¿Cómo proponer un modelo de gestión de riesgos informáticos que se ajuste a las

condiciones específicas de nuestro entorno y a los estándares vigentes?

Cesar Alexi Rodríguez Poches

Instructor:

Luis Francisco Lopez Urrea

Octubre 2021

Fundación universitaria Area Andina

Bogotá D.C

Análisis de riesgos informáticos

Tabla de contenido

Introducción 3
Actividad Eje 4 4
Hallazgo Auditorio 5
Conclusiones 21
 Introducción

En este eje 4 de análisis de riesgos informáticos realizaremos un matriz de riesgos la cual

evaluaremos y calificaremos una auditoria y donde realizaremos una clasificación de las
vulnerabilidades obtenidas y como generar los diferentes controles.
 Actividad Eje 4
Instrucciones:

1. 1. Haga la lectura del referente de pensamiento.

2. 2. Desarrolle las actividades de aprendizaje incluidas en el referente.

3. 3. Organice grupos de tres estudiantes con sus compañeros de curso.

4. 3. Haga la lectura del informe de auditoría de la compañía XYZ, la empresa se dedica a la

administración de conjuntos residenciales. Para gestionar la información relacionada con su misión,
la empresa contrató con el proveedor XXXX el uso del programa SISCO —Sistema Integrado de
Información para Copropiedades—. Luego de varios años de funcionamiento, la empresa XYZ
contrató a la empresa independiente ACME Audit SAS. Una vez efectuada la auditoría, esta emitió
el informe que se adjunta en el PDF: Informe Auditoría. (Descargue aquí)

5. 4. Analice el alcance del sistema de gestión de información de la compañía XYZ.

6. 5. Analice los resultados del informe de auditoría.

7. 6. Diseñe y elabore para entregar al tutor un documento de Word en el que a partir de la

información y el modelo propuesto en el referente cree con sus compañeros un método para el
análisis, evaluación y gestión de riesgos de la compañía XYZ.

8. 7. Envíe el documento de Word con el método propuesto al espacio de tareas del módulo.
Hallazgo Auditorio

Hallazgos relevantes:

 No se observó una gestión oportuna de los accesos configurados en el sistema

SISCO, de un total de 34 usuarios configurados y activos, se logró identificar que
28 usuarios (82%) corresponden a personal retirado.
 El sistema SISCO no exige el cambio periódico de contraseña, ni parámetros
mínimos de complejidad, por ejemplo: longitud mínima de la contraseña, uso de
caracteres alfanuméricos,mayúsculas, minúsculas, etc.; razón por la cual, es
posible configurar contraseñas muy simples y que las mismas nunca expiren.
 El sistema SISCO no tiene implementados controles para bloqueo de usuarios por intentos
fallidos de acceso, dicha situación permitiría realizar infinitos intentos de ingreso hasta
adivinar la posible contraseña de un usuario.
 Adicionalmente se logró establecer que el sistema SISCO utiliza para su
funcionamiento archivos de base de datos en formato DBF los cuales se consideran
una tecnología obsoleta e insegura, toda vez que la información es almacenada en
texto plano y puede ser consultada sin necesidad de autenticarse en el sistema
SISCO.

La figura a continuación evidencia que es posible acceder al archivo APPUSER.DBF, el

cual contiene la lista de los usuarios configurados y la comparación con el reporte de la
herramienta:
 Figura 4 Archivo DBF con la lista de usuarios

La figura a continuación evidencia el acceso al archivo NITS.DBF, el cual contiene la

lista de los terceros configurados en sistema SISCO, en el archivo se observan
nombres, direcciones, teléfonos y correos electrónicos, dicha información es
considerada datos personales de acuerdo con lo lineamentos establecidos en la Ley
1581 de 2012:

Figura 5 Acceso al archivo NITS.DBF

a. Control de Cambios: Todos los cambios o actualizaciones en el sistema SISCO, son

realizados únicamente por personal autorizado del proveedor de dicho sistema,
quienes acceden de forma remota desde internet hacia al equipo de cómputo donde
se encuentra instalado el sistema, mediante el uso de la herramienta TeamViewer
QuickSupport, como se muestra en las figuras a continuación:
Figura 6 Acceso remoto por parte del proveedor
 ~1~
Actividad Eje 4 Análisis de riesgos

Se logró establecer que el sistema SISCO se encuentra instalado en un

equipo de cómputo al interior de la red corporativa de XXXXXX
identificado con dirección IP 192.168.1.14, el cual hace las funciones de
servidor y permite que los diferentes usuarios configurados accedan al
sistema:

Figura 7 Equipo de cómputo donde está

instalado el sistema SISCO

Adicionalmente, se observó que en el sistema SISCO se registra la

contabilidad de diferentes copropiedades horizontales incluyendo XYZ, por
tal motivo quien acceda al sistema puede acceder a la información contable
y financiera de las demás copropiedades:
 ~2~
Actividad Eje 4 Análisis de riesgos

Figura 8 Carpeta del sistema SISCO con

información de XYZ

Hallazgos relevantes:

 Debilidades en los parámetros de configuración de la herramienta

“TeamViewer QuickSupport” mediante la cual se accede remotamente al
equipo de cómputo donde está instalado el sistema SISCO, toda vez que
solo se exige un código de acceso de 4 dígitos, existiendo así, el riesgo
de acceder de forma no autorizada desde internet, ya que solo es
necesario conocer el número de identificación del equipo (985431167) y
la clave respectiva.

 El acceso al equipo de cómputo donde se encuentra instalado el sistema SISCO

se realiza con la cuenta que tiene el máximo nivel de privilegios “Administrador”
(Ver Figura 8); por lo anterior, es posible realizar la instalación de software o
modificaciones en la configuración sin ningún tipo de restricciones.
 ~3~
Actividad Eje 4 Análisis de riesgos

Figura 9 Usuarios configurados en el equipo 192.168.1.14

 No se observaron medidas de control al interior de la red corporativa de

XXX que limite el acceso a las carpetas compartidas utilizadas por el
sistema SISCO; en consecuencia, cualquier computador al interior de la red
estaría en capacidad de consultar, modificar o eliminar los archivos
necesarios para el funcionamiento del sistema SISCO, incrementando así el
riesgo de copiar de forma no autorizada la información de XYZ y de las
demás copropiedades que allí se gestionan, así como afectar la operación
del sistema mediante la manipulación de los archivos.

 No existen controles automáticos que limiten el acceso a internet por

parte de los funcionarios de XXXX; adicionalmente, es posible
realizar la instalación de software sin ningún tipo de restricción en
los equipos de cómputo de los Auxiliares contables encargados de
operar el sistema SISCO; lo anterior, incrementa el riesgo de instalar
software no deseado o malicioso que afecte la integridad y
confidencialidad de la información de XYZ.

b. Gestión de la Continuidad y Disponibilidad: El sistema SISCO ofrece a los

usuarios en el momento de ingresar, la posibilidad de realizar una copia de
seguridad antes de operar el sistema; adicionalmente, el personal de XXXX
a cargo de la administración, realiza periódicamente copias de seguridad de
la información, las cuales son almacenadas tanto localmente en el equipo de
cómputo donde se encuentra instalado el sistema SISCO, así como un disco
duro externo en caso de contingencia. Durante las pruebas realizadas, se
observaron 8.427 archivos con copias de seguridad de hace más de 4 años,
como se observa en la figura a continuación:
 ~4~
Actividad Eje 4 Análisis de riesgos

Figura 10 Copias de seguridad

Independientemente de que el sistema SISCO es de propiedad de XXXX esta

auditoría percibe un riesgo alto en cuanto a la información que tiene que ver con
XYZ, teniendo en cuenta las debilidades mencionadas anteriormente.

Oportunidades de Mejora:

 Solicitar a XXXX la implementación de una política de seguridad de la

información, así como el establecimiento de procedimientos y controles que
garanticen la integridad, confidencialidad y disponibilidad de todos los datos
propiedad de XYZ de acuerdo con la normatividad vigente.

 Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los

controles de acceso hacia el Sistema Integrado de Información para
Copropiedades (SISCO), mediante la coordinación con el proveedor de dicha
herramienta y la implementen funcionalidades tales como: forzar el cambio
periódico de contraseña de acceso, exigir parámetros mínimos de complejidad al
momento de establecer las contraseñas, por ejemplo: longitud mínima de la
contraseña, uso de caracteres alfanuméricos, mayúsculas, minúsculas, entre
otros.

 Evaluar la viabilidad contractual para solicitar a XXXX el fortalecimiento de los

controles tecnológicos al interior de la red corporativa, tales como: limitar el
acceso a las carpetas compartidas requeridas por el sistema SISCO solo a los
 ~5~
Actividad Eje 4 Análisis de riesgos

equipos de cómputo de XXXX, restringir los permisos de instalación de

software y las opciones de Administrador en los equipos de cómputo solo para
personal de soporte, limitar la navegación en internet solo a sitios autorizados,
fortalecer los controles de acceso remoto mediante la herramienta TeamViewer
QickSupport implementado claves de acceso robustas, entre otros aspectos..

 Realizar un inventario de la información recolectada y tratada por XXXX en el

ejercicio de las funciones de Administradores de Propiedad Horizontal de XYZ
y exigir el cumplimiento de la Ley Estatutaria 1581 de 2012 para la Protección
de Datos Personales y los Decretos 1377 de 2013, 1074 de 2015 y 1759 de
2016, así como con las Circulares Externas 001 de 2016 y 001 de 2017
expedidas por la Superintendencia de Industria y Comercio (SIC), considerando
la responsabilidad que frente al tratamiento de datos personales de propietarios
y residentes de XYZ, tales como:

o Datos generales de identificación de la persona. Ej: Nombre, Apellido, Cédula,

sexo, etc.
o Datos específicos de identificación de la persona. Ej: Firma, Nacionalidad, edad,
etc.
o Datos sensibles. Ej: Datos de menores, datos biométricos, videovigilancia, etc.
o Datos de ubicación. Ej: Dirección, Teléfono Fijo, Teléfono Celular, correo
electrónico, placa vehículo, bitácoras de ingreso, etc.

Lo anterior, considerando que para la SIC no es suficiente el simple registro de

Bases de Datos Personales y la publicación de una política o aviso de
privacidad, pues se debe demostrar la debida diligencia, en concordancia con los
principios de seguridad y confidencialidad establecidos por la Ley 1581:

o …“Principio de seguridad: La información sujeta a Tratamiento por el Responsable del

Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que
sean necesarias para otorgar seguridad a los registros evitando su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

o Principio de confidencialidad: Todas las personas que intervengan en el

Tratamiento de datos personales que no tengan la naturaleza de públicos
están obligadas a garantizar la reserva de la información, inclusive después
de finalizada su relación con alguna de las labores que comprende el
Tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades
autorizadas en la presente ley y en los términos de la misma”...

Nuestras pruebas se basan en muestras selectivas o aleatorias, a la información que

ha sido suministrada por la Administración XXXX, conforme a lo establecido en las
 ~6~
Actividad Eje 4 Análisis de riesgos

normas de auditoría internacionales.

Cordialmente,

Gerente de Auditoría
T.P. No.
ABCDE4567-T
Miembro de
ACME Audit
S.A.S.

c.c. Gerente General XXXX SAS

Modelo de análisis, evaluación y gestión de riesgos de seguridad de la información

Compañía XYZ

Alcance

Objetivo del sistema:

La compañía se encarga de la administración de conjuntos residenciales, en la parte de

organización y parte financiera de los mismos con el fin de llevar el control de distintos
frentes en la supervisión de los conjuntos residenciales

Específicos

 Identificar y clasificar los activos de información presentes en la compañía XYZ

 Aplicar una metodología de evaluación de riesgos que permita definir las

vulnerabilidades y amenazas de seguridad existentes, y evaluar los riesgos de acuerdo a la
escala definida por la metodología NIST.

 Sugerir mecanismos de control y gestión que minimicen las vulnerabilidades

encontradas en el estudio del análisis de riesgos realizado.

Contexto del sistema:

Esta compañía maneja un sistema conectado a un servidor privado el cual es el encargado

de administrar todos los sistemas del mismo, como son el registro de usuario a los
conjuntos residenciales y el cual se conecta a un software el cual contiene la contabilidad
 ~7~
Actividad Eje 4 Análisis de riesgos

de la empresa y por donde se genera las cuentas por pagar de la compañía, cuenta con dos
equipos por punto de conjunto residencial el cual registra entradas y salidas de usuarios de
los conjuntos y en el cual se administran las cámaras de seguridad de cada conjunto
residencial.

Activos de la compañía:

El presente modelo de análisis y evaluación de riesgos será aplicado a todos los activos
físicos y lógicos de la compañía por medio de políticas que se establecerán, las cuales
contienen controles que nos ayudaran a gestionar los riesgos y las vulnerabilidades que se
vallan identificando.

Delimitación del modelo:

El presente modelo no será aplicado para activos que no pertenezcan directamente a la

compañía o que brinden un servicio como terceros (Modem , Cámaras), o que los activos
se han directamente relacionados con proveedores en general. En caso de que algún
proveedor quiera incluir directamente los activos será aplicado sobre las políticas de la
compañía y directamente clasificado dentro de la matriz de análisis de riesgos y activos y
de la compañía.

Definiciones:

Confidencialidad: Los componentes del sistema serán accesibles sólo por aquellos
usuarios autorizados. Integridad: Los componentes del sistema sólo pueden ser creados y
modificados por los usuarios autorizados.

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema
cuando así lo deseen. De nada sirve la información si se encuentra intacta en el sistema
pero los usuarios no pueden acceder a ella La disponibilidad también se entiende como la
capacidad de un sistema para recuperarse rápidamente en caso de ocurrencia de algún
problema.

Control de acceso a los recursos: Se entiende como la regulación de quién utiliza el

sistema o cualquiera de los recursos que ofrece y cómo lo hace.

Auditoría: Son los mecanismos para poder determinar qué es lo que está ocurriendo en el
sistema, qué es lo que hace cada uno de los usuarios, los tiempos y fechas de dichas
acciones.
 ~8~
Actividad Eje 4 Análisis de riesgos

Metodología de auditoría: Permite de una manera adecuada presentar una guía

procedimental para que se efectúen tareas, actividades y tareas tendientes a realizar el
proceso de revisión preliminar, revisión de controles, diagnósticos y comparación de
estados actuales en materia de seguridad, finalizando con informes que presentan los
resultados de la aplicación metodológica.

Riesgo

Se entiende por riesgo de seguridad informática toda amenaza que explote alguna
vulnerabilidad de uno o varios activos y pueda afectar el funcionamiento de un sistema

Vulnerabilidad

Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que

permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del
sistema o de los datos que procesa.

Amenaza

Se entiende como amenaza informática toda aquella acción que aprovecha una
vulnerabilidad para atacar o invadir un sistema informático.

Impacto

Medir la consecuencia al materializarse una amenaza. ... Se puede describir la relación

entre vulnerabilidad, amenaza y control de la siguiente manera: una amenaza puede ser
bloqueada aplicando un control a una vulnerabilidad.

Probabilidad de ocurrencia

La posibilidad de que ocurra algún incidente con algún riesgo asociado

Vector de ataque

Es la magnitud y la forma de ataque que se recibe directamente al sistema

Producto y servicios de la compañía

 Administración de propiedad horizontal

 Cobro de expensas de administración
 Pagos a proveedores de conjunto residenciales que se administran
 ~9~
Actividad Eje 4 Análisis de riesgos

Contexto grupos de usuario:

Perfiles altos

 Administrador
 Jefes de seguridad
 Desarrolladores

Perfiles bajos

 Secretaria
 Celadores
 Residentes
 Proveedores
 Contratistas

Marco Legal

La organización del conjunto residencial base sus policitas en las siguientes normas:

Utilizar estándares como ISO27000 13, (específicamente un SGSI) contribuye a establecer

procesos de reconocimiento y control en las áreas de una organización, dentro del área de
sistemas se debe dar gran importancia la creación y adaptación de mecanismos, políticas de
procesos que permitan asegurar y mejorar la seguridad informática.

Para suplir esta necesidad el conjunto residencial debe tomar como soporte el los estándares
de la norma ISO/IEC 27000 las siguientes y legislaturas tanto nacionales como
internacionales:

13 CALDER, Alan. Implementing information security based on ISO 27001/ISO 27002,

ISBN 9087538189, 2012. 32

Norma ISO/IEC 2700 14 : Familia de estándares donde especifica claramente los

parámetros sobre seguridad de la información, para desarrollar, implementar y mantener los
sistemas de gestión de seguridad de la información, entre ellos:

Norma ISO/IEC 27001: Define los requisitos para la implementación de un SGSI (Sistema
de Gestión de la Seguridad de la Información).

Norma ISO/IEC 27002: (anterior ISO 17799). Es una guía de buenas prácticas, describe
los controles a seguir dentro del marco de la seguridad de la información; enmarcados en
11 dominios, 39 objetivos de control y 133 controles.
 ~ 10 ~
Actividad Eje 4 Análisis de riesgos

Norma ISO/IEC 27003: Proporciona ayuda y orientación sobre la implementación de un

SGSI, incluye el método PHVA (planear, hacer verificar y actuar) contribuyendo con
revisiones y mejora continua.

Norma ISO/IEC 27004: Especificará las métricas y técnicas de medición para determinar la
eficacia de un SGSI y de sus controles. Aplicable específicamente en la fase del hacer (Do);
de acuerdo con el método PHVA.

Norma ISO/IEC 27005: Suministra directrices para la gestión del riesgo en la seguridad de
la información.

Ley 1273 de 2009: sobre los delitos informáticos y la protección de la información y de

datos en Colombia.1

Desarrollo análisis de riesgos informaticos:

Pérdida de confidencialidad: la información que se administra bajo nuestra plataforma se

comunica, divulga o comparte con personas, organizaciones o individuos que no cuentan
con autorización o credenciales para acceder a ella (autorización de divulgación de
información).

- Pérdidas o fugas no controladas de información: cualquier situación bajo la cual la

organización pierde el control de toda o una parte de la información que se administra bajo
nuestra plataforma tecnológica, en general provoca daños irreparables con consecuencias e
impactos de una magnitud considerable que pueden ocasionar el cierre del negocio o
implicar a los responsables en situaciones de carácter penal. Estas situaciones se presentan
por la falta de control sobre la información a la que pueden acceder grupos de usuarios
específicos, errores en los procesos de control o el diseño en del sistema.

- Pérdida de la disponibilidad: esta condición implica que la información que administra

nuestra organización deja de estar disponible de forma temporal o total, para los usuarios,
procesos o aplicaciones que la requieran. Puede implicar riesgos graves en la organización
según los contratos que se hayan suscrito con los clientes del servicio de hosting.
 ~ 11 ~
Actividad Eje 4 Análisis de riesgos

Factores de riesgos:

Factores asociados al riegos Detalle

Humano- Todas las personas que desarrollan sus
actividades para el servicio de la
organización o gestión de proceso
relacionados, estén vinculados de forma
directo o indirecta
Plataforma tecnológica Hace referencia a todos y cada uno de los
elementos que interactúan para administrar
y procesar la información, en base al
hardware y software del sistema de
conjuntos.
Infraestructura Se incluyen en esta categoría todos los
elementos físicos sobre los que opera la
organización y apoyan la forma específica
el procesamiento de información a través de
la plataforma tecnológica.
Terceros o agentes externos Las condiciones relacionadas con
proveedores de comunicación, compañías
de servicio públicos, proveedores de
servidores de dominios, entre otro, que no
son del control directo de la organización
pero pueden causar afectaciones a las
condiciones de seguridad de la información
Procesos La gestión y administración de la
información se encuentra asociada de
diferentes maneras a cada uno de los
procesos.

Tabla1, Factores de riesgos

Fuente: https://areandina.instructure.com/courses/19318

Indicadores de impacto

Como podemos clasificar el impacto que genera cada riesgos por medio de rangos

Impacto Valor
Critico 5
Alto De 4.0 a 4.9
Medio 2,5 a 3,9
Bajo 0 a 2,4
 ~ 12 ~
Actividad Eje 4 Análisis de riesgos

Tabla2, Indicadores de impacto

Fuente: https://areandina.instructure.com/courses/19318

Nivel 5. Crítico. Es la información que se considera fundamental para nuestra compañía, en

esta perspectiva solo unos pocos usuarios con un alto nivel de privilegios pueden tener
credenciales de acceso para solicitarla y acceder a ella. Si esta información cae en manos de
personas no autorizadas o de terceros y se publica o comunica, tiene un impacto negativo
para la compañía.

Nivel alto: de 4.0 a 4,9. Esta información puede ser de conocimiento y administración de
los funcionarios de la organización, pero no puede ser transmitida o puesta en conocimiento
de terceros; es información que los trabajadores requieren para el desarrollo de sus
actividades, pero frente a la cual deben guardar reserva. Divulgar o poner en conocimiento
de terceros no autorizados u otros esta información puede impactar de forma negativa el
proceso al cual se encuentra vinculada.

Nivel medio: 2,5 a 3,9. Es información que utilizan los trabajadores de la entidad para
desarrollar su trabajo y puede ser compartida con terceros con previa autorización del
titular de la información. Si algún tercero que recibe esta información hace un uso
inadecuado de ella, puede impactar de forma negativa en los resultados del proceso.

Nivel bajo: 0 a 2,4. Se califica como de conocimiento público, se puede publicar con
algunas restricciones según determine el responsable de la información, por ejemplo, una
oferta de servicios o un plan promocional; su conocimiento o divulgación no ocasiona
problemas para la organización.

Categoría de activos Detalles

Información básica y esencial Información imprescindible para la
organización. Esta información es clave
para el funcionamiento de la organización y
para continuar los negocios. Cualquier
afectación impacta de forma directa sobre la
imagen y desarrollo de los objetivos
institucionales. Dentro de esta información
se encuentran sus estados financieros, las
condiciones referentes a los asociados, entre
otras.
Datos o registros Se refiere a cualquier información que se
registre en formato digital y se almacene en
medios digitales o magnéticos. Copias de
 ~ 13 ~
Actividad Eje 4 Análisis de riesgos

seguridad, registros de actividades, bases de

datos de credenciales, controles de acceso y
códigos fuente.
Dispositivos físicoshardware e Agrupa los dispositivos o equipamiento
infraestructura físico que se emplea para procesar,
almacenar, transferir, autenticar, soportar o
ejecutar aplicaciones informáticas.
-Aplicaciones informáticas / sistemas Conjunto de programas que permiten
operativos establecer un puente entre los usuarios y los
equipos para procesar y administrar la
información de acuerdo con los
requerimientos del usuario.
Servicios Se ubican en esta categoría las funciones
que atienden una necesidad particular o
general de un grupo de usuarios de la
organización. Servicios WWW, FTP, e-
mail, herramientas de trabajo colaborativo,
gestor de contraseñas, entre otros, servicios
de mensajería instantánea y red privada
virtual.
Factores humanos Agrupa todas las personas que bajo
cualquier rol desempeñan funciones en
relación con la plataforma de información y
comunicaciones de la organización.
Redes de comunicaciones Cualquier tipo de infraestructura que se
emplea para la transmisión de información.
Incluye redes públicas o contratos con
proveedores de servicios de
comunicaciones.
Equipos de respaldo Equipos o infraestructura que no se
relaciona de forma directa con la
administración de información pero ayuda
en su funcionamiento, por ejemplo red
eléctrica o UPS.

Tabla 3, Activos

Fuente: https://areandina.instructure.com/courses/19318

Frecuencia de amenazas
 ~ 14 ~
Actividad Eje 4 Análisis de riesgos

En esta tabla clasificamos la frecuencia o las veces probable que se presentan las amenazas

Nivel Concepto Descripción Frecuencia

1 Rara vez No se ha presentado, Durante un lapso
o solo en mínimo de cinco
condiciones años no se ha
extremas. presentado
2 Improbable Existe la En los últimos años
probabilidad que se presentó al menos
suceda aunque en una vez.
algún momento haya
sucedido.
3 Posible Puede suceder en Al menos una vez en
algún momento. los últimos dos años.
4 Probable Ocurre sobre Ha sucedido al
distintos escenarios. menos una vez en el
último año.
5 Casi seguro En la mayoría de Más de una vez al
escenarios se año
materializa.

Tabla 3, Frecuencia de amenazas

Fuente: https://areandina.instructure.com/courses/19318

Dimensiones del riesgo

Con esta tabla realizamos la clasificación del riesgos y las acciones que pasaremos a
realizar.

Tipo o categoría del riesgo Valor Acciones

Extremo Mayor o igual a 5 Implementar controles
estrictos para la contención
y mitigación del riesgo, de
ser posible transferir el
riesgo a través de pólizas
con compañías de seguros.
Si es necesario rediseñar
todo el sistema.
Alto Entre 4 y 4,9 Aplicar procedimientos y
controles para reducir el
 ~ 15 ~
Actividad Eje 4 Análisis de riesgos

posible impacto del riesgo

sobre las operaciones de la
organización. También es
posible que se transfiera el
riesgo a terceros a través de
pólizas.
Moderado Entre 3 y 3,9 Implementar controles para
mitigar el riesgo a través de
procedimientos y controles
oportunos y efectivos,
estimar la posible
transferencia del riesgo.
Menor Entre 2 y 2,9 Es posible que la compañía
asuma este riesgo, sin
embargo, se recomienda
implementar controles que
actúen de forma local
(proceso) para mitigarlo y
llevarlo a una zona más
baja.
Bajo Entre 0 y 1,9 Mitigar de ser posible el
riesgo y asumirlo como
parte de la gestión de la
organización, sin dejar de
lado su análisis para
recomendar la
implementación ajustes a
futuro.

Auditoria

Hallazgos auditoria Clasificación de categorías

 No se observó una gestión oportuna de Control de accesos
los accesos configurados en el sistema
SISCO, de un total de 34 usuarios
configurados y activos, se logró identificar
que 28 usuarios (82%) corresponden a
personal retirado.
El sistema SISCO no exige el cambio Control de accesos
 ~ 16 ~
Actividad Eje 4 Análisis de riesgos

periódico de contraseña, ni parámetros

mínimos de complejidad, por ejemplo:
longitud mínima de la contraseña, uso de
caracteres alfanuméricos, 3 mayúsculas,
minúsculas, etc.; razón por la cual, es
posible configurar contraseñas muy
simples y que las mismas nunca expiren.
El sistema SISCO no tiene implementados Control de accesos
controles para bloqueo de usuarios por
intentos fallidos de acceso, dicha situación
permitiría realizar infinitos intentos de
ingreso hasta adivinar la posible
contraseña de un usuario.
Adicionalmente se logró establecer que el Desarrollo de la aplicación
sistema SISCO utiliza para su
funcionamiento archivos de base de datos
en formato DBF los cuales se consideran
una tecnología obsoleta e insegura, toda
vez que la información es almacenada en
texto plano y puede ser consultada sin
necesidad de autenticarse en el sistema
SISCO.
Control de Cambios: Todos los cambios o Desarrollo de la aplicación
actualizaciones en el sistema SISCO, son
realizados únicamente por personal
autorizado del proveedor de dicho sistema,
quienes acceden de forma remota desde
internet hacia al equipo de cómputo donde
se encuentra instalado el sistema, mediante
el uso de la herramienta TeamViewer
QuickSupport, como se muestra en las
figuras a continuación:
Adicionalmente, se observó que en el Desarrollo de la aplicación
sistema SISCO se registra la contabilidad
de diferentes copropiedades horizontales
incluyendo XYZ, por tal motivo quien
acceda al sistema puede acceder a la
información contable y financiera de las
demás copropiedades:
El acceso al equipo de cómputo donde se Control de accesos
encuentra instalado el sistema SISCO se
realiza con la cuenta que tiene el máximo
nivel de privilegios “Administrador” (Ver
Figura 8); por lo anterior, es posible
 ~ 17 ~
Actividad Eje 4 Análisis de riesgos

realizar la instalación de software o

modificaciones en la configuración sin
ningún tipo de restricciones.
No se observaron medidas de control al Infraestructura
interior de la red corporativa de XXX que
limite el acceso a las carpetas compartidas
utilizadas por el sistema SISCO; en
consecuencia, cualquier computador al
interior de la red estaría en capacidad de
consultar, modificar o eliminar los
archivos necesarios para el
funcionamiento del sistema SISCO,
incrementando así el riesgo de copiar de
forma no autorizada la información de
XYZ y de las demás copropiedades que
allí se gestionan, así como afectar la
operación del sistema mediante la
manipulación de los archivos.
No existen controles automáticos que Infraestructura
limiten el acceso a internet por parte de los
funcionarios de XXXX; adicionalmente,
es posible realizar la instalación de
software sin ningún tipo de restricción en
los equipos de cómputo de los Auxiliares
contables encargados de operar el sistema
SISCO; lo anterior, incrementa el riesgo
de instalar software no deseado o
malicioso que afecte la integridad y
confidencialidad de la información de
XYZ.
Debilidades en los parámetros de Infraestructura
configuración de la herramienta
“TeamViewer QuickSupport” mediante la
cual se accede remotamente al equipo de
cómputo donde está instalado el sistema
SISCO, toda vez que solo se exige un
código de acceso de 4 dígitos, existiendo
así, el riesgo de acceder de forma no
autorizada desde internet, ya que solo es
necesario conocer el número de
identificación del equipo (985431167) y la
clave respectiva.
 ~ 18 ~
Actividad Eje 4 Análisis de riesgos

Categoría de Factor de Impacto Frecuenci Dimensión

hallazgos riesgo a de la del riesgo
amenaza
Control de Plataforma Alto (4) Improbable (4)
accesos tecnológica (2)

Infraestructur Plataforma Alto (4) improbable (4)

a tecnológica (2)
Desarrollo en Plataforma Critico Probable (5)
aplicaciones tecnológica (5) (4)

Hallazgos auditoria Controles

 No se observó una gestión oportuna de Control de accesos: Generar actualización de
los accesos configurados en el sistema bases de datos de usuarios antiguos con el fin
SISCO, de un total de 34 usuarios de mitigar este tipo de riesgos, tener presente
configurados y activos, se logró identificar que si un usuario se retira desactivar los
que 28 usuarios (82%) corresponden a mismos para evitar falsos accesos.
personal retirado.
El sistema SISCO no exige el cambio Control de accesos: Generar una política de
periódico de contraseña, ni parámetros contraseñas la cual nos permita dentro del
mínimos de complejidad, por ejemplo: código solicitar al usuario que la contraseña
longitud mínima de la contraseña, uso de sea mas extensa y tenga mayor seguridad para
caracteres alfanuméricos, 3 mayúsculas, el mismo
minúsculas, etc.; razón por la cual, es
posible configurar contraseñas muy
simples y que las mismas nunca expiren.
El sistema SISCO no tiene implementados Control de accesos: Sobre la política de
controles para bloqueo de usuarios por contraseñas generar un intento limite de
intentos fallidos de acceso, dicha situación contraseñas donde la recuperación se ha por
permitiría realizar infinitos intentos de medio de datos personas y códigos de accesos
ingreso hasta adivinar la posible limitados
contraseña de un usuario.
Adicionalmente se logró establecer que el Desarrollo de la aplicación: Implementar
sistema SISCO utiliza para su controles de perfile de usuarios con los cuales
funcionamiento archivos de base de datos podamos tener diferentes niveles de accesos a
en formato DBF los cuales se consideran las bases de datos con los cuales no
una tecnología obsoleta e insegura, toda permitamos visualizar la información en
vez que la información es almacenada en vistas sin login previo.
 ~ 19 ~
Actividad Eje 4 Análisis de riesgos

texto plano y puede ser consultada sin

necesidad de autenticarse en el sistema
SISCO.
Control de Cambios: Todos los cambios o Desarrollo de la aplicación: Limitar los
actualizaciones en el sistema SISCO, son accesos a aplicaciones que se puedan
realizados únicamente por personal remotamente esto con el fin de poder darle
autorizado del proveedor de dicho sistema, opción al otro usuario de tener poder sobre
quienes acceden de forma remota desde sostemasde maquina principal
internet hacia al equipo de cómputo donde
se encuentra instalado el sistema, mediante
el uso de la herramienta TeamViewer
QuickSupport, como se muestra en las
figuras a continuación:
Adicionalmente, se observó que en el Desarrollo de la aplicación: Las areas del
sistema SISCO se registra la contabilidad sistemas deben estar parametrizadas con
de diferentes copropiedades horizontales grupos de accesos a la información con los
incluyendo XYZ, por tal motivo quien cuales lograremos que solo las personas que
acceda al sistema puede acceder a la se han parte de contabilidad tengas acceso a la
información contable y financiera de las información por medio de la elevaciones de
demás copropiedades: perfiles del área de ellos.
El acceso al equipo de cómputo donde se Control de accesos: Se realizara la limitación
encuentra instalado el sistema SISCO se de accesos con permisos de administrador a
realiza con la cuenta que tiene el máximo los usuarios con otros perfiles diferentes ya
nivel de privilegios “Administrador” (Ver que estos no deben tener permisos de instalar
Figura 8); por lo anterior, es posible o modificar el equipo.
realizar la instalación de software o
modificaciones en la configuración sin
ningún tipo de restricciones.
No se observaron medidas de control al Infraestructura: La estandarización de los
interior de la red corporativa de XXX que usuarios nos permitirá darle tipologías de
limite el acceso a las carpetas compartidas usuarios.
utilizadas por el sistema SISCO; en
consecuencia, cualquier computador al
interior de la red estaría en capacidad de
consultar, modificar o eliminar los
archivos necesarios para el
funcionamiento del sistema SISCO,
incrementando así el riesgo de copiar de
forma no autorizada la información de
XYZ y de las demás copropiedades que
allí se gestionan, así como afectar la
operación del sistema mediante la
manipulación de los archivos.
No existen controles automáticos que Infraestructura:
 ~ 20 ~
Actividad Eje 4 Análisis de riesgos

limiten el acceso a internet por parte de los Control de accesos: Se realizara la limitación
funcionarios de XXXX; adicionalmente, de accesos con permisos de administrador a
es posible realizar la instalación de los usuarios con otros perfiles diferentes ya
software sin ningún tipo de restricción en que estos no deben tener permisos de instalar
los equipos de cómputo de los Auxiliares o modificar el equipo.
contables encargados de operar el sistema
SISCO; lo anterior, incrementa el riesgo
de instalar software no deseado o
malicioso que afecte la integridad y
confidencialidad de la información de
XYZ.
Debilidades en los parámetros de Infraestructura: Limitar los accesos a
configuración de la herramienta aplicaciones que se puedan remotamente esto
“TeamViewer QuickSupport” mediante la con el fin de poder darle opción al otro
cual se accede remotamente al equipo de usuario de tener poder sobre sostemasde
cómputo donde está instalado el sistema maquina principal
SISCO, toda vez que solo se exige un
código de acceso de 4 dígitos, existiendo
así, el riesgo de acceder de forma no
autorizada desde internet, ya que solo es
necesario conocer el número de
identificación del equipo (985431167) y la
clave respectiva.
 ~ 21 ~
Actividad Eje 4 Análisis de riesgos

Conclusiones
 El riesgo es intrínseco a cada organización y la organización o la empresa es
afectada directamente por el proceso de seguridad de la información.

 La tecnología debe ser tomada como una estrategia para la seguridad de la empresa.

 Los activos de la información se debe considerar como critierios dentro de una

organización y su seguridad debe ser integral y holística, comprometiendo todos los
recursos y todos los participantes en los diferentes departamentos de la
organización.

 La seguridad de la información esta basada en las personas ya que las mismas tiene
el control de todas las fases.