Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Actividades

Actividad: Gestión de riesgos legales: seguridad jurídica de los

proyectos de los programas informáticos

Eres el director de seguridad de la información en una empresa de mantenimiento de

computadoras para grandes corporativos, como parte del servicio te llevas las máquinas
a tus instalaciones para dar soporte o cambiarlas, generas respaldos de información en
diversos medios y cambias equipo obsoleto por nuevo.

Identifica los riesgos en temas de seguridad de la información, privacidad y

propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la
información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo
de documentos.

Crea un sistema de gestión de riesgos enfocado a su identificación y atención.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

1. Objetivo

Elaborar un sistema de gestión para atender e identificar los riesgos de seguridad de la

información adquiridos al momento de proporcionar el servicio de mantenimiento de
equipos de cómputo a diferentes clientes.

2. Alcance

Todos los procesos que involucren el manejo de activos propiedad del cliente como
propósito para el cual la compañía fue contratada, el cual principalmente es el
mantenimiento de equipos de cómputo.

2.1. Procesos y activos críticos para el desarrollo de las actividades.

Se deberán identificar aquellos procesos y activos en los cuales la empresa como parte
del desarrollo de sus actividades tenga contacto con información del cliente.

- Procesos

o Mantenimiento en sitio del cliente

o Traslado de equipos entre sitios del cliente y empresa
o Mantenimiento en nuestras instalaciones
o Respaldos de información del cliente en diferentes medios
o Almacenamiento

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

o Destrucción y disposición de equipos obsoletos o sin reparación

- Activos

o Personal: Técnicos, choferes, almacén.

o Equipos del cliente que estén en nuestras instalaciones
o Información contenida en medios de almacenamiento que están en
los equipos del cliente
o Equipo propio que contenga información obtenida por motivos de
las actividades de soporte a clientes.

2.1.1. Valoración de activos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

El propietario del riesgo es responsable de determinar el valor del activo para la

organización.

El activo se valorará de acuerdo con la siguiente escala:

- Alto: La pérdida o daño permanente perjudica las operaciones o finalidad

de la empresa, puede afectar a terceros (en este caso al cliente) o perjudica
de manera significativa la imagen y confianza de la compañía
- Medio: La pérdida o daño puede ser reparada o tiene un impacto que no
afecta las operaciones de la compañía o tiene afectaciones menores
incluyendo al cliente.
- Bajo: La pérdida o daño no afecta las operaciones y puede ser reparado sin
grandes afectaciones incluyendo al cliente

3. Identificación de actividades clave en los procesos y riesgos desencadenados

3.1. Procesos y activos del negocio a evaluar (para efectos de la actividad se

mencionan solo algunos)

Proceso / Activo Actividades clave Valor del activo

Mantenimiento en sitio del Manipulación de equipos propiedad del Medio
cliente o en instalaciones cliente incluyendo información

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Manipulación de medios de Alto

almacenamiento propiedad del cliente para
Respaldos de información
respaldo de información
del cliente

Almacenamiento de equipo terminado Medio

Almacenamiento

Deshecho de equipo electrónico obsoleto o Alto

sin funcionar
Destrucción de equipo

Clasificación: Alto (Uso

Confidencial - Uso interno - Pública interno y
Información almacenada
Confidencial)
propiedad del cliente
Bajo (Pública)

Bajo

Equipo de cómputo del

cliente

Medio

Servidores del cliente

3.2. Identificación de medidas / controles de seguridad existentes

Para efectos de esta actividad no existen controles previos, se tendrán que determinar
una vez evaluados los riesgos para su tratamiento.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

3.3. Identificación de vulnerabilidades y amenazas

Amenazas relacionadas con la seguridad de la información, la privacidad y la

propiedad intelectual

Divulgación de información personal o confidencial

Privacidad Suplantación de identidad para fraude

Extorsión

Plagio

Propiedad Piratería
Intelectual
Violación de los secretos industriales

Pérdida o modificación de información por daño intencional o

Seguridad de la
negligencia
Información
- Confidencialidad Robo de equipos con información
- Integridad
Pérdida o modificación de la información por causas medioambientales
- Disponibilidad
(incendio, inundación, descarga eléctrica, derrumbe)

Cada dueño del proceso deberá identificar una combinación de vulnerabilidades y

amenazas asociadas con la realización de éstos, para ello se deberán basar en un listado
como el siguiente

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Vulnerabilidad Amenazas
Falta de capacitación del personal Pérdida de
Daño de equipos
técnico información
Falta de medidas de seguridad en
Robo
los vehículos de servicio
Falta de medidas de seguridad Pérdida /
para manipular equipo Daño de equipos Modificación de
electrónico información
Fuga de información
Deficiente o falta de control de Plagio
Robo de equipos Daño intencional
acceso al laboratorio de trabajo Violación del secreto
industrial
Fuga de información
Inadecuada supervisión y Robo Errores por falta de
Plagio
monitoreo del personal Piratería personal competente
Fraude
Filtros de reclutamiento Fraude
Robo Fuga de información
deficientes Plagio
Fuga de información
Deficiente o inexistente seguridad
Plagio
física en las instalaciones de Robo Daño de equipos
Violación del secreto
almacenamiento
industrial
Falta de medidas de protección
Pérdida de
medioambientales (incendio, Daño de equipos
información
inundaciones)
Procesos de respaldo de Plagio
Pérdida de
información sin documentar y Fuga de información Violación del secreto
información
auditar industrial
Falta de procedimientos en la Fuga de Pérdida de Violación del secreto
destrucción de equipos información información industrial

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

3.4. Valoración del impacto

Para la evaluación de las consecuencias podemos considerar los siguientes elementos:

1. Consecuencia operacional (por ejemplo, costo y tiempo)
2. Consecuencia técnica (atención hacia los clientes, incumplimiento de regulaciones)
3. Imagen (cómo nos ven los clientes o entidades con los que interactuamos)

Para cada combinación de vulnerabilidad / amenaza, la consecuencia en el negocio

debe evaluarse de la siguiente manera:

Grado Efecto
1. Insignificante Impacto insignificante
2. Menor Consecuencias visibles, pero con pocos efectos que reestablecer
3. Moderado Consecuencia visible, esfuerzos significativos para recuperar y restaurar
la operación normal.
4. Alto Consecuencia y costos de restablecimiento altos
5. Catastrófico Imposibilidad de desarrollar el proceso o reponer el activo en el corto
plazo

3.5. Valoración de la probabilidad de ocurrencia

Debemos evaluar la probabilidad de ocurrencia de cada combinación de amenaza y

vulnerabilidad con la ayuda de la siguiente tabla

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Grado Ocurrencia Ejemplo

1. Improbabl Casi imposible, muy baja probabilidad Menos de 1 vez cada 10 años
e
2. Remota Puede pasar pero con muy poca posibilidad Menos de 1 vez cada 5 años
3. Posible Puede pasar, moderadas probabilidades Una vez cada 5 años
4. Probable Probabilidad importante Una vez al año
5. Casi seguro Altamente probable, es casi seguro que pase Varias veces al año

3.6. Cálculo del nivel de riesgo

El primer valor para obtener deberá ser el Factor de Riesgo, el cual obtenemos con el
impacto y la probabilidad de ocurrencia mediante la siguiente operación

Factor de riesgo = Valor del Impacto X Valor de la probabilidad de ocurrencia

3.7. Cálculo del factor de riesgo de las amenazas identificadas

Impacto
1 2 3 4 5
Probabilidad

Insignificante Menor Moderado Alto Catastrófico

5 5 10 15 20 25
Casi seguro -Pérdida / -Pérdida/ Fuga Pérdida / Fuga
Fuga de / Modificación / Modificación
Información de información de

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Información
no relevante relevante
confidencial
16 20
-Robo de
8
equipo con
4 4 -Robo de 12
información
Probable equipos sin
confidencial
información
-Plagio
Fraude
12 15
6
-Daño de
-Daño de
3 3 9 equipos con
equipos sin
Posible información
información
confidencial
relevante
-Fraude
2 2 4 6 8 10
Remota
1 1 2 3 4 5
Improbable

3.8. Cálculo del nivel de riesgo

Para obtener el nivel de riesgo, lo calcularemos tomando en cuenta el valor del activo o
proceso y el factor de riesgo, de la siguiente manera

Factor de Riesgo
Bajo Medio Importante

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Muy Importante
Importante -Información
Alto Medio
confidencial / Uso
interno
Importante
Valor del activo

-Mantenimiento de
Medio
Medio Bajo equipos
-Servidores
-Destrucción de
equipos
Bajo
-Información
Bajo Bajo pública Medio
-Equipos sin
información

Con base en la tabla anterior podremos determinar qué tipo de medidas implementar
para el tratamiento del riesgo

Muy importante Es vital el implementar las medidas de seguridad para tratar el riesgo
Importante Es altamente recomendado implementar medidas de seguridad para el
tratamiento del riesgo
Medio Las medidas de seguridad a implementar se determinarán caso por caso
Bajo Algunas medidas de seguridad podrían mejorar el nivel de riesgo

4. Tratamiento y aceptación del riesgo

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

4.1. Plan de tratamiento de riesgos

Una vez obtenido el listado de riesgos y escenarios es necesario establecer las medidas
específicas para cada uno de ellos con el objetivo de reducirlos al mínimo posible de
aceptación. Mencionaremos los riesgos evaluados de Medio a Muy Importante

Factor de Valor del Nivel de

Riesgo Tratamiento
Riesgo activo Riesgo
Controles de seguridad física en
Robo de información
Muy almacén y laboratorio
confidencial y uso Importante Alto
Importante Monitoreo de flotilla de vehículos
interno
que trasladen equipos
Implementación de una política de
seguridad de la información
Fuga de información
Muy Filtros de reclutamiento de
confidencial y uso Importante Alto
Importante personal
interno
Controles de monitoreo y auditoría
de manejo de información
Capacitación y herramientas
Pérdida de información
acorde a las funciones del personal
confidencial y uso Medio Alto Importante
Controles de seguridad física y
interno
medio ambiente
Firma de acuerdos de
confidencialidad para emleados
Uso de información Muy Filtros de reclutamiento de
Importante Alto
para fraude Importante personal
Controles de monitoreo y auditoría
de manejo de información
Controles de seguridad física en
Robo de servidores o
almacén y laboratorio
equipo con valor Medio Medio Medio
Monitoreo de flotilla de vehículos
similar
que trasladen equipos

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

4.2. Revisión de riesgos residuales

El riesgo residual es el que resulta de la evaluación del nivel de riesgo después de la

implementación de las medidas recomendadas, por ejemplo (FR2 y VA 2 son el Factor
de Riesgo y el Valor del Activo después de tratado el riesgo)

Riesgo Nivel de Riesgo FR 2 VA 2 Riesgo Residual

Robo de información
Muy Importante Bajo Alto Medio
confidencial y uso interno
Fuga de información
Muy Importante Bajo Alto Medio
confidencial y uso interno
Pérdida de información
Importante Bajo Alto Medio
confidencial y uso interno
Uso de información para
Muy Importante Bajo Alto Medio
fraude
Robo de servidores o equipo
Medio Bajo Medio Bajo
con valor similar

4.3. Criterios de aceptación

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

Debido a que los riesgos no se pueden eliminar, debemos trazar una estrategia de
aceptación y tratamiento del riesgo residual, la cual será la siguiente

- Riesgo Bajo: No hay mitigación, se acepta el nivel de riesgo con las

medidas ya implementadas

- Riesgo Medio: Basado en el análisis de riesgo, el valor del activo no puede

disminuir debido a la importancia de la información contenida (confidencial
y uso interno), en este caso se deberán implementar medidas de mitigación
del impacto como pueden ser póliza de seguro o aceptación del riesgo por
parte del cliente.

- Riesgo Importante / Muy importante: No se identificaron riesgos

clasificados en esta categoría.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos
Informáticos

5. Referencias

Instituto Colombiano de Normas Técnicas y Certificación. (2009, 19 agosto). Norma

Técnica Colombiana ISO/IEC 27005. Recuperado 8 diciembre, 2019, de
http://gmas2.envigado.gov.co/gmas/downloadFile.public?
repositorioArchivo=000000001071

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)