla 87 Problemas de conectividad en la red interna de la organización




Área de preocupación: Problemas de conectividad en la red interna de la organización


Medio: Manipulación de los dispositivos de red, falta de capacitación

Motivos: Intereses personales Daño a la organización


Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación

Fuente: Propia

Tabla 88 Interrupción en el servicio internet




Área de preocupación: Interrupción en el servicio internet


Medio: *Falta de pago al proveedor

Motivos: *Causas naturales


Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio

Fuente: Propia

Tabla 89 Falla en los componentes de hardware en los equipos informáticos




Área de preocupación: Falla en los componentes de hardware en los equipos informáticos


Medio: Manipulación en los equipos informáticos

Motivos: Falta de capacitación


Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de AcciónBack y los dispositivos informáticos que puedan interrumpir el servicio

Fuente: Propia

156

Tabla 90 Desactualización de los sistemas









Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el Sistema AcciónBack puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio

Fuente: Propia

Tabla 91 Alta rotación de Personal




Área de preocupación: Alta rotación de Personal



Motivos: *Ambiente laboral *Crecimiento personal *Interés personal


Requisito de seguridad: El Sistemas AcciónBack solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial

Fuente: Propia

Tabla 92 Desastres naturales



Activo Critico: Sistema AcciónBack

Área de preocupación: Desastres naturales





Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural

Fuente: Propia

Tabla 93 Falla o defecto de software




Área de preocupación: Falla o defecto de software





Requisito de seguridad: El Sistemas AcciónBack estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente

Fuente: Propia

157

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Inveracción

Tabla 94 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos



Activo Critico: Inveracción







Fuente: Propia

Tabla 95 Exposición de los activos de información, acceso no autorizado a la infraestructura física.









Requisito de seguridad: El servidor de Inveracción solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área

Fuente: Propia

Tabla 96 Desconocimiento en el manejo de los sistemas o equipos informáticos









Requisito de seguridad: Solo los usuarios autorizados pueden ingresar a Inveracción con usuario y contraseña otorgado por el área de sistemas

Fuente: Propia










158


Fuente: Propia











Fuente: Propia










Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Inveracción y los dispositivos informáticos que puedan interrumpir el servicio

Fuente: Propia










159

Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas, Inveracción puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio

Fuente: Propia










Requisito de seguridad: Inveracción solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción. X Interrupción:


Fuente: Propia










Requisito de seguridad: Inveracción estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo centro de

negocios

Tabla 105 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.



Activo Critico: Centro de negocios


160


Medio: Centro de negocios


Resultados: Divulgación Modificación: X Destrucción: Interrupción:

Requisito de seguridad: Solo personal autorizado puede ingresar al Centro de negocios con un usuario y contraseña asignado por el área de sistemas.

Fuente: Propia










Requisito de seguridad: El servidor de Centro de negocios solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área

Fuente: Propia




Activo Critico: Centro de Negocios



Medio: Ingreso al Centro de negocios


Resultados: Divulgación: Modificación :X Destrucción: Interrupción:

Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al centro de negocios con usuario y contraseña otorgado por el área de sistemas

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción: Interrupción :X

Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio.

Fuente: Propia





161







Fuente: Propia










Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión del centro de negocios y los dispositivos informáticos que puedan interrumpir el servicio

Fuente: Propia










Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el centro de negocios puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio

Fuente: Propia

162









Resultados: Divulgación: Modificación: x Destrucción: Interrupción:

Requisito de seguridad: El Centro de negocios solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción. Interrupción: X


Fuente: Propia










Requisito de seguridad: El centro de negocios estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Correo

electrónico







Medio: Correo electrónico

163


Resultados: Divulgación: X Modificación: Destrucción: Interrupción:


Solo personal autorizado puede ingresar al correo electrónico con un usuario y contraseña asignado por el área de sistemas

Fuente: Propia











El servidor de correo electrónico solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área

Fuente: Propia







Medio: Ingreso al correo electrónico



Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al correo con usuario y contraseña otorgado por el área de sistemas

Fuente: Propia










Requisito de seguridad: El correo electrónico deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio

Fuente: Propia






164






Fuente: Propia







Medio: *Falta de pago al proveedor *Falla en los dispositivos *Mantenimiento por parte del proveedor

Motivos: *Falta de comunicación

Resultados: Divulgación: Modificación: Destrucción: Interrupción :X

Requisito de seguridad: El sistema no estará disponible mientras se resuelve la interrupción del servicio

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión del correo electrónico y, dispositivos informáticos que puedan interrumpir el servicio

Fuente: Propia










Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el correo electrónico puede ser incompatible con las actualizaciones y pueden vulnerar la integridad de la información que se aloja

Fuente: Propia

165










Requisito de seguridad: El correo electrónico solo puede ser utilizado por el personal autorizado, ya que la información alojada puede ser modificada y enviada al cliente

Fuente: Propia











Fuente: Propia










Requisito de seguridad: El correo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Directorio

Activo







Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la

166

compañía




Fuente: Propia










Requisito de seguridad: El Directorio Activo solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área

Fuente: Propia

Tabla 129 Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos









Requisito de seguridad: Solo el administrador de infraestructura puede ingresar a Directorio Activo con usuario y contraseña otorgado por el área de sistemas

Fuente: Propia











Fuente: Propia

167










Requisito de seguridad: Solo el área de sistemas y el administrador de infraestructura puede manipular los dispositivos internos de comunicación

Fuente: Propia

Tabla 132 Interrupción en el servicio internet Hoja de trabajo Metodología Octave Allegro








Requisito de seguridad: Para el directorio activo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio

Fuente: Propia

Tabla 133 Falla en los componentes de hardware en los equipos informáticos Hoja de trabajo Metodología Octave Allegro








Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Directorio Activo y los dispositivos hardware y software que puedan interrumpir el servicio

Fuente: Propia










Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas, Directorio Activo puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio

Fuente: Propia

168










Requisito de seguridad: Directorio Activo solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial

Fuente: Propia











Fuente: Propia










Requisito de seguridad: Directorio Activo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Bases de datos

AcciónBack

Tabla 138 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos



Activo Critico: Base de datos AcciónBack

Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos


Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la

169

compañía



Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup de la base de datos de AcciónBack.

Fuente: Propia










Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup de la base de datos de AcciónBack

Fuente: Propia







Medio: Ingreso a la base de datos


Resultados: Divulgación: Modificación: Destrucción: Interrupción: x

Requisito de seguridad: Solo el área de sistemas puede acceder a la base de datos con un usuario y contraseña otorgado por el área de sistemas

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción: Interrupción


Fuente: Propia

170











Fuente: Propia










Requisito de seguridad: Para el directorio activo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de las bases de datos y de los componentes, dispositivos informáticos que pueden alterar las bases de datos

Fuente: Propia










Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas las componentes de las base de datos pueden vulnerar la integridad de los activos provocando una paralización temporal de los servicios

Fuente: Propia

171










Requisito de seguridad: El sistema presentara modificaciones ni alteraciones hasta que se tenga un nuevo administrador de bases de datos

Fuente: Propia







Medio: Incendios, inundaciones, tormentos eléctricas, terremotos

Motivos: Causas naturales


Requisito de seguridad: la base de datos de AcciónBack no estarán disponible, mientras estos fenómenos naturales estén presentes

Fuente: Propia










Requisito de seguridad: La base de datos no estará disponible hasta que no se encuentre el fallo o se instale otra base de datos que no presente fallas

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Plataforma de

recaudo




Activo Critico: Plataforma de recaudo



Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes.

172



Requisito de seguridad: Solo los usuarios autorizados podrán ingresar a la plataforma de recaudo y realizar los pagos correspondientes.

Fuente: Propia










Requisito de seguridad: El sistema no estará disponible hasta que no se restablezca el sistema de recaudo

Fuente: Propia







Medio: Ingreso a la plataforma de recaudo



Requisito de seguridad: Solo el área de sistemas puede acceder a la plataforma de recaudo con un usuario y contraseña otorgado por la misma área

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción: Interrupción x


Fuente: Propia








173



Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación.

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción: Interrupción X

Requisito de seguridad Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de los componentes y dispositivos informáticos.

Fuente: Propia










Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios

Fuente: Propia








Motivos: *Ambiente laboral

174

*Crecimiento personal *Interés personal


Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre reemplazo

Fuente: Propia










Requisito de seguridad: La plataforma de recaudo no estarán disponible, mientras estos fenómenos naturales estén presentes

Fuente: Propia










Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre el fallo o se instale otro software.

Fuente: Propia

A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de

desarrollo




Activo Critico: Servidor de desarrollo






Requisito de seguridad: Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las actividades correspondientes.

Fuente: Propia




175




Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.



Requisito de seguridad: El Servidor de desarrollo solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.

Fuente: Propia





Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.


Medio: Ingreso al Sistema AcciónBack.

Motivos: Intereses personales, divulgación información, falta de conocimiento.


Requisito de seguridad: Solo el personal autorizado del área de desarrollo puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.

Fuente: Propia










Requisito de seguridad: El servidor de desarrollo deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio.

Fuente: Propia










Requisito de seguridad: Solo el administrador de infraestructura y el gerente de sistemas pueden manipular los dispositivos internos de comunicación.

Fuente: Propia

176





Área de preocupación: Interrupción en el servicio internet.





Requisito de seguridad: Para el Servidor de desarrollo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.

Fuente: Propia






Actor: Personal interno y externo.

Medio: Manipulación en los equipos informáticos.

Motivos: Falta de capacitación.


Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de desarrollo y los dispositivos hardware y software que puedan interrumpir el servicio.

Fuente: Propia





Área de preocupación: Desactualización de los sistemas.


Medio: El personal no actualiza los parches de seguridad.

Motivos: Falta de actualización de los parches de seguridad.


Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de desarrollo puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.

Fuente: Propia





Área de preocupación: Alta rotación de Personal.


Medio: Renuncia o despedida por parte de la compañía.



Requisito de seguridad: Servidor de desarrollo solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.

177

Fuente: Propia





Área de preocupación: Desastres naturales.

Actor: Fenómenos naturales.

Medio: Incendios, tormentas, inundaciones, terremotos.

Motivos: Factores climáticos.


Requisito de seguridad: El servidor de desarrollo no estará disponible mientras se presentan algún fenómeno natural.

Fuente: Propia





Área de preocupación: Falla o defecto de software.

Actor: Personal interno o externo.




Requisito de seguridad: Servidor de desarrollo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.

Fuente: Propia


pruebas




Activo Critico: Servidor de pruebas



Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía.




Fuente: Propia








178

Motivos: Intereses personales.


Requisito de seguridad: El Servidor de pruebas solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.

Fuente: Propia










Requisito de seguridad: Solo el personal autorizado del área de pruebas puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.

Fuente: Propia





Área de preocupación: Interrupción en el servicio de energía electrónica.

Actor: Agentes externos.




Requisito de seguridad: El servidor de pruebas deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio

Fuente: Propia











Fuente: Propia









179

Resultados: Divulgación: Modificación: Destrucción: Interrupción

Requisito de seguridad: Para el Servidor de pruebas deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.

Fuente: Propia










Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de pruebas y los dispositivos hardware y software que puedan interrumpir el servicio.

Fuente: Propia










Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de pruebas puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.

Fuente: Propia










Requisito de seguridad: Servidor de pruebas solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.

Fuente: Propia









180


Requisito de seguridad: El servidor de pruebas no estará disponible mientras se presentan algún fenómeno natural.

Fuente: Propia










Requisito de seguridad: Servidor de pruebas estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.

Fuente: Propia


aplicaciones




Activo Critico: Servidor de aplicaciones.



Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía.




Fuente: Propia










Requisito de seguridad: El Servidor de aplicaciones solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.

Fuente: Propia





181





Resultados: Divulgación: Modificación Destrucción: Interrupción: X

Requisito de seguridad: Solo el personal autorizado del área de aplicaciones puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.

Fuente: Propia







Medio: *Descarga eléctrica *Falta de pago al proveedor.



Requisito de seguridad: El servidor de aplicaciones deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio

Fuente: Propia








Motivos: Intereses personales Daño a la organización.



Fuente: Propia





Área de preocupación: Interrupción en el servicio internet.


Medio: *Falta de pago al proveedor.



Requisito de seguridad: Para el Servidor de aplicaciones deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.

Fuente: Propia

182





Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.


Medio: Manipulación en los equipos informáticos.



Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de aplicaciones y los dispositivos hardware y software que puedan interrumpir el servicio.

Fuente: Propia







Medio: El personal no actualiza los parches de seguridad.

Motivos: Falta de actualización de los parches de seguridad.


Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de aplicaciones puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.

Fuente: Propia







Medio: Renuncia o despedida por parte de la compañía.



Requisito de seguridad: Servidor de aplicaciones solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.

Fuente: Propia






Actor: Fenómenos naturales.

Medio: Incendios, tormentas, inundaciones, terremotos.

Motivos: Factores climáticos.


Requisito de seguridad: El servidor de aplicaciones no estará disponible mientras se presentan algún fenómeno natural.

Fuente: Propia

183






Actor: Personal interno o externo.

Medio: *Incompatibilidad con el sistema operativo. *Eliminación o corrupción de los archivos de instalación. *Falla del sistema por actualizaciones.

Motivos: *Falta de capacitación.


Requisito de seguridad: Servidor de aplicaciones estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.

Fuente: Propia







Medio: Correo electrónico.




Solo personal autorizado puede ingresar a la aplicación con un usuario y contraseña asignado por el área de sistemas, realizando consultas e impresión de documentos solo con autorización del jefe inmediato

Fuente: Propia

Tabla 194 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.




Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.


Medio: Ingreso a los sistemas de generación de documentos con credenciales de otros usuarios

Motivos: Intereses personales, falta de capacitación.


Requisito de seguridad: Todos los usuarios deben contar con un usuario y contraseña para generar los documentos en los sistemas de información.

Fuente: Propia







Medio: Acceso a la aplicación.

Motivos: Intereses personales, desconocimiento de la aplicación.


Requisito de seguridad: Solo el personal autorizado podrá acceder a la aplicación y realizar operaciones de registro, modificación e impresión de documentos, está

184

prohibida la divulgación de accesos a la aplicación.

Fuente: Propia




Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes)



Medio: Descarga eléctrica.

Motivos: Causas Naturales.



Los activos como impresoras, equipos de escritorio, no estarán disponibles hasta que se restablezca el servicio de energía, por lo cual es importante contar con una planta de energía o con dispositivos ups.

Fuente: Propia







Medio: Manipulación de los dispositivos de red.

Motivos: Intereses personales, falta de conocimiento.


Requisito de seguridad: Los activos como impresoras no estarán disponibles no estará disponible hasta que no restablezca la conectividad interna.

Fuente: Propia

Tabla 198 Interrupción en el servicio de internet




Área de preocupación: Interrupción en el servicio de internet.

Actor: Personal externo.

Medio: Falta de pago al proveedor.

Motivos: Causas naturales.



Los servicios de correo electrónico no estarán disponibles hasta que se restablezca el servicio con el proveedor y así poder realizar el envió de documentos por correo electrónico.

Fuente: Propia





Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.


Medio: *Manipulación errónea. *Falta de mantenimiento

185

Motivos: * Falta de capacitación * Defecto de fabricación


Requisito de seguridad: Los componente de hardware como impresoras, computadores estarán disponibles para la generación e impresión de documentos cuando se encuentre y se resuelva la falla.

Fuente: Propia







Medio: Desactualización de los sistemas operativos.

Motivos: Falta de capacitación, parches o actualizaciones erróneas.


Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas se puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios, impidiendo la generación de los documentos.







Medio: Impresión de documentos, correo electrónico.



Requisito de seguridad: Solo personal autorizado deberá enviar correo al cliente los documentos impresos serán sellados y entregados directamente al cliente.

Fuente: Propia








Motivos: Causas naturales.


Requisito de seguridad Los documentos no estarán disponibles, mientras estos fenómenos naturales estén presentes.

Fuente: Propia

Tabla 203 Fallo o defecto de software




Área de preocupación: Fallo o defecto de software.

Actor: Personal interno, personal externo.

Medio: Incompatibilidad de los sistemas operativos.



186

Requisito de seguridad: Los sistemas de generación de documentos no están disponibles mientras los defectos de software sean solucionados.

Fuente: Propia









Resultados: Divulgación: Modificación: Destrucción: Interrupción. X

Requisito de seguridad: La compañía deberá contar con equipos ups y una planta de energía que supla la necesidad y permita la continuidad de la operación mientras se restablece el servicio.

Fuente: Propia










Requisito de seguridad: Acción Fiduciaria deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet y al continuidad de la operación mientras se restablece el servicio

Fuente: Propia







Medio: Ingreso a la intranet



Requisito de seguridad: Solo el área de sistemas puede acceder a la intranet y realizar las modificaciones necesarias, con un usuario y contraseña otorgada por la misma área.

Fuente: Propia







Medio: Manipulación de los dispositivos de red, falta de capacitación,

187




Fuente: Propia







Medio: Manipulación en los equipos informáticos Falta de conocimiento



Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de los componentes y dispositivos informáticos tales como mantenimientos correctivos y preventivos e instalación de programas.

Fuente: Propia







Medio: El personal no actualiza los parches de seguridad Instalación de programas no deseables




Al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios, solo el área de sistemas puede realizar la actualización de los parches de seguridad en los equipos y las actualizaciones correspondientes

Fuente: Propia










Requisito de seguridad: La intranet no estarán disponible, mientras estos fenómenos naturales estén presentes

Fuente: Propia

188










Requisito de seguridad: la intranet no estará disponible hasta que no se encuentre la persona con conocimiento suficientes para realizar modificaciones en la intranet

Fuente: Propia

Tabla 212 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.




Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.





Requisito de seguridad: La intranet no estará disponible hasta que no se restablezca el servicio y se encuentre la falla en el datacenter.

Fuente: Propia










Requisito de seguridad: La intranet no estará disponible hasta que no se encuentre el fallo y se realice el ajuste necesario para continuar con la operación de la compañía

Fuente: Propia







Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes



Requisito de seguridad: Solo los usuarios autorizados podrán ingresar a la intranet, solo el área de sistemas puede realizar modificaciones en la intranet.

Fuente: Propia

189

Anexo 4

Árbol de amenaza de cada uno de los activos de información

Tabla 215 Árbol de Amenaza Correo Electrónico

Árbol de Amenaza: Activo de Información: Correo Electrónico




Divulgación

Desconocimiento en el manejo de los sistemas o equipos informáticos Modificación


Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción

Problemas técnicos.

Problemas de conectividad en la red interna de la organización. Interrupción


Falla en los componentes de hardware de los equipos Interrupción



Otros Problemas.



Desastres Naturales Destrucción

Fuente: Propia

Tabla 216 Árbol de Amenaza Directorio Activo

Árbol de Amenaza: Activo de Información: Directorio Activo




Modificación


Modificación


Exposición de los activos de información, acceso no autorizado a la infraestructura física. Modificación

Problemas técnicos.






Otros Problemas.




Fuente: Propia

Tabla 217 Árbol de Amenaza Base de datos AcciónBack

Árbol de Amenaza: Activo de Información: Base de datos AcciónBack




Modificación


Interrupción



Problemas técnicos Problemas de conectividad en la red interna de la organización. Interrupción

190





Otros Problemas




Fuente: Propia

Tabla 218 Árbol de Amenaza Servidor de desarrollo

Árbol de Amenaza: Activo de Información: Servidor de desarrollo




Modificación


Modificación



Problemas técnicos






Otros Problemas




Fuente: Propia

Tabla 219 Árbol de Amenaza Servidor de pruebas

Árbol de Amenaza: Activo de Información: Servidor de pruebas




Modificación


Modificación



Problemas técnicos






Otros Problemas




Fuente: Propia

Tabla 220 Árbol de Amenaza Servidor de Aplicaciones

Árbol de Amenaza: Activo de Información: Servidor de Aplicaciones




Modificación


Modificación

191



Problemas técnicos






Otros Problemas




Fuente: Propia

Tabla 221 Árbol de Amenaza Documentos

Árbol de Amenaza: Activo de Información: Documentos




Divulgación


Modificación



Problemas técnicos






Otros Problemas


Alta Rotación de Personal Divulgación


Fuente: Propia

Tabla 222 Árbol de Amenaza Intranet

Árbol de Amenaza: Activo de Información: Intranet




Divulgación


Modificación



Problemas técnicos




Desactualización de los sistemas. Interrupción


Otros Problemas




Fuente: Propia

192

Anexo 5


Centro Negocios

Tabla 223 Consecuencias del centro de negocios



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos del centro negocios para regresar al estado anterior a la exposición

Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para instruir al cliente al ingreso a la plataforma

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al centro de negocios hasta no encontrar la interrupción del servicio

Problemas de conectividad en la red interna de la organización: El centro de negocios estará fuera de servicio mientras se restablece el servicio de red interna, los administradores presentaría retrasos en los informes solicitados por el cliente

Interrupción en el servicio de internet: El centro de negocios estará fuera de servicio mientras se restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por los clientes

Falla en los componentes de hardware de los equipos: Los administradores presentarían retrasos en las consultas afectando al área de servicio al cliente

Desactualización de los sistemas: La interfaz del centro de negocios presenta fallas mostrando inconvenientes en las descargas de los reportes o en el acceso al centro de negocios

Fallo o defecto de Software: Los administradores dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado al centro de negocios

Interrupción en el servicio de energía eléctrica: El centro de negocios estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: Los administradores presentan dificultades para ingresar y realizar consultas al centro de negocios

Desastres Naturales: El centro de negocios estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Plataforma de recaudo

Tabla 224 Consecuencias de la plataforma de recaudo



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de la plataforma de recaudo para regresar al estado anterior a la exposición

Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para instruir al cliente al ingreso a la plataforma de recaudo

Exposición de los activos de información, acceso no autorizado a la infraestructura física. El área de sistemas no pueden ingresar a la plataforma de recaudo hasta no encontrar la interrupción del servicio

Problemas de conectividad en la red interna de la organización: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de red interna, los administradores y los usuarios autorizados presentaría retrasos en los informes solicitados por el cliente

Interrupción en el servicio de internet: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por los clientes

193

Falla en los componentes de hardware de los equipos: Los administradores y los usurarios autorizados presentarían retrasos en las consultas afectando a una o más áreas

Desactualización de los sistemas: La interfaz de la plataforma presenta fallas mostrando inconvenientes en el pago de los compromisos

Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo

Interrupción en el servicio de energía eléctrica: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: Los administradores y los usuarios autorizados presentan dificultades para ingresar y realizar consultas en la plataforma de recaudo

Desastres Naturales: La plataforma de recaudo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Base de datos

Tabla 225 Consecuencias de las bases de datos de AcciónBack



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio

Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas en la base de datos presentando retrasos en las operaciones diarias

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de bases de datos de AcciónBack

Problemas de conectividad en la red interna de la organización: La base de datos estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de la fiduciaria

Interrupción en el servicio de internet: La base de datos de AcciónBack estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria

Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas afectando a una o más áreas

Desactualización de los sistemas: La interfaz de la base de datos de AcciónBack presenta fallas mostrando inconvenientes en las consultas de la aplicación

Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo

Interrupción en el servicio de energía eléctrica: La base de datos estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y realizar consultas sobre la base de datos

Desastres Naturales: La base de datos estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Correo electrónico

Tabla 226 Consecuencias del correo electrónico



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio

194

Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas y envió de correos electrónicos

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de correo electrónico

Problemas de conectividad en la red interna de la organización: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de la fiduciaria

Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria

Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de los correo electrónico afectando a una o más áreas

Desactualización de los sistemas: La interfaz del correo electrónico presenta fallas mostrando inconvenientes en las consultas, descargas y envió de archivos por correo.

Fallo o defecto de Software: El persona deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de correo electrónico

Interrupción en el servicio de energía eléctrica: El correo electrónico estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y realizar consultas sobre la base de datos

Desastres Naturales: El correo electrónico estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Digitalizador de documentos

Tabla 227 Consecuencias del digitalizador de documentos



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos del digitalizador de documentos para restablecer el servicio de la aplicación

Desconocimiento en el manejo de los sistemas informáticos: El personal autorizado puede presentar dificultad con el manejo de aplicación presentando retrasos en las operaciones de la fiduciaria

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor del digitalizador de documentos, presentando retrasos en las operaciones de la fiduciaria

Problemas de conectividad en la red interna de la organización: El personal no podrá ingresar a la aplicación hasta que no se restablezca el servicio de red interno presentando retrasos en las operaciones de la fiducia afectando a una o más áreas

Interrupción en el servicio de internet: El personal no podrá ingresar a la aplicación hasta que no se restablezca el servicio de internet presentando retrasos en las operaciones de la fiducia afectando a una o más áreas

Falla en los componentes de hardware de los equipos: El digitalizador de documentos presenta fallas para establecer comunicación con la impresora, presentando retrasos en las operaciones de la fiduciaria

Desactualización de los sistemas: La interfaz del digitalizador que presenta fallas mostrando inconvenientes para digitalizar los documentos de los clientes

Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado al digitalizador

Interrupción en el servicio de energía eléctrica: El digitalizador de documentos estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio

Desastres Naturales: El digitalizador de documentos estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

195

Inveracción

Tabla 228 Consecuencias de Inveracción



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de Inveracción para restablecer el servicio de la aplicación

Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas, de pagos de compromisos, consulta de movimientos y apertura de encargos

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de Inveracción

Problemas de conectividad en la red interna de la organización: Inveracción estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria

Interrupción en el servicio de internet: Inveracción estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria

Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de movimientos de encargos, aperturas y retiros de los clientes

Desactualización de los sistemas: La interfaz de Inveracción presenta fallas mostrando inconvenientes en las aperturas de los encargos

Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a Inveracción

Interrupción en el servicio de energía eléctrica: Inveracción estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal : El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio

Desastres Naturales: Inveracción estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Servidor de aplicaciones

Tabla 229 Consecuencias del servidor de aplicaciones



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de aplicaciones restablecer el servicio

Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar la configuración del servidor de aplicaciones

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de aplicaciones

Problemas de conectividad en la red interna de la organización: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria

Interrupción en el servicio de internet: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria

Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en la operaciones de la fiduciaria debido a que no tienen acceso a las aplicaciones

Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando inconvenientes en el acceso de las aplicaciones

Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor de aplicaciones

Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio

196

mientras se restablece el servicio de energía

Alta Rotación de Personal: El servidor presentara dificultades para que el personal pueda acceder a las aplicaciones, presentando retrasos en las operaciones de la fiduciaria

Desastres Naturales: El servidor de aplicaciones estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Servidor de desarrollo

Tabla 230 Consecuencias del servidor de desarrollo



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de desarrollo para restablecer el servicio

Desconocimiento en el manejo de los sistemas informáticos: El personal de desarrollo de la fiduciaria presenta dificultad para realizar la configuración del servidor

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de desarrollo

Problemas de conectividad en la red interna de la organización: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de red interna, el personal desarrollo presentaría retrasos en las implementaciones de los proyectos

Interrupción en el servicio de internet: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de red, el personal de desarrollo puede presentar retrasos en las implementaciones de los proyectos

Falla en los componentes de hardware de los equipos: El personal de desarrollo puede presentar retrasos en las implementaciones de los proyectos debido a las fallas presentadas en los componentes

Desactualización de los sistemas: La interfaz del servidor de desarrollo presenta fallas mostrando inconvenientes en el acceso al servidor

Fallo o defecto de Software: El personal de desarrollo deja de laboral parciamente si falla o existe incompatibilidad en el servidor.

Interrupción en el servicio de energía eléctrica: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de desarrollo pueda acceder al servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de entrenamiento al nuevo personal

Desastres Naturales: El servidor de desarrollo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Servidor de pruebas

Tabla 231 Consecuencias del servidor de pruebas



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de pruebas para restablecer el servicio

Desconocimiento en el manejo de los sistemas informáticos: El personal de pruebas de la fiduciaria presenta dificultad para realizar la configuración del servidor

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de pruebas

Problemas de conectividad en la red interna de la organización: El servidor de pruebas estará fuera de servicio mientras se restablece el servicio de red interna, el personal QA presentaría retrasos en las pruebas de las aplicaciones implementadas

197

Interrupción en el servicio de internet: El servidor de pruebas estará fuera de servicio mientras se restablece el servicio de red, el personal de QA puede presentar retrasos en las pruebas de las aplicaciones de los proyectos

Falla en los componentes de hardware de los equipos: El personal de QA puede presentar retrasos en las pruebas de implementación de los proyectos debido a las fallas presentadas en los componentes

Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando inconvenientes en el acceso al servidor

Fallo o defecto de Software: El personal de aplicaciones deja de laboral parciamente si falla o existe incompatibilidad en el servidor.

Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de QA pueda acceder al servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de entrenamiento al nuevo personal

Desastres Naturales: El servidor de pruebas estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Directorio Activo

Tabla 232 Consecuencias del directorio activo



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El digitalizador de documentos estará fuera de servicio mientras se restablece el servicio de energía

Desconocimiento en el manejo de los sistemas informáticos. El ingeniero de infraestructura presenta fallas al momento de realizar consultas sobre usuarios vigentes

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al directorio activo

Problemas de conectividad en la red interna de la organización: El directorio activo estará fuera de servicio mientras se restablece el servicio de red interna

Interrupción en el servicio de internet: El directorio activo estará fuera de servicio mientras se restablece el servicio de red de internet

Falla en los componentes de hardware de los equipos: el directorio dejaría de funcionar mientras se encuentra la falla en los equipos

Desactualización de los sistemas: La interfaz del directorio activo puede presentar fallas debido a que los sistemas se encuentran desactualizados

Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad.

Interrupción en el servicio de energía eléctrica: El directorio activo estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El directorio activo puede ser manipulado por personas del área de sistemas que no conocer realmente su funcionamiento

Desastres Naturales: El directorio activo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Control de acceso

Tabla 233 Consecuencias del control de acceso



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La información sensible de la compañía puede ser expuesta debido a que los usuarios tienen privilegios inadecuados

Desconocimiento en el manejo de los sistemas informáticos: El personal puede ingresar a las aplicación y realizar modificaciones sin darse cuenta del proceso que ejecuta en la aplicación

198

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas debe trabajar largas horas para identificar el problema

Problemas de conectividad en la red interna de la organización: Los usuarios no pueden acceder a las aplicaciones

Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones

Falla en los componentes de hardware de los equipos: El control de acceso puede presentar fallas debido a la configuración de los equipos de hardware

Desactualización de los sistemas: El control de acceso puede presentar incompatibilidad con los sistemas debido a la desactualización de los mismos

Fallo o defecto de Software. El control de acceso puede presentar fallas por defecto o mala instalación es el equipo

Interrupción en el servicio de energía eléctrica: El control de acceso estará fuera de servicio mientras se restablece el servicio de energía

Alta Rotación de Personal: El control de acceso puede presentar fallas de configuración y afectar al personal debido a que el personal encargado no conoce la herramienta

Desastres Naturales: El control de acceso estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria

Fuente: Propia

Documentos

Tabla 234 Consecuencias de documentos



Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La información del cliente como extractos, estados de cuenta sensible puede ser expuesta por mal uso de los sistemas

Desconocimiento en el manejo de los sistemas informáticos: La información del cliente puede ser divulgada por el personal al no conocer la herramienta

Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas debe trabajar largas horas para identificar el problema

Problemas de conectividad en la red interna de la organización: Los usuarios no pueden generar la documentación requerida por los clientes

Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones para generar los documentos de los clientes

Falla en los componentes de hardware de los equipos: El personal puede presentar problemas para imprimir los documentos o descargar de las aplicaciones las solicitudes realizadas por clientes

Desactualización de los sistemas: El personal puede presentar problemas para visualizar los documentos debido a que el visor de imágenes es incompatible

Fallo o defecto de Software: El personal puede presentar fallas en las aplicaciones que permiten descargar los documentos debido a que el software es incompatible

Interrupción en el servicio de energía eléctrica: El personal no podrá descargar ni imprimir documentación mientras se presenta la falla

Alta Rotación de Personal: El personal puede presentar fallas en las operaciones s de la fiduciaria debido a que el personal no conoce la herramienta

Desastres Naturales: El personal no podrá descargar ni imprimir documentos mientras se presenta el fenómeno natural

Fuente: Propia

199

Anexo 6

Análisis de riesgos de los activos de información

Centro de negocios

Tabla 235 Análisis de riesgo del centro de negocios según la Exposición de los activos de información, acceso

no autorizado a los sistemas informáticos.


Área de preocupación Área de impacto Ranking Valor del impacto Score


Consumidor financiero 5 Medio (2) 10


Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas

informáticos.






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas

informáticos



Exposición de los activos de información, acceso

no autorizado a la infraestructura física.



Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

Tabla 238 Análisis de riesgo del centro de negocios según Problemas de conectividad en la red interna de la

organización.






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

200

Tabla 239 Análisis de riesgo del centro de negocios según Interrupción en el servicio de internet




Consumidor financiero 5 Alto (3) 15

Reputación 4 Medio (2) 8

Legal 3 Bajo (1) 3



Total: 31

Fuente: Propia

Tabla 240 Análisis de riesgo del centro de negocios según Falla en los componentes de hardware de los

equipos






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

Tabla 241 Análisis de riesgo del centro de negocios según Desactualización de los sistemas






Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto de Software






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

Tabla 243 Análisis de riesgo del centro de negocios según Interrupción en el servicio de energía eléctrica.






Legal 3 Bajo (1) 3


201


Total: 24

Fuente: Propia

Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación de Personal






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

Tabla 245 Análisis de riesgo del centro de negocios según Desastres Naturales



Desastres Naturales



Legal 3 Bajo (1) 3



Total: 34

Fuente: Propia

Tabla 246 Análisis de riesgo del centro de negocios




Bajo 22



Medio 26

Problemas de conectividad en la red interna de la organización. Bajo 17

Interrupción en el servicio de internet Medio 31




Interrupción en el servicio de energía eléctrica. Medio 24


Desastres Naturales Medio 34

Fuente: Propia

Plataforma de recaudo

Tabla 247 Análisis de riesgo de la plataforma de recaudo



Exposición de los activos de información, acceso no autorizado a los



Legal 3 Bajo (1) 3

202

sistemas informáticos. Productividad 2 Medio (2) 4


Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 33

Fuente: Propia




Falla en los Consumidor financiero 5 Medio (2) 10

203

componentes de hardware de los equipos


Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

204




Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia





Bajo 22

Desconocimiento en el manejo de los sistemas informáticos. Medio 22


Bajo 22








Desastres Naturales Alto 37

Fuente: Propia

Base de datos AcciónBack

Tabla 259 Análisis de riesgo de la Base de datos AcciónBack






Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

205





Consumidor financiero 5 Alto(3) 15


Legal 3 Bajo (1) 3



Total: 27

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3

206



Total: 27

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia



207



Medio 22



Medio 27

Problemas de conectividad en la red interna de la organización. Medio 29








Fuente: Propia

Correo electrónico

Tabla 271 Análisis de riesgo del correo electrónico






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia





Consumidor financiero 5 Bajo(1) 5


Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia




Problemas de Consumidor financiero 5 Bajo (1) 5

208

conectividad en la red interna de la organización.


Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia


209






Legal 3 Medio (2) 6



Total: 32

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia





Bajo 17



Bajo 19









Fuente: Propia

AcciónBack

Tabla 283 Análisis de riesgo del sistema AcciónBack



210




Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia





Consumidor financiero 5 Medio(2) 10


Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia




211




Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia



212


Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia





Bajo 22


Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 24









Fuente: Propia

Inveracción

Tabla 295 Análisis de riesgo del sistema Inveracción






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Exposición de los activos Consumidor financiero 5 Bajo(1) 5

213

de información, acceso no autorizado a la infraestructura física.


Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

214







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15




Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia





Bajo 17


Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 19





215





Fuente: Propia

Servidor de aplicaciones

Tabla 307 Análisis de riesgo del servidor de aplicaciones






Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia

216







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia

217







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 37

Fuente: Propia





Medio 24











Fuente: Propia

Servidor de pruebas

Tabla 319 Análisis de riesgo del servidor de pruebas






Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

218







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

219







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

220





Bajo 15










Desastres Naturales Bajo 15

Fuente: Propia

Servidor de Producción

Tabla 331 Análisis de riesgo del servidor de producción






Legal 3 Bajo (1) 3



Total: 32

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

221







Legal 3 Bajo (1) 3

Productividad 2 Alto(3) 6


Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

222







Legal 3 Bajo (1) 3



Total: 27

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6


Seguridad /Salud 1 Alto (3) 3

Total: 38

Fuente: Propia





Alto 32



Medio 22

Problemas de conectividad en la red interna de la organización. Alto 29

Interrupción en el servicio de internet Alto 29

Falla en los componentes de hardware de los equipos Medio 22


Fallo o defecto de Software Medio 22




Fuente: Propia

223

Directorio Activo

Tabla 343 Análisis de riesgo del directorio activo






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3


224


Total: 29

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 29

Fuente: Propia

225







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 38

Fuente: Propia





Bajo 17



Medio 22


Interrupción en el servicio de internet Alto 29

Falla en los componentes de hardware de los equipos Medio 22

Desactualización de los sistemas Medio 22


Interrupción en el servicio de energía eléctrica. Alto 29



Fuente: Propia

Digitalizador de Documentos

Tabla 355 Análisis de riesgo de los documentos






Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

226







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

227







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia

Tabla 364 Análisis de riesgo de los documentos Hoja de trabajo Metodología Octave Allegro





Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 38

Fuente: Propia

228





Medio 22











Fuente: Propia

Documentos







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 15

Fuente: Propia

229







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

230







Legal 3 Bajo (1) 3



Total: 24

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 38

Fuente: Propia





Bajo 15









Alta Rotación de Personal Medio 22


Fuente: Propia

231

Digitalizador

Tabla 379 Análisis de riesgo del digitalizador de documentos






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

232

Tabla 384 Análisis de riesgo del digitalizador de documentos Hoja de trabajo Metodología Octave Allegro





Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

233




Desastres Naturales



Legal 3 Medio (2) 6



Total: 33

Fuente: Propia





Bajo 17











Fuente: Propia

Control de acceso

Tabla 391 Análisis de riesgo del control de acceso






Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia

234







Legal 3 Bajo (1) 3



Total: 27

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 22

Fuente: Propia

235







Legal 3 Bajo (1) 3



Total: 19

Fuente: Propia







Legal 3 Bajo (1) 3



Total: 17

Fuente: Propia




Desastres Naturales



Legal 3 Medio (2) 6



Total: 33

Fuente: Propia





Bajo 17











Fuente: Propia

236

Anexo 7

Mitigación de riesgos de los activos de información

Tabla 402 Mitigación de riesgos Bases de datos

Nombre del activo: Base de datos




Categoría: Grupo 2


Control: • Solo el gerente de tecnología y el administrador de bases de datos pueden realizar alguna modificación,

eliminación o alteración sobre la base de datos. • Solo se puede ingresar a la base de datos con un usuario y contraseña. • Se debe cambiar la clave de las aplicaciones cada 30 a 45 días. • La contraseña de acceso a la base de datos debe contener letras mayúsculas, minúsculas, números y

caracteres especiales.

• registrar en un log y/o bitácora los cambios realizados sobre la base de datos. • Realizar un backup diario de la base de datos. Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.



Categoría: Grupo 2


Control: • Solo el personal autorizado puede realizar modificaciones sobre la base de datos. • Realizar un manual o instructivo de procesos para los cambios realizados en la base de datos. • Registrar todos los cambios realizados sobre la base de datos. • Capacitar al personal constantemente en actualizaciones de bases de datos




Categoría: Grupo 2


Control: • Solo el gerente de tecnología y el administrador de bases de datos pueden acceder al data center donde se

encuentra alojado el servidor de bases de datos. • Registrar en una bitácora o log los cambios y/o ajustes realizados sobre el servidor. • Registrar en una bitácora la fecha, hora y usuario que accede al data center. Área de preocupación: Problemas de conectividad en la red interna de la organización.



Categoría: Grupo 2


Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.




Categoría: Grupo 2






Categoría: Grupo 3


Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza.




Categoría: Grupo 3


237

Control: • Instalar actualizaciones en los equipos y servidor de base de datos. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.

Área de preocupación: Fallo o defecto de Software



Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los equipos y en el servidor de base de datos. • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de las bases de datos • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de las bases de datos. • Instalar las actualizaciones y parches de seguridad

Área de preocupación: Interrupción en el servicio de energía eléctrica.



Categoría: Grupo 2


Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.




Categoría: Grupo 4

Acción: Aceptar

Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Mejorar ambiente laboral • Capacitar constantemente al personal

Área de preocupación: Desastres Naturales



Categoría: Grupo 1

Acción: Mitigar

Control: • Adecuar un servidor dedicado que permita tener copias de seguridad de la base de datos en otra ciudad,

asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,

señalización. • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia

prudencial.

Fuente: Propia

Tabla 403 Mitigación de riesgos correo electrónico

Nombre del activo: Correo electrónico




Categoría: Grupo 3


Control: • El usuario y contraseña es personal e intransferibles no se debe compartir por ningún motivo ni medio. • La contraseña debe ser cambiada cada 30 a 45 días. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras

mayúsculas minúsculas, números y caracteres especiales.




Categoría: Grupo 4

Acción: Aceptar

Control: • Capacitar al personal virtual y presencialmente en el uso del correo electrónico. • Implementar un manual de usuario para el uso adecuado del correo electrónico.

238




Categoría: Grupo 3


Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el correo

electrónico. • Todas las modificaciones realizadas en el correo electrónico deben quedar registradas en una bitácora. • Para acceder al datacenter se ingresar con la clave y huella. • Registrar en una bitácora la fecha y hora de ingreso al datacenter.




Categoría: Grupo 3


Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre la red interna de la compañía. • Registrar todos los eventos de interrupción o modificación de la red interna.




Categoría: Grupo 2






Categoría: Grupo 3


Control: • Implementar un manual que indique el uso adecuado de los equipos. • Realizar mantenimiento preventivo y correctivo para cada uno de los equipos. • Instalar el sistema operativo adecuado para cada uno de los equipos. • Instalar en los equipos antivirus para la prevención de ataques e intrusos.




Categoría: Grupo 3


Control: • Instalar actualizaciones en los equipos y en el servidor de correo electrónico. • Desinstalar programas que no sean de uso exclusivo de la empresa. • Las actualizaciones deben ser compatibles con los sistemas operativos • Instalar parches de seguridad.




Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los equipos en los que se instalara el correo electrónico. • Desinstalar los programas que nos sean de uso exclusivo de la empresa. • Adquirir software licenciado. • Instalar el sistema operativo indicado para la correcta operación del correo electrónico. • Instalar de manera correcta el correo electrónico en los equipos de la compañía. • Instalar todas las actualizaciones correspondientes al correo electrónico.




Categoría: Grupo 2


Control: • Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las

operaciones de la compañía.




Categoría: Grupo 3


Control:

239

• Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal




Categoría: Grupo 1

Acción: Mitigar

Control: • Adecuar un servidor dedicado que permita tener copias de seguridad de los correos electrónicos de todos los

usuarios de la compañía en otra ciudad, asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,


prudencial.

Fuente: Propia

Tabla 404 Mitigación de riesgos centro de negocios

Nombre del activo: Centro de Negocios




Categoría: Grupo 2


Control:

• Solo los administradores de negocios pueden ingresar al centro de negocios con un usuario y contraseña

• La contraseña debe ser de uso personal e intransferible, la contraseña debe ser cambiada cada 10 a 45 días.

• La contraseña debe tener una longitud mínima de 8 caracteres, debe contener letras mayúsculas, minúsculas, caracteres especiales y números.

• Todas las operaciones realizadas en el centro de negocios debe quedar registradas con el usuario.




Categoría: Grupo 3


Control:

• Se debe realizar manuales sobre el uso adecuado del centro de negocios

• Se debe realizar capacitaciones virtuales y presenciales sobre el centro de negocios.

• Realizar pruebas piloto en cada una de las primas para conocer el correcto funcionamiento




Categoría: Grupo 2


Control:

• Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor del centro de negocios para realizar modificaciones

• Solo el gerente de tecnología y el gerente de infraestructura p acceder so data center con un usuario y contraseña asignados por el área de sistemas




Categoría: Grupo 3


Control:

• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red

• Se debe registrar en una bitácora todas las modificaciones realizadas sobre los dispositivos de red




Categoría: Grupo 2


Control:

240

Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía




Categoría: Grupo 3


Control:

• Instalar antivirus en cada uno de los equipos en los que se usará el centro de negocios en los equipos de la compañía

• Desinstalar los programas que nos sean de uso exclusivo de la empresa.

• Adquirir software licenciado.

• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.




Categoría: Grupo 3


Control:

• Instalar actualizaciones en los equipos y en el servil

• Desinstalar programas que no sean de uso exclusivo de la empresa.

• Las actualizaciones deben ser compatibles con los sistemas operativos

• Instalar parches de seguridad.




Categoría: Grupo 3


Control:

• Instalar antivirus en cada uno de los equipos en los que se usara el centro de negocios en la compañía

• Desinstalar los programas que nos sean de uso exclusivo de la empresa.

• Adquirir software licenciado.

• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.

• Instalar todas las actualizaciones correspondientes que permitan la correcta operación del centro de negocios




Categoría: Grupo 2






Categoría: Grupo 3


Control:

• Reconocimiento profesional





• Capacitar constantemente al personal



Probabilidad subjetiva:

Categoría: Grupo 2


Control: • Adecuar un servidor dedicado que permita tener copias de seguridad del centro de negocios en otra ciudad,

asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,


prudencial.

Fuente: Propia

241

Tabla 405 Mitigación de riesgos Accionback

Nombre del activo: Accionback




Categoría: Grupo 3


Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación. • Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras

mayúsculas minúsculas, números y caracteres especiales. • El usuario y contraseña debe personal e intransferible. • El usuario es responsable de las operaciones o movimientos realizados en la aplicación.




Bajo

Categoría: Grupo 3


Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación




Categoría: Grupo 2


Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la

aplicación. • Todas las modificaciones realizadas en Acciónback deben quedar registradas en una bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.




Categoría: Grupo 3


Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y modificación de los

dispositivos de red. • Registrar todas las modificaciones realizadas




Categoría: Grupo 2


Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía




Categoría: Grupo 3


Control: • Realizar mantenimientos preventivos de los equipos. • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la tomas de corriente




Categoría: Grupo 3


Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.

242




Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los equipos y en el servidor de AcciónBack • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de Accionback • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de Accionback • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2




Puntaje de riesgo relativo:17


Categoría: Grupo 3


Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal




Categoría: Grupo 1

Acción: Mitigar

Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,

señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia

prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,

asegurando la continuidad de la operación.

Fuente: Propia

Tabla 406 Mitigación de riesgos documentos

Nombre del activo: Documentos




Categoría: Grupo 2


Control: • Solo el personal autorizado puede generar documentos. • Los usuarios pueden acceder a generar documentos con un usuario y contraseña asignados por el área de

sistemas. • El usuario y contraseña son de uso exclusivo del usuario no se debe difundir a ningún compañero de la

compañía. • La contraseña debe ser cambiada cada 30 a 45 días • La contraseña de acceso a las aplicaciones deben contener letras mayúsculas, minúsculas, números y

caracteres especiales.




Categoría: Grupo 4

Acción: Aceptar

Control: • Capacitar al personal constantemente de manera virtual y presencial en la generación de documentos para

los clientes.

243

• Realizar un instructivo que permita al personal guiarlo en cada paso del uso de la herramienta para generar documentos.




Categoría: Grupo 2


Control: Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor con un usuario y contraseña Solo con el usuario y contraseña pueden acceder al datacenter y realizar modificaciones sobre el servidor.




Categoría: Grupo 2


Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red.




Categoría: Grupo 2






Categoría: Grupo 3


Control: • Capacitar al personal para el uso adecuado de los equipos de cómputo e impresoras • Realizar mantenimientos preventivos tanto a los equipos como a las impresoras • Adquirir repuestos compatible con los equipos e impresoras con proveedores de confianza




Categoría: Grupo 2


Control: • Instalar las actualizaciones en los equipos e impresoras • Desinstalar los programas que no sean de uso operativo de la compañía para generar documentos. • Adquirir software licenciado




Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los equipos • Desinstalar los programas que no sean necesarios para la operatividad de la compañía • Instalar el sistema operativo adecuado que permita la funcionalidad correcta para la generación de

documentos • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2






Categoría: Grupo 3


Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso

244

• Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal




Categoría: Grupo 1

Acción: Mitigar





Fuente: Propia

Tabla 407 Mitigación de riesgos digitalizador de documentos

Nombre del activo: Digitalizador de documentos




Categoría: Grupo 3


Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación. • Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras





Categoría: Grupo 2






Categoría: Grupo 3



aplicación. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una

bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.




Categoría: Grupo 2


• Control: Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y modificación de los dispositivos de red.

Registrar todas las modificaciones realizadas




Categoría: Grupo 2






Categoría: Grupo 3


245

Control: • Instalar antivirus en cada uno de los equipos y los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la intranet • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 3


Control: • Instalar actualizaciones en los equipos • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado




Categoría: Grupo 2


Control: • Instalar antivirus en cada uno de los equipos • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del digitalizador de

documentos • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del digitalizador de documentos • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 3






Categoría: Grupo 3






Categoría: Grupo 1

Acción: Mitigar





Fuente: Propia

Tabla 408 Mitigación de riesgos Inveracción

Nombre del activo: Inveracción




Categoría: Grupo 3


Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación.

246

• Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras





Categoría: Grupo 3






Categoría: Grupo 3



aplicación. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una





Categoría: Grupo 3


Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red




Categoría: Grupo 2






Categoría: Grupo 3


Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza




Categoría: Grupo 3






Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los equipos de la compañía. • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la aplicación. • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la aplicación • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2


Control:

247

Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.




Categoría: Grupo 3






Categoría: Grupo 1

Acción: Mitigar



prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de la aplicación de Inveracción en

otra ciudad, asegurando la continuidad de la operación

Fuente: Propia

Tabla 409 Mitigación de riesgos directorio activo

Nombre del activo: Directorio Activo




Categoría: Grupo 3


Control: Solo el ingeniero de infraestructura y el gerente de tecnología pueden ingresar al directorio activo




Categoría: Grupo 3


Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para la manipulación adecuada del directorio activo




Categoría: Grupo 2


Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el directorio

activo. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una





Categoría: Grupo 2






Categoría: Grupo 2


248





Categoría: Grupo 2


Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza




Categoría: Grupo 2






Categoría: Grupo 2


Control: • Instalar antivirus en cada uno de los equipos de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del directorio activo • Instalar el sistema operativo adecuado • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2






Categoría: Grupo 3






Categoría: Grupo 3

Acción: Mitigar



prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra

ciudad, asegurando la continuidad de la operación

Fuente: Propia

Tabla 410 Mitigación de riesgos servidor de desarrollo

Nombre del activo: Servidor de Desarrollo


249



Categoría: Grupo 2


Control: • Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor. • Registrar todas las modificaciones realizadas en el servidor. • Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras





Categoría: Grupo 2


Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación.




Categoría: Grupo 2


Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una





Categoría: Grupo 2






Categoría: Grupo 3






Categoría: Grupo 3


Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma corriente • El servidor debe de trabajar en un ambiente con Aire Acondicionado • ubicar los servidores lejos de materiales de alta tensión y líquidos flamables




Categoría: Grupo 4

Acción: Aceptar





Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor

250

• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor • Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2






Categoría: Grupo 3






Categoría: Grupo 1

Acción: Mitigar





Fuente: Propia

Tabla 411 Mitigación de riesgos servidor de aplicaciones

Nombre del activo: Servidor de Producción




Categoría: Grupo 1

Acción: Mitigar






Categoría: Grupo 2


Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación.




Categoría: Grupo 2




251




Categoría: Grupo 2






Categoría: Grupo 2


Control:




Categoría: Grupo 2


Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • El servidor debe de trabajar en un ambiente con Aire Acondicionado • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma corriente • Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables




Categoría: Grupo 3






Categoría: Grupo 2


Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 2





Probabilidad

subjetiva: Bajo

Categoría: Grupo 3


Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral Capacitar constantemente al personal




Categoría: Grupo 1

Acción: Mitigar


252




Fuente: Propia

Tabla 412 Mitigación de riesgos servidor de pruebas

Nombre del activo: Servidor de pruebas




Categoría: Grupo 3







Categoría: Grupo 3


Control:




Categoría: Grupo 3







Categoría: Grupo 3






Categoría: Grupo 3




Puntaje de riesgo relativo: Probabilidad subjetiva: Bajo

Categoría: Grupo 3


Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma de corriente • El servidor debe de trabajar en un ambiente con Aire Acondicionado • Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables




Categoría: Grupo 3


253





Categoría: Grupo 3


Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor Instalar las actualizaciones y parches de seguridad




Categoría: Grupo 3






Categoría: Grupo 3






Categoría: Grupo 3






Fuente: Propia

254

Anexo 8

Documentación de los casos de uso

Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo

Caso de uso No. 5 Nombre: Crear Criterio de Medida de Riesgo


Objetivo: Configurar el criterio de medida de riesgo para una de las áreas de impacto

Descripción: Se configura cual es la medida de riesgo en bajo, moderado y alto para un área de impacto

Precondiciones:

- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Configurar criterios de

medida de riesgo

3.Hacer clic en el botón Agregar Medida de Riesgo


7.Dar clic en el botón aceptar del mensaje Criterio

de Medida de Riesgo registrado correctamente


2.Desplegar los criterios de medida de riesgo configurados

4. Mostrar el formulario con los campos necesarios para

crear la Medida de Riesgo

6.Retornar mensaje Criterio de Medida de Riesgo

Registrado Correctamente


8.Mostrar la interfaz con todos los criterios de medida

creados, incluyendo el nuevo


-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.

Flujo Alterno


Lorena Rojas 26/06/17 1.0

Fuente: Propia

Tabla 414 Documentación de caso de uso consulta de criterios de Medida de Riesgo

Caso de uso No. 6 Nombre: Consultar Criterios de Medida de Riesgo


Objetivo: Ver la lista de Criterios de Medida de riesgo configurados

Descripción: Ver la lista organizada por orden de configuración de los criterios de medida de riesgo

Precondiciones:

- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios registrados en el sistema

Flujo de Eventos

Acciones del Actor


medida de riesgo


2.Desplegar los criterios de medida de riesgo

configurados, con la opción de ver y eliminar en cada

uno de los criterios listados


Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.

Flujo Alterno

255



Fuente: Propia

Tabla 415 Documentación de caso de uso Actualización de Criterios de Medida de Riesgo

Caso de uso No. 7 Nombre: Actualizar Criterio de Medida de Riesgo


Objetivo: Actualizar un criterio de Medida de Riesgo Creado

Descripción: Se permite al usuario cambiar la descripción para los niveles, bajo, moderado y alto de cada

una de las áreas de preocupación

Precondiciones:

- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema

Flujo de Eventos

Acciones del Actor


medida de riesgo

3.Hacer clic en el icono Ver del criterio de medida

de riesgo



de Medida de Riesgo actualizado correctamente



configurados

4. Mostrar el formulario de creación con los campos

diligenciados con la información del criterio de medida

de riesgo


Actualizado Correctamente



creados y la actualización realizada



Flujo Alterno



Fuente: Propia

Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida de Riesgo

Caso de uso No. 8 Nombre: Eliminar Criterios de Medida de Riesgo


Objetivo: Eliminar un criterio de Medida de Riesgo Creado

Descripción: Se permite al usuario eliminar la configuración de medida de riesgo para un área de

preocupación

Precondiciones:

- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema

Flujo de Eventos

Acciones del Actor


medida de riesgo



configurados

256

3.Hacer clic en el icono Eliminar del criterio de

medida de riesgo

5.Dar clic en el botón Aceptar del mensaje de

confirmación


de Medida de Riesgo Eliminado correctamente

4.Se debe mostrar un cuadro de confirmación,

preguntándole al usuario si está seguro de eliminar el

criterio de medida de riesgo


Eliminado Correctamente



de riesgo excepto el eliminado



Flujo Alterno

-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y ver listados

los criterios de medida de riesgo



Fuente: Propia

Tabla 417 Documentación de caso de uso Consultar Priorización de áreas de Impacto

Caso de uso No. 9 Nombre: Consultar Priorización áreas de impacto


Objetivo: Ver la priorización de las áreas de impacto

Descripción: El usuario visualiza las áreas de impacto en el orden de prioridad

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Priorizar áreas de impacto


2.Listar las áreas de impacto en el orden de prioridad,

la primera será la que tenga la prioridad más alta


Flujo Alterno



Fuente: Propia

Tabla 418 Documentación de caso de uso Actualizar Priorización de áreas de impacto

Caso de uso No. 10 Nombre: Cambiar Priorización áreas de impacto


Objetivo: Actualizar la priorización de las áreas de impacto

Descripción: El usuario puede mover las áreas de impacto creadas para reorganizarlas y cambiar la prioridad

Precondiciones:


Flujo de Eventos

257

Acciones del Actor

1.Seleccionar el menú Priorizar áreas de impacto

3.reorganizar las áreas de impacto de acuerdo a la

prioridad que se quiera asignar

4. Dar clic en el botón Guardar

6. Dar clic en el botón aceptar el mensaje Priorización

guardada correctamente


2.Listar las áreas de impacto en el orden de

prioridad, la primera será la que tenga la prioridad

más alta

5.Mostrar mensaje Priorización Guardada

Correctamente

7.Listar las áreas de impacto con el orden ya

establecido


Flujo Alterno



Fuente: Propia

Tabla 419 Documentación de caso de uso Creación de Activo crítico

Caso de uso No. 11 Nombre: Crear Activos Críticos


Objetivo: Seleccionar activos como críticos

Descripción: El usuario selecciona de la lista de activos ya creado cuales considera como críticos, añadiendo

la justificación del porqué este se considera crítico

Precondiciones:

- Deben existir activos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Seleccionar Activos Críticos

3.Hacer clic en el botón Agregar Activo Crítico


7.Dar clic en el botón aceptar del mensaje Activo

Crítico registrado correctamente


2.Desplegar la lista de activos críticos registrados

4. Mostrar el formulario con los campos necesarios

para crear un activo crítico

6.Retornar mensaje Activo Crítico Registrado

Correctamente


8.Mostrar la interfaz con todos los activos críticos

registrados, incluyendo el nuevo


-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.

Flujo Alterno



Fuente: Propia

Tabla 420 Documentación de caso de uso Consulta de Activos Críticos

Caso de uso No. 12 Nombre: Consultar Activos Críticos


Objetivo: Ver la lista de activos críticos registrados

258

Descripción: Se listan todos los activos críticos

Precondiciones:

- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor



2.Desplegar la lista de activos críticos registrados,

con las opciones ver y eliminar en cada uno de los

activos críticos listados



Flujo Alterno



Fuente: Propia

Tabla 421 Documentación de caso de uso Actualización de Activo Crítico

Caso de uso No. 13 Nombre: Actualizar Activos Críticos


Objetivo: Actualizar activo crítico

Descripción: Se le permite al usuario actualizar uno o todos los datos del activo crítico

Precondiciones:


Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Ver del Activo Crítico



Crítico Actualizado correctamente



4. Mostrar el formulario de creación con todos los

campos diligenciados con la información del activo

crítico

6.Retornar mensaje Activo Crítico Actualizado

Correctamente



registrados, incluyendo la actualización realizada



Flujo Alterno



Fuente: Propia

Tabla 422 Documentación de caso de uso Eliminar Activo Crítico

Caso de uso No. 14 Nombre: Eliminar Activos Críticos


Objetivo: Eliminar activo crítico

Descripción: El usuario elimina de manera permanente un activo crítico configurado

259

Precondiciones:


Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Eliminar del Activo Crítico

5.Dar clic en el botón Aceptar del cuadro de

confirmación


Crítico Eliminado correctamente



4. Mostrar un mensaje de confirmación


activo crítico

6.Retornar mensaje Activo Crítico Eliminado

Correctamente



registrados, excepto el activo crítico eliminado



Flujo Alterno

-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y listar los

activos críticos.



Fuente: Propia

Tabla 423 Documentación de caso de uso Crear Contenedor

Caso de uso No. 15 Nombre: Crear Contenedor


Objetivo: Configurar un contenedor

Descripción: El usuario crea un nuevo contenedor de tipo físico, técnico o personas

Precondiciones:

- Los tipos de contenedores deben estar configurados en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Configurar Contenedores

3.Hacer clic en el botón Agregar Contenedor


7.Dar clic en el botón aceptar del mensaje

Contenedor registrado correctamente


2.Desplegar la lista de contenedores registrados

4. Seleccionar el tipo de contendor a crear

5. Mostrar los campos necesarios para crear el

contenedor de acuerdo al tipo de contenedor

seleccionado.

6.Retornar mensaje Contenedor Registrado

Correctamente


8.Mostrar la interfaz con todos los contenedores

registrados, incluyendo el nuevo


-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.

Flujo Alterno

260



Fuente: Propia

Tabla 424 Documentación de caso de uso Consultar Contenedores

Caso de uso No. 16 Nombre: Consultar Contenedor


Objetivo: Consultar contenedores registrados

Descripción: Se listan los contenedores configurados en el sistema

Precondiciones:


Flujo de Eventos

Acciones del Actor



2. Desplegar la lista de contenedores registrados, con

las opciones ver y eliminar en cada uno de los

contendores listados.



Flujo Alterno



Fuente: Propia

Tabla 425 Documentación de caso de uso Actualizar Contendor

Caso de uso No. 17 Nombre: Actualizar Contenedor


Objetivo: Actualizar un contenedor

Descripción: Se le permite al usuario actualizar la información ingresada para el contenedor

Precondiciones:


Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Ver del Contenedor



Contenedor Actualizado correctamente



4. Mostrar todos los campos diligenciados con la

información del contenedor seleccionado.

6.Retornar mensaje Contenedor Actualizado

Correctamente



registrados, incluyendo la actualización



Flujo Alterno


261


Fuente: Propia

Tabla 426 Documentación de caso de uso Eliminar Contenedor

Caso de uso No. 18 Nombre: Eliminar Contenedor


Objetivo: Eliminar un contenedor

Descripción: El usuario elimina de manera permanente un contenedor configurado

Precondiciones:


Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Eliminar del Contenedor

5.Dar clic en el botón Aceptar el cuadro de

confirmación


Contenedor Eliminado correctamente



4.Se muestra un mensaje de confirmación


contenedor

6.Retornar mensaje Contenedor Eliminado

Correctamente


registrados, excepto el eliminado



Flujo Alterno

Si el usuario da cancelar en el cuadro de confirmación de eliminar se debe cerrar el cuadro y mostrar la lista

de contenedores.



Fuente: Propia

Tabla 427 Documentación de caso de uso Crear área de preocupación Caso de uso No. 19 Nombre: Crear Área de Preocupación


Objetivo: Registrar una nueva área de preocupación

Descripción: El usuario documenta un área de preocupación

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Ver áreas de preocupación

3.Hacer clic en el botón Agregar Documentación de

área


7.Dar clic en el botón aceptar del mensaje área de

preocupación Registrado Correctamente


2.Desplegar la lista de áreas de preocupación

registradas

4. Mostrar los campos necesarios para crear el área

de preocupación

6.Retornar mensaje área de preocupación Registrado

Correctamente


8. Mostrar la interfaz listando todas las áreas de

262

preocupación registradas, incluyendo la nueva.


-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.

Flujo Alterno



Fuente: Propia

Tabla 428 Documentación de caso de uso Consultar área de Preocupación

Caso de uso No. 20 Nombre: Consultar Áreas de Preocupación


Objetivo: Listar las áreas de preocupación registradas

Descripción: El usuario puede ver la lista de áreas de preocupación registradas en el sistema

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Ver áreas de

preocupación


2.Desplegar la lista de áreas de preocupación registradas,

con las opciones de ver y eliminar en cada una de las áreas

de preocupación listadas



Flujo Alterno



Fuente: Propia

Tabla 429. Documentación de caso de uso Actualizar área de preocupación

Caso de uso No. 21 Nombre: Actualizar Área de Preocupación


Objetivo: Actualizar área de preocupación

Descripción: El usuario tiene la posibilidad de cambiar uno o todos los datos ingresados durante la creación

del área de preocupación

Precondiciones:


Flujo de Eventos

Acciones del Actor


preocupación

3.Hacer clic en el icono Ver del área de

preocupación



área de preocupación Actualizada


2.Desplegar la lista de áreas de preocupación registradas

4. Mostrar los campos diligenciados con la información del

área de preocupación seleccionada

6.Retornar mensaje área de preocupación Actualizada

Correctamente


8. Mostrar la interfaz listando todas las áreas de

263

Correctamente preocupación registradas, incluyendo la actualización



Flujo Alterno



Fuente: Propia

Tabla 430 Documentación de caso de uso Eliminar área de preocupación.

Caso de uso No. 22 Nombre: Eliminar Área de Preocupación


Objetivo: Eliminar área de preocupación

Descripción: El usuario elimina de manera permanente el área de preocupación registrada

Precondiciones:

- Deben existir activos críticos registrados en el sistema - Deben existir áreas de preocupación registradas - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor


preocupación

3.Hacer clic en el icono Eliminar del área de

preocupación


confirmación


área de preocupación Eliminada

Correctamente


2.Desplegar la lista de áreas de preocupación registradas

4. Mostrar cuadro de confirmación Preguntándole al usuario si

está seguro de eliminar el área de preocupación

6.Retornar mensaje área de preocupación Eliminada

Correctamente

8. Mostrar la interfaz listando todas las áreas de preocupación

registradas, excepto la eliminada



Flujo Alterno

-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro

y mostrar la lista de áreas de preocupación registradas.



Fuente: Propia

Tabla 431 Documentación de caso de uso Consultar Puntaje de Riesgo Relativo

Caso de uso No. 23 Nombre: Consultar Puntaje de Riesgo Relativo


Objetivo: Mostrar el puntaje de riesgo relativo

Descripción: Se muestra el puntaje de riesgo relativo para cada una de las áreas de preocupación creadas

Precondiciones:

- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor Acciones del Sistema

264

1.Seleccionar el menú Ver Puntaje de Riesgo

Relativo

2.Mostrar El puntaje de riesgo relativo junto con la

probabilidad subjetiva para cada una de las áreas de

preocupación registradas en el sistema



Flujo Alterno



Fuente: Propia

Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación

Caso de uso No. 24 Nombre: Consultar Enfoque de Mitigación


Objetivo: Ver el resultado del Enfoque de Mitigación

Descripción: Se presenta al usuario el resultado del análisis realizado de acuerdo a la información ingresada

para conocer la acción que debería aplicar a cada área de preocupación

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Ver Enfoque de

Mitigación


2.Mostrar el análisis con la acción y el grupo al que pertenece

cada una de las áreas de preocupación, junto con la opción

ver controles en cada una de las áreas de preocupación

listadas



Flujo Alterno



Fuente: Propia

Tabla 433 Documentación de caso de uso Ver controles

Caso de uso No. 25 Nombre: Ver Controles


Objetivo: Ver los controles creados para cada una de las área de preocupación en enfoque de Mitigación

Descripción: Se presenta al usuario el listado de controles que se han registrado para llevar a cabo la acción

sugerida

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Ver Enfoque de Mitigación

3.Dar clic en ver controles de alguna de las áreas de

Preocupación


2.Mostrar el análisis con la acción y el grupo al que

pertenece cada una de las áreas de preocupación,

junto con la opción ver controles en cada una de las

265

áreas de preocupación listadas

4. Mostrar la lista de controles registrados para el

área de preocupación, junto con la opción Ver y

Eliminar en cada uno de los controles listados


-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún

Flujo Alterno



Fuente: Propia

Tabla 434 Documentación caso de uso Crear Control

Caso de uso No. 26 Nombre: Crear Control


Objetivo: Agregar un control a alguna de las áreas de preocupación listadas

Descripción: El usuario registra el control que se va a aplicar para mitigar, transferir o aceptar el riesgo

Precondiciones:


Flujo de Eventos

Acciones del Actor



Preocupación

5 Dar clic en el botón Agregar Control


7. Dar clic en botón aceptar el mensaje control

registrado correctamente









5. Mostrar formulario con los campos necesario para

crear el control

6. Mostrar mensaje control registrado correctamente

7. Mostrar la lista de controles, junto con el nuevo

control creado



Flujo Alterno



Fuente: Propia

Tabla 435 Documentación de caso de uso Actualizar Control

Caso de uso No. 27 Nombre: Actualizar Control


Objetivo: Modificar un control registrado

Descripción: El usuario tiene la posibilidad de actualizar el control registrado para el área de preocupación

Precondiciones:


266

Flujo de Eventos

Acciones del Actor



Preocupación

5 Dar clic en el icono Ver del Control Seleccionado



actualizado correctamente









6. Mostrar el formulario con los campos diligenciados

con la información del control

6. Mostrar mensaje control actualizado correctamente

7. Mostrar la lista de controles, junto con la

actualización realizada



Flujo Alterno



Fuente: Propia

Tabla 436 Documentación de caso de uso Eliminar Control

Caso de uso No. 28 Nombre: Eliminar Control


Objetivo: Eliminar un control registrado

Descripción: El usuario eliminar de manera permanente el control registrado

Precondiciones:


Flujo de Eventos

Acciones del Actor



Preocupación

5 Dar clic en el icono Eliminar del Control

Seleccionado


confirmación


eliminado correctamente









6. Se Muestra un cuadro de confirmación

preguntándole al usuario si está seguro que desea

eliminar el control

7. Mostrar mensaje control eliminado correctamente

9. Mostrar la lista de controles, excepto el control

eliminado


267


Flujo Alterno

-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro

y mostrar la lista de controles



Fuente: Propia

Tabla 437 Documentación de caso de uso Descargar Reportes

Caso de uso No. 25 Nombre: Descargar Reportes


Objetivo: Descargar reportes

Descripción: El usuario tiene la posibilidad de descargar diferentes reportes que contienen información

ingresada en el sistema

Precondiciones:

- Deben existir áreas de preocupación registradas en el sistema - Deben existir Activos Críticos registrados en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema - El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Descargar Reportes

3. Dar clic en el icono de descargar PDF

5. Dar clic en VER PDF


2. Se muestra el menú de opciones que tiene el

usuario para seleccionar el reporte que desea

generar.

4.Mostrar un cuadro con las opciones VER PDF y

CERRAR

5. Mostrar el PDF generado


Flujo Alterno

-Si el usuario da clic en CERRAR no se mostrará el PDF y quedará en el listado de opciones de reporte.



Fuente: Propia

Tabla 438 Documentación de caso de uso Crear Usuario

Caso de uso No. 26 Nombre: Crear Usuario


Objetivo: Crear un nuevo usuario en el sistema

Descripción: El usuario registra un nuevo usuario asignándole un perfil

Precondiciones:


Flujo de Eventos

Acciones del Actor

1.Seleccionar el menú Administración de usuarios

3.Hacer clic en el botón Agregar Usuario


7.Dar clic en el botón aceptar del mensaje usuario

creado Correctamente


2.Desplegar la lista de usuarios registrados en el

sistema

4. Mostrar los campos necesarios para crear el

usuario

6. Se valida que el email y todos los demás campos

268

hayan sido diligenciados correctamente

7. Se envía un correo al email registrado notificándole

su usuario y contraseña para ingresar.

8.Retornar mensaje usuario creado Correctamente


10.Mostrar la interfaz listando todas los usuarios,

incluyendo el usuario nuevo


Flujo Alterno

-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y

permanece en el formulario.



Fuente: Propia

Tabla 439 Documentación de caso de uso Consultar Usuarios

Caso de uso No. 27 Nombre: Consultar Usuarios


Objetivo: Crear un nuevo usuario en el sistema

Descripción: El usuario registra un nuevo usuario asignándole un perfil

Precondiciones:


Flujo de Eventos

Acciones del Actor




sistema, junto con la opción ver y eliminar en cada

uno de los usuarios creados


Flujo Alterno



Fuente: Propia

Tabla 440 Documentación de caso de uso Actualizar Usuario

Caso de uso No. 28 Nombre: Actualizar Usuario


Objetivo: Actualizar usuario en el sistema

Descripción: El usuario Actualiza alguno de los usuarios

Precondiciones:


Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Ver del usuario seleccionado




sistema

4. Mostrar todos los campos diligenciados con la

269


actualizado Correctamente

información del usuario

6. Se valida que el email y todos los demás campos

hayan sido diligenciados correctamente

7. Sí se marcó la opción generar contraseña nueva

se envía un correo al email registrado notificándole

su usuario y contraseña para ingresar.

8.Retornar mensaje usuario actualizado

Correctamente



incluyendo el usuario con su actualización


Flujo Alterno

-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y

permanece en el formulario.



Fuente: Propia

Tabla 441. Documentación de caso de uso Eliminar Usuario

Caso de uso No. 29 Nombre: Eliminar Usuario


Objetivo: Eliminar usuario en el sistema

Descripción: El usuario elimina de manera permanente un usuario del sistema

Precondiciones: El usuario debe haber iniciado sesión en el sistema

Flujo de Eventos

Acciones del Actor


3.Hacer clic en el icono Eliminar del usuario

seleccionado


confirmación


eliminado Correctamente



sistema

4. Mostrar cuadro de confirmación preguntándole al

usuario si está seguro de eliminar el usuario

6.Retornar mensaje usuario eliminado Correctamente


excepto el usuario eliminado


Flujo Alterno

-Si el usuario hace clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar la

ventana y se debe mostrar la lista de usuarios.



Fuente: Propia

MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE...

Documents

Transcript of MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE...