Upload
others
View
3
Download
1
Embed Size (px)
Citation preview
1
MODELO DE GESTIÓN DE RIESGOS APLICANDO METODOLOGÍA OCTAVE
ALLEGRO EN ENTIDADES DEL SECTOR FIDUCIARIO
SANDRA MILENA TORRES MORALES
CÓDIGO: 20151678016
JEIMY LORENA ROJAS CRUZ
CÓDIGO: 20151678014
PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR POR EL TÍTULO
DE INGENIERÍA EN TELEMÁTICA
MODALIDAD DE MONOGRAFIA
TUTOR
JAIRO HERNANDEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
BOGOTA D.C.
2017
2
Nota de aceptación.
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
Firma del jurado
________________________________________
Firma del tutor
3
AGRADECIMIENTOS
Agradecemos primeramente a DIOS por sembrar en nuestro corazón el sueño de
ser Ingenieras, por permitirnos ser mejores cada día, por ayudarnos a confiar en
nosotras mismas y en nuestras capacidades de lograr cada meta que nos
proponemos, por darnos la fuerza para seguir adelante y correr la milla extra.
Durante el desarrollo del este proyecto, quiero agradecer infinitamente a cada
docente que influyo de manera directa o indirecta durante las dos carreras
ejercidas en la Universidad Distrital Francisco José de Caldas, a nuestro tutor
Jairo Hernández por la paciencia y por compartir sus conocimientos en nuestro
proyecto por poner su confianza en nosotras.
Agradecemos infinitamente a nuestros padres por apoyarnos durante esta etapa
tan importante de nuestra vida, por ser nuestro apoyo en los momentos difíciles,
por acompañarnos en las noches largas que hoy dan fruto al esfuerzo y a la
confianza que han puesto en nosotras, a nuestros hermanos menores, queremos
ser el ejemplo de persistencia.
4
DEDICATORIA
Siempre ha sido mi inspiración, para enseñar que cada paso que se da confiado en Dios, es un éxito
inevitable, hermano mío, no dejes de desistir por lo que siempre has soñado, aun estas joven y fuerte
para llegar más alto de lo que yo he llegado, confía en lo eres, en los valores que nos han enseñado
nuestros padres.
Se fuerte y valiente como lo ha dicho el Señor y el te llevara más alla de lo que has soñado, mas Él
conoce nuestro corazón, nuestros sueños y anhelos, porque estos primero nacieron en el corazón de Dios.
“Mira que te mando que te esfuerces y seas valiente; no temas ni desmayes.
Porque Jehová tu Dios estará contigo en dondequiera que vayas” Josué 1:7
5
RESUMEN
En el presente trabajo de grado se presenta y se desarrolla un modelo de gestión
de riesgos, aplicando los ocho pasos de la metodología Octave Allegro en el
sector fiduciario, tomando como ejemplo la compañía Acción Fiduciaria ubicada en
Bogotá D.C, identificando los activos más importantes de la empresa.
En el primer capítulo se realiza la planeación y organización del proyecto,
planteando la definición del problema que abarca las fiduciarias en cuanto la
gestión de riesgos, se identifica los objetivos tanto generales como específicos
que se pretenden alcanzar y el alcance del proyecto.
En el segundo capítulo se realiza un análisis general teniendo en cuenta que se
realizó con base a una entrevista en la cual fue dada por la analista de riesgos y el
ingeniero de infraestructura de Acción Fiduciaria.
En el tercer capítulo se desarrolla el análisis basado en la metodología Octave
Allegro en los diferentes ochos pasos el cual nos permite identificar las amenazas
y las vulnerabilidades que se puedan presentar, y así generar estrategias que
puedan transferir, aceptar o mitigar los riesgos encontrados.
En el cuarto capítulo se realiza el analisis y la implementacion del prototipo,
utilizando casos de uso, diagramas de secuencia, diagramas de colaboración,
diagramas de actividad, diagramas de proceso y el modelo entidad - relación.
Por ultimo se encuentran las conclusiones, a las que se han llegado durante el
desarrollo del proyecto de grado y algunas recomendaciones sobre el uso del
prototipo, estas con el fin de emplear un uso adecuado a la herramienta.
6
ABSTRACT
This document present and amplify a risk management model, applying the eight
steps of Octave Allegro’s metodology on fiduciary sector, take like example the
Acción Fiduciaria Company located in Bogotá D.C, Identifying the more important
company’s actives.
In the first chapter is performed the project’s planning and organization, posing the
problem definition encompassing the fiduciary concerning the risk management,
indetifying the general and specifid objectives and the project´s scope.
In the second chapter is performed a general anlysis taking account the risk
analyst and infrastructure enginner’s Accion Fiduciaria interview.
In the third chapter is development a analysis on Octave Allegro metodology step
by step identify the possible menaces and vulnerabilities, with the purpose the
generate strategy that may shift, accept or mitigate the found risk.
In the fourth chapter, prototype analysis and implementation are performed, using use cases, sequence diagrams, collaboration diagrams, activity diagrams, process diagrams and the entity - relationship model. Finally, there are the conclusions, which have been reached during the development of the degree project and some recommendations on the use of the prototype, in order to use appropriate use of the tool.
7
INTRODUCCIÓN
La gestión de riesgos contempla el desarrollo e implementación de metodologías
que permiten identificar, cuantificar, mitigar y monitorear los diferentes riesgos que
pueden atribuirse en una Fiduciaria, con el fin de minimizar las amenazas y
vulnerabilidades que se pueden tener con respecto a la seguridad de la
información, en la que encierra diferentes activos de una compañía como
software, bases de datos hardware y todo lo que la organización valore como un
activo.
La información para la organización debe ser un elemento intangible de mucho
valor y debe estar administrada por personal capacitado que la organización
determine, evitando que personal ajeno a la compañía tenga acceso o la
manipule, la información también debe estar disponible en el momento oportuno,
teniendo respaldos o copias de seguridad por si la información es borrada, robada
o alterada.
En la actualidad el plan de continuidad es una necesidad para cualquier empresa
sea grande o pequeña debido a que la tecnología avanza y es cambiante, exige
buscar alternativas que garanticen la continuidad operacional de la organización.
Para el análisis de riesgos de este proyecto se trabajó con la metodología Octave
Allegro que se centra en los activos de información. Los activos importantes de
una organización son identificados y evaluados en base a los activos de
información. OCTAVE Allegro consta de ocho etapas organizadas en cuatro fases:
• Desarrollar criterios de medición de riesgo consistentes con la misión de la
organización, los objetivos objetivos y los factores críticos de éxito.
• Cree un perfil de cada activo de información crítico que establezca límites
claros para el activo, identifique sus requisitos de seguridad e identifique
todos sus contenedores.
• Identificar las amenazas a cada activo de información en el contexto de sus
contenedores.
• Identificar y analizar los riesgos de los activos de información y comenzar a
desarrollar enfoques de mitigación.
8
TABLA DE CONTENIDO
RESUMEN ..................................................................................................................... 5
ABSTRACT .................................................................................................................... 6
INTRODUCCIÓN ........................................................................................................... 7
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN ................................. 25
1.1 TITULO DEL PROYECTO: ..................................................................................... 25
1.2 TEMA ................................................................................................................... 25
1.3 DEFINICIÓN DEL PROBLEMA: ............................................................................. 25
1.3.1 Descripción: .................................................................................................... 25
1.3.2 Formulación:.................................................................................................... 26
1.4 OBJETIVOS: .......................................................................................................... 26
1.4.1 Objetivo general: ............................................................................................. 26
1.4.2 Objetivos específicos: ...................................................................................... 26
1.5 ALCANCES Y LIMITACIÓN: .................................................................................. 27
1.5.1 Alcances: ......................................................................................................... 27
1.5.2 Limitaciones: ................................................................................................... 30
1.6 JUSTIFICACIÓN: ................................................................................................... 30
1.7 MARCOS DE REFERENCIA .................................................................................. 31
1.7.1 Marcos histórico: ............................................................................................. 31
1.7.2 Marco teórico: .................................................................................................. 35
1.7.3 Marco metodológico: ....................................................................................... 37
1.7.3.1 Metodología RUP ............................................................................................. 37
1.7.4 Marco conceptual: ............................................................................................... 44
1.8 FACTIBILIDAD DE DESARROLLO: ....................................................................... 45
1.8.1 Técnica: ........................................................................................................... 45
1.8.2 Operativa: ........................................................................................................ 45
1.8.3 Económica: ..................................................................................................... 46
1.8.4 Legal: .............................................................................................................. 47
1.8.5 Cronograma de actividades: ............................................................................ 48
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS ......................................................................................... 50
9
2.1. Evaluación de la seguridad de la información del caso estudio. ............................ 52
2.1.1. Dominio 5: Políticas de seguridad de la Información .......................................... 53
2.1.2. Dominio 6: Organización de la seguridad de la información ............................... 53
2.1.3. Dominio 7: Seguridad de los Recursos Humanos ............................................... 53
2.1.4 Dominio 8: Gestión de recursos .......................................................................... 54
2.1.5 Dominio 9: Gestión de acceso de usuario. .......................................................... 55
2.1.6 Dominio 10: Criptografía ...................................................................................... 55
2.1.7 Dominio: 11: Seguridad física y ambiental ........................................................... 56
2.1.8 Dominio 12: Seguridad Operacional .................................................................... 56
2.1.9. Dominio 13: Seguridad de las Comunicaciones ................................................. 57
2.1.10 Dominio 15: Relaciones con los proveedores .................................................... 57
2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información ................ 57
2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio ................................................................................................ 57
2.1.13. Dominio 18: Cumplimiento................................................................................ 58
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE .................................................... 59
3.2.1 Establecer criterio de medición de riesgos .......................................................... 61
3.2.2. Desarrollar un Perfil de los Activos Informáticos: ............................................... 63
3.2.3. Identificar los Contenedores de los Activos Informáticos: ................................. 67
3.2.4. Identificar las áreas de preocupación ................................................................ 70
3.2.6. Identificación de Riesgos .................................................................................... 80
3.2.7. Análisis de Riesgos ............................................................................................ 82
3.2.8. Enfoque de mitigación ........................................................................................ 86
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO ................................................. 92
4.1 Fase De Requerimientos ........................................................................................ 92
4.1.1. Descripción y diagramas de proceso .................................................................. 92
4.1.1.1. Diagramas de proceso para Activos ................................................................ 92
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo ............................. 94
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto .................................... 95
4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos .............................. 95
4.1.1.5 Diagramas de Proceso Configuración de Contenedores .................................. 96
10
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores .......................... 98
4.1.1.7 Diagramas de Proceso para Áreas de Preocupación ....................................... 98
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo ........................................ 100
4.1.1.9 Diagramas de proceso Enfoque de Mitigación ................................................ 100
4.1.1.10 Diagramas de Proceso Generación de Reportes .......................................... 102
4.1.1.11 Diagramas de Proceso Administrar Usuarios ............................................... 102
4.2 Requerimientos funcionales y no funcionales ....................................................... 104
4.2.1.Requerimientos Funcionales ............................................................................. 104
4.2.2 Requerimientos no funcionales ......................................................................... 105
4.3. Fase de análisis .................................................................................................. 106
4.3.1 Definición de Actores ........................................................................................ 106
4.3.2 Lista preliminar de casos de uso ....................................................................... 107
4.3.3 Depuración de casos de uso ............................................................................. 107
4.3.4 Documentación de Casos De Uso ..................................................................... 111
4.3.5 Diagrama de secuencia ..................................................................................... 114
4.3.6. Diagramas de Actividad .................................................................................... 117
4.3.7. Diagramas de estado ....................................................................................... 119
4.3.8 Modelo Objeto Relacional ................................................................................. 122
4.3.9. Diccionario de datos ......................................................................................... 123
4.4 . Implementación .................................................................................................. 127
4.5 Pruebas ................................................................................................................ 129
CONCLUSIONES ...................................................................................................... 142
RECOMENDACIONES .............................................................................................. 143
REFERENCIAS ......................................................................................................... 144
11
TABLA DE FIGURAS
Tabla 1 Características técnicas ............................................................................ 45
Tabla 2 Características de software ....................................................................... 45
Tabla 3 Recursos economicos ............................................................................... 46
Tabla 4 Criterios de medición de riesgos ............................................................... 61
Tabla 5 Areas de impacto ...................................................................................... 62
Tabla 6 Perfilamiento del activo correo electrónico ................................................ 65
Tabla 7 Perfilamiento del activo Intranet ................................................................ 65
Tabla 8 Perfilamiento del activo Plataforma de pagos ........................................... 66
Tabla 9 Contendor interno bases de datos ............................................................ 68
Tabla 10 Contendor interno plataforma de correo ................................................. 68
Tabla 11 Contendor interno directorio activo ......................................................... 68
Tabla 12 Contendor interno data center ................................................................ 68
Tabla 13 Contendor interno servidor de aplicaciones ............................................ 68
Tabla 14 Contendor interno Compañia .................................................................. 69
Tabla 15 Contendor interno usb ............................................................................. 69
Tabla 16 Contendor interno impresora .................................................................. 69
Tabla 17 Contendor interno disco duro .................................................................. 69
Tabla 18 Contendor interno computador ............................................................... 69
Tabla 19 Contendor interno areas de preocupación .............................................. 70
Tabla 20. Area de preocupación exposición de los activos de información .......... 71
Tabla 21 Área de preocupación exposición de los activos de información, ........... 71
Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas .. 72
Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica ...... 72
Tabla 24 Area de preocupación problemas de conectividad en la red interna ....... 73
Tabla 25 Área de preocupación interrupción del servicio de internet ..................... 73
Tabla 26 Área de preocupación falla en los componentes de hardware. ............... 74
Tabla 27 Area de preocupación desactualización de los sistemas ........................ 74
Tabla 28 Área de preocupación alta rotación de personal ..................................... 75
Tabla 29 Área de preocupación desastres naturales ............................................. 75
Tabla 30 Área de preocupación falla o defecto de software .................................. 75
Tabla 31 Árbol de amenazas ................................................................................. 76
Tabla 32 Probabilidad de amenaza ....................................................................... 77
Tabla 33 Árbol de amenaza plataforma de recaudo .............................................. 77
Tabla 34 Árbol de amenaza sistema de documentación de clientes ..................... 78
Tabla 35 Árbol de amenaza centro de negocios .................................................... 78
Tabla 36 Árbol de Amenaza AcciónBack ............................................................... 79
Tabla 37 Árbol de Amenaza Inveracción ............................................................... 79
12
Tabla 38 Tabla de consecuencias de AcciónBack ................................................. 80
Tabla 39 Tabla de consecuencias de la Intranet.................................................... 81
Tabla 40 Puntaje para determinar riesgos según el área de preocupaciónt ......... 82
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo ........... 83
Tabla 42 Puntaje para determinar riesgos exposición de los activos . ................... 83
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad. ................ 83
Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet . 83
Tabla 45 Puntaje para determinar riesgos Falla en los componentes. .................. 84
Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas ....... 84
Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software ................. 84
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio . ................. 85
Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal ................... 85
Tabla 50 Puntaje para determinar Desastres Naturales ........................................ 85
Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales 85
Tabla 52 Matriz de riesgos relativos ...................................................................... 86
Tabla 53 Mitigación de riesgo según el activo Intranet .......................................... 87
Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo .................. 89
Tabla 55 Definición de Actores ............................................................................ 106
Tabla 56 Lista preliminar de casos de uso ........................................................... 107
Tabla 57 Documentación de caso de uso crear activo ........................................ 111
Tabla 58 Documentación de caso de uso consultar activos ................................ 112
Tabla 59 Documentación de caso de uso Actualizar activo ................................. 112
Tabla 60 Documentación de caso de uso Eliminar Activo ................................... 113
Tabla 61 Prueba Menú Activos ............................................................................ 129
Tabla 62 Prueba Menú Activos Críticos ............................................................... 130
Tabla 63 Prueba Menú Criterios de Medida de Riesgo ....................................... 131
Tabla 64 Prueba Menú Priorizar Áreas de Impacto ............................................. 132
Tabla 65 Prueba Menú Contenedores ................................................................. 133
Tabla 66 Prueba Menú Asociar Activos a Contenedores ..................................... 134
Tabla 67 Prueba Menú Áreas de Preocupación .................................................. 135
Tabla 68 Prueba Menú Puntaje de Riesgo Relativo ............................................ 136
Tabla 69 Prueba Menú Enfoque de Mitigación .................................................... 137
Tabla 70 Prueba Menú Descarga de Reportes .................................................... 139
Tabla 71 Prueba Menú Administración de Usuarios ............................................ 140
Tabla 72 Perfilamiento del activo Bases de datos AcciónBack ............................ 148
Tabla 73 Perfilamiento del activo Centro de negocios ......................................... 148
Tabla 74 Perfilamiento del activo Sistema AcciónBack ....................................... 149
Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos ........ 149
Tabla 76 Perfilamiento del activo Documentos .................................................... 150
13
Tabla 77 Perfilamiento del activo Sistema Inveracción ........................................ 150
Tabla 78 Perfilamiento del activo Directorio Activo .............................................. 151
Tabla 79 Perfilamiento del activo Servidor de aplicaciones ................................. 151
Tabla 80 Perfilamiento del activo servidor de desarrollo ...................................... 152
Tabla 81 Perfilamiento del activo servidor de Pruebas ........................................ 152
Tabla 82 Perfilamiento del activo Control de acceso ........................................... 153
Tabla 83 Área de preocupación Exposición de los activos de información, ......... 154
Tabla 84 Exposición de los activos de información, Exposición de los activos. ... 154
Tabla 85 Exposición de los activos de información, Desconocimiento en el ...... 154
Tabla 86 Interrupción en el servicio de energía electrónica ................................. 155
Tabla 87 Problemas de conectividad en la red interna de la organización .......... 155
Tabla 88 Interrupción en el servicio internet ....................................................... 155
Tabla 89 Falla en los componentes de hardware en los equipos informáticos .... 155
Tabla 90 Desactualización de los sistemas ......................................................... 156
Tabla 91 Alta rotación de Personal ...................................................................... 156
Tabla 92 Desastres naturales ............................................................................. 156
Tabla 93 Falla o defecto de software ................................................................... 156
Tabla 94 Exposición de los activos de información, acceso no autorizado .......... 157
Tabla 95 Exposición de los activos de información, acceso no autorizado. ......... 157
Tabla 96 Desconocimiento en el manejo de los sistemas o equipos ................... 157
Tabla 97 Interrupción en el servicio de energía electrónica ................................. 157
Tabla 98 Problemas de conectividad en la red interna de la organización .......... 158
Tabla 99 Interrupción en el servicio internet ........................................................ 158
Tabla 100 Falla en los componentes de hardware en los equipos informáticos .. 158
Tabla 101 Desactualización de los sistemas ....................................................... 158
Tabla 102 Alta rotación de Personal .................................................................... 159
Tabla 103 Desastres naturales ............................................................................ 159
Tabla 104 Falla o defecto de software ................................................................. 159
Tabla 105 Exposición de los activos de información, acceso no autorizado ........ 159
Tabla 106 Exposición de los activos de información, acceso no autorizado. ....... 160
Tabla 107 Desconocimiento en el manejo de los sistemas o equipos ................. 160
Tabla 108 Interrupción en el servicio de energía electrónica ............................... 160
Tabla 109 Problemas de conectividad en la red interna de la organización ........ 160
Tabla 110 Interrupción en el servicio internet ...................................................... 161
Tabla 111 Falla en los componentes de hardware en los equipos informáticos .. 161
Tabla 112 Desactualización de los sistemas ....................................................... 161
Tabla 113 Alta rotación de Personal .................................................................... 162
Tabla 114 Desastres naturales ............................................................................ 162
Tabla 115 Falla o defecto de software ................................................................. 162
14
Tabla 116 Exposición de los activos de información, acceso no autorizado ........ 162
Tabla 117 Exposición de los activos de información, acceso no autorizado ........ 163
Tabla 118 Desconocimiento en el manejo de los sistemas o equipos ................. 163
Tabla 119 Interrupción en el servicio de energía electrónica ............................... 163
Tabla 120 Problemas de conectividad en la red interna de la organización ........ 163
Tabla 121 Interrupción en el servicio internet ...................................................... 164
Tabla 122 Falla en los componentes de hardware en los equipos informáticos .. 164
Tabla 123 Desactualización de los sistemas ....................................................... 164
Tabla 124 Alta rotación de Personal .................................................................... 165
Tabla 125 Desastres naturales ............................................................................ 165
Tabla 126 Falla o defecto de software ................................................................. 165
Tabla 127 Exposición de los activos de información, acceso no autorizado. ....... 165
Tabla 128 Exposición de los activos de información, acceso no autorizado. ....... 166
Tabla 129 Área de preocupación desconocimiento en el manejo ........................ 166
Tabla 130 Interrupción en el servicio de energía electrónica ............................... 166
Tabla 131 Problemas de conectividad en la red interna de la organización ........ 167
Tabla 132 Interrupción en el servicio internet ...................................................... 167
Tabla 133 Falla en los componentes de hardware en los equipos informáticos .. 167
Tabla 134 Desactualización de los sistemas ....................................................... 167
Tabla 135 Alta rotación de Personal .................................................................... 168
Tabla 136 Desastres naturales ............................................................................ 168
Tabla 137 Falla o defecto de software ................................................................. 168
Tabla 138 Exposición de los activos de información, acceso no autorizado a lo . 168
Tabla 139 Exposición de los activos de información, acceso no autorizado. ....... 169
Tabla 140 Desconocimiento en el manejo de los sistemas o equipos ................. 169
Tabla 141 Interrupción en el servicio de energía electrónica ............................... 169
Tabla 142 Problemas de conectividad en la red interna de la organización ........ 170
Tabla 143 Interrupción en el servicio internet ...................................................... 170
Tabla 144 Falla en los componentes de hardware en los equipos informáticos .. 170
Tabla 145 Desactualización de los sistemas ....................................................... 170
Tabla 146 Alta rotación de Personal .................................................................... 171
Tabla 147 Desastres naturales ............................................................................ 171
Tabla 148 Falla o defecto de software ................................................................. 171
Tabla 149 Exposición de los activos de información, acceso no autorizado ........ 171
Tabla 150 Exposición de los activos de información, acceso no autorizado ........ 172
Tabla 151 Desconocimiento en el manejo de los sistemas o equipos ................. 172
Tabla 152 Interrupción en el servicio de energía electrónica ............................... 172
Tabla 153 Problemas de conectividad en la red interna de la organización ........ 172
Tabla 154 Interrupción en el servicio internet ...................................................... 173
15
Tabla 155 Falla en los componentes de hardware en los equipos informáticos .. 173
Tabla 156 Desactualización de los sistemas ....................................................... 173
Tabla 157 Alta rotación de Personal .................................................................... 173
Tabla 158 Desastres naturales ............................................................................ 174
Tabla 159 Falla o defecto de software ................................................................. 174
Tabla 160 Exposición de los activos de información, acceso no autorizado. ....... 174
Tabla 161 Exposición de los activos de información, acceso no autorizado ........ 174
Tabla 162 Desconocimiento en el manejo de los sistemas o equipos ................. 175
Tabla 163 Interrupción en el servicio de energía electrónica ............................... 175
Tabla 164 Problemas de conectividad en la red interna de la organización ........ 175
Tabla 165 Interrupción en el servicio internet ...................................................... 176
Tabla 166 Falla en los componentes de hardware en los equipos informáticos .. 176
Tabla 167 Desactualización de los sistemas ....................................................... 176
Tabla 168 Alta rotación de Personal .................................................................... 176
Tabla 169 Desastres naturales ............................................................................ 177
Tabla 170 Falla o defecto de software ................................................................. 177
Tabla 171 Exposición de los activos de información, acceso no autorizado ........ 177
Tabla 172 Exposición de los activos de información, acceso no autorizado ........ 177
Tabla 173 Desconocimiento en el manejo de los sistemas o equipos ................ 178
Tabla 174 Interrupción en el servicio de energía electrónica ............................... 178
Tabla 175 Problemas de conectividad en la red interna de la organización ........ 178
Tabla 176 Interrupción en el servicio internet ...................................................... 178
Tabla 177 Falla en los componentes de hardware en los equipos informáticos .. 179
Tabla 178 Desactualización de los sistemas ....................................................... 179
Tabla 179 Alta rotación de Personal .................................................................... 179
Tabla 180 Desastres naturales ............................................................................ 179
Tabla 181 Falla o defecto de software ................................................................. 180
Tabla 182 Exposición de los activos de información, acceso no autorizado ........ 180
Tabla 183 Exposición de los activos de información, acceso no autorizado ........ 180
Tabla 184 Desconocimiento en el manejo de los sistemas o equipos ................. 180
Tabla 185 Interrupción en el servicio de energía electrónica ............................... 181
Tabla 186 Problemas de conectividad en la red interna de la organización ........ 181
Tabla 187 Interrupción en el servicio internet ...................................................... 181
Tabla 188 Falla en los componentes de hardware en los equipos informáticos .. 182
Tabla 189 Desactualización de los sistemas ....................................................... 182
Tabla 190 Alta rotación de Personal .................................................................... 182
Tabla 191 Desastres naturales ............................................................................ 182
Tabla 192 Falla o defecto de software ................................................................. 183
Tabla 193 Exposición de los activos de información, acceso no autorizado ........ 183
16
Tabla 194 Exposición de los activos de información, acceso no autorizado ........ 183
Tabla 195 Desconocimiento en el manejo de los sistemas o equipos ................183
Tabla 196 Interrupción en el servicio de energía electrónica ............................... 184
Tabla 197 Problemas de conectividad en la red interna de la organización ........ 184
Tabla 198 Interrupción en el servicio de internet ................................................. 184
Tabla 199 Falla en los componentes de hardware en los equipos informáticos .. 184
Tabla 200 Desactualización de los sistemas ....................................................... 185
Tabla 201 Alta rotación de Personal .................................................................... 185
Tabla 202 Desastres naturales ............................................................................ 185
Tabla 203 Fallo o defecto de software ................................................................. 185
Tabla 204 Interrupción en el servicio de energía electrónica ............................... 186
Tabla 205 Interrupción en el servicio internet ...................................................... 186
Tabla 206 Desconocimiento en el manejo de los sistemas o equipos ................. 186
Tabla 207 Problemas de conectividad en la red interna de la organización ........ 186
Tabla 208 Falla en los componentes de hardware en los equipos informáticos .. 187
Tabla 209 Desactualización de los sistemas ....................................................... 187
Tabla 210 Desastres naturales ............................................................................ 187
Tabla 211 Alta rotación de Personal .................................................................... 188
Tabla 212 Exposición de los activos de información, acceso no autorizado ........ 188
Tabla 213 Falla o defecto de software ................................................................. 188
Tabla 214 Exposición de los activos de información, acceso no autorizado ........ 188
Tabla 215 Árbol de Amenaza Correo Electrónico ................................................ 189
Tabla 216 Árbol de Amenaza Directorio Activo ................................................... 189
Tabla 217 Árbol de Amenaza Base de datos AcciónBack ................................... 189
Tabla 218 Árbol de Amenaza Servidor de desarrollo ........................................... 190
Tabla 219 Árbol de Amenaza Servidor de pruebas ............................................. 190
Tabla 220 Árbol de Amenaza Servidor de Aplicaciones ...................................... 190
Tabla 221 Árbol de Amenaza Documentos ......................................................... 191
Tabla 222 Árbol de Amenaza Intranet ................................................................. 191
Tabla 223 Consecuencias del centro de negocios ............................................... 192
Tabla 224 Consecuencias de la plataforma de recaudo ...................................... 192
Tabla 225 Consecuencias de las bases de datos de AcciónBack ....................... 193
Tabla 226 Consecuencias del correo electrónico ................................................ 193
Tabla 227 Consecuencias del digitalizador de documentos ................................ 194
Tabla 228 Consecuencias de Inveracción ........................................................... 195
Tabla 229 Consecuencias del servidor de aplicaciones ...................................... 195
Tabla 230 Consecuencias del servidor de desarrollo .......................................... 196
Tabla 231 Consecuencias del servidor de pruebas ............................................. 196
Tabla 232 Consecuencias del directorio activo .................................................... 197
17
Tabla 233 Consecuencias del control de acceso ................................................. 197
Tabla 234 Consecuencias de documentos .......................................................... 198
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición. ......... 199
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento .... 199
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento....199
Tabla 238 Análisis de riesgo del centro de negocios según Problemas . ............ 199
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción ........... 200
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los ............ 200
Tabla 241 Análisis de riesgo del centro de negocios según Desactualizació ...... 200
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto....... 200
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción. ........... 200
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación .......... 201
Tabla 245 Análisis de riesgo del centro de negocios según Desastres ............... 201
Tabla 246 Análisis de riesgo del centro de negocios ........................................... 201
Tabla 247 Análisis de riesgo de la plataforma de recaudo .................................. 201
Tabla 248 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 249 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 250 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 251 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 252 Análisis de riesgo de la plataforma de recaudo .................................. 202
Tabla 253 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 254 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 255 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 256 Análisis de riesgo de la plataforma de recaudo .................................. 203
Tabla 257 Análisis de riesgo de la plataforma de recaudo .................................. 204
Tabla 258 Análisis de riesgo de la plataforma de recaudo .................................. 204
Tabla 259 Análisis de riesgo de la Base de datos AcciónBack ............................ 204
Tabla 260 Análisis de riesgo de la Base de datos AcciónBack ............................ 204
Tabla 261 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 262 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 263 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 264 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 265 Análisis de riesgo de la Base de datos AcciónBack ............................ 205
Tabla 266 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 267 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 268 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 269 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 270 Análisis de riesgo de la Base de datos AcciónBack ............................ 206
Tabla 271 Análisis de riesgo del correo electrónico ............................................. 207
18
Tabla 272 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 273 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 274 Análisis de riesgo del correo electrónico ............................................. 207
Tabla 275 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 276 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 277 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 278 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 279 Análisis de riesgo del correo electrónico ............................................. 208
Tabla 280 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 281 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 282 Análisis de riesgo del correo electrónico ............................................. 209
Tabla 283 Análisis de riesgo del sistema AcciónBack ......................................... 209
Tabla 284 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 285 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 286 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 287 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 288 Análisis de riesgo del sistema AcciónBack ......................................... 210
Tabla 289 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 290 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 291 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 292 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 293 Análisis de riesgo del sistema AcciónBack ......................................... 211
Tabla 294 Análisis de riesgo del sistema AcciónBack ......................................... 212
Tabla 295 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 296 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 297 Análisis de riesgo del sistema Inveracción .......................................... 212
Tabla 298 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 299 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 300 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 301 Análisis de riesgo del sistema Inveracción .......................................... 213
Tabla 302 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 303 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 304 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 305 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 306 Análisis de riesgo del sistema Inveracción .......................................... 214
Tabla 307 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 308 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 309 Análisis de riesgo del servidor de aplicaciones ................................... 215
Tabla 310 Análisis de riesgo del servidor de aplicaciones ................................... 215
19
Tabla 311 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 312 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 313 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 314 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 315 Análisis de riesgo del servidor de aplicaciones ................................... 216
Tabla 316 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 317 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 318 Análisis de riesgo del servidor de aplicaciones ................................... 217
Tabla 319 Análisis de riesgo del servidor de pruebas .......................................... 217
Tabla 320 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 321 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 322 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 323 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 324 Análisis de riesgo del servidor de pruebas .......................................... 218
Tabla 325 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 326 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 327 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 328 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 329 Análisis de riesgo del servidor de pruebas .......................................... 219
Tabla 330 Análisis de riesgo del servidor de pruebas .......................................... 220
Tabla 331 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 332 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 333 Análisis de riesgo del servidor de producción ..................................... 220
Tabla 334 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 335 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 336 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 337 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 338 Análisis de riesgo del servidor de producción ..................................... 221
Tabla 339 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 340 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 341 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 342 Análisis de riesgo del servidor de producción ..................................... 222
Tabla 343 Análisis de riesgo del directorio activo ................................................ 223
Tabla 344 Análisis de riesgo del directorio activo ................................................ 223
Tabla 345 Análisis de riesgo del directorio activo ................................................ 223
Tabla 346 Análisis de riesgo del directorio activo ................................................ 223
Tabla 347 Análisis de riesgo del directorio activo ................................................ 223
Tabla 348 Análisis de riesgo del directorio activo ................................................ 224
Tabla 349 Análisis de riesgo del directorio activo ................................................ 224
20
Tabla 350 Análisis de riesgo del directorio activo ................................................ 224
Tabla 351 Análisis de riesgo del directorio activo ................................................ 224
Tabla 352 Análisis de riesgo del directorio activo ................................................ 225
Tabla 353 Análisis de riesgo del directorio activo ................................................ 225
Tabla 354 Análisis de riesgo del directorio activo ................................................ 225
Tabla 355 Análisis de riesgo de los documentos ................................................. 225
Tabla 356 Análisis de riesgo de los documentos ................................................. 226
Tabla 357 Análisis de riesgo de los documentos ................................................. 226
Tabla 358 Análisis de riesgo de los documentos ................................................. 226
Tabla 359 Análisis de riesgo de los documentos ................................................. 226
Tabla 360 Análisis de riesgo de los documentos ................................................. 226
Tabla 361 Análisis de riesgo de los documentos ................................................. 227
Tabla 362 Análisis de riesgo de los documentos ................................................. 227
Tabla 363 Análisis de riesgo de los documentos ................................................. 227
Tabla 364 Análisis de riesgo de los documentos ................................................. 227
Tabla 365 Análisis de riesgo de los documentos ................................................. 227
Tabla 366 Análisis de riesgo de los documentos ................................................. 228
Tabla 367 Análisis de riesgo de los documentos ................................................. 228
Tabla 368 Análisis de riesgo de los documentos ................................................. 228
Tabla 369 Análisis de riesgo de los documentos ................................................. 228
Tabla 370 Análisis de riesgo de los documentos ................................................. 229
Tabla 371 Análisis de riesgo de los documentos ................................................. 229
Tabla 372 Análisis de riesgo de los documentos ................................................. 229
Tabla 373 Análisis de riesgo de los documentos ................................................. 229
Tabla 374 Análisis de riesgo de los documentos ................................................. 229
Tabla 375 Análisis de riesgo de los documentos ................................................. 230
Tabla 376 Análisis de riesgo de los documentos ................................................. 230
Tabla 377 Análisis de riesgo de los documentos ................................................. 230
Tabla 378 Análisis de riesgo de los documentos ................................................. 230
Tabla 379 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 380 Análisis de riesgo del digitalizador de documentos ............................ 231
Tabla 381 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 382 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 383 Análisis de riesgo del digitalizador de documentos ............................. 231
Tabla 384 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 385 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 386 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 387 Análisis de riesgo del digitalizador de documentos ............................. 232
Tabla 388 Análisis de riesgo del digitalizador de documentos ............................. 232
21
Tabla 389 Análisis de riesgo del digitalizador de documentos ............................. 233
Tabla 390 Análisis de riesgo del digitalizador de documentos ............................. 233
Tabla 391 Análisis de riesgo del control de acceso ............................................. 233
Tabla 392 Análisis de riesgo del control de acceso ............................................. 233
Tabla 393 Análisis de riesgo del control de acceso ............................................. 234
Tabla 394 Análisis de riesgo del control de acceso ............................................. 234
Tabla 395 Análisis de riesgo del control de acceso ............................................. 234
Tabla 396 Análisis de riesgo del control de acceso ............................................. 234
Tabla 397 Análisis de riesgo del control de acceso ............................................. 234
Tabla 398 Análisis de riesgo del control de acceso ............................................. 235
Tabla 399 Análisis de riesgo del control de acceso ............................................. 235
Tabla 400 Análisis de riesgo del control de acceso ............................................. 235
Tabla 401 Análisis de riesgo del control de acceso ............................................. 235
Tabla 402 Mitigación de riesgos Bases de datos ................................................. 236
Tabla 403 Mitigación de riesgos correo electrónico ............................................. 237
Tabla 404 Mitigación de riesgos centro de negocios ........................................... 239
Tabla 405 Mitigación de riesgos Accionback ....................................................... 241
Tabla 406 Mitigación de riesgos documentos ...................................................... 242
Tabla 407 Mitigación de riesgos digitalizador de documentos ............................. 244
Tabla 408 Mitigación de riesgos Inveracción ....................................................... 245
Tabla 409 Mitigación de riesgos directorio activo ................................................ 247
Tabla 410 Mitigación de riesgos servidor de desarrollo ....................................... 248
Tabla 411 Mitigación de riesgos servidor de aplicaciones ................................... 250
Tabla 412 Mitigación de riesgos servidor de pruebas .......................................... 252
Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo ...... 254
Tabla 414 Documentación de caso de uso consulta de criterios de Medida ...... 254
Tabla 415 Documentación de caso de uso Actualización de Criterios ................. 255
Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida..............255
Tabla 417 Documentación de caso de uso Consultar Priorización ...................... 256
Tabla 418 Documentación de caso de uso Actualizar Priorización...................... 256
Tabla 419 Documentación de caso de uso Creación de Activo crítico ............... 257
Tabla 420 Documentación de caso de uso Consulta de Activos Críticos ............ 257
Tabla 421 Documentación de caso de uso Actualización de Activo Crítico ......... 258
Tabla 422 Documentación de caso de uso Eliminar Activo Crítico ...................... 258
Tabla 423 Documentación de caso de uso Crear Contenedor ............................ 259
Tabla 424 Documentación de caso de uso Consultar Contenedores .................. 260
Tabla 425 Documentación de caso de uso Actualizar Contendor........................ 260
Tabla 426 Documentación de caso de uso Eliminar Contenedor ........................ 261
Tabla 427 Documentación de caso de uso Crear área de preocupación ............ 261
22
Tabla 428 Documentación de caso de uso Consultar área de Preocupación ...... 262
Tabla 429. Documentación de caso de uso Actualizar área de preocupación .... 262
Tabla 430 Documentación de caso de uso Eliminar área de preocupación. ...... 263
Tabla 431 Documentación de caso de uso Consultar Puntaje ............................ 263
Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación ..... 264
Tabla 433 Documentación de caso de uso Ver controles ................................... 264
Tabla 434 Documentación caso de uso Crear Control ........................................ 265
Tabla 435 Documentación de caso de uso Actualizar Control ............................. 265
Tabla 436 Documentación de caso de uso Eliminar Control ............................... 266
Tabla 437 Documentación de caso de uso Descargar Reportes ........................ 267
Tabla 438 Documentación de caso de uso Crear Usuario ................................... 267
Tabla 439 Documentación de caso de uso Consultar Usuarios .......................... 268
Tabla 440 Documentación de caso de uso Actualizar Usuario ............................ 268
Tabla 441. Documentación de caso de uso Eliminar Usuario ............................. 269
23
TABLA DE ILUSTRACIONES
Ilustración 1 Cronograma de actividades ............................................................... 48
Ilustración 2 Diagrama de red actual ..................................................................... 51
Ilustración 3 Perfilamiento de activos ..................................................................... 63
Ilustración 4 Contenedores de información ............................................................ 67
Ilustración 5 Ecuación de riesgo ............................................................................ 70
Ilustración 6 Enfoque de mitigación según el grupo ............................................... 87
Ilustración 7. Diagrama de proceso creación de Activo..........................................93
Ilustración 8. Diagrama de proceso Listar activos.................................................. 93
Ilustración 9. Diagrama de proceso Actualizar Activo.............................................88
Ilustración 10. Proceso Eliminar Activo .................................................................. 93
Ilustración 11. Diagrama de Proceso Agregar Medida de Riesgo.......................... 94
Ilustración 12. Diagrama de Proceso eliminar Medidas de Riesgo ........................ 94
Ilustración 13 Diagrama de Proceso Actualizar......................................................89
Ilustración 14. Diagrama de Proceso listarMedidas de Riesgo............................. 94
Ilustración 15. Diagrama de proceso priorizar área de impacto ............................. 95
Ilustración 16. Diagrama de proceso crear Activo Crítico.......................................90
Ilustración 17. Diagrama de proceso Listar Activos Críticos .................................. 95
Ilustración 18. Diagrama de proceso Actualizar Activo Critico ............................... 96
Ilustración 19. Diagrama de proceso Eliminar Activo Crítico ................................. 96
Ilustración 20. Diagrama de proceso Crear Contenedor .......................................92
Ilustración 21. Diagrama de proceso Listar Contenedores.....................................97
Ilustración 22. Diagrama de proceso Actualizar.....................................................92
Ilustración 23. Diagrama de proceso Eliminar Contendor Contenedor .................. 97
Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores .................. 98
Ilustración 25. Diagrama de proceso crear área de Figura preocupación ............. 99
Ilustración 26. Diagrama de proceso listar áreas de preocupación........................ 99
Ilustración 27. Diagrama de proceso actualizar área de preocupación .................. 99
Ilustración 28. Diagrama de proceso eliminar área de preocupación ................... 99
Ilustración 29. Diagrama de proceso puntaje de riesgo relativo........................... 100
Ilustración 30. Diagrama de proceso ver enfoque de mitigación ......................... 100
Ilustración 31. Diagrama de proceso ver controles .............................................. 101
Ilustración 32. Diagrama de proceso agregar control .......................................... 101
Ilustración 33. Diagrama de proceso actualizar control ....................................... 101
Ilustración 34. Diagrama de proceso eliminar contro ........................................... 101
Ilustración 35. Diagrama de proceso descargar reportes .................................... 102
24
Ilustración 36. Diagrama de proceso crear usuario................................................97
Ilustración 37. Diagrama de proceso listar
usuarios...............................................103
Ilustración 38. Diagrama de proceso Actualizar usuario.........................................98
Ilustración 39. Diagrama de proceso Eliminar usuario ......................................... 103
Ilustración 40. Depuración de caso de uso Gestionar Activo ............................... 107
Ilustración 41. Depuración de caso de uso Gestionar Criterios ........................... 108
Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico .................... 108
Ilustración 43. Depuración de caso de uso Gestionar Contenedores .................. 108
Ilustración 44. Depuración de caso de uso Gestionar Activos criticos ................. 109
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto ............... 109
Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación .... 109
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo .......... 110
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación ..... 110
Ilustración 49. Depuración de caso de uso Gestionar Usuarios........................... 110
Ilustración 50. Depuración de caso de uso Generar Reportes ............................ 111
Ilustración 51 Diagrama de secuencia crear activo.............................................. 114
Ilustración 52 Diagrama de secuencia crear activo critico ................................... 115
Ilustración 53 Diagrama de secuencia crear area de preocupación .................... 115
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación .............. 116
Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo ......... 116
Ilustración 56 Diagrama de actividad crear activo................................................ 117
Ilustración 57 Diagrama de actividad crear area de preocupación ...................... 117
Ilustración 58 Diagrama de actividad crear activo critico ..................................... 118
Ilustración 59 Diagrama de actividad consultar enfoque de mitigación ................ 118
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo ...................... 119
Ilustración 61 Diagrama de estado gestionar activo ............................................ 119
Ilustración 62 Diagrama de estado gestionar área de preocupación ................... 120
Ilustración 63 Diagrama de estado gestionar activo critico .................................. 120
Ilustración 64 Diagrama de estado Consultar puntajer de riesgo relativo ........... 121
Ilustración 65 Diagrama de estado consultar enfoque de mitigación .................. 121
Ilustración 66 Modelo entidad relación ................................................................. 122
25
1. FASE DE DEFINICIÓN PLANEACIÓN Y ORGANIZACIÓN
1.1 TITULO DEL PROYECTO:
Modelo De Gestión De Riesgos Aplicando Metodología Octave Allegro En
Entidades Del Sector Fiduciario
1.2 TEMA
Gestión de Riesgos: Enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a través de una secuencia de actividades humanas que incluyen
evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del
riesgo utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo
a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar
algunas o todas las consecuencias de un riesgo particular.
Metodología OCTAVE Allegro: Metodología que permite una amplia evaluación
del entorno del riesgo operativo sin la necesidad de un amplio conocimiento de
evaluación de riesgos y requiere menos tiempo de implementación.
Fiduciarias: Es un mecanismo elástico por medio del cual una persona natural o
jurídica (Fideicomitente), entrega uno o más de sus bienes a una Sociedad
Fiduciaria para que los administre de conformidad con la finalidad establecida en
el contrato.
1.3 DEFINICIÓN DEL PROBLEMA:
1.3.1 Descripción:
Hoy en día las fiduciarias son sectores de financieros a los que se les atribuye
grandes cantidades de dinero al igual que clientes, este sector maneja grandes
26
cantidades de información que son registrados en diferentes sistemas como lo son
fondos de inversión, pensiones voluntarias, proyectos inmobiliarios entre otros.
Estos sistemas contienen información valiosa en la cual si no se cuenta con
controles de seguridad adecuados puede estar expuesta y generar grandes
amenazas para la compañía, estas amenazas se pueden representar en hacking,
interrupción de servicios, fallas criticas de infraestructura y perdida de sistemas
centrales, permitiendo que la confidencialidad, integridad y disponibilidad sea
vulnerable.
Según un estudio realizado por Cisco Colombia es un país débil en seguridad
informática, la nación obtuvo la calificación más baja en el Índice de Seguridad
Cisco, quien evaluó la seguridad de la información en seis países más de la
región, según el estudio el 35% de las empresas colombianas tienen la aprobación
de las políticas de seguridad por la junta directiva y no por ingenieros
especializados. De esta forma se puede concluir que muchas compañías aun no
reconocen que la seguridad también puede ser una gran estrategia para el
negocio.
Teniendo en cuenta lo expresado anteriormente surge la pregunta: ¿Podría un
modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad de la
información en el sector fiduciario en Colombia?
1.3.2 Formulación:
¿Podría un modelo de gestión de riesgos mitigar la vulnerabilidad de la seguridad
de la información en el sector fiduciario en Colombia?
1.4 OBJETIVOS:
1.4.1 Objetivo general:
• Desarrollar un Modelo de Gestión de Riesgos para el sector Fiduciario en
Colombia.
1.4.2 Objetivos específicos:
27
• Analizar la situación actual de las entidades del sector fiduciario con
respecto a la seguridad de la información.
• Aplicar la metodología OCTAVE Allegro para la gestión de riesgos.
• Desarrollar un prototipo de herramienta web que permita realizar la gestión
de riesgos bajo la metodología OCTAVE Allegro
• Realizar pruebas del prototipo de la herramienta web desarrollada
1.5 ALCANCES Y LIMITACIÓN:
1.5.1 Alcances:
Con el fin de establecer claramente las áreas que abarca el proyecto, se han
identificado los aspectos que se tendrán en cuenta para el diseño y desarrollo del
mismo.
A continuación, se describen dichos aspectos realizando la división
correspondiente entre el documento que contiene el desarrollo del modelo de
gestión de riesgos y el prototipo de herramienta web:
Modelo de Gestión de riesgos:
A continuación, se realiza una descripción de la información que contendrá el
documento entregado.
• Definición de criterios que permiten conocer la postura de las
organizaciones fiduciarias en cuanto a su propensión a los riegos a través
de los cuales se puede medir el grado en que la organización se verá
afectada cuando se materializa una amenaza.
• Se realiza la documentación de los activos más representativos de las
organizaciones asignando los requisitos de seguridad para cada uno de
ellos.
• Se realiza una identificación de los contenedores de los activos de
información especificados de acuerdo a las características propias de cada
uno.
28
• Se realiza el desarrollo de unos perfiles de riesgo para los activos de
información los cuales son el resultado de la combinación de la posibilidad
de materialización de una amenaza y sus consecuencias.
• Se realiza a extensión de las áreas de preocupación a escenarios de
amenaza, lo que conllevará a la identificación de otras preocupaciones para
la organización que están relacionadas con sus activos de información
críticos y que no son visibles a primera vista
• Se realiza la identificación de riegos, realizando una descripción detallada
de la manera en que se ve afectada la organización
• Se realiza une medición cualitativa del grado en que la organización es
afectada por una amenaza asignado una puntuación a cada riesgo de cada
uno de los activos de la organización.
• Por último, se realiza una determinación de las opciones de tratamiento de
riesgos con base en el resultado de los análisis, se busca mitigar los riegos
que hayan obtenido la puntuación más alta y con una probabilidad de
ocurrencia alta.
Prototipo de Herramienta Web
La herramienta contará con una interfaz de login para el acceso al aplicativo y el
correspondiente módulo de registro y modificación de usuarios.
Además, se tendrá la opción de exportar informes en archivos PDF para ser
impresos y sirvan de material de soporte para la implementación del modelo de
gestión de riesgos.
El prototipo será diseñado con el fin de aplicar todas las fases de la metodología
de gestión de riesgos OCTAVE ALLEGRO.
A continuación, se describen los módulos que tendrá la herramienta web:
Criterios de medición de riesgos: Este módulo permite la creación de un
conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del
riesgo contra la misión y objetivos de la organización en 5 categorías:
• Reputación/confianza del cliente
• Financiera
• Productividad
29
• Seguridad/salud
• Multas/penas legales
En este módulo el usuario ingresará la información de cada uno de los riesgos
agrupándolos en áreas de impacto, es decir, indicando cómo la compañía se verá
afectada por algún incidente de seguridad, el usuario debe definir el impacto que
se generará (bajo, medio, alto) esto será configurable en la herramienta.
También contará con una pestaña para la opción de priorización de estas áreas de
acuerdo con los intereses de la organización. La categoría más importante recibe
el puntaje más alto y la menos importante recibe la calificación más baja, con una
escala de 1 a 5.
Perfil de activos de información: Este módulo permite que el usuario registre los
activos de información de la organización realizando la descripción del activo y
especificando las razones por las cuales se elige.
A cada uno de estos activos se les puede asignar un usuario responsable el cual
debe llenar la información pertinente a los requisitos de seguridad necesarios para
el activo.
Contenedores de activos de información: En este módulo el usuario podrá
crear los contenedores de los activos, es decir cada uno de los lugares en donde
se almacena la información y así mismo tendrá la opción de asignar cada activo
creado a uno de estos contenedores.
Áreas de preocupación: En este módulo el usuario puede crear los perfiles de
riesgo para cada uno de los activos creados, en donde se podrán documentar las
condiciones que preocupan a la organización en cuanto a su información crítica,
realizando el registro de la información sobre quien podría llevar a cabo esta
amenaza (actores), los medios por los cuales se podría ejecutar, motivos y
resultados.
Escenarios de Amenaza: En este módulo el usuario podrá configurar los
escenarios de amenaza para cada una de las áreas de preocupación que creó en
el paso anterior relacionándolas con los activos críticos, en este paso se puede
documentar el actor, motivo y consecuencia de que se materialice la amenaza.
30
Identificación de Riesgos: En este módulo el usuario puede documentar el
impacto que tendría la organización sí se realiza un escenario de amenaza, en
este paso se define la prioridad realista de que ocurra la amenaza.
Análisis de Riesgos: En este módulo el usuario puede medir de manera
cualitativa el grado en que la organización es afectada por una amenaza y se
calcula una puntuación para cada riesgo de cada área de preocupación.
Enfoque de Mitigación: En este módulo podrá ver el resultado del análisis que
realiza la metodología basada en la información ingresada, y podrá determinar de
acuerdo a la matriz de riesgo usada y la puntuación obtenida, la sugerencia de si
debe aceptar, transferir, mitigar o aplazar el riesgo.
El prototipo estará desarrollado bajo las siguientes herramientas:
• Lenguaje de Programación NodeJS, IONIC, AngularJS
• Motor de Base de Datos MYSLQ
• Sistema Operativo Ubuntu
1.5.2 Limitaciones:
La gestión de riesgos desarrollada será aplicada únicamente al sector fiduciario en
Bogotá - Colombia.
El prototipo Web que servirá para aplicar la metodología OCTAVE Allegro
únicamente abarcará todas las 8 etapas de la metodología.
El prototipo web funcionará únicamente en navegador Firefox versión 47.0 o
superior y navegador Chrome versión 51.0 o superior.
Las pruebas de la aplicación móvil serán realizadas únicamente en sistema
Android 6.0
1.6 JUSTIFICACIÓN:
31
La información es la parte más importante y de mayor susceptibilidad en cualquier
empresa, para algunas entidades como lo son las del sector fiduciario un mal
manejo de la información se puede representar en pérdidas económicas
considerables y es por ello que en sus procesos se debe considerar la aplicación
de estrategias que establezcan controles de seguridad con el fin de asegurar el
cumplimiento de sus objetivos de negocio. La propuesta realizada se hace con el
fin de brindar una guía a las entidades del sector fiduciario en cuanto a la gestión
de riesgos de seguridad informática y proporcionar además una herramienta de
software que le permita realizar esta gestión de manera práctica y sencilla sin
necesidad de tener conocimientos avanzados en tecnología. Finalmente, el
desarrollo de este proyecto es una oportunidad para aportar a las entidades
fiduciarias y a la academia conocimientos que apuntan al avance colectivo a
través de la tecnología, además de incentivar a otros estudiantes a trabajar por
crear proyectos que nos enriquezcan como profesionales, sin olvidar que somos
parte de una gran sociedad que necesita soluciones oportunas a través del
desarrollo y uso de tecnología.
1.7 MARCOS DE REFERENCIA
1.7.1 Marcos histórico:
ESTUDIO DEL RIESGO OPERACIONAL EN EL SECTOR FIDUCIARIO, UN
ENFOQUE PARA FIDUCIARIA BOGOTA S.A.
Investigación realizada por estudiantes de La Universidad de la Salle en agosto de
2007 para la facultad de Economía. En este estudio los estudiantes realizan la
investigación del riesgo operativo de las compañías fiduciarias en Colombia el cual
definen como la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones, en el recurso humano, los procesos, la tecnología, la
infraestructura o por la ocurrencia de acontecimientos externos.
Se realiza una breve descripción de los métodos establecidos internacional y
nacionalmente para tratar los riegos operativos en las compañías fiduciarias, para
el caso de las medidas establecidas nacionalmente describen que en Colombia el
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), emitió la
norma NTC 5254 la cual es una guía para la gestión del riesgo.
32
Dicha norma define la gestión del riesgo como “el termino aplicado a un método
lógico y sistematizado para el establecimiento del contexto, identificación, análisis,
evaluación, tratamiento, monitoreo y comunicación de los riesgos asociados con
cualquier actividad, función o proceso; de forma que posibilite que las
organizaciones minimicen perdidas y maximicen oportunidades. La gestión del
riesgo tiene que ver tanto con la identificación de oportunidades como con la
prevención o mitigación de pérdidas.
Finalmente realizan el desarrollo de la gestión del riesgo operativo para la
Fiduciaria Bogotá S.A en donde se realiza en cada una de las fases a manera
explicativa como se debe implementar el modelo de gestión de riesgos y que
cosas se deben tener en cuenta para realizar su mantenimiento sin aplicar ningún
tipo de salvaguardas ni hacer una identificación de amenazas reales en la
fiduciaria Bogotá S.A.
RIESGO OPERATIVO EN CARTERA DE UNA SOCIEDAD FIDUCIARIA
Ensayo realizado por estudiante de la universidad Militar como opción de grado en
contaduría pública en 2014, en este ensayo se realiza una investigación a cerca
de cada uno de los métodos de medición para el riesgo operativo, y se realiza una
profundización en la norma NTC 5254 especificando cada una de sus etapas. En
desarrollo de la gestión de riesgo en cartera de una Fiduciaria se dan las pautas
generales de la aplicación del SARO (Sistema de Administración de Riesgo
Operativo) y del SARLAFT (Sistema de Administración de Riesgo de Lavado) y
finalmente se realiza un desglose de los perfiles de riesgo y se realiza la matriz de
riesgo de la cartera fiduciaria.
Herramienta de Evaluación de Seguridad de Microsoft (MSAT)
Esta herramienta gratuita de Microsoft emplea un enfoque integral para la
medición de la seguridad para temas que abarcan tanto personas, procesos y
tecnología; ofreciendo información y recomendaciones para la seguridad del
ambiente informático de empresa con menos de 1000 empleados, a fin de
ayudarles a comprender los riesgos potenciales que afrontan y el nivel de madurez
de seguridad de la organización. Utiliza el concepto de defensa en profundidad
para implementar capas de defensa que incluyen controles técnicos, estándares
organizativos y operativos, basándose en las mejores prácticas aceptas para
reducir el riesgo en ambientes de TI como son ISO 17799 y NIST -800.x
33
MSAT proporciona:
• Conocimiento constante, complejo y fácil de utilizar acerca del nivel de
seguridad.
• Marco de defensa de profundidad con análisis comparativos del sector.
• Informes detallados y actuales comparando el plan inicial con los avances
Obtenidos.
• Recomendaciones comprobadas y actividades prioritarias para mejorar la
seguridad.
• Consejos estructurados de Microsoft y de la industria.
La evaluación de riesgos consiste en dos partes:
• Un perfil de los riesgos comerciales (BRP). - Consta de alrededor 200
preguntas distribuidas sobre el modelo de la empresa para calcular el
riesgo.
• Una evaluación para determinar las medidas de seguridad formadas por
capas de defensa compuesta por cuatro áreas de análisis: infraestructura,
aplicaciones, operaciones y usuarios.
RISICARE
Es una herramienta basada en el método MEHARI que mejora la productividad y
la precisión de un enfoque de gestión de riesgos especialmente en contexto de
empresas 24 medianas. RISICARE define un perímetro de procesos claves para
optimizar el proceso y los recursos sean internos o externos, apoyado en los
siguientes parámetros:
• Utilizar el método MEHARI desarrollado dentro de CLUSIF.
• Personalizar la base de conocimientos e incluso construir su propia base de
conocimiento.
• Relacionar la cuantificación de los escenarios de riesgo con una posible
auditoría.
• Desarrollar planes coherentes para optimizar la reducción de riesgos
generales.
• Ser una herramienta potente y de fácil uso integrándose con Windows
RISICARE consta de 4 fases:
34
Fase 1: Establecimiento del contexto. -Primero se identifican y se clasifican los
activos, luego se establece un vínculo entre los procesos del negocio y finalmente
se cuantifican las vulnerabilidades de los activos.
Fase 2: Análisis de lo Existente. - Se mide el nivel de madurez de la empresa en
función de la taxonomía de temas de auditoría de CLUSIF 2010.
Fase 3: Tratamiento de Riesgos. - Se garantiza el cumplimiento de la norma ISO
27005, realizando planes de acción destinados a reducir la gravedad de los
riesgos.
Fase 4: Aceptación del Riesgo. - Definir medios para evitar, transferir y reducir el
riesgo.
PILAR
Es una herramienta desarrollada para soportar el análisis y la gestión de riesgos
de sistemas de información siguiendo la metodología MAGERIT. Las siglas de
PILAR provienen de “Procedimiento Informático Lógico para el Análisis de
Riesgos”. Analiza los riesgos en varias dimensiones: confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad. Para tratar el riesgo se proponen:
salvaguarda o contramedidas, normas y procedimientos de seguridad.
Esta herramienta soporta las fases del método MAGERIT:
• Caracterización de los activos: identificación, clasificación, dependencias y
valoración.
• Caracterización de las amenazas
• Evaluación de las salvaguardas.
Evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual,
presentándolo de forma que permita el análisis de por qué se da cierto impacto o
cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporación
a un mismo modelo de diferentes situaciones temporales. Se puede incorporar el
resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del
plan de seguridad, monitorizando la mejora del sistema.
35
PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas
o tablas que se pueden agregar a una hoja de cálculo, logrando elaborar
diferentes tipos de informes y presentaciones de los resultados.
Finalmente, la herramienta calcula calificaciones de seguridad respecto a normas
ampliamente conocidas, como son UNE-ISO/IEC 27002:2009: sistemas de gestión
de seguridad, RD 1720/2007: datos de carácter personal y RD 3/2010: Esquema
Nacional de Seguridad.
Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como
cuantitativos, logrando alternarse entre estos para extraer el máximo beneficio de
las posibilidades teóricas de cada uno de ellos.
1.7.2 Marco teórico:
Aplicaciones Web: Una aplicación web es un tipo esencial de aplicación
cliente/servidor, donde tanto el cliente (el navegador, explorador o visualizador)
como el servidor (el servidor web) y el protocolo mediante el cual se comunican
(HTTP) están estandarizados y no han de ser creados por el programador de
aplicaciones.
El protocolo HTTP forma parte de la familia de protocolos de comunicaciones
TCP/IP, que son empleados en Internet. Estos protocolos permiten la conexión de
sistemas heterogéneos, lo que facilita el intercambio de información entre distintos
ordenadores. HTTP se sitúa en el nivel 7 (aplicación) del modelo OSI
El cliente: El cliente Web es un programa con el que se interactúa para solicitar a
un servidor web el envío de los recursos que desea obtener mediante HTTP.
La parte cliente de las aplicaciones web suelen estar formadas por el código
HTML de la página web, mas algo de código ejecutable realizado en el lenguaje
script (Java Script) o mediante pequeños programas (applets) realizados en java.
También se suelen emplear plagios que permiten visualizar otros contenidos
multimedia.
El servidor: El servidor web es un programa que está esperando
permanentemente las solicitudes de conexión mediante HTTP por parte de los
clientes WEB.
36
Amenazas: Peligro latente de que un evento físico de origen natural, o causado, o
inducido por la acción humana de manera accidental, se presente con una
severidad suficiente para causar daños, pérdidas en los bienes e infraestructura,
básicamente, podemos agrupar las amenazas a la información en cuatro grandes
categorías: Factores Humanos (accidentales, errores), fallas en los sistemas de
procesamiento de información; desastres naturales y actos maliciosos o
malintencionados, algunas de estas amenazas son:
• Virus informáticos o código malicioso
• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje
Algunas principales amenazas son:
Spyware: (Programas espías): Código malicioso cuyo principal objetivo es recoger
información sobre las actividades de un usuario en un computador, para permitir el
despliegue sin autorización, o para robar información personal (p.ej. números de
tarjetas de crédito).
Troyanos, virus y gusanos: Son programas de código malicioso, que de
diferentes maneras se alojan en los computadores con el propósito de permitir el
acceso no autorizado a un atacante, o permitir el control de forma remota de los
sistemas.
Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es
obtener de manera fraudulenta datos confidenciales de un usuario, especialmente
financieros, aprovechando la forma en que operan y la oferta de servicios en
algunos casos con pocos conocimientos que éste tiene en los servicios
tecnológicos y en medidas de seguridad.
37
Spam: Recibo de mensajes no solicitados, principalmente por correo electrónico,
cuyo propósito es difundir grandes cantidades de mensajes comerciales Se han
presentado casos en los que los envíos se hacen a sistemas de telefonía celular.
Botnets (Redes de robots): Son máquinas infectadas y controladas
remotamente, que se comportan como “zombis”, quedando incorporadas a redes
distribuidas de computadores llamados robot, los cuales envían de forma masiva
mensajes de correo “spam”.
Gestión del riesgo: Es el proceso social de planeación, ejecución, seguimiento y
evaluación de políticas y acciones permanentes para el conocimiento del riesgo y
promoción de una mayor conciencia del mismo, impedir o evitar que se genere,
reducirlo o controlarlo cuando ya existe y para prepararse y manejarlas situaciones
de desastre, así como para la posterior recuperación.
Vulnerabilidad: es la capacitad y posibilidad de un sistema de responder o
reaccionar a una amenaza o de recuperarse de un daño. Las vulnerabilidades
están en directa interrelación con las amenazas porque si no existe una amenaza,
tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un daño. La vulnerabilidad es el punto o aspecto del sistema que es
susceptible de ser atacado o de dañar la seguridad del mismo, Representan las
debilidades o aspectos falibles o atacables en el sistema informático.
Riesgos: Los sistemas se ven afectados por un sin número de acciones que se
valen de las deficiencias o limitantes de ellos y que de una u otra manera pueden
llegar a afectar los beneficios para los cuales fue creado. El riesgo es la
probabilidad de que un bien pueda sufrir un daño y por lo tanto se puede
cuantificar como alto, medio o bajo.
1.7.3 Marco metodológico:
1.7.3.1 Metodología RUP
Modelado del negocio: Con este flujo de trabajo pretendemos llegar a un mejor
entendimiento de la organización donde se va a implantar el producto.
38
Los objetivos del modelado de negocio son:
• Entender la estructura y la dinámica de la organización para la cual el
sistema va ser desarrollado (organización objetivo).
• Entender el problema actual en la organización objetivo e identificar
potenciales mejoras.
• Asegurar que clientes, usuarios finales y desarrolladores tengan un
entendimiento común de la organización objetivo.
• Derivar los requisitos del sistema necesarios para apoyar a la organización
objetivo.
Para lograr estos objetivos, el modelo de negocio describe como desarrollar una
visión de la nueva organización, basado en esta visión se definen procesos, roles
y responsabilidades de la organización por medio de un modelo de Casos de Uso
del negocio y un Modelo de Objetos del Negocio. Complementario a estos
modelos, se desarrollan otras especificaciones tales como un Glosario.
Requisitos: Este es uno de los flujos de trabajo más importantes, porque en él se
establece qué tiene que hacer exactamente el sistema que construyamos. En esta
línea los requisitos son el contrato que se debe cumplir, de modo que los usuarios
finales tienen que comprender y aceptar los requisitos que especifiquemos.
Los objetivos del flujo de datos Requisitos son:
• Establecer y mantener un acuerdo entre clientes sobre lo que el sistema
podría hacer.
• Proveer a los desarrolladores un mejor entendimiento de los requisitos del
sistema
• Definir el ámbito del sistema.
• Proveer una base para la planeación de los contenidos técnicos de las
iteraciones.
• Proveer una base para estimar costos y tiempo de desarrollo del sistema.
• Definir una interfaz de usuarios para el sistema, enfocada a las
necesidades y metas del usuario.
Los requisitos se dividen en dos grupos. Los requisitos funcionales representan la
funcionalidad del sistema. Se modelan mediante diagramas de Casos de Uso. Los
requisitos no funcionales representan aquellos atributos que debe exhibir el
39
sistema, pero que no son una funcionalidad específica. Por ejemplo, requisitos de
facilidad de uso, fiabilidad, eficiencia, portabilidad, entre otras.
Para capturar los requisitos es preciso entrevistar a todos los interesados en el
proyecto, no sólo a los usuarios finales, y anotar todas sus peticiones. A partir de
ellas hay que descubrir lo que necesitan y expresarlo en forma de requisitos.
En este flujo de trabajo, y como parte de los requisitos de facilidad de uso, se
diseña la interfaz gráfica de usuario. Para ello habitualmente se construyen
prototipos de la interfaz gráfica de usuario que se contrastan con el usuario final.
Análisis y Diseño: El objetivo de este flujo de trabajo es traducir los requisitos a
una especificación que describe cómo implementar el sistema.
Los objetivos del análisis y diseño son:
• Transformar los requisitos al diseño del futuro sistema.
• Desarrollar una arquitectura para el sistema.
• Adaptar el diseño para que sea consistente con el entorno de
implementación, diseñando para el rendimiento.
El análisis consiste en obtener una visión del sistema que se preocupa de ver qué
hace, de modo que sólo se interesa por los requisitos funcionales. Por otro lado, el
diseño es un refinamiento del análisis que tiene en cuenta los requisitos no
funcionales, en definitiva, cómo cumple el sistema sus objetivos.
Al principio de la fase de elaboración hay que definir una arquitectura candidata:
crear un esquema inicial de la arquitectura del sistema, identificar clases de
análisis y actualizar las realizaciones de los Casos de Uso con las interacciones
de las clases de análisis. Durante la fase de elaboración se va refinando esta
arquitectura hasta llegar a su forma definitiva. En cada iteración hay que analizar
el comportamiento para diseñar componentes. Además, si el sistema usará una
base de datos, habrá que diseñarla también, obteniendo un modelo de datos.
El resultado final más importante de este flujo de trabajo será el modelo de diseño.
Consiste en colaboraciones de clases, que pueden ser agregadas en paquetes y
subsistemas.
Otro producto importante de este flujo es la documentación de la arquitectura de
software, que captura varias vistas arquitectónicas del sistema.
40
Implementación: En este flujo de trabajo se implementan las clases y objetos en
ficheros fuente, binarios, ejecutables y demás. Además, se deben hacer las
pruebas de unidad: cada implementador es responsable de probar las unidades
que produzca. El resultado final de este flujo de trabajo es un sistema ejecutable.
En cada iteración habrá que hacer lo siguiente:
• Planificar qué subsistemas deben ser implementados y en qué orden deben
ser integrados, formando el Plan de Integración.
• Cada implementador decide en qué orden implementa los elementos del
subsistema.
• Si encuentra errores de diseño, los notifica.
• Se prueban los subsistemas individualmente.
• Se integra el sistema siguiendo el plan.
La estructura de todos los elementos implementados forma el modelo de
implementación. La integración debe ser incremental, es decir, en cada momento
sólo se añade un elemento. De este modo es más fácil localizar fallos y los
componentes se prueban más a fondo. En fases tempranas del proceso se
pueden implementar prototipos para reducir el riesgo. Su utilidad puede ir desde
ver si el sistema es viable desde el principio, probar tecnologías o diseñar la
interfaz de usuario. Los prototipos pueden ser exploratorios (desechables) o
evolutivos. Estos últimos llegan a transformarse en el sistema final.
Pruebas: Este flujo de trabajo es el encargado de evaluar la calidad del producto
que estamos desarrollando, pero no para aceptar o rechazar el producto al final
del proceso de desarrollo, sino que debe ir integrado en todo el ciclo de vida.
Esta disciplina brinda soporte a las otras disciplinas. Sus objetivos son:
• Encontrar y documentar defectos en la calidad del software.
• Generalmente asesora sobre la calidad del software percibida.
• Provee la validación de los supuestos realizados en el diseño y
especificación de requisitos por medio de demostraciones concretas.
• Verificar las funciones del producto de software según lo diseñado.
• Verificar que los requisitos tengan su apropiada implementación.
Las actividades de este flujo comienzan pronto en el proyecto con el plan de
prueba (el cual contiene información sobre los objetivos generales y específicos de
41
las pruebas en el proyecto, así como las estrategias y recursos con que se dotará
a esta tarea), o incluso antes con alguna evaluación durante la fase de inicio, y
continuará durante todo el proyecto.
El desarrollo del flujo de trabajo consistirá en planificar que es lo que hay que
probar, diseñar cómo se va a hacer, implementar lo necesario para llevarlos a
cabo, ejecutarlos en los niveles necesarios y obtener los resultados, de forma que
la información obtenida nos sirva para ir refinando el producto a desarrollar.
Despliegue: El objetivo de este flujo de trabajo es producir con éxito
distribuciones del producto y distribuirlo a los usuarios. Las actividades implicadas
incluyen:
• Probar el producto en su entorno de ejecución final.
• Empaquetar el software para su distribución
• Distribuir el software.
• Instalar el software.
• Proveer asistencia y ayuda a los usuarios.
• Formar a los usuarios y al cuerpo de ventas.
• Migrar el software existente o convertir bases de datos.
Este flujo de trabajo se desarrolla con mayor intensidad en la fase de transición, ya
que el propósito del flujo es asegurar una aceptación y adaptación sin
complicaciones del software por parte de los usuarios. Su ejecución inicia en fases
anteriores, para preparar el camino, sobre todo con actividades de planificación,
en la elaboración del manual de usuario y tutoriales.
Gestión del proyecto: La Gestión del proyecto es el arte de lograr un balance al
gestionar objetivos, riesgos y restricciones para desarrollar un producto que sea
acorde a los requisitos de los clientes y los usuarios.
Los objetivos de este flujo de trabajo son:
Proveer un marco de trabajo para la gestión de proyectos de software intensivos.
Proveer guías prácticas realizar planeación, contratar personal, ejecutar y
monitorear el proyecto.
Proveer un marco de trabajo para gestionar riesgos.
42
La planeación de un proyecto posee dos niveles de abstracción: un plan para las
fases y un plan para cada iteración.
Configuración y control de cambios: La finalidad de este flujo de trabajo es
mantener la integridad de todos los artefactos que se crean en el proceso, así
como de mantener información del proceso evolutivo que han seguido.
Entorno: La finalidad de este flujo de trabajo es dar soporte al proyecto con las
adecuadas herramientas, procesos y métodos. Brinda una especificación de las
herramientas que se van a necesitar en cada momento, así como definir la
instancia concreta del proceso que se va a seguir.
En concreto las responsabilidades de este flujo de trabajo incluyen:
• Selección y adquisición de herramientas
• Establecer y configurar las herramientas para que se ajusten a la
organización.
• Configuración del proceso.
• Mejora del proceso.
• Servicios técnicos.
El principal artefacto que se usa en este flujo de trabajo es el caso de desarrollo
que específica para el proyecto actual en concreto, como se aplicará el proceso,
que productos se van a utilizar y cómo van a ser utilizados. Además, se tendrán
que definir las guías para los distintos aspectos del proceso, como pueden ser el
modelado del negocio y los Casos de Uso, para la interfaz de usuario, el diseño, la
programación, el manual de usuario.
Metodología PHVA: también conocido como círculo PDCA (del inglés plan-do-
check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua,
es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un
concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de
gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la
información (SGSI).
Los resultados de la implementación de este ciclo permiten a las empresas una
mejora integral de la competitividad, de los productos y servicios, mejorando
continuamente la calidad, reduciendo los costos, optimizando la productividad,
reduciendo los precios, incrementando la participación del mercado y aumentando
la rentabilidad de la empresa u organización.
43
El control de procesos, se establece a través del ciclo P.H.V.A, este ciclo está
compuesto por las cuatro fases básicas del control: planificar, ejecutar, verificar y
actuar correctivamente.
Planear (P): En esta se establecen los objetivos y procesos necesarios para
conseguir resultados de acuerdo con los requisitos del cliente y las políticas de
organización, además se crea la manera para alcanzar las metas propuestas. Esta
etapa contiene cuatro pasos a seguir que consisten en la identificación del
problema, descripción del fenómeno, análisis de causas y plan de acción.
En el caso de un plan de mejoramiento, la fase de planeación tiene, entre otros, el
objetivo de asegurar que el plan que se seleccionará para análisis es realmente el
más importante en cuanto a su contribución al mejoramiento de los indicadores
clave del negocio. Las empresas siempre tendrán problemas, por lo que encontrar
cuál de ellos es el más importante, nunca será tarea fácil.
Hacer (H): En esta fase se enfoca en el análisis de las causas que provocaron la
aparición del problema y la búsqueda de alternativas de solución, para después
implementar las mejora, y de esta manera proporcionar la solución que se
considere más apropiada para resolver el problema. Durante todo este proceso se
recomienda que se utilice la toma de decisiones por consenso.
Verificar (V): En esta etapa se realiza el seguimiento tomando como base los
datos recolectados durante la ejecución, se compara el resultado obtenido con la
meta planificada, se miden los procesos y productos contra las políticas, los
objetivos y los requisitos, finalmente se informan los resultados. Las mismas
técnicas que fueron utilizadas durante la fase de planeación para evaluar y
detectar áreas de oportunidad para el mejoramiento pueden ser utilizadas durante
esta fase.
Actuar (A): Esta es la etapa en la cual el usuario detectó desvíos y toma acciones
para mejorar continuamente el desarrollo de los procesos de modo que el
problema no se repita nunca más, esta fase consiste en incorporar los ajustes
necesarios que se hayan evidenciado en la fase de verificación. En esta fase es
importante garantizar que la experiencia adquirida no solamente en el problema
analizado, sino también en la capacidad y habilidad para trabajar en equipo, sirve
de base para lograr una mayor efectividad en la solución de problemas futuros.
44
1.7.4 Marco conceptual:
Amenaza: Se puede definir como amenaza a todo elemento o acción capaz de
atentar contra la seguridad de la información. Las amenazas surgen a partir de la
existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si
existe una vulnerabilidad que pueda ser aprovechada, e independientemente de
que se comprometa o no la seguridad de un sistema de información.
Vulnerabilidad: Es el grado de pérdida de un elemento o grupo de elementos
bajo riesgo, resultado de la probable ocurrencia de un suceso desastroso
expresada en una escala. La vulnerabilidad se entiende como un factor de riesgo
interno, expresado como la factibilidad de que el sujeto o sistema expuesto sea
afectado por el fenómeno que caracteriza la amenaza.
Riesgo: se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo, de manera cuantitativa, es la probabilidad de que una
amenaza se materialice, utilizando la vulnerabilidad existente de un activo o un
grupo de activos generándole pérdidas o daños.
Gestión: Se denomina gestión al correcto manejo de los recursos de los que
dispone una determinada organización, como, por ejemplo, empresas, organismos
públicos, organismos no gubernamentales, entre otras. El término gestión puede
abarcar una larga lista de actividades, pero siempre se enfoca en la utilización
eficiente de estos recursos, en la medida en que debe maximizarse sus
rendimientos.
Seguridad informática: Se denomina seguridad informática para conservar los
ordenadores y equipos relacionados en buen estado. La seguridad informática
permite asegurarse que los recursos del sistema se utilizan de la manera en la que
se espera y que quienes puedan acceder a la información que en él se encuentran
sean las personas acreditadas para hacerlo
Información: es un conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe
dicho mensaje
Activo: Un activo es un bien que la empresa posee y que puede convertirse en
dinero u otros medios líquidos equivalentes.
45
1.8 FACTIBILIDAD DE DESARROLLO:
1.8.1 Técnica:
Técnica: Para el desarrollo del proyecto se cuenta con 2 computadores con las
siguientes características:
Tabla 1 Características técnicas
Articulo Características
Computador
portátil
Procesador: 2.4GHz Intel Core i3
Memoria RAM: DDR3 6 GB.
Disco Duro: 600 GB
Procesador: 2.3GHz Intel Core i7-3610QM de cuatro núcleos.
Memoria RAM: DDR3 SDRAM 6 GB.
Disco Duro: 650 GB
Fuente: Propia
Además, se cuenta con los siguientes recursos de Software:
Tabla 2 Características de software
Programa Descripción
Ubuntu 14 Sistema Operativo
Jdeveloper 11.1.1.4.0 Interfaz de desarrollo
Eclipse Interfaz de desarrollo
JEE Especificación del lenguaje de Programación
MySql 5.6.10 Sistema manejador de base de datos
Fuente: Propia
1.8.2 Operativa:
46
El proyecto cuenta con la participación del ingeniero Jairo Hernández, como
encargado de la asesoría en temas técnicos y metodologías durante la
elaboración del proyecto.
Los estudiantes de Ingeniería en Telemática Jeimy Lorena Rojas Cruz y Sandra
Milena Torres Morales quienes estarán a cargo del diseño y desarrollo del
proyecto. El proyecto es viable operativamente debido a que se cuenta con el
compromiso y participación de las personas requeridas para dicho desarrollo.
1.8.3 Económica:
El proyecto requiere para su desarrollo la implementación de los siguientes
recursos:
Tabla 3 Recursos economicos
Costos Recursos Valor Proveedor Total
Hardware
Procesador: 2.4GHz
Intel Core i3
Memoria RAM: DDR3 6
GB.
Disco Duro: 600 GB
$1’200.000
Grupo de
trabajo
$ 2’800.000 Procesador: 2.3GHz
Intel Core i7-3610QM
de cuatro núcleos.
Memoria RAM: DDR3
SDRAM 6 GB.
Disco Duro: 650 GB.
Computador portátil
$ 1’600.000 Grupo de
Trabajo
Software
Windows 7 Ultímate $ 0 Grupo de
trabajo
$ 0
Manejador de base de
datos MySQL 5 $ 0
Comunidad
software
libre
ATOM $ 0
Comunidad
software
libre
Humano Asesor técnico $15.000 x
60 horas
Grupo de
trabajo
$5’580.000
47
Desarrolladores $7800 x
600 horas
Grupo de
trabajo
Otros Papelería, fotocopias,
transportes, $ 200.000
Grupo de
trabajo $ 200.000
Imprevisto $429.000 $429.000
Costo Total del proyecto $
9.009.000
Fuente: Propia
El proyecto es viable económicamente ya que se cuentan con los recursos de
hardware necesarios y los recursos de software son de código abierto.
1.8.4 Legal:
Gracias a que todas las herramientas de software son libres (con Licencia Pública
General “GPL”), nosotros no tendremos que correr altercados con ninguna licencia
de uso para el desarrollo de este proyecto. Lo cual nos indica que el proyecto es
legalmente viable.
48
1.8.5 Cronograma de actividades:
Ilustración 1 Cronograma de actividades
49
Fuente: Propia
50
2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS
ENTIDADES FIDUCIARIAS
Se tomó como referencia la compañía Acción Fiduciaria, fiducia que opera
actualmente en Bogotá hace más de 20 años, el análisis se realiza bajo la norma
ISO 27000 en donde se especifican los objetivos estándar que deberían ser
aplicados.
Para realizar el análisis de la situación actual de la fiduciaria, se realizó todo un
proceso de levantamiento de información donde el primer paso fue realizar una
visita en la compañía en la sede del Polo, se realizó un recorrido por las
instalaciones en el cual se encontraron dos plantas en la primera se encuentra
situada la recepción, cuatro salas de juntas, un parqueadero, el comedor, cuatro
baños, el datacenter y el archivador, en la segunda planta se encontraron las
diferentes áreas de la compañía tales como servicio al cliente, contabilidad, el área
de sistemas, el área jurídica, auditoria, mesa de dinero, tesorería y la gerencia en
este recorrido se realizó de la mano de la analista de riesgos.
Se realizó una entrevista a la analista de riesgos y al ingeniero de infraestructura,
en la cual se realizó una serie de preguntas (Anexo 1),
donde se dio a conocer información sobre cada uno de los controles basados en la
norma ISO 27000, con base en las respuestas y comentarios realizados durante la
entrevista, se logró identificar aspectos de gran impacto que permitieron definir el
estado actual de la compañía, algunos eventos actualmente afectan la seguridad
de la información.
A continuación, se seleccionan los objetivos de control afines para la
determinación de la situación actual en el marco del proyecto.
Acción Fiduciaria cuenta con un Datacenter ubicado en el primer piso, en él se
encontró varios dispositivos, como medio de control de acceso cuenta con un
firewall WATCHGUARD XTM 5 SERIES que integra una protección completa,
reduce el tiempo y los costos de administrar múltiples productos de seguridad, un
Servidor BladeCenter IBM HS23 que ofrece un rendimiento excelente con
compatibilidad con los procesadores Intel® para una mayor velocidad,
compatibilidad y gran capacidad de memoria, la empresa cuenta con 3 Router dos
de ellos son cisco 2900 Series y el otro es cisco 860 series.
51
La estructura del cableado horizontal cuenta con cable UTP, par trenzado
Categoría 6A, se usa tanto para el backbone vertical como el horizontal, la red
actual está diseñada bajo la tipología estrella en donde todos los segmentos de
cable de cada equipo están conectados a un punto central.
Accion Fiduciaria cuenta con conectividad WAN, en diferentes sedes en el país
tales como Medellín, Popayán, Cali, Bucaramanga, Barranquilla; la ciudad de
Bogotá cuenta con tres sedes Polo, calle 85 y calle 93, el area de infraestructura
realiza la asignación de las direcciones IP de manera estática segmentada por
sedes, usando un modelo de direccionamiento IPV4.
Diagrama de red actual.
Ilustración 2 Diagrama de red actual
Fuente: Propia
52
2.1. Evaluación de la seguridad de la información del caso estudio.
La metodología Octave Allegro, no sugiere controles durante el desarrollo de su
metodología, por tanto se tomaron los dominios de la norma ISO 27000, que
permiten gestionar la seguridad de la información en los diferentes procesos de la
compañía; estos dominios se incorporan en los activos que se van a proteger, con
el fin de garantizar el correcto uso, operatividad y gestión de la información,
dentro de los marcos legales.
Los dominios permiten identificar los riesgos, analizarlos y gestionar un plan de
acción que permitan mitigarlos, teniendo en cuenta la integridad, disponibilidad y
confidencialidad de la información.
Para el análisis del caso estudio se seleccionaron los siguientes dominios de la
norma ISO 27000:
• Dominio 5: Políticas de seguridad de la Información.
• Dominiou5 6: Organización de la seguridad de la información.
• Dominio 7: Seguridad de los Recursos Humanos.
• Dominio 8: Gestión de recursos.
• Dominio 9: Gestión de acceso de usuario.
• Dominio 10: Criptografía.
• Dominio 11: Seguridad física y ambiental.
• Dominio 12: Seguridad Operacional.
• Dominio 13: Seguridad de las Comunicaciones.
• Dominio 15: Relaciones con los proveedores.
• Dominio 16: Gestión de Incidentes de Seguridad de la Información.
• Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio.
• Dominio 18: Cumplimiento.
Cada dominio fue seleccionado según el criterio de la analista de riesgos y el
ingeniero de infraestructura con el fin de evaluar la situación actual de la fiduciaria
en cuanto a seguridad de la información y la seguridad física de la misma.
A continuación, se realiza un análisis de cada uno de los objetivos de control para
determinar la situación actual de la fiduciaria en el marco del proyecto:
53
2.1.1. Dominio 5: Políticas de seguridad de la Información
Las políticas de seguridad son analizadas por la junta directiva en la cual indican
claramente las necesidades que tiene la organización, en cuanto a la seguridad
de la información, teniendo en cuenta algunos riesgos presentados anteriormente
en la compañía, estas políticas van dirigidas a todo el personal de la compañía,
una vez elaboradas las políticas deben ser revisados y aprobadas por la junta
directiva, a su vez los empleados deben ser informados sobre las mismas y
publicadas en la intranet de la organización.
2.1.2. Dominio 6: Organización de la seguridad de la información
En la compañía no se cuenta con una persona o un área que se encargue
directamente de la seguridad de la información, solo se cuentan con algunas
políticas establecidas por la junta directiva, por lo que es posible que la
información del negocio sea vulnerable, hoy en día la compañía cuenta con una
plataforma de recaudo y es de suma importancia que la información que se
presente en los diferentes portales sea segura y sea confiable.
2.1.3. Dominio 7: Seguridad de los Recursos Humanos
En Acción Fiduciaria, antes de ser contratado el personal se solicitan algunos
documentos importantes, como lo son referencias personales, visitas domiciliarias,
antecedentes disciplinarios, comprobación de las notas académicas y
profesionales, entre otros, para corroborar que la información del personal sea
correcta.
Cuando ingresa el personal se le entrega una serie de tareas, responsabilidades y
se le proporciona los medios y la información necesaria para que pueda llevarlas a
cabo las actividades correspondientes a su cargo, como capacitaciones en
herramientas web entre la cual se destaca e-learning en el cual se encuentran
cursos relacionados con SARO, SARLAFT, entre otros. Cada tres meses se
realiza una capacitación general explicando cada una de las amenazas
informáticas o fraudes que se pueden encontrar por medio del correo electrónico.
Cuando un empleado sale de la compañía, muchas veces reportan la salida del
mismo varios días después, dejando los permisos del usuario habilitados corriendo
el riesgo que pueda existir fuga de información, para este proceso no existen
54
políticas, solo existe un acuerdo en el que indica que el área de recursos humanos
reporta por correo electrónico las salidas definitivas de los empleados.
2.1.4 Dominio 8: Gestión de recursos
El inventario está a cargo del área de sistemas, quien debe elaborar y
mantener actualizado el inventario de los equipos de hardware y software, que
poseen cada una de las áreas y las sedes de la organización.
Algunas características que se deben registrar en el inventario son clasificación,
valoración, ubicación y acceso de la información. Existen una gran variedad de
activos de información tales como las bases de datos, documentación del sistema,
manuales de usuario, procedimientos operativos, registros de auditoría. Activos de
software, activos físicos garantizando la integridad y confidencialidad de la
información.
La clasificación de la información se basa según el valor, criticidad y sensibilidad a
la divulgación o modificación de la misma, determinando la forma en que se debe
manejar y los niveles de protección que debe tener.
Estos niveles se tienen en cuenta según la integridad y confidencialidad de la
información sin poner en riesgo la imagen de la compañía, debido a que cada nivel
de protección se basa en el cargo y área en cual se desempeña el personal de la
organización estos niveles son divulgados y oficializados a los usuarios.
El uso de dispositivos de almacenamiento externo está prohibido dentro de la
compañía este con el fin de evitar fuga de información, toda la información que se
necesite ser expuesta fuera de la compañía debe ser tramitada con autorización
del jefe inmediato y en unidades de CD o DVD, si algunos de los documentos que
se necesitan están en servidores de almacenamiento (la nube) tales como Drive,
Dropbox, Wetransfer deben ser descargados por el área de sistemas con
autorización del jefe inmediato.
55
2.1.5 Dominio 9: Gestión de acceso de usuario.
El área de recursos humanos de Acción Fiduciaria envía al área de sistemas un
formato de vinculación de nuevo usuario o cambio de permisos, en cual especifica
cuáles son las aplicaciones a las que el nuevo funcionario debe tener acceso, se
informa por correo electrónico el usuario y contraseña de cada una de las
aplicaciones a las cuales se les dio acceso, cuando el funcionario se retira de la
compañía se le inhabilita el usuario en cada una de las aplicaciones y se elimina la
cuenta de correo electrónico.
Para el acceso se establecen políticas de complejidad de contraseña, así mismo
se realiza control de intentos fallidos.
La responsabilidad del usuario colocar claves seguras, personales e intransferibles
a los sistemas de información y abstenerse de ingresarlas cuando algún
compañero este presente mientras se ingresa al sistema.
El hacer buen uso de los equipos que están al servicio del usuario tales como
computadores, impresoras papelería entre otras., es decir debe velar por
mantener los recursos en buen estado, óptimas condiciones esto le ayudara a
desempeñar las funciones sin contratiempos.
Es responsabilidad del usuario cuando se ausente de su puesto de trabajo
bloquear la sesión del equipo, de lo contrario apague el equipo, así evitara que
compañeros de trabajo pueda robar información sensible que puede afectar las
funciones y/o desempeño laboral.
2.1.6 Dominio 10: Criptografía
En Acción Fiduciaria no se cuentan con sistemas de encriptación, los documentos
de los clientes tales como extractos, estados de cuenta, plan de pagos, rendición
de cuentas son encriptados por bases de datos y exportados a pdf estos
documentos pueden ser abiertos solo con el número de identificación, pero al no
tener un sistema de encriptación seguro es posible que la confidencialidad e
integridad de la información pueda ser vulnerable.
56
2.1.7 Dominio: 11: Seguridad física y ambiental
En Acción fiduciaria se cuenta con seguridad en la puerta principal, allí también se
ubica una cámara de seguridad y un sensor que permite abrir la puerta, en el
tercer piso se encuentra una cerca eléctrica y varias cámaras alrededor de la
propiedad, en el parqueadero se encuentra una puerta que se maneja a control
remoto, este acceso es solo para guardar los vehículos, en el Datacenter se
encuentra una puerta con la cual se abre con una clave y una sensor de huella,
cada una de las esquinas de los pisos se encuentran cámaras y algunas de estas
captan imágenes con el sensor de movimiento.
El centro de computo y la mesa de dinero, son áreas que poseen un acceso
restringido, es decir para acceder a ellas se debe tener registrado la huella digital
y una contraseña de acceso, a estas áreas solo tiene acceso personal capacitado.
No se cuentan con planes de contingencia en caso de inundaciones, terremotos,
explosiones, tampoco se realizan simulaciones contra desastres naturales, en
caso de corte de energía se cuenta con una planta, en caso de incendio no se
cuenta con detectores de humo, solo en el centro de cómputo se cuenta con un
extinguidor.
2.1.8 Dominio 12: Seguridad Operacional
El área de sistemas de Acción fiduciaria se encarga entre otras cosas de asegurar
que los equipos del personal cuenten con antivirus actualizados para prevención
de Malware, actualmente no se cuenta con un proceso de Backup definido
oficialmente, se sacan copias periódicas de información la cual en algunas
ocasiones al intentar ser usada ya se encuentra inservible lo cual ha significado
grandes pérdidas de información.
La instalación de cualquier producto y/o servicio también es responsabilidad del
área de sistemas, actualmente no se cuenta con sistemas espejos y finalmente
Acción fiduciaria se encuentra implementando un sistema que le permita tener
documentadas sus vulnerabilidades para saber cuál es la mejor forma de
atacarlas.
57
2.1.9. Dominio 13: Seguridad de las Comunicaciones
Acción fiduciaria cuenta con un Data Center, con control de acceso en el que se
cuenta con un área refrigerada para los servidores, así como una UPS, que
permite asegurar que los equipos se puedan apagar de manera correcta, a este
cuarto solo puede acceder personal autorizado, mediante un sistema biométrico.
También se encuentra segregada la red, para las diferentes áreas de la compañía,
como lo son administrativas, contabilidad, sistemas, entre otras.
2.1.10 Dominio 15: Relaciones con los proveedores
Acción fiduciaria maneja el contrato con los proveedores de manera legal,
estableciendo compromisos y sanciones por incumplimiento, así mismo como
fechas de entregables, compromisos y responsabilidades adquiridas, estos
contratos están supervisados por abogados contratados por prestación de servicio
por la compañía.
En cuanto a los ambientes de desarrollo, son los proveedores quienes deben
solventar todos sus ambientes y Acción Fiduciaria recibe al final de la fecha
establecida de entrega, el producto finalizado para realizar pruebas funcionales, y
reportar las irregularidades encontradas o dar el visto bueno del producto recibido.
En caso de llegar a establecer un contrato con un proveedor que requiera tener
acceso a servidores expuestos por Acción fiduciaria no existen políticas
establecidas para uso y control de VPNs.
2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información
Acción fiduciaria, no cuenta con políticas de seguridad establecidas que indiquen
cuál es el procedimiento a seguir en caso de presentarse un ataque a la seguridad
de cualquier servidor o sistema, si llega a presentarse algún incidente de este tipo
se responde de manera correctiva, más no se tiene un plan preventivo.
2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la
continuidad del negocio
58
Acción fiduciaria no cuenta con planes de contingencia para dar continuidad al
negocio, no ha implementado, por ejemplo: pararrayos, detectores de humo entre
otras. No se cuenta con un plan para restablecer la operación de la compañía
luego de un desastre natural.
2.1.13. Dominio 18: Cumplimiento
Acción fiduciaria cuenta con un área de auditoría, en donde se busca asegurar
que las políticas establecidas estén siendo cumplidas, así como los estándares de
calidad de servicio al cliente, y compromisos con clientes y proveedores.
De la misma manera todas las fiducias deben cumplir con la norma establecida
por el gobierno colombiano llamada SARO, en donde esta asegura el
cumplimiento y la mitigación de los riesgos operacionales a nivel de negocio.
Para los riesgos informáticos se realizan auditorías internas, para asegurar que se
estén cumpliendo con las políticas de seguridad establecidas, y se esté llevando a
cabo el registro y seguimiento de los incidentes reportados por los clientes.
Acción Fiduciaria junto con el área de auditoria, está realizando mejoras y
monitoreos constantes con el fin de garantizar la seguridad de la información,
implementando procesos, capacitando al personal, realizando y mejorando los
manuales de las aplicaciones, para así evitar riesgos que puedan afectar tanto la
información como cualquier activo.
59
3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
FIDUCIARIAS CON LA METODOLOGÍA OCTAVE
3.1 introducción al análisis de riesgos
Antes de definir lo que es el análisis de riesgos, se debe considerar lo que es un
riesgo, a continuación, se exponen las siguientes definiciones:
Según Fernando Izquierdo Duarte 20051“El Riesgo es un incidente o situación,
que ocurre en un sitio concreto durante un intervalo de tiempo determinado, con
consecuencias positivas o negativas que podrían afectar el cumplimiento de los
objetivos”.
Ahora bien, un análisis de riesgo es muy importante para la gestión de la
seguridad de la información de la organización en el cual se realizará un análisis
completo para determinar, evaluar y clasificar los activos de información más
importantes según la criticidad de los mismos.
Dentro del tema de análisis de riesgo se ven reflejados elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos.
Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de
manera cuantitativa o cualitativa, pero siempre considerando que la medida no
debe contemplar la existencia de ninguna acción paliativa, o sea, debe
considerarse en cada caso qué posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada.
Amenazas: son eventos que pueden causar alteraciones a la información de la
organización ocasionándole pérdidas materiales, económicas, de información, y
de prestigio. Las amenazas se consideran como exteriores a cualquier sistema, es
posible establecer medidas para protegerse de las amenazas, pero prácticamente
imposible controlarlas y menos aún eliminarlas.
Vulnerabilidad: debilidad de cualquier tipo que compromete la seguridad del
sistema informático, mediante el uso de las debilidades existentes es que las
1 Administración de riesgos de tecnología de información de una empresa del sector informático,2005, ennifer Dennise Maxitana Cevallos1, Bertha Alice Naranjo Sánchez Consultado el 1/03/2017
60
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto.
Activos: Los activos a reconocer son aquellos relacionados con sistemas de
información. Ejemplos típicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos.
Impacto: Las consecuencias de la ocurrencia de las distintas amenazas son
siempre negativas. Las pérdidas generadas pueden ser financieras, no
financieras, de corto plazo o de largo plazo.
3.2. Metodología Octave Allegro
En este presente capitulo se describe la metodología Octave Allegro, para realizar
un análisis general teniendo en cuenta para esto, los objetivos y el alcance que se
planteó en el capítulo 1, con esta metodología se pretender mostrar un modelo
diferente y adecuado para el análisis de riesgos, también se tendrá en cuenta un
marco de referencia como es la norma ISO 27000 que especifica, entre otros
aspectos, los requerimientos y actividades que se deben desarrollar para el diseño
de un Sistema de Gestión de Seguridad de la Información.
"El enfoque de OCTAVE Allegro está diseñado para permitir una evaluación
amplia del entorno de riesgo operacional de una organización con el objetivo de
producir resultados más sólidos sin la necesidad de un conocimiento extenso de
evaluación de riesgos, centrándose principalmente en los activos de información
en el contexto de cómo se utilizan, en la que se almacenan, transportan y
procesan, y la forma en que están expuestos a amenazas, vulnerabilidades y
perturbaciones como consecuencia de ello."2 La metodología OCTAVE Allegro
también es adecuada para personas que desean realizar una evaluación de
riesgos sin una participación organizacional muy extensa.
Para la aplicación de esta metodología se tomará como referencia la Compañía
Acción Fiduciaria al igual que en la situación actual, este con el fin de realizar una
evaluación de riesgos completa para esto se tiene en cuenta los pasos de la
metodología que se describen con más detalle a continuación:
2 Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process Richard A. Caralli, James F. Stevens, Lisa R. Young, William R. Wilson Mayo 2017 Consultado el 1/03/2017 http://resources.sei.cmu.edu/asset_files/technicalreport/2007_005_001_14885.pdf
61
3.2.1 Establecer criterio de medición de riesgos
"El primer paso consiste en definir criterios que permitan conocer la postura de la
organización en cuanto a su propensión a los riesgos"3 .Los criterios de medición
del riesgo son un conjunto de medidas cualitativas para evaluar los efectos de un
riesgo realizado y constituir la base de una evaluación del riesgo de los activos de
la información.
El método establece la creación de un conjunto de criterios cualitativos con las
cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
• Reputación/confianza del cliente
• Financiera
• Productividad
• Seguridad/salud
• Multas/penas legales
Para el desarrollo de este primer paso se establecieron los criterios definidos en la
siguiente tabla:
Tabla 4 Criterios de medición de riesgos
Área de impacto
criterio de medición de riesgo
Bajo Moderado Alto
Consumidor financiero
Reclamaciones esporádicas por parte del cliente
Incrementos de las reclamaciones por parte de los clientes hasta en un 50% de un semestre a otro
Incrementos de las reclamaciones por parte de los clientes hasta en más de un 50% de un semestre a otro
Reputación
Comentarios injuriosos o malintencionados aislados
Campaña de desprestigio de la entidad en redes sociales
Impacto que afecte la imagen de la fiduciaria en el mercado relacionado con el servicio al cliente
3 http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/
62
legal
No genere sanciones o pérdidas económicas significativas para la fiduciaria
llamado de atención por parte de los 3entes de control
Sanciones económicas par al fiduciaria por parte de autoridades legales o entes reguladores
Seguridad /Salud
incapacidad menor a 3 días
incapacidad entre 3 y 180 días
incapacidad entre 181 y 540 días
Productividad
interrupción de las operaciones de la fiduciaria por menos de 8 horas
interrupción de las operaciones de la fiduciaria entre 8 y 16 horas
Destrucción parcial de las instalaciones físicas. Interrupción de las operaciones de la fiduciaria entre 16 y 24 horas. No hay acceso a las instalaciones de la fiduciaria
Fuente: Propia
Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la
organización, por lo que el orden puede variar de una empresa a otra. La
categoría más importante recibe el puntaje más alto y la menos importante recibe
la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de
impacto y solo utiliza las descritas en OCTAVE Allegro:
Tabla 5 Areas de impacto
Área de impacto Prioridad
Consumidor financiero 5
Reputación 4
Legal 3
Productividad 2
Seguridad /Salud 1 Fuente: Propia
63
3.2.2. Desarrollar un Perfil de los Activos Informáticos:
Se enfoca en desarrollar un perfil para cada uno de los activos informáticos de la
organización. El perfil consiste en describir para cada uno de ellos, sus
características únicas, sus cualidades y valor. Este perfil no debe dar a lugar a
información ambigua, y garantiza que los requerimientos de seguridad para ese
activo queden claramente definidos. Adicionalmente en este perfil se establecen
parámetros como el responsable y los niveles de Confidencialidad, Integridad y
Disponibilidad, identificando cuál es el más importante.
Ilustración 3 Perfilamiento de activos
Fuente: James F. Stevens Information Asset Profiling
Actividad 1 Capturar información de fondo: El propósito de este paso es recopilar información, sobre la persona que está completando el perfil de activos de información. Actividad 2 - Definir el activo de información El propósito de este paso es caracterizar un activo de información. Antes de que cualquier tipo de actividad de análisis pueda realizarse en un activo de información, la organización debe entender y acordar lo que contiene un bien de información. Actividad 3 - Identificar al propietario del activo El propósito de esta actividad es identificar y documentar el propietario del activo de información es importante porque el propietario debe trabajar con el individuo o grupo.
64
Actividad 4 - Identificar Contenedores El propósito de este paso es capturar una lista de todos los contenedores en los que el activo se almacena, transporta o procesa y la lista asociada de los gestores de dichos contenedores. Actividad 5 - Identificar los requisitos de seguridad El propósito de este paso es capturar los requisitos específicos de seguridad de la información del activo. Actividad 6 - Determinar la Valoración del Activo de Información Antes de que se puedan evaluar los riesgos para un activo de información, se debe conocer el valor tangible e intangible del activo. 3.2.2.1 Desarrollo del perfilamiento de los activos Para el desarrollo del modelo se tomaron en cuenta los perfiles de información más relevantes de la compañía en las siguientes tablas se les realizo un análisis según las 6 actividades relacionadas anteriormente, los activos que se identificaron para el perfilamiento son:
• Intranet
• PSE
• Base de datos AcciónBack
• Correo electrónico
• Centro de negocios
• AcciónBack
• Documentos
• Digitalizador
• Inveracción
• Directorio activo
• Control de acceso
• Cableado
• Red eléctrica
• Servidor de aplicaciones
• Servidor de producción
• Servidor de pruebas
65
3.2.2.1.1. Perfilamiento del activo correo electrónico
Tabla 6 Perfilamiento del activo correo electrónico
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Correo electrónico
Descripción: El correo electrónico es un servicio de red que permite que dos o más usuarios se comuniquen entre sí por medio de mensajes que son enviados y recibidos a través de una computadora o dispositivo móvil. Por este medio se reciben varias peticiones o solicitudes ya sea de los clientes o de los empleados, es un medio de comunicación vital para la compañía ya que gran parte de las tareas son recibidas por este medio.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de correo electrónico.
Requerimientos de seguridad
Confidencialidad: Todos los correos electrónicos o PQR recibidos por parte de los clientes se consideran como información de alta confidencialidad.
Integridad: Toda la información recibida o enviada por correo electrónico debe ser exacta y correcta.
Disponibilidad: La información que se encuentra en el correo electrónico de debe estar disponible siempre y cuando sea necesaria tanto para el usuario como para los administradores de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El correo electrónico debe estar siempre accesible a cualquier hora para los empleados de la compañía. Fuente: Propia
3.2.2.1.2. Perfilamiento del activo Intranet
Tabla 7 Perfilamiento del activo Intranet
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Intranet
Descripción: La intranet es una plataforma interna de la compañía donde los empleados de la compañía pueden acceder a varias aplicaciones Core conectadas a diferentes servidores internos en la intranet también se aloja información muy importante como procesos y manuales de aplicaciones.
Fecha de creación: 01/01/2017
66
Titular del activo: Gerente de infraestructura, Gerente de tecnología.
Contenedores para los activos de información
Hardware: Servidor interno
Requerimientos de seguridad
Confidencialidad: Con un perfil, usuario y contraseña proporcionada por el área de tecnología solo algunos usuarios pueden realizar modificaciones sobre la intranet y los documentos que en ella se encuentran.
Integridad: Solo con un usuario y contraseña se puede acceder a la intranet y a las respectivas aplicaciones.
Disponibilidad: La intranet debe estar siempre disponible para los empleados de la compañía para puedan realizar las actividades diarias como: Registrar clientes en el formulario de vinculación, consultar y modificar información de clientes registrados en el formulario de vinculación, consultar saldos de los clientes, consultar proyectos inmobiliarios entre otros.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La intranet debe estar disponible y accesible a todos los usuarios de la compañía para acceder a los diferentes aplicativos, realizar consultas de los documentos que se encuentran publicados y realizar las tareas diarias.
Fuente: Propia
3.2.2.1.3. Perfilamiento del activo Plataforma de pagos
Tabla 8 Perfilamiento del activo Plataforma de pagos
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Plataforma de pagos.
Descripción: Es una aplicación Core, plataforma de recaudo en el cual los clientes realizan los pagos de las obligaciones pactadas con la compañía, también se encuentra el histórico de pagos realizados por los clientes, y el estado de la transacción.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de recaudo.
Requerimientos de seguridad
Confidencialidad: Con un usuario, una contraseña y un código de verificación que el cliente debe ingresar a la plataforma para validar y realiza el pago del cumplimiento.
Integridad: La información que se encuentra alojada en la plataforma de pagos debe ser verídica y confiable, solo el cliente podrá acceder con usuario, contraseña y un código de verificación.
67
Disponibilidad: La plataforma de recaudo debe estar disponible las 24 horas del día debido a que la compañía tiene clientes a nivel nacional e internacional, realizando los pagos de las obligaciones en cualquier momento del día.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La plataforma debe estar disponible todo el tiempo debido a que lo clientes pueden realizar pagos en cualquier momento. Fuente: Propia
El análisis del perfilamiento de los activos de información restantes se encuentra
en el Anexo 2.
3.2.3. Identificar los Contenedores de los Activos Informáticos:
Se enfoca en identificar los contenedores de los activos informáticos. "Un contenedor es el lugar donde estos activos son guardados, procesados y transportados"4. Pueden residir dentro o fuera de la organización, pero todo aquello que los amenace, incide directamente sobre ellos. La metodología OCTAVE Allegro define así este concepto: “Un contenedor de información es cualquier lugar donde la información ‘vive’; es decir, allí donde la información es procesada, almacenada o transportada”5.
Ilustración 4 Contenedores de información
Fuente: Miguel Sanchez Barroso Perfilado de Activos de Información
4 http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html 5 https://technologyincontrol2.wordpress.com/2016/01/14/perfilado-de-activos-de-informacion/
68
Para el desarrollo de este modelo se tienen en cuenta los contenedores más utilizados por la compañía, realizando una pequeña descripción e indicando el directamente responsable sobre el contenedor. Tabla 9 Contendor interno bases de datos
Contenedor interno
Nombre- Descripción Propietario
Servidor de Bases de datos: Banco de datos que almacenan la información de la entidad
Administrador de aplicaciones
Fuente: Propia
Tabla 10 Contendor interno plataforma de correo
Contenedor interno
Nombre- Descripción Propietario
Plataforma de correo: Correo electrónico corporativo de la entidad Plataforma de correo
Administrador de infraestructura
Fuente: Propia
Tabla 11 Contendor interno directorio activo
Contenedor interno
Nombre- Descripción Propietario
Directorio Activo: Servicio establecido donde están los objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red
Administrador de infraestructura
Fuente: Propia
Tabla 12 Contendor interno data center
Contenedor interno
Nombre- Descripción Propietario
Data center: Instalación física y principal de procesamiento donde reside la infraestructura para soporta la operación del negocio.
Administrador de infraestructura
Fuente: Propia
Tabla 13 Contendor interno servidor de aplicaciones
Contenedor interno
Nombre- Descripción Propietario
Servidor de aplicaciones: Servidor donde se alojan las aplicaciones Core del negocio tales como Microsoft Office, Sumatra, Skype, NAS, Aplicativo web transaccional, Pagina Digitalizador de Documentos y firmas Baseware, Intranet, Orfeo, Antivirus
Administrador de aplicaciones
Fuente: Propia
69
Tabla 14 Contendor interno Compañia
Contenedor interno
Nombre- Descripción Propietario
Compañía: Instalación física donde residen los empleados, la infraestructura y los aplicación CORE
Gerente de la compañía
Fuente: Propia
Tabla 15 Contendor interno usb
Contenedor interno
Nombre- Descripción Propietario
USB: Dispositivo de almacenamiento interno y externo que se utiliza entre las diferentes áreas para enviar archivos de gran volumen
Personal autorizado, gerentes de áreas
Fuente: Propia
Tabla 16 Contendor interno impresora
Contenedor interno
Nombre- Descripción Propietario
Impresora: Dispositivo de impresión donde se archiva información temporalmente mientras se ejecuta el proceso se impresión
Todos los empleados
Fuente: Propia
Tabla 17 Contendor interno disco duro
Contenedor interno
Nombre- Descripción Propietario
Disco Duro: Dispositivo de almacenamiento en el cual se guardan algunos backups tales como documentos, carpetas, correos electrónico e información confidencial
Gerente de tecnología, Gerentes de infraestructura y administrador de aplicaciones
Fuente: Propia
Tabla 18 Contendor interno computador
Contenedor interno
Nombre- Descripción Propietario
Computador: Dispositivos de escritorio o portátiles asignados a los empleados de la compañía, en el cual se puede almacenar información de clientes
Todo el personal de la compañía
Fuente: Propia
70
3.2.4. Identificar las áreas de preocupación
La identificación de áreas de preocupación inicia con la elaboración de los perfiles de riesgos de los activos de información, el cual contiene un componente denominado amenaza a través de una ecuación de riesgo. Ilustración 5 Ecuación de riesgo
Fuente: Propia
Por medio de una lluvia de ideas se realiza un análisis sobre las posibles condiciones o situaciones que se pueden representar y poner en peligro los activos de información de la organización, "estos escenarios en el mundo real se denominan área de preocupación y se pueden representar en amenazas y causar resultado indeseables para la compañía"6 Tabla 19 Contendor interno areas de preocupación
Activos de información Áreas de Preocupación
• Intranet
• Plataforma de recaudo
• Sistema de documentación de clientes
• Centro de negocios
• Bases de datos
• Correo electrónico
• Sistema de Administración inmobiliaria
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Desconocimiento en el manejo de los sistemas o equipos informáticos
Interrupción en el servicio de energía electrónica
Problemas de conectividad en la red interna de la organización
Interrupción en el servicio de internet
Falla en los componentes de hardware en los equipos informáticos
Desactualización de los sistemas
Alta rotación de Personal
Desastres naturales
Fallo o defecto de software Fuente: Propia
6 Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
Amenaza (condición) +Impacto (Consecuencia) =
Riesgo
71
3.2.4.1. Áreas de preocupación sistema de digitalizador de documentos
3.2.4.1.1 Exposición de los activos de información, acceso no autorizado a los
sistemas informáticos
Tabla 20. Area de preocupación exposición de los activos de información, acceso no autorizado a los
sistemas informáticos en el Sistema de Digitalizador de Documentos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno.
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de Seguridad:
Solo personal autorizado deberá ingresar a la aplicación, solo con autorización del jefe inmediato y con soportes de solicitud del cliente podrá realizar cambios en la información.
Fuente: Propia
3.2.4.2. Exposición de los activos de información, acceso no autorizado a la infraestructura informática Tabla 21 Área de preocupación exposición de los activos de información, acceso no autorizado a la
infraestructura informática
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos.
Área de preocupación:
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno y externo
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Solo el personal autorizado tendrá acceso al datacenter y a las oficinas.
Fuente: Propia
72
3.2.4.1.3. Desconocimiento en el manejo de los sistemas o equipos informáticos Tabla 22 Área de preocupación desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Solo personal autorizado deberá ingresar a la aplicación con un usuario y contraseña proporcionada por el área de sistemas, sola con autorización del jefe inmediato y con soportes de solicitud del cliente podrá realizar cambios en la información.
Fuente: Propia
3.2.4.1.4. Interrupción en el servicio de energía eléctrica Tabla 23 Área de preocupación interrupción del servicio de energía eléctrica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
73
3.2.4.1.5. Problemas de conectividad en la red interna de la organización
Tabla 24 Area de preocupación problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Problemas de conectividad en la red interna de la organización
Actor: Personal interno y externo
Medio:
*Manipulación de los dispositivos de comunicación como swicth y router *Saturación del canal de comunicaciones por implantación de virus o malware en la red *Configuración errónea de los dispositivos de comunicación
Motivos: Falta de capacitación, robo
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Los dispositivos de comunicación contienen un control de acceso para proteger el
uso no autorizado de los recursos de red
Fuente: Propia
3.2.4.1.6. Interrupción en el servicio internet Tabla 25 Área de preocupación interrupción del servicio de internet Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Interrupción en el servicio internet
Actor: Agentes externos
Medio:
*Falta de pago al proveedor. *Falla en los dispositivos. *Mantenimiento por parte del proveedor
Motivos: *Falta de comunicación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
El sistema no estará disponible mientras se resuelve la interrupción del servicio
Fuente: Propia
74
3.2.4.1.8. Falla en los componentes de hardware en los equipos informáticos
Tabla 26 Área de preocupación falla en los componentes de hardware en los equipos informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: *Uso inadecuado de los equipos informáticos *Conexión errónea de los equipos *Falta de monitoreo de los equipos de hardware
Motivos: Falla de fabricación, mala manipulación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Los dispositivos no estarán disponibles durante la reposición y configuración de los nuevos componentes de hardware por parte del proveedor y del área de tecnología
Fuente: Propia
3.2.4.1.9. Desactualización de los sistemas.
Tabla 27 Area de preocupación desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
al no realizar las actualizaciones a los diferentes sistemas se puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios
Fuente: Propia
75
3.2.4.10. Alta rotación de Personal Sistema de Digitalizador de Documentos
Tabla 28 Área de preocupación alta rotación de personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
El sistema no estará disponible hasta que no se encuentre reemplazo
Fuente: Propia
3.2.4.1.11. Desastres naturales
Tabla 29 Área de preocupación desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad:
El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
3.2.4.1.12. Falla o defecto de software
Tabla 30 Área de preocupación falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema de Digitalizador de Documentos
Área de preocupación:
Falla o defecto de software
Actor: Personal interno o externo
76
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
El sistema no estará disponible hasta que no se encuentre el fallo o se instale otro software.
Fuente: Propia
El análisis de cada una de las áreas de preocupación para cada uno de los activos
de información restantes se encuentra en el Anexo 3.
3.2. 5. Identificar Escenarios De Amenaza
Identificación de Escenarios de Amenazas, en este paso las áreas de preocupación se expanden en escenarios de amenaza, permitiendo conocer las propiedades de la misma, estos pueden ser representados a través de una estructura conocida como árbol de amenaza, el árbol de amenaza representa e identifica las amenazas potenciales del activo la información como base para determinar el riesgo. Se consideran cuatro arboles de amenazas que se describen a continuación Tabla 31 Árbol de amenazas
Definición de los distintos Árboles de Amenaza
Árbol de Amenaza Descripción
Actores humanos utilizado medios técnicos
Esta categoría se refiere a las amenazas a los activos de información realizadas por un actor humano de forma directa sea accidental o deliberada a la infraestructura técnica de la organización.
Actores Humanos utilizando acceso físico.
Esta categoría se refiere a las amenazas a los activos de información realizadas por un actor humano por acceso físico de manera directa o sobre su contenedor sea accidental o deliberada a la organización.
Problemas técnicos
Esta categoría se refiere a las amenazas a los activos de información por problemas con la tecnología y los sistemas de información de la organización. Incluye los defectos de hardware, software, virus y otros problemas relacionados con el sistema.
77
Otros
Esta categoría se refiere a las amenazas a los activos de información son los problemas o situaciones que están fueran del alcance de control de la organización. Incluye los desastres naturales (inundaciones, terremotos, incendios) y los riesgos de interdependencia por ejemplo fuente de alimentación eléctrica.
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
La probabilidad es necesaria para determinar que escenarios son más propensos a ocurrir, en este caso se consideró la probabilidad subjetiva debido a que en la mayoría de los casos no existe un registro o control de las ocurrencias presentadas. Tabla 32 Probabilidad de amenaza
.
Valor Frecuencia
Alto Más de 5 veces al año
Medio De 2 a 4 veces al año
Bajo 1 vez al año
Fuente: Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo
Tabla 33 Árbol de amenaza plataforma de recaudo
Árbol de Amenaza: Activo de Información Plataforma de Recaudo
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Interrupción
Desconocimiento en el manejo de los sistemas o equipos informáticos
Interrupción
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización.
Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos
Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas Interrupción en el servicio de energía Interrupción
78
eléctrica.
Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción Fuente: Propia
Tabla 34 Árbol de amenaza sistema de documentación de clientes
Árbol de Amenaza: Activo de Información Sistema de documentación de clientes
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Interrupción
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización.
Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos
Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica.
Interrupción
Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción Fuente: Propia
Tabla 35 Árbol de amenaza centro de negocios
Árbol de Amenaza: Activo de Información: Centro de Negocios
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Divulgación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización.
Interrupción
79
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos
Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica.
Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción Fuente: Propia
Tabla 36 Árbol de Amenaza AcciónBack
Árbol de Amenaza: Activo de Información: AcciónBack
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización.
Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos
Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción Fuente: Propia
Tabla 37 Árbol de Amenaza Inveracción
Árbol de Amenaza: Activo de Información: Inveracción
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
80
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización.
Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos
Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica.
Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción Fuente: Propia
El análisis de árbol de amenaza para cada uno de los activos de información
restantes se encuentra en el Anexo 4.
3.2.6. Identificación de Riesgos
En el Paso 6 se capturan las consecuencias para una organización si se realiza una amenaza, completando la imagen de riesgo. Una amenaza puede tener múltiples impactos potenciales en una organización. Por ejemplo, la interrupción del sistema de comercio electrónico de una organización puede afectar la reputación de la organización con sus clientes, así como su posición financiera. Tabla 38 Tabla de consecuencias de AcciónBack
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio de la aplicación
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas, asignaciones, cesiones o desistimientos en la aplicación
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de AcciónBack
81
Problemas de conectividad en la red interna de la organización: AcciónBack estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria
Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de planes de pagos, cesiones y desistimientos presentando retrasos en las operaciones afectando a más de un área.
Desactualización de los sistemas: La interfaz de AcciónBack presenta fallas mostrando inconvenientes en los registros, las consultas de los planes de pagos, cesiones o desistimientos.
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a AcciónBack
Interrupción en el servicio de energía eléctrica: AcciónBack estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio
Desastres Naturales: AcciónBack estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria Fuente: Propia
Tabla 39 Tabla de consecuencias de la Intranet
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la intranet para regresar al estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El usuario presenta inconvenientes para realizar consultas en la intranet y para ingresar a las aplicaciones
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar a la intranet debido a la interrupción del servicio
Problemas de conectividad en la red interna de la organización: La intranet estará fuera de servicio mientras se restablece el servicio de red interna, las operaciones de la fiduciaria presentarían retrasos
Interrupción en el servicio de internet: La intranet estará fuera de servicio mientras se restablece el servicio de red, las operaciones de la fiduciaria presentarían retrasos
82
Falla en los componentes de hardware de los equipos: Los usuarios presentarían retrasos en las operaciones de la fiduciaria afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la intranet puede presentar fallas mostrando dificultad en las descargas de los procedimientos o en el acceso a las aplicaciones
Fallo o defecto de Software: El personal de la fiduciaria deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado de la intranet
Interrupción en el servicio de energía eléctrica: La intranet estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la intranet y al contenido
Desastres Naturales: La intranet estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria Fuente: Propia
El análisis de las consecuencias para cada uno de los activos de información
restantes se encuentra en el Anexo 5.
3.2.7. Análisis de Riesgos
En este paso se mide cualitativamente el grado en que la organización se ve afectada por una amenaza mediante el cálculo de una puntuación para cada riesgo de cada activo de información. La información del puntaje se utiliza para determinar qué riesgos se necesita mitigar inmediatamente y para dar prioridad a las acciones de mitigación para el resto de los riesgos en el paso ocho de la metodología OCTAVE Allegro Tabla 40 Puntaje para determinar riesgos según el área de preocupación exposición de los activos de
información, acceso no autorizado a los sistemas informáticos del activo intranet
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto
Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio(2) 10
Reputación 4 Medio(2) 8
Legal 3 Medio(2) 6
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 27 Fuente: Propia
83
Tabla 41 Puntaje para determinar riesgos Desconocimiento en el manejo de los sistemas informáticos Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15 Fuente: Propia
Tabla 42 Puntaje para determinar riesgos exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17 Fuente: Propia
Tabla 43 Puntaje para determinar riesgos Problemas de conectividad en la red interna de la organización.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17 Fuente: Propia
Tabla 44 Puntaje para determinar riesgos Interrupción en el servicio de internet
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Interrupción en el servicio de internet
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
84
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19 Fuente: Propia
Tabla 45 Puntaje para determinar riesgos Falla en los componentes de hardware de los equipos.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Falla en los componentes de hardware de los equipos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17 Fuente: Propia
Tabla 46 Puntaje para determinar riesgos Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15 Fuente: Propia
Tabla 47 Puntaje para determinar riesgos Fallo o defecto de Software
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Rankin
g Valor del impacto
Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17 Fuente: Propia
85
Tabla 48 Puntaje para determinar riesgos Interrupción en el servicio de energía eléctrica.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19 Fuente: Propia
Tabla 49 Puntaje para determinar riesgos Alta Rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17 Fuente: Propia
Tabla 50 Puntaje para determinar Desastres Naturales Hoja de trabajo Metodología Octave Allegro
Área de preocupación
Área de impacto Ranking Valor del impacto
Score
Desastres Naturales
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 20 Fuente: Propia
Tabla 51 Resumen de las áreas de preocupación del activo desastres naturales
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no Medio 27
86
autorizado a los sistemas informáticos.
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Bajo 17
Problemas de conectividad en la red interna de la organización.
Bajo 17
Interrupción en el servicio de internet Bajo 19
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 15
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Bajo 19
Alta Rotación de Personal Bajo 17
Desastres Naturales Bajo 20 Fuente: Propia
El análisis de riesgos de los activos de información restantes se encuentra en el
Anexo 6.
3.2.8. Enfoque de mitigación
En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad: Tabla 52 Matriz de riesgos relativos
Matriz de riesgos relativos
Probabilidad Puntaje de riesgo
30 A 45 16 A29 0 A 15
Alta Grupo 1 Grupo 2 Grupo 2
Media Grupo 2 Grupo 2 Grupo 3
Baja Grupo 3 Grupo 3 Grupo 4
Fuente: 8 pasos para hacer una evaluación de riesgos Miguel Ángel Mendoza
87
La puntuación del riesgo se agrupa como se muestra en la siguiente figura. Ilustración 6 Enfoque de mitigación según el grupo
Fuente: : Analisis de riesgos informativos y elaboracion de un plan de continuidad para la unidad de educacion
virtual CEC-EPN Andrea Elizabeth Conza Gonsalez Leonardo Xavier Medrano Chimborazo Propia
A continuación, se realiza el análisis de la mitigación de riesgos de cada uno de los activos. Como la metodología Octave Allegro no maneja controles propios se usó como guía la norma ISO 27000 del 2013 Anexo a Tabla 53 Mitigación de riesgo según el activo Intranet
Nombre del activo: Intranet
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 27
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control
• Solo los empleados de la compañía pueden acceder a la intranet
• Cada uno de los empleados deben tener una usuario y contraseña
• La contraseña de acceso a la intranet debe contener letras mayúsculas, minúsculas, números y caracteres especiales.
• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.
• Solo el ingeniero de infraestructura y el gerente de tecnología deben tener conocimiento para realizar modificaciones sobre la intranet
• Los empleados que no pertenezcan al área de tecnología solo deben tener acceso de consulta a la intranet.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Medio
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control
• Se deben realizar un instructivo para el uso adecuado de la intranet.
• Se deben realizar capacitaciones trimestrales o bimestrales sobre el uso adecuado de la intranet.
88
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Solo el personal autorizado del área de sistemas y/o tecnología como lo es el ingeniero de infraestructura y gerente de tecnología podrá accedes al datacenter.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la tomas de corriente Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 4
Acción: Aceptar
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado. Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta
89
funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet
• Instalar las actualizaciones y parches de seguridad Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal para continuar con las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 20
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la intranet en otra ciudad, asegurando la continuidad de la operación
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores, señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia prudencial
Fuente: Propia
Tabla 54 Mitigación de riesgo según el activo Plataforma de recaudo
Nombre del activo: Plataforma de recaudo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
90
Control
• Solo los clientes pueden acceder a la plataforma de recaudo.
• Los clientes deben ingresar a la plataforma con el número de identificación y la contraseña.
• El sistema solicita el cambio de contraseña cada 30 a 45 días. Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
• Se debe realizar un instructivo que permita al cliente ingresar y realizar operaciones en la plataforma de recaudo.
• Se debe realizar capacitación al personal de servicio al cliente y administradores de negocios sobre la plataforma de recaudo.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar modificaciones sobre la plataforma.
• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a la administrador de la plataforma de recaudo con un usuario y contraseña
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 33
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Transferir o Aceptar
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de plataforma de recaudo.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza.
91
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Instalar actualizaciones en los equipos y servidores de la compañía.
• Se debe adquirir software licenciado.
• Se deben desinstalar los programas que no sean de uso corporativo. Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Instalar las actualizaciones y parches de seguridad
• Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo. Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Transferir o Aceptar
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 37
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control:
• Adecuar un servidor dedicado que permita tener copias de seguridad de la plataforma de recaudo en otra ciudad, asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores, señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia prudencial
Fuente: Propia
El análisis de la mitigación de riesgos de los activos de información restantes se
encuentra en el Anexo 7.
92
4. DISEÑO E IMPLEMENTACIÓN DEL PROTOTIPO
Esta fase se tiene como objetivó principal hacer un enfoque detallado en el diseño
en la que se definen los requisitos funcionales y no funcionales de la aplicación, se
realiza un análisis de los casos de uso y la respectiva documentación, se diseñan
los diagramas de secuencia, de actividad, colaboración para la implementación del
prototipo, se realizan pruebas funcionales con el fin de implementar mejoras para
obtener como resultado el éxito del proyecto.
4.1 Fase De Requerimientos
En esta fase se realiza el análisis funcional en el que se estudian las necesidades
del sistema, haciendo uso de representaciones gráficas, definición de
requerimientos funcionales y no funcionales de manera precisa y clara, se
determina la lista de los casos de uso y se documentaran los casos de uso
4.1.1. Descripción y diagramas de proceso
Es una representación gráfica de los pasos que se siguen en toda una secuencia
de actividades, dentro de un proceso o un procedimiento, identificándolos
mediante símbolos de acuerdo con su naturaleza; incluye, además, toda la
información que se considera necesaria para el análisis.
4.1.1.1. Diagramas de proceso para Activos
A continuación se muestran los diagramas de proceso que permitirán al usuario la
creación, lista, actualización y eliminación de un activo.
93
Ilustración 7. Diagrama de proceso creación de Activo Ilustración 8. Diagrama de proceso Listar activos
Fuente: Propia Fuente: Propia
Ilustración 9. Diagrama de proceso Actualizar Activo Ilustración 10. Proceso Eliminar Activo
Fuente: Propia Fuente: Propia
94
4.1.1.2 Diagrama de Procesos para Criterios de Medida de Riesgo
A continuación se listan los procesos que debe realizar el usuario para listar, crear,
actualizar y eliminar un criterio de Medida de Riesgo.
Ilustración 11. Diagrama de Proceso Agregar Medida
de Riesgo
Ilustración 12. Diagrama de Proceso eliminar Medidas de Riesgo
Fuente: Propia Fuente: Propia
Ilustración 13 Diagrama de Proceso Actualizar Ilustración 14. Diagrama de Proceso listar Medidas de Riesgo Medidas de Riesgo
Fuente: Propia Fuente: Propia
95
4.1.1.3 Diagrama de Proceso para Priorizar Áreas de Impacto
El usuario debe priorizar las áreas de impacto de acuerdo a las necesidades
propias de la compañía, a continuación se presenta el flujo para llevar a cabo esta
tarea.
Ilustración 15. Diagrama de proceso priorizar área de impacto
Fuente: Propia
4.1.1..4 Diagramas de Proceso para Selección de Activos Críticos
El usuario debe seleccionar de su lista de activos, cuáles son los activos que al
hacerse efectiva una amenaza pueden comprometer gravemente la compañía. A
continuación se presenta el flujo para que el usuario pueda crear, listar, actualizar
o eliminar un activo crítico.
Ilustración 16. Diagrama de proceso crear Activo Crítico Ilustración 17. Diagrama de proceso Listar Activos
Críticos
Fuente: Propia Fuente: Propia
96
Ilustración 18. Diagrama de proceso Actualizar Activo Critico
Ilustración 19. Diagrama de proceso Eliminar Activo
Crítico
Fuente: Propia Fuente: Propia
4.1.1.5 Diagramas de Proceso Configuración de Contenedores
El usuario debe identificar a qué tipo de contenedor pertenece el activo, teniendo
tres tipos definidos, físico, técnico y persona, para de esta manera poder realizar
la identificación de riesgos y amenazas. A continuación de presentan los procesos
que debe realizar el usuario para crear, listar, editar y eliminar un contenedor.
97
Ilustración 20. Diagrama de proceso Crear Contenedor Ilustración 21. Diagrama de proceso Listar
Contenedores
Fuente: Propia Fuente: Propia
Ilustración 22. Diagrama de proceso Actualizar Ilustración 23. Diagrama de proceso Eliminar Contendor
Contenedor
Fuente: Propia Fuente: Propia
98
4.1.1.6 Diagramas de Proceso para Asociar Activos a Contenedores
Una vez identificados los contenedores existentes en la compañía el usuario debe
realizar de asociación de activo – contenedor para indicar a que contenedor
pertenece el activo.
Ilustración 24. Diagrama de proceso Asociar Activos a Contenedores
Fuente: Propia
4.1.1.7 Diagramas de Proceso para Áreas de Preocupación
El usuario puede crear varias áreas de preocupación que estarán relacionadas a
las áreas de impacto definidas por la metodología. A continuación se presentan los
flujos que el usuario realizará para listar, crear, actualizar y eliminar un área de
preocupación
99
Ilustración 25. Diagrama de proceso crear área de
Figura preocupación
Ilustración 26. Diagrama de proceso listar áreas de
preocupación
Fuente: Propia Fuente: Propia
Ilustración 27. Diagrama de proceso actualizar área de
preocupación
Ilustración 28. Diagrama de proceso eliminar área de
preocupación
Fuente: Propia Fuente: Propia
100
4.1.1.8 Diagramas de proceso Puntaje de Riesgo Relativo
Una vez el usuario a diligenciado la información de su compañía, se realiza un
análisis de la información para generar el puntaje de riesgo relativo para cada una
de las áreas de preocupación definidas por el usuario.
Ilustración 29. Diagrama de proceso puntaje de riesgo relativo
Fuente: Propia
4.1.1.9 Diagramas de proceso Enfoque de Mitigación
De acuerdo al puntaje de riesgo relativo y a la matriz de riesgo se calcula cual es
el tipo de acción que se debe aplicar para cada área de preocupación ya sea,
transferir, aceptar o mitigar. Además el usuario puede documentar los controles
que planea aplicar para los riesgos encontrados. A continuación se presenta el
proceso que deberá realizar el usuario para ver el resultado del enfoque de
mitigación, agregar, actualizar y eliminar controles
Ilustración 30. Diagrama de proceso ver enfoque de mitigación
Fuente: Propia
101
Ilustración 31. Diagrama de proceso ver controles
Ilustración 32. Diagrama de proceso agregar
control
Fuente: Propia Fuente: Propia
Ilustración 33. Diagrama de proceso actualizar control Ilustración 34. Diagrama de proceso eliminar control
Fuente: Propia Fuente: Propia
102
4.1.1.10 Diagramas de Proceso Generación de Reportes
El usuario tiene la opción de descargar algunos reportes que le servirán durante
su proceso de documentación, esta documentación está disponible en formato
Ilustración 35. Diagrama de proceso descargar reportes
Fuente: Propia
4.1.1.11 Diagramas de Proceso Administrar Usuarios
Se pueden crear usuarios en el aplicativo de tipo administradores y de consulta, a
continuación se presenta el flujo que debe realizar el usuario para crear, listar,
actualizar o eliminar usuarios.
103
Ilustración 36. Diagrama de proceso crear usuario Ilustración 37. Diagrama de proceso listar
Fuente: Propia Fuente: Propia
Ilustración 38. Diagrama de proceso Actualizar usuario Ilustración 39. Diagrama de proceso Eliminar usuario
Fuente: Propia Fuente: Propia
104
4.2 Requerimientos funcionales y no funcionales
Los requerimientos funcionales son las condiciones o las funciones que debe
realizar el sistema, estas deben ser muy especificas ya que de estas dependen la
funcionalidad correcta del sistema, los requerimientos no funcionales tienen que
ver con características que de una u otra forma puedan limitar el sistema.
4.2.1.Requerimientos Funcionales
• Debe ser una aplicación para dispositivo móvil Android.
• Permitir crear, listar, actualizar y eliminar activos.
• El aplicativo debe permitir la configuración de las medidas de riesgo para
cada una de las áreas de impacto definidas por la metodología octave
allegro, estas medidas de riesgo especifican la definición de los niveles alto,
moderado y alto para cada una de ellas.
• El aplicativo debe permitir que el usuario pueda priorizar las áreas de
impacto definidas por la metodología octave allegro en un rango de
puntuación de 1 a 5 en donde 5 es la de mayor prioridad y 1 es la de menor
prioridad.
• Permitir la configuración de los activos críticos, para ello se debe desplegar
los activos ya creados y el usuario seleccionará los que considere como
críticos, agregando la justificación, descripción, propietario del activo, como
se ve afectada la confidencialidad, disponibilidad y disponibilidad del activo,
así mismo como los requisitos de seguridad más importantes para el
mismo.
• Los activos críticos deben poder listarse, visualizarse, modificarse y
eliminarse.
• El aplicativo le permitirá al usuario configurar los contenedores,
categorizados n tres tipos: Físico, Técnico y Personas, añadiendo un
descripción interna y externa así como los propietarios.
• Los contenedores creados deben poder listarte, visualizarse, actualizarse y
eliminarse si el usuario lo desea.
• Se debe permitir asociar los activos a los contenedores creados, cada
activo podrá estar una única vez dentro del mismo contenedor.
• El usuario podrá modificar los activos asociados a un contenedor.
• El usuario podrá documentar cada una de las áreas de preocupación
creadas de acuerdo a lo que se especifica bajo la metodología octave
allegro.
105
• La documentación de las áreas de preocupación podrá ser vista,
actualizada o modificada por el usuario.
• El aplicativo debe calcular el puntaje de riesgo relativo de acuerdo a la
priorización dada por el usuario al área de impacto y a la probabilidad que
haya dado el usuario en la documentación del área de preocupación. Este
puntaje será almacenado y no podrá ser modificado debido a que es un
cálculo que se realizar basado en la información que se ingresa. Si se
actualiza la documentación del área de preocupación el puntaje debe
calcularse nuevamente.
• El usuario podrá consultar el puntaje de riesgo relativo calculado por el
software para cada una de las áreas de preocupación definidas por el
usuario.
• Se debe calcular el enfoque de mitigación de acuerdo a la matriz de riesgo
definida por la metodología octave allegro y al puntaje de riesgo relativo
calculado.
• El usuario debe poder ingresar, modificar o eliminar los controles que
considere pertinentes para cada uno de los enfoques de mitigación
sugeridos por la metodología.
• El usuario debe poder descargar documentos en formato PDF en donde se
encuentre, la documentación de los criterios de medida de riesgo, perfil de
los activos críticos, documentación de las áreas de preocupación, riesgo
relativo y enfoque de mitigación.
• Deben manejarse perfiles dentro de la aplicación, se manejara perfil
administrador y usuario de consulta.
• El usuario con perfil administrador tiene acceso a todas las opciones de
todos los menús, así como a la administración de los usuarios en el
sistema. El usuario con perfil de consulta únicamente puede ver los menús
que permiten listar y consultar, sin poder realizar cambios persistentes en el
aplicativo, y únicamente podrá modificar la información propia de su
usuario.
4.2.2 Requerimientos no funcionales
• El aplicativo debe funcionar de manera web, desde un navegador.
• La contraseña del usuario debe estar enmascarada.
• La contraseña del usuario debe almacenarse encriptada con MD5
• Si el usuario o la contraseña es incorrecta únicamente debe limpiarse el
campo de contraseña.
106
• El usuario debe permanecer con sesión activa hasta el momento que desee
realizar logout.
• Se debe pedir confirmación antes de realizar cualquier eliminación.
• La contraseña de los usuarios debe ser aleatoria y enviada por correo.
• El código debe estar documentado.
4.3. Fase de análisis
En esta fase se definen cuales son los principales actores que interactúan con el
sistema, se realiza una lista preliminar para cada una de las funciones que
realizan los actores sobre la aplicación. Luego se realiza una representación
gráfica de cómo interactúa el actor sobre la funcionalidad y se documenta el flujo
de la interacción paso a paso, indicando cuales son los requerimientos iniciales
para ejecutar la función y las excepciones que se deben presentar al ejecutar
dicha funcionalidad.
4.3.1 Definición de Actores
Tabla 55 Definición de Actores
Actor Descripción
Administrador Es el usuario que tendrá acceso a todas las funcionalidades del
sistema, así como también a la administración de usuarios,
podrá crear usuarios, actualizarlos o eliminarlos, así como ver
listados todos los usuarios existentes.
Consulta El usuario de consulta podrá ver todos los menús pero
únicamente podrá ver los datos listados, y podrá visualizar su
contenido sin poder realizar ninguna acción sobre los mismos,
es decir, sin poder modificarlos, eliminarlos o agregar nuevos
ítems. Este usuario también podrá actualizar sus datos
personales y contraseña. Fuente: Propia
107
4.3.2 Lista preliminar de casos de uso
Tabla 56 Lista preliminar de casos de uso
Actor Lista Preliminar
Todos los actores
del sistema
• Iniciar Sesión
• Cerrar Sesión
• Ver puntaje de riesgo relativo
• Ver enfoque de mitigación
• Descargar Reportes
• Modificar datos personales y contraseña
Administrador
• CRUD Activos
• CRUD Activos Críticos
• CRUD Criterios de Medida de Riesgo
• Modificar Priorización de áreas de impacto
• CRUD Contenedores
• Asociar y/o Desasociar activos a contenedores
• CRUD Áreas de preocupación
• CRUD usuarios
Consulta
• Listar Activos, Ver Activos
• Listar Activos Críticos, Ver Activos Críticos
• Listar Criterios de Medida de Riesgo, Ver Criterios
• Ver priorización de áreas de impacto
• Listar contenedores, Ver contenedores
• Ver activos asociados a contenedores
• Lista de áreas de preocupación , ver área de preocupación
Fuente: Propia
4.3.3 Depuración de casos de uso
Ilustración 40. Depuración de caso de uso Gestionar Activo
Fuente: Propia
108
Ilustración 41. Depuración de caso de uso Gestionar Criterios de Medida de Riesgo
Fuente: Propia
Ilustración 42. Depuración de caso de uso Gestionar Activo Crítico
Fuente: Propia
Ilustración 43. Depuración de caso de uso Gestionar Contenedores
Fuente: Propia
109
Ilustración 44. Depuración de caso de uso Gestionar Activos críticos y contenedores
Fuente: Propia
Ilustración 45. Depuración de caso de uso Priorizar áreas de impacto
Fuente: Propia
Ilustración 46. Depuración de caso de uso Gestionar áreas de preocupación
Fuente: Propia
110
Ilustración 47. Depuración de caso de uso Gestionar Puntaje de Riesgo Relativo
Fuente: Propia
Ilustración 48. Depuración de caso de uso Gestionar Enfoque de Mitigación
Fuente: Propia
Ilustración 49. Depuración de caso de uso Gestionar Usuarios
Fuente: Propia
111
Ilustración 50. Depuración de caso de uso Generar Reportes
Fuente: Propia
4.3.4 Documentación de Casos De Uso
Tabla 57 Documentación de caso de uso crear activo
Caso de uso No. 1 Nombre: Crear Activo
Actores: Administrador
Objetivo: Registrar un nuevo Activo
Descripción: Se crea un nuevo activo de la compañía
Precondiciones: En cumplimiento a la metodología Octave Allegro se debe haber
realizado previamente la identificación de activos.
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Activos
3.Hacer clic en el botón Agregar Activo
5.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del
mensaje Activo creado correctamente
Acciones del Sistema
2.Desplegar los activos existentes en el
sistema
4. Mostrar el formulario con los campos
necesarios para crear un activo
6.Retornar mensaje Activo Creado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los
activos creados, incluyendo el activo
nuevo
Manejo de situaciones Excepcionales
1. Si no existen activos creados, se debe mostrar un mensaje que diga: no
112
se han registrado activos.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0 Fuente: Propia
Tabla 58 Documentación de caso de uso consultar activos
Caso de uso No. 2 Nombre: Consultar Activos
Actores: Administrador, Consulta
Objetivo: Consultar Activos
Descripción: Se listan los activos creados en el sistema
Precondiciones: Deben existir activos creados previamente.
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Activos
Acciones del Sistema
2.Desplegar los activos existentes en el
sistema, con las opciones ver y eliminar
para cada uno de los activos
Manejo de situaciones Excepcionales
2. Si no existen activos creados, se debe mostrar un mensaje que diga: no se han registrado activos.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0 Fuente: Propia
Tabla 59 Documentación de caso de uso Actualizar activo
Caso de uso No. 3 Nombre: Actualizar Activo
Actores: Administrador
Objetivo: Actualizar Activo
Descripción: Se actualiza un activo creado anteriormente
Precondiciones:
-El usuario debe haber iniciado sesión en el sistema
- Deben existir activos creados
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Activos
Acciones del Sistema
2.Desplegar los activos existentes en el
113
3.Hacer clic en el icono ver
5.Dar clic en el botón Actualizar
7.Dar clic en el botón aceptar del
mensaje Activo creado correctamente
sistema
4. Mostrar el formulario de creación con
los campos diligenciados con la
información del activo
6.Retornar mensaje Activo Actualizado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los
activos creados, con la actualización del
activo
Manejo de situaciones Excepcionales
3. Si no existen activos creados, se debe mostrar un mensaje que diga: no se han registrado activos.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0 Fuente: Propia
Tabla 60 Documentación de caso de uso Eliminar Activo
Caso de uso No. 4 Nombre: Eliminar Activo
Actores: Administrador
Objetivo: Eliminar Activo
Descripción: Se elimina un activo registrado
Precondiciones:
-El usuario debe haber iniciado sesión en el sistema
-Deben existir activos creados
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Activos
3.Hacer clic en el icono eliminar
5.Dar clic en el botón Aceptar del
mensaje de confirmación
7.Dar clic en el botón aceptar del
mensaje Activo Eliminado
correctamente
Acciones del Sistema
2.Desplegar los activos existentes en el
sistema
4. Mostrar un mensaje de confirmación
preguntando si está seguro que desea
eliminar el activo
6.Retornar mensaje Activo Eliminado
Correctamente
7.Mostrar la interfaz con todos los
activos, excepto el activo eliminado
114
Manejo de situaciones Excepcionales
4. Si no existen activos creados, se debe mostrar un mensaje que diga: no se han registrado activos.
Flujo Alterno
1. Si en el cuadro de confirmación el usuario da clic en cancelar, se debe cerrar el cuadro de confirmación y mostrar nuevamente la lista de activos creados.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0 Fuente: Propia
El análisis de la documentación de los casos de uso restantes se encuentra en el
Anexo 8.
4.3.5 Diagrama de secuencia
A continuación se presentaran los diagramas de secuencia más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación. Ilustración 51 Diagrama de secuencia crear activo
Fuente: Propia
115
Ilustración 52 Diagrama de secuencia crear activo critico
Fuente: Propia
Ilustración 53 Diagrama de secuencia crear área de preocupación
Fuente: Propia
116
Ilustración 54 Diagrama de secuencia consultar enfoque de mitigación
Fuente: Propia
Ilustración 55 Diagrama de secuencia consultar puntaje de riesgo relativo
Fuente: Propia
117
4.3.6. Diagramas de Actividad
A continuación se presentaran los diagramas de actividad más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación. Ilustración 56 Diagrama de actividad crear activo
Fuente: Propia
Ilustración 57 Diagrama de actividad crear área de preocupación
Fuente: Propia
118
Ilustración 58 Diagrama de actividad crear activo critico
Fuente: Propia
Ilustración 59 Diagrama de actividad consultar enfoque de mitigación
Fuente: Propia
119
Ilustración 60 Diagrama de actividad Consultar puntaje de riesgo
Fuente: Propia
4.3.7. Diagramas de estado
A continuación se presentaran los diagramas de estado más relevantes, como lo son crear activo, crear activo crítico, crear área de preocupación, consultar puntaje de riesgo relativo, consultar enfoque de mitigación.
Ilustración 61 Diagrama de estado gestionar activo
Fuente: Propia
120
Ilustración 62 Diagrama de estado gestionar área de preocupación
Fuente: Propia
Ilustración 63 Diagrama de estado gestionar activo critico
Fuente: Propia
121
Ilustración 64 Diagrama de estado Consultar puntaje de riesgo relativo
Fuente: Propia
Ilustración 65 Diagrama de estado consultar enfoque de mitigación
Fuente: Propia
122
4.3.8 Modelo Objeto Relacional
Ilustración 66 Modelo entidad relación
Fuente: Propia
123
4.3.9. Diccionario de datos
A continuación se presentan las tablas existentes para almacenar todas la información del
sistema.
4.3.9.1 Activo Ilustración 67 Activo
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id activo
Nombre Varchar(256) NO Nombre del activo
Descripción Varchar(500) SI Descripción del activo
Is_archived TINYINT No Default 0 Determina si el activo fue eliminado
Fuente: Propia
4.3.9.2. Activo_Contenedor Ilustración 68 Activo Contenedor
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Activo_id INT NO FK REF activo(Id) Id del activo
Contenedor_id INT NO FK REF contendor(id)
Id del contenedor en donde se encuentra el activo
Fuente: Propia
4.3.9.3 Activo_Critico Ilustración 69 Activo Critico
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Activo_id INT NO FK REF activo(id)
Id del activo
Justificación VARCHAR(500)
SI Justificación del por qué el activo es crítico
Descripción VARCHAR(500)
SI Descripción del activo
Propietarios VARCHAR(250)
SI Propietarios del activo
Confidencialidad
VARCHAR(500)
SI Como se ve afectada en el activo
Integridad VARCHAR(500)
SI Como se ve afectaba en el activo
Requisitos_importantes
VARCHAR(500)
SI Requisitos importantes de seguridad para el activo
disponibilidad VARCHAR(500)
SI Como se ve afectada en el activo
Is_archived TINYINT NO Determina si el activo crítico es eliminado o no
Fuente: Propia
124
4.3.9.4 Area_consecuencias Ilustración 70 Area consecuencias
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Área_preocupacion_id
INT NO FK REF área_preocupacion(id)
Id del área de preocupación
Consecuencia_id INT NO FK consecuencias (id)
Id de la consecuencia relacionada con el área de preocupación
Fuente: Propia
4.3.9.5 Area_impacto Ilustración 71 Area impacto
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id área de impacto
nombre VARCHAR(256) NO Nombre del área de impacto
indice INT NO Prioridad del área de impacto Fuente: Propia
4.3.9.6 Area_preocupacion Ilustración 72 Area preocupación
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id área de preocupación
Activo_critico_id
INT NO FK REF
activo_critico(id)
Id del activo crítico relacionado
Nombre VARCHAR(256) NO Nombre del área de
preocupación
Actor VARCHAR(256) SI Actor de amenaza
Motivo VARCHAR(256) SI Motivo por el que puede
ocurrir la amenaza
Requisitos_seguridad
VARCHAR(256) SI Requisitos de seguridad
necesarios
Resultado VARCHAR(256) SI Resultado de la ejecución
de la amenaza
Probabilidad VARCHAR(256) SI Probabilidad de que ocurra
la amenaza
Acción VARCHAR(10) SI Acción a tomar
Is_archived TINYINT NO Determina si el área de
preocupación se eliminó Fuente: Propia
4.3.9.7 Consecuencias Ilustración 73 Consecuencias
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id consecuencia
Nombre VARCHAR(250) NO Nombre consecuencia
125
Descripción VARCHAR(250) NO Descripción consecuencia
Área_impacto_id INT NO FK REF
área_impacto(id)
Id del área de impacto afectada
Valor_impacto INT NO Valor cualitativo de la
consecuencia
Puntaje INT NO Puntaje de riesgo relativo Fuente: Propia
4.3.9.8 Contenedor Ilustración 74 Contenedor
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id contenedor
Nombre VARCHAR(45) NO Nombre del contenedor
Descripción_intero
VARCHAR(500)
SI Descripción interna del
contenedor
Propietario_interno
VARCHAR(500)
SI Propietario interno del
contenedor
Descripción_externo
VARCHAR(500)
SI Descripción externa del
contenedor
Propietario_externo
VARCHAR(500)
SI Propietario externo del
contenedor
Tipo_contenedor INT SI Tipo físico, técnico, personas
Is_archived TINYINT
NO Determina si el contenedor se
eliminó Fuente: Propia
4.3.9.9 Controles Ilustración 75 Controles
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id del control
Área_preocupacion_id
INT NO FK REF área_preocupacion(id)
Id área de preocupación del control
control VARCHAR(1280)
NO Descripción del
control
Suggested_control_id
INT SI FK REF suggested_control(id)
Id del control sugerido por la metodología
Fuente: Propia
4.3.9.10 criterios_riesgo_seleccionado Ilustración 76 criterios riesgo seleccionado
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Área_impacto_id INT
NO FK REF área_impacto(id)
Id del área de impacto
Bajo VARCHAR(500) NO Descripción de
126
impacto bajo
Medio VARCHAR(500)
NO Descripción de
impacto medio
Alto VARCHAR(500)
NO Descripción de
impacto alto Fuente: Propia
4.3.9.11Profile Ilustración 77 Profile
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
id INT NO PK Id del perfil
name VARCHAR(100) NO Nombre del perfile
Fuente: Propia
4.3.9.12 Suggested_control Ilustración 78 Suggested_control
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO
PK Id del control sugerido
Área_preocupacion_id
INT
NO
FK REF área_preocupacion(id)
Id de área de preocupación a la que pertenece el control
Name VARCHAR(200) NO
Nombre del control sugerido
Description VARCHAR(500) NO
Descripción del control sugerido
Fuente: Propia
4.3.9.13. User Ilustración 79 User
CAMPO TIPO NULO LLAVE DESCRIPCIÓN
Id INT NO PK Id del usuario
Name VARCHAR(50) NO Nombre del usuario
Lastname VARCHAR(100) NO Apellido del usuario
Username VARCHAR(100) NO Login del usuario
Password VARCHAR(252) NO Contraseña del usuario
Profile INT NO FK REF profile(id)
Perfil del usuario administrador o de consulta
sessionActive TINYINT NO Indica si tiene una sesión activa
Is_archived TINYINT NO Indica si el usuario fue eliminado
Fuente: Propia
127
4.4. Implementación
4.4.1 Modelo de despliegue
A continuación se describe el diagrama de despliegue de la aplicación, en el cual
se pueden observar cada uno de los componentes que participan en la operación
del sistema.
Del lado del servidor tenemos NodeJS, el cual está basado en el servidor V8 de
JavaScript de Google. Este motor está diseñado para correr en un navegador y
ejecutar el código de JavaScript de una forma extremadamente rápida. La
tecnología que está detrás de NodeJS permite ejecutar este motor en el lado del
servidor, este abre un puerto que el usuario específica y expone servicios REST.
Del lado del FrontEnd tenemos un framework open source llamado Ionic, este
framework trabaja entre otros componentes con AngularJS y Apache Cordova,
este último permite utilizar las tecnologías estándar web como HTML5, CSS3 y
JavaScript para desarrollo multiplataforma, evitando el lenguaje de desarrollo
nativo para cada plataforma móvil.
Ilustración 80 Modelo de despliegue
Fuente: Propia
4.4.2 Modelo de componentes
A continuación se describe el diagrama de componentes del sistema, en el cual se
observa la relación de dependencia entre los mismos.
La aplicación fue construida bajo el patrón de arquitectura de software modelo-
vista-controlador, el cual consiste en separar los datos y la lógica de negocio de la
128
interfaz. La vista que en este caso puede ser por navegador o aplicación móvil
consulta la información a través de servicios REST que expone el Backend, y este
quien se comunica con la base de datos y retorna la información que será
presentada en el FrontEnd.
Ilustración 81 Modelo de componentes
Fuente: Propia
4.4.3 Diagrama de Paquetes
Tanto el Backend como el FrontEnd tienen definida su estructura de directorios
definidos, la cual se presenta a continuación
Ilustración 82 Diagrama de paquetes
Fuente: Propia
129
4.5 Pruebas
Las pruebas de la aplicación fueron realizadas por la Analista de riesgos, quien es
la persona encargada de verificar el correcto funcionamiento de la aplicación, es
también quien usara la aplicación en la compañía empleando el rol de
administrador en la herramienta.
Estas pruebas se hicieron con el fin de revisar y evaluar la funcionalidad de la
aplicación, según las especificaciones o requisitos funcionales, identificando los
posibles errores que se puedan presentar en cada uno de los módulos.
Estas pruebas también se realizaron con el fin de recibir una retroalimentación por
parte de la analista, en cuanto a la presentación y diseño grafico de la aplicación.
A continuación se presentan algunas de las pruebas realizadas sobre los módulos que componen la aplicación. 4.5.1 Prueba Menú Activos Tabla 61 Prueba Menú Activos
Prueba Menú Activos
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Activos
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Registrar Activo Formulario de
Registro
Validación de campos
requeridos, el usuario llena el
formulario y el activo debe ser
registrado en la base de datos.
OK
Consultar Activo
Opción Ver
de cada
activo
Al dar clic en la opción ver, se
debe ver la información que el
usuario escribió al momento de
crear el activo, se deben llenar
todos los campos
OK
Actualizar Activo Formulario de
Actualización
Al actualizar un activo se deben
realizar las validaciones de los OK
130
campos la actualización debe ser
guardada en base de datos
Eliminar Activo
Opción
Eliminar de
cada activo
Al eliminarse el activo se debe
pedir confirmación al usuario de
la acción, si no está de acuerdo
el activo no debe eliminarse, si
acepta se debe quitar el activo de
la lista de activos
OK
ERRORES
El textArea en donde se diligencia la descripción del activo,
tenía un tamaño muy pequeño, haciendo difícil la lectura de
la descripción
CORRECCIONES Se aplica estilo para ampliar el tamaño del textArea Fuente: Propia
4.5.2. Prueba Menú Activos Críticos Tabla 62 Prueba Menú Activos Críticos
Prueba Menú Activos Críticos
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Activos Críticos
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Registrar Activo
Crítico
Formulario de
Registro
Validación de campos requeridos, el
usuario llena el formulario y el activo
crítico debe ser registrado en la base
de datos.
OK
Consultar Activo
Crítico
Opción Ver de
cada activo
crítico
Al dar clic en la opción ver, se debe
ver la información que el usuario
escribió al momento de crear el activo
crítico, se deben llenar todos los
campos
OK
Actualizar Activo
Crítico
Formulario de
Actualización
Al actualizar un activo crítico se
deben realizar las validaciones de los
campos la actualización debe ser
guardada en base de datos
OK
Eliminar Activo Opción Al eliminarse el activo se debe pedir OK
131
Crítico Eliminar de
cada activo
crítico
confirmación al usuario de la acción,
si no está de acuerdo el activo crítico
no debe eliminarse, si acepta se debe
quitar el activo crítico de la lista de
activos
ERRORES El selector de activo no mostraba completo el nombre del
activo
CORRECCIONES Se ajusta selector para que muestre el nombre del activo
seleccionado completo. Fuente: Propia
4.5.3 Prueba Menú Criterios de Medida de Riesgo
Tabla 63 Prueba Menú Criterios de Medida de Riesgo
Prueba Menú Criterios de Medida de Riesgo
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Criterios de Medida de Riesgo
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Registrar Criterio
de Medida de
Riesgo
Formulario
de Registro
Validación de campos requeridos,
el usuario llena el formulario y
debe registrarse el criterio de
medida de riesgo en base de datos
OK
Consultar Criterios
de Medida de
Riesgo
Configurados
Opción Ver
de cada
criterio de
riesgo
Al dar clic en la opción ver, se
debe ver la información que el
usuario escribió al momento de
crear el criterio de medida de
riesgo, se deben llenar todos los
campos
OK
Actualizar Criterio
de Medida de
Riesgo
Formulario
de
Actualización
Al actualizar un criterio de medida
de riesgo se deben realizar las
validaciones de los campos la
actualización debe ser guardada
en base de datos
OK
Eliminar Criterio Opción Al eliminarse el criterio de medida OK
132
de Medida de
Riesgo
Eliminar de
cada criterio
de Medida de
Riesgo
de riesgo se debe pedir
confirmación al usuario de la
acción, si no está de acuerdo el
criterio no debe eliminarse, si
acepta se debe quitar el criterio de
la lista de criterios configurados
ERRORES
Cuando se selecciona el área de impacto Reputación y
confianza del cliente el texto no se ve completo en el
selector
CORRECCIONES Se ajusta estilo para que se vea completo el nombre del
área de preocupación Fuente: Propia
4.5.4 Prueba Menú Priorizar Áreas de Impacto Tabla 64 Prueba Menú Priorizar Áreas de Impacto
Prueba Menú Priorizar Áreas de Impacto
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento del componente que permite la
priorización de las áreas de impacto
Perfil Administrador
Acción Elemento
de Prueba Resultado Esperado Estado
Priorizar las áreas
de impacto
Drag and
Drop
Cuando el usuario arrastre un área
de impacto, esta debe ubicarse en
donde el usuario le indique, y la
visualización debe ser correcta
OK
Guardar
Priorización de
áreas de impacto
Botón
Guardar
Cuando el usuario de clic en
guardar, en base de datos debe
guardarse el orden dado por el
usuario y este debe pintarse de la
manera en que el usuario lo
organizó una vez se recargue la
página o vaya a otro menú y
regrese
OK
ERRORES En el dispositivo móvil no funcionaba el drag and drop
133
correctamente.
CORRECCIONES Se hace ajuste para la correcta visualización tanto en web
como en móvil. Fuente: Propia
4.5.5 Prueba Menú Contenedores
Tabla 65 Prueba Menú Contenedores
Prueba Menú Contenedores
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Contenedores
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Registrar
Contenedor
Formulario
de Registro
Validación de campos requeridos,
el usuario llena el formulario y
debe registrarse contenedor en
base de datos
OK
Consultar
Contenedor
Opción Ver
de cada
contenedor
Al dar clic en la opción ver, se
debe ver la información que el
usuario escribió al momento de
crear el contenedor, se deben
llenar todos los campos
OK
Actualizar
Contenedor
Formulario
de
Actualización
Al actualizar un contenedor se
deben realizar las validaciones de
los campos la actualización debe
ser guardada en base de datos
OK
Eliminar
Contenedor
Opción
Eliminar de
cada
contenedor
Al eliminarse un contenedor se
debe pedir confirmación al usuario
de la acción, si no está de acuerdo
el contenedor no debe eliminarse,
si acepta se debe quitar el
contenedor de la lista
OK
ERRORES
Cuando se crea un nuevo contenedor, en el formulario de
creación solo se muestra el selector de tipo y al
seleccionarlo se muestran todos los campos, sin embargo
134
luego de abrir un contenedor para editarlo y hacer clic en
crear uno todos los campos se muestran antes de
seleccionar el contenedor
CORRECCIONES
Se agrega validación al momento de cerrar el modal para
que se limpie el modelo y funcione de la misma manera que
en crear Fuente: Propia
4.5.6 Prueba Menú Asociar Activos a Contenedores
Tabla 66 Prueba Menú Asociar Activos a Contenedores
Prueba Menú Asociar Activos a Contenedores
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Asociar Activos a Contenedores
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Listar
contenedores de
acuerdo al tipo
seleccionado
Selectores de
tipo de
contenedor y
contenedor
Al iniciar solamente debe estar
lleno el selector de tipo de
contenedor, cuando seleccione
uno , se debe llenar el otro
selector con los contenedores
del tipo seleccionado
OK
Asociar activos a
contenedor Drag and Drop
Una vez seleccionado el
contenedor, se deben mostrar si
existen, los activos que estén
asociados al contenedor, el
usuario debe poder arrastrar de
la sección de activos a la
sección del contenedor y la
visualización debe ser correcta
OK
Desasociar activos
de contenedor Drag and Drop
El usuario debe poder arrastrar
de la sección del contenedor los
activos que desee desasociar
OK
Guardar Botón Guardar Al dar clic en guardar la OK
135
Asociación asociación de los activos debe
persistirse en base de datos
ERRORES En la lista de activos se muestran los que se encuentran con
estado archivado
CORRECCIONES Se ajusta consulta de base de datos para agregar
condicional de estado archivado en false Fuente: Propia
4.5.7 Prueba Menú Áreas de Preocupación
Tabla 67 Prueba Menú Áreas de Preocupación
Prueba Menú Áreas de Preocupación
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de las secciones que componen el
módulo de Áreas de Preocupación
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Registrar Área de
preocupación
Formulario de
Registro
(wizard)
Validación de campos requeridos,
la funcionalidad del wizard debe
funcionar de manera correcta,
permitiendo al usuario que avance
y retroceda si lo desea, una vez da
clic en Guardar todo se debe
almacenar en base de datos
OK
Consultar Área de
Preocupación
Opción Ver de
cada área de
preocupación
Al dar clic en la opción ver, se
debe ver la información que el
usuario escribió al momento de
crear el área de preocupación, se
deben llenar todos los campos en
el wizard
OK
Actualizar Área de
Preocupación
Formulario de
Actualización
Al actualizar un área de
preocupación se deben realizar las
validaciones de los campos la
actualización debe ser guardada
en base de datos
OK
136
Eliminar Área de
Preocupación
Opción
Eliminar de
cada área de
preocupación
Al eliminarse un área de
preocupación se debe pedir
confirmación al usuario de la
acción, si no está de acuerdo el
área de preocupación no debe
eliminarse, si acepta se debe
quitar el contenedor de la lista
OK
ERRORES
-Al momento de diligenciar una consecuencia el selector de
área de impacto no muestra el nombre completo del área de
impacto
- Cuando se consulta un área de preocupación al momento
de ver las consecuencias no se está mostrando el valor de
impacto ni la descripción ingresada
- Al seleccionar el activo crítico el selector no muestra el
nombre del activo crítico completo
-Al actualizar el área de preocupación el mensaje que
muestra dice que la acción fue Guardar
CORRECCIONES
-Se cambia el estilo del selector para mostrar el nombre
completo
-Se ajusta la asignación de datos durante la consulta para
que se muestre la descripción y el valor del impacto
seleccionado
-Se cambia el estilo del selector del activo crítico para que el
nombre se muestre completo
-Se ajusta mensaje para que la acción se muestre
correctamente Fuente: Propia
4.5.8 Prueba Menú Puntaje de Riesgo Relativo
Tabla 68 Prueba Menú Puntaje de Riesgo Relativo
Prueba Menú Puntaje de Riesgo Relativo
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto
Revisar el funcionamiento de la consulta de puntaje de
riesgo relativo de acuerdo a la información ingresada por el
usuario
Perfil Administrador
Acción Elemento de Resultado Esperado Estado
137
Prueba
Consultar Puntaje
de Riesgo Relativo
Lista de Puntaje
Relativo por
área de
preocupación
El usuario debe visualizar para
cada área de preocupación cual
es el puntaje de riesgo relativo y
la probabilidad subjetiva de
acuerdo a las consecuencias
que agregó durante la
documentación del área de
preocupación
OK
ERRORES
-Cuando no hay áreas de preocupación, no se muestra nada
al dar clic en el menú
- Se guarda cache de la consulta realizada a base de datos
al momento de modificar el área de preocupación no se
actualiza el puntaje ni la probabilidad
CORRECCIONES
-Se añade mensaje indicando que no se han creado áreas
de preocupación
-Se deshabilita opción de guardar cache en la vista de
puntaje de probabilidad de riesgo Fuente: Propia
4.5.9 Prueba Menú Enfoque de Mitigación
Tabla 69 Prueba Menú Enfoque de Mitigación
Prueba Menú Enfoque de Mitigación
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto
Revisar el funcionamiento de la consulta de enfoque de
mitigación de acuerdo al riesgo relativo y probabilidad
subjetiva
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Consultar
Enfoque de
Mitigación
Lista de
Enfoques de
Mitigación
El usuario debe visualizar para
cada área de preocupación cual es
el enfoque de mitigación dado de
acuerdo al puntaje de riesgo
relativo, la probabilidad subjetiva y
la matriz de riesgos
OK
Consulta de Opción Ver El usuario debe poder visualizar si OK
138
Controles controles de
cada uno de
los enfoques
de mitigación
existen, los controles registrados
para la acción sugerida por la
metodología
Crear Control
Formulario de
registro de
control
El usuario puede seleccionar o no
un control sugerido de acuerdo al
anexo A de la norma ISO 27000 o
puede crear un control propio, esta
información debe quedar
registrada en la base de datos
OK
Actualizar
Control
Formulario de
Actualización
Cuando el usuario quiera editar
uno de los controles, se debe
mostrar el formulario con los datos
que el usuario diligenció en el
momento de la creación del
control, todos los campos deben
estar llenos, la actualización debe
ser guardada en la base de datos
OK
Consultar Control
Opción Ver de
cada uno de
los controles
listados
El usuario podrá ver la información
completa del control, podrá
identificar si seleccionó o no un
control predeterminado
OK
Eliminar Control
Opción
Eliminar de
cada uno de
los controles
listados
Al eliminar un control se debe
pedir confirmación al usuario de la
acción, si está de acuerdo el
control debe eliminarse y no
mostrarse más en la lista de
controles
OK
ERRORES
-Cuando no se han creado áreas de preocupación, no se
muestra nada en la pantalla
-Se guarda cache de los datos , entonces cuando se actualiza
un área preocupación no se muestra el enfoque actualizado
- Al guardar un control sin Id de control sugerido sale error en
Backend
CORRECCIONES
Se añade mensaje indicando que no se han creado áreas de
preocupación aún
-Se deshabilita la opción de guardar caché en la vista
- Se ajusta Backend para que guarde con o sin id de control
139
sugerido Fuente: Propia
4.5.10 Prueba Menú Descarga de Reportes
Tabla 70 Prueba Menú Descarga de Reportes
Prueba Menú Descarga de Reportes
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento de la descarga de reportes
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Descargar Reporte
de Criterios de
Medida de Riesgo
PDF generado
Se debe generar el PDF con
la información ingresada en
el sistema, la visualización
debe ser correcta
OK
Descargar reporte
de Perfil de
Activos
PDF generado
Se debe generar el PDF con
la información ingresada en
el sistema, la visualización
debe ser correcta
OK
Descargar reporte
de Documentación
de áreas de
preocupación
PDF generado
Se debe generar el PDF con
la información ingresada en
el sistema, la visualización
debe ser correcta
OK
Descargar reporte
de riesgo relativo y
probabilidad
subjetiva
PDF generado
Se debe generar el PDF con
la información ingresada en
el sistema, la visualización
debe ser correcta
OK
Descargar reporte
de Enfoque de
Mitigación
PDF generado
Se debe generar el PDF con la
información ingresada en el
sistema, la visualización debe
ser correcta
OK
ERRORES
-Cuando el nombre del archivo tiene espacios, este no se
descarga
-Cuando los textos son muy largos no se genera una nueva
página y queda cortado el contenido del PDF
CORRECCIONES -Se ajusta nombre de pdf para que quede sin espacios
- Se realiza ajuste para crear la nueva página y mostrar el
140
contenido completo Fuente: Propia
4.5.11 Prueba Menú Administración de Usuarios
Tabla 71 Prueba Menú Administración de Usuarios
Prueba Menú Administración de Usuarios
Dirigida Por Asistente Estado
Lorena Rojas Sandra Torres Proceso OK
Terminada SI
Concepto Revisar el funcionamiento del proceso de administración de
usuarios
Perfil Administrador
Acción Elemento de
Prueba Resultado Esperado Estado
Crear usuario Formulario de
Creación
El usuario diligencia el formulario
de creación, se realiza validación
de campos, el email debe ser
escrito correctamente, se debe
enviar un correo al usuario con la
contraseña para ingresar, el
usuario debe ser almacenado en
base de datos
OK
Consultar Usuario
Opción Ver de
cada uno de
los usuarios
listados
Se deben visualizar todos los
campos llenos con la información
que el usuario diligenció en el
momento de la creación del
usuario, la contraseña no debe
mostrarse
OK
Editar Usuario Formulario de
Actualización
Validación de campos requeridos,
validación de email escrito
correctamente, se debe tener la
opción de generar nuevamente la
contraseña por el usuario, si se
selecciona está opción se debe
enviar un correo al usuario
indicando cuál es su nueva
contraseña, los datos actualizados
deben ser guardados en base de
datos
OK
141
Eliminar Usuario
Opción
Eliminar de
cada uno de
los usuarios
listados
Se le debe pedir confirmación al
usuario de la acción , si el usuario
acepta se debe eliminar el usuario
y quitarlo de la lista
OK
Actualizar Datos
del usuario
logueado en el
sistema
Ver y
actualizar
información
El usuario puede modificar sus
datos, cambiar su contraseña, si
cambia la contraseña, se debe
enviar un correo notificando el
cambio de contraseña, el usuario
no podrá modificar su perfil
OK
ERRORES No se notifica cuando se intenta crear un usuario con un
correo que ya existe
CORRECCIONES Se agrega notificación cuando el correo ya está registrado en
el sistema Fuente: Propia
142
CONCLUSIONES
Al realizar este trabajo se logró identificar las fortalezas y debilidades que se pueden presentar en una fiduciaria en cuanto a la seguridad de la información, si bien se encontraron fortalezas estas mismas se mejoraron. Durante el análisis se encontraron debilidades, éstas tuvieron un manejo especial con controles y procedimientos que permitieron que los eventos de riesgo se materialicen cada vez menos, hasta llegar al riesgo residual o eliminar el riesgo definitivamente. El análisis de riesgo fue un elemento muy importante, dentro del desarrollo del proyecto, ya que permitió que tanto el analista de riesgo como el ingeniero de infraestructura, realizaran un análisis más extenso, identificando riesgos que no se habían contemplado. La metodología Octave Allegro, permitió identificar las falencias que existían en algunos procesos internos y políticas de la organización, a partir de estas se tomaron decisiones y se implementaron mejoras. La metodología Octave Allegro, fue de gran utilidad, ya que permite enfocarse en los activos de información, contemplando varios escenarios de amenazas y así tener un mayor alcance en la identificación de los riesgos, como los controles que se deben implementar, para evitar que el riesgo se materialice. La implementación de un prototipo en la que se encuentran los ocho pasos de la metodología Octave Allegro, permite que el usuario registre y consulte de manera ordenada la información de los activos, controles, áreas de preocupación entre otras. Al realizar las pruebas se logró identificar algunas falencias que se presentaron en la interfaz grafica y se implementaron mejoras sobre la aplicación tanto móvil como web mejorando la navegación del usuario. Al desarrollar este proyecto se pusieron en práctica los conocimientos que se obtuvieron en las diferentes asignaturas de Ingeniera en Telemática, fortaleciendo y mejorando nuestro desempeño a nivel profesional.
143
RECOMENDACIONES
• Usar el manual de usuario para el manejo correcto de la aplicación.
• Contar con un buen equipo de trabajo con experiencia y amplios conocimientos sobre la gestión de riesgos.
• Usar el manual para la correcta instalación del aplicativo.
• Documentar todos los procesos internos de la compañía.
• Realizar capacitaciones contantes al personal de la compañía con el fin de orientarlos en el uso adecuado de los sistemas de información.
• Realizar comités con la junta directiva para revisar, analizar e implementar mejoras en los procesos internos de la compañía.
• Implementar un plan de continuidad que involucre a toda la compañía.
• El comité debería evaluar periódicamente el de continuidad inicialmente dos veces al años para comprobar su efectividad y después anualmente para actualizar el mismo.
144
REFERENCIAS
● Andrés F. Doria Corcho, 2014, Metodologías De Análisis, Evaluación Y
Gestión De Riesgos Informáticos, 01/03/2017, Recuperado:
http://itriesgosycontrol.blogspot.com.co/2014_03_01_archive.html.
● Banco GNB Sudameris S.A., 2017, servitrust gnbsudameris, Definición de
gestión de fiduciaria 13/08/2016, Recuperado http://www.servitrust.gnbsuda
meris.com.co/academia-fiducia.php
● Cees van W esten, Lección 1: Conceptos de Vulnerabilidad, Riesgo y
Amenaza, International Institute for Geo-Information Science and Earth
Observation 13/08/2016 Recuperado: http://datateca.unad.edu.co /contenid
os/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_amena
za.html.
● Daniela Bravo, 2013, CICLO PHVA, 01/03/2017, recuperado:
http://adpphva.blogspot.com.co/
● Elvira Mifsud 2012 Introducción a la seguridad informática Vulnerabilidades
de un sistema informático, Gobierno de España Ministerio de Educación,
cultura y Deporte 13/08/2016 Recuperado:http://recursostic.
educacion.es/observatorio/web/es/component/content/article/1040-introducc
ion-a-la-seguridad-informatica?start=3
● Expresión Binaria,2014, 8 pasos para hacer una evaluación de riesgos con
OCTAVE Allegro, 01/03/2017, Recuperado: http://www.expresionbinaria.
com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/
● Gestión del riesgo 13/08/16 http://www.eird.org/cd/toolkit08/material/
proteccioni_nfraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_ri
esgo.pdf.
● Jhonn Álvaro Cuesta Hernandez, John Neftali Mojica Morales, (2007).
Estudio Del Riesgo Operacional En El Sector Fiduciario, Un Enfoque Para
Fiduciaria Bogotá S.A. Universidad De La Salle Facultad De Economía
13/08/2016, Recuperado:http://repository.lasalle.edu.co/bitstream/handle/10
185/11740/10011230.pdf?sequence=2
● Juan Manuel Corzo 2012 Román Sistema Nacional de Gestión del Riesgo,
Ministerio del Interior, 13/08/2016 Recuperado: https://www.dimar.mil.co
/sites/default/files/atach/cartilla_sistema_nacional_de_gestion_del_riesgo_0
.pdf.
● Julián Pérez Porto y Ana Gardey, 2008, Concepto de seguridad - Definición,
Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/seguridad/
#ixzz4HYj42nH
145
● Julián Pérez Porto y Ana Gardey, 2015 Concepto de seguridad - Definición,
Significado y Qué es, 13/08/16 Recuperado: http://definicion.de/activo-
financiero/.
● María Fernanda Molina Miranda, (2015) Propuesta de un plan de Gestión
de Riesgos de tecnología aplicado en la escuela superior politécnica del
litoral, Universidad Politécnica de Madrid Escuela Técnica Superior de
Ingenieros de Telecomunicación,13/08/16 Recuperado: http://www.dit.upm
.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Mi
randa_2015 .pdf.
● Maria Esperanza Bulla Pinzón, (2014). Riesgo Operativo En Cartera De
Una Sociedad Fiduciaria, Universidad Militar Nueva Granada 13/08/2016,
Recuperado: http://repository.unimilitar.edu.co/bitstream/10654/12755/1/EN
SAYO%20OPCION%20GRADO%202014%20definitivo.pdf.
● Markus Erb, 2003, Gestión de Riesgo en la Seguridad Informática
13/08/2016 Recuperado:https://protejete.wordpress.com/gdr_principal/ame
naza _vulne rabilidades/
● Marta Mejia, 2014, ISO27001 2013 - Anexo a - En Tabla Excel, 30/06/2017,
Recuperado:https://es.scribd.com/doc/232787821/ISO27001-2013-Anexo-a-
En-Tabla-Excel.
● Maxitana Cevallos, Jennifer Dennise, 2005, Administración de riesgos de
tecnología de información de una empresa del sector informático 1/03/2017,
Recuperado: http://www.dspace.espol.edu.ec/handle/123456789/25283
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/29/8-pasos-evaluacion-de-riesgos-1/
● MIGUEL ÁNGEL MENDOZA, 2014, 8 pasos para hacer una evaluación de
riesgos (parte I), 26/03/2017, Recuperado: https://www.welivesecurity.com
/la-es/2014/09/30/8-pasos-evaluacion-de-riesgos-2/
● Miguel A. Sánchez, 2016, Perfilado de Activos de Información, 01/03/2017
Recuperado: https://technologyincontrol2.wordpress.com/2016/01/14/perfila
do-de-activos-de-información/
● Richard A. Caralli James F. Stevens Lisa R. Young William R. Wilson, 2007,
Introducing OCTAVE Allegro: Improving the Information Security Risk
Assessment Process, 1/03/2017, Recuperado: http://resources.sei.cmu.edu
/asset_files/technicalreport/2007_005_001_14885.pdf.
146
Anexo 1.
Entrevista a la Analista de Riesgo y al Ingeniero de Infraestructura ¿Acción Fiduciaria cuenta con políticas de seguridad de información? ¿Las políticas de la información revisadas, publicadas, y comunicadas al personal? ¿Se realizan revisiones de las políticas y con qué regularidad? ¿Existen procedimientos para la revisión de las políticas de seguridad y con qué regularidad realizan esta actividad? ¿Las actividades de seguridad de la información son coordinadas por alguna persona responsable? ¿Se realiza verificación de antecedentes de los candidatos al empleo? ¿Se firman contratos de confidencialidad? ¿Existen procesos para los cambios de cargo del personal? ¿Manejan algún inventario de todos los activos de información? ¿Acción Fiduciaria cuenta con políticas en cuenta al uso de los equipos? ¿Existen políticas del uso aceptable para cada tipo de información? ¿Existen políticas para el uso de medios extraíbles? ¿Existen controles para asegurar el acceso a páginas que no son utilizadas para las actividades diarias? ¿Acción Fiduciaria cuenta políticas para el control de acceso? ¿Existen políticas para asegurar la eliminación de los accesos de los usuarios que finalizan contrato? ¿Existen políticas para el uso de encriptación? ¿Se han diseñado medidas de protección física para prevenir desastres naturales, ataques maliciosos o accidentes? ¿Tiene sistemas de control de acceso adecuados para las zonas de acceso restringido? ¿Existen procesos para mantener la seguridad de bloquear, limpiar escritorios? ¿Hay un sistema UPS o un generador de respaldo? ¿Están documentados los procedimientos operativos? ¿Están los procedimientos disponibles para todos los usuarios que los necesitan? ¿Se mantienen los registros de eventos apropiados y se revisan periódicamente? ¿Existe un proceso de gestión de la red? ¿Existen procedimientos para la transferencia de datos a todos los empleados? ¿Los empleados, contratistas y agentes firman acuerdos de confidencialidad o no divulgación? ¿Están sujetos a revisión periódica estos acuerdos? ¿Se incluye la seguridad de la información en los contratos establecidos con proveedores y proveedores de servicios? ¿Se controla el acceso de los proveedores a los activos y la infraestructura de la información? ¿Las responsabilidades de gestión están claramente identificadas y documentadas en los procesos de gestión de incidentes?
147
¿Existe un proceso para la información oportuna de los eventos de seguridad de la información? ¿Existe un proceso para revisar y tratar los informes de manera oportuna? ¿Existe un proceso para asegurar que los eventos de seguridad de la información sean debidamente evaluados y clasificados? ¿Está incluida la seguridad de la información en los planes de continuidad de la organización? ¿El enfoque de las organizaciones para gestionar la seguridad de la información está sujeto a una revisión independiente regular?
148
Anexo 2
Perfilamiento de los activos de información
A continuación, se realiza el perfilamiento de la base de datos de AcciónBack
Tabla 72 Perfilamiento del activo Bases de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Bases de datos AcciónBack
Descripción: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la compañía se encuentran alojadas en las base de datos.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura, Administrador de bases de datos.
Contenedores para los activos de información
Hardware: Servidor de bases de datos.
Requerimientos de seguridad
Confidencialidad: Solo con usuario y contraseña proporcionado por el área de sistemas puede realizar modificaciones sobre las bases de datos ya que la información que se encuentra alojada debe ser confiable debido que lo datos de los clientes se en encuentran alojados en las bases de datos y servicios ofrecidos por la compañía se encuentran alojadas en las base de datos.
Integridad: Toda la información que se encuentra en las bases de datos ya sea registrada por las diferentes áreas debe ser verídica y confiable debido a que la información que se aloja es muy sensible.
Disponibilidad: La información que se encuentra alojada en las bases de datos debe estar siempre disponible ya que en ella reposa la información del cliente, pagos, fideicomiso y se debe poder realizar cualquier consulta en cualquier momento por los empleados de la compañía solo aquellos que tiene autorización.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
Las bases de datos deben estar disponibles y accesibles para los usuarios autorizados de la compañía para acceder a las diferentes consultas y actividades diarias realizadas.
Fuente: Propia
A continuación, se realizó el perfilamiento del centro de negocios.
Tabla 73 Perfilamiento del activo Centro de negocios
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: centro de negocios
Descripción: Plataforma de consulta de proyectos inmobiliarios, por fideicomitentes y administradores sobre, unidades encargos, planes de pagos, saldos, cesiones y desistimientos de cada uno de los clientes asociados a un proyecto inmobiliario.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, administradores de negocios.
Contenedores para los activos de información
Hardware: Servidor interno.
Requerimientos de seguridad
Confidencialidad: Solo el personal autorizado puede ingresar al centro de negocios con un usuario y contraseña y código de verificación se puede acceder al centro de negocios, usuarios como administradores de negocios y fideicomitentes.
Integridad: En el centro de negocios los usuarios sea administrador y/o fideicomitente solo realizaran consultas sobre los proyectos inmobiliarios.
Disponibilidad: La disponibilidad del centro de negocios debe ser 24x7 ya que los administradores y/o fideicomitentes deben consultar los recaudos efectuados por los clientes a los proyectos inmobiliarios.
149
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en el centro de negocios debe ser válida y confiable ya que se trata de recaudos realizados por los clientes a la inmobiliaria.
Fuente: Propia
A continuación, se realiza el perfilamiento del sistema Accionback
Tabla 74 Perfilamiento del activo Sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Sistema AcciónBack.
Descripción: Sistema de administración de unidades, encargos y planes de pagos, cesiones y desistimientos de proyectos de inmobiliarios.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar operaciones.
Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas operaciones, solo personal autorizado puede ingresar a realizar consultas.
Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el cual reposa información sensible para los clientes y los fideicomitentes.
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan operaciones de registro de unidades, encargos y planes de pago que son migrados al centro de negocios.
Fuente: Propia
A continuación, se realiza el perfilamiento del digitalizador de documentos
Tabla 75 Perfilamiento del activo sistema del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Sistema de Digitalizador de Documentos.
Descripción: Sistema de administración de digitalizador de documentos en el cual reposa documentos escaneados tales como cedulas de ciudadanía, tarjetas de identidad, pasaportes, cedulas de extranjería, contratos, formularios de vinculación.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, administradores de negocio, digitalizador de documentos, Administrador de aplicaciones.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar la digitalización de documentos.
Integridad: Solo el personal autorizado puede acceder al sistema con permisos de escanear documentos, el resto del personal también autorizado solo puede realizar consultas sobre el sistema.
150
Disponibilidad: Este sistema debe estar disponible ya que en él se encuentra información sensible que puede afectar las actividades diarias debidas que en este sistema reposa información para validación de documentos de clientes.
Valoración:
Confidencialidad: X Integridad: Disponibilidad:
La información que reposa en este sistema no puede ser expuesta a terceros debido a que puede causar problemas para la compañía tanto legales como financieros.
Fuente: Propia
A continuación, se realiza el perfilamiento de documentos
Tabla 76 Perfilamiento del activo Documentos
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Descripción: Son archivos alojados en dispositivos como computadores de escritorio, correos electrónicos, es un contenedor de información que permite gestionar, presentar y organizar datos con un fin determinado.
Fecha de creación: 01/01/2017
Titular del activo: Administrador de aplicaciones, servicio al cliente, administrador de negocios, gerente de tecnología.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones, Los documentos pueden ser almacenados en dispositivos USB, discos duros, carpetas pueden ser impresos en hojas membretadas y alojadas en archivador de la compañía, también pueden ser almacenados en los computadores portátiles y de escritorios de los empleados de la compañía.
Requerimientos de seguridad
Confidencialidad: Toda la información que contienen los documentos no deben ser difundidos ni dentro ni fuera de la compañía, solo podrán acceder a estos documentos el personal autorizado.
Integridad: Toda la información que se encuentra alojada en los documentos no debe perderse ni ser entregados a otras personas que no sean el cliente.
Disponibilidad: Los documentos deben estar disponibles para el cliente cuando se les necesite de forma ágil y sencilla.
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en los documentos debe ser válida y confiable ya que esta información se envía al cliente a través del correo electrónico.
Fuente: Propia
A continuación, se realiza el perfilamiento de Inveracción
Tabla 77 Perfilamiento del activo Sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Sistema Inveracción.
Descripción: Sistema de administración de pagos de carteras y/o fondos de inversión, consulta de movimientos de encargos y de pagos a terceros, administración de apertura de encargos y de retiros de cliente.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, administradores de negocio, Administrador de aplicaciones.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
151
Confidencialidad: Solo personal autorizado puede ingresar a la aplicación con usuario y contraseña asignado por el área de sistema para realizar operaciones.
Integridad: Para realizar operaciones solo el personal autorizado puede realizarlas tales como registrar unidad, registrar encargos, registrar cesiones o desistimientos y/o realizar modificaciones sobre estas operaciones, solo personal autorizado puede ingresar a realizar consultas.
Disponibilidad: Este sistema debe estar disponible siempre ya en esta aplicación Core de la compañía en el cual reposa información sensible para los clientes y los fideicomitentes, pagos, movimientos de encargos y traslado de dineros a diferentes entidades bancarias.
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Dado que la información almacenada en esta aplicación debe ser válida y confiable debido a que se realizan operaciones de traslado de dineros entre fondo y entidades bancarias, consulta de información de movimientos de pagos realizados por los clientes.
Fuente: Propia
A continuación, se realiza el perfilamiento del Directorio Activo
Tabla 78 Perfilamiento del activo Directorio Activo
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Directorio Activo
Descripción: En el directorio activo se almacena información de los usuarios de la compañía tales como, nombres, apellidos, usuarios y contraseñas del personal de la compañía.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, Ingeniero de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones
Requerimientos de seguridad
Confidencialidad: Solo el ingeniero de infraestructura, puede acceder con un usuario y contraseña asignado únicamente por el área de sistemas.
Integridad: Toda la información alojada en el directorio activo debe ser verídica ya que en él se aloja información sensible para la compañía.
Disponibilidad: La información debe estar disponible siempre y cuando sea necesaria para el ingeniero para realizar consultas sobre los usuarios de la compañía.
Valoración
Confidencialidad: Integridad: Disponibilidad: X
La información alojada en el directorio activo debe estar disponible debido que se realizan consultas constantes para el registro, modificación y eliminación de usuarios.
Fuente: Propia
A continuación, se realiza el perfilamiento del servidor de aplicaciones
Tabla 79 Perfilamiento del activo Servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Servidor de aplicaciones
Descripción: Proporciona servicios que soportan la ejecución y disponibilidad de las aplicaciones desplegadas, en el se alojan aplicaciones como AcciónBack, Orfeo, Documentos, Inveracción.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, Ingeniero de infraestructura, administrador de aplicaciones.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de aplicaciones con un usuario y contraseña, asignado por el área de sistemas.
152
Integridad: Todas las aplicaciones alojadas en el servidor deben funcionar de manera correcta, la información alojada en el servidor debe ser verídica ya que estas aplicaciones contienen información muy valiosa.
Disponibilidad: El servidor de aplicaciones debe estar disponible debido a que la información y las aplicaciones alojadas, debe ser consultada por cualquier usuario de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El servidor de aplicaciones debe estar disponible ya que aloja las aplicaciones Core de la compañía, por tanto son consultadas por los usuarios de la compañía.
Fuente: Propia
A continuación, se realiza el perfilamiento del servidor de desarrollo
Tabla 80 Perfilamiento del activo servidor de desarrollo
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Servidor de desarrollo.
Descripción: Proporciona servicios que soportan la ejecución y desarrollo de las aplicaciones a desplegar que permiten el mejoramiento de las actividades del personal de la compañía, buscando mejorar los procesos.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, gerente de proyectos.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de desarrollo con un usuario y contraseña, asignado por el área de sistemas.
Integridad: Todos los desarrollos ejecutados por el área de sistemas deben estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores.
Disponibilidad: El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos implementados por el personal de sistemas.
Valoración
Confidencialidad: Integridad: Disponibilidad: X
El servidor de desarrollo debe estar disponible para la ejecución de los algoritmos implementados por el personal de sistemas.
Fuente: Propia
A continuación, se realiza el perfilamiento de servidor de pruebas
Tabla 81 Perfilamiento del activo servidor de Pruebas
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Servidor de pruebas.
Descripción: Proporciona servicios que soportan la ejecución de las aplicaciones a desplegar que permiten el mejoramiento de las actividades del personal de la compañía, buscando mejorar los procesos realizando actividades de validaciones y pruebas sobre las aplicaciones o prototipos implementados por el área de sistemas.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, gerente de proyectos.
Contenedores para los activos de información
Hardware: Servidor de pruebas.
Requerimientos de seguridad
Confidencialidad: Solo los usuarios autorizados pueden ingresar al servidor de pruebas con un usuario y contraseña, asignado por el área de sistemas.
153
Integridad: Todas las validaciones y pruebas implementadas por los desarrolladores de sistemas deben estar alojados y documentados en el servidor, para el uso exclusivo de los desarrolladores y gerente de proyectos.
Disponibilidad: El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de QA del área de sistemas.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El servidor de pruebas debe estar disponible para la ejecución de las pruebas realizadas por el personal de QA del área de sistemas.
Fuente: Propia
A continuación, se realiza el perfilamiento de control de acceso
Tabla 82 Perfilamiento del activo Control de acceso
Hoja de trabajo Metodología Octave Allegro
Perfil de activos de información
Activo Critico: Control de acceso.
Descripción: Procedimiento que aplica para todos los usuarios de la compañía, se les asigna un usuario y contraseña para acceder a las aplicaciones y solo algunas personas a diferentes áreas de la compañía.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de tecnología, gerente de proyectos.
Contenedores para los activos de información
Hardware: Servidor de aplicaciones.
Requerimientos de seguridad
Confidencialidad: Solo el personal autorizado puede acceder ciertas aplicaciones y áreas de la compañía con un usuario y contraseña asignado por el área de sistemas.
Integridad: Todas las operaciones que se realizan en las aplicaciones debe quedar registrado el usuario quien ejecuta la operación.
Disponibilidad: El control de acceso debe estar disponible solo para los usuarios activos de la compañía, para acceder a las aplicaciones de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El control de acceso debe estar disponible solo para el personal activo, y así acceder a las aplicaciones de la compañía y realizar las actividades diarias.
Fuente: Propia
154
ANEXO 3
Análisis de cada una de las áreas de preocupación en cada uno de los
activos de información
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo AcciónBack.
Tabla 83 Área de preocupación Exposición de los activos de información, acceso no autorizado a los sistemas
informáticos sistema AcciónBack.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar a la aplicación y realizar las operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 84 Exposición de los activos de información, Exposición de los activos de información, acceso no
autorizado a la infraestructura física sistema AcciónBack.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de - AcciónBack solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 85 Exposición de los activos de información, Desconocimiento en el manejo de los sistemas o equipos
informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al Sistema AcciónBack con usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
155
Tabla 86 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 87 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: Personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 88 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 89 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de AcciónBack y los dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia
156
Tabla 90 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el Sistema AcciónBack puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia
Tabla 91 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Sistemas AcciónBack solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial
Fuente: Propia
Tabla 92 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistema AcciónBack
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 93 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Sistemas AcciónBack
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El Sistemas AcciónBack estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
157
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Inveracción
Tabla 94 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar a la aplicación y realizar las operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 95 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de Inveracción solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 96 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados pueden ingresar a Inveracción con usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
Tabla 97 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
158
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 98 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 99 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia
Tabla 100 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Inveracción y los dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia
Tabla 101 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
159
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas, Inveracción puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia
Tabla 102 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Inveracción solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial
Fuente: Propia
Tabla 103 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 104 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Inveracción
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Inveracción estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo centro de
negocios
Tabla 105 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
160
Actor: Personal interno
Medio: Centro de negocios
Motivos: Intereses personales, robo
Resultados: Divulgación Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado puede ingresar al Centro de negocios con un usuario y contraseña asignado por el área de sistemas.
Fuente: Propia
Tabla 106 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de Centro de negocios solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 107 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de Negocios
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Centro de negocios
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación :X Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al centro de negocios con usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
Tabla 108 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: centro de negocios
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción :X
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio.
Fuente: Propia
Tabla 109 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de Negocios
161
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 110 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: centro de negocios
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 111 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de Negocios
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión del centro de negocios y los dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia
Tabla 112 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de Negocios
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el centro de negocios puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia
162
Tabla 113 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Requisito de seguridad: El Centro de negocios solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial
Fuente: Propia
Tabla 114 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción. Interrupción: X
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 115 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Centro de negocios
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El centro de negocios estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Correo
electrónico
Tabla 116 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Correo electrónico
163
Motivos: Intereses personales, robo
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de seguridad:
Solo personal autorizado puede ingresar al correo electrónico con un usuario y contraseña asignado por el área de sistemas
Fuente: Propia
Tabla 117 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
El servidor de correo electrónico solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 118 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al correo electrónico
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados pueden ingresar al correo con usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
Tabla 119 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El correo electrónico deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 120 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Problemas de conectividad en la red interna de la organización
164
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 121 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor *Falla en los dispositivos *Mantenimiento por parte del proveedor
Motivos: *Falta de comunicación
Resultados: Divulgación: Modificación: Destrucción: Interrupción :X
Requisito de seguridad: El sistema no estará disponible mientras se resuelve la interrupción del servicio
Fuente: Propia
Tabla 122 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión del correo electrónico y, dispositivos informáticos que puedan interrumpir el servicio
Fuente: Propia
Tabla 123 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas el correo electrónico puede ser incompatible con las actualizaciones y pueden vulnerar la integridad de la información que se aloja
Fuente: Propia
165
Tabla 124 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El correo electrónico solo puede ser utilizado por el personal autorizado, ya que la información alojada puede ser modificada y enviada al cliente
Fuente: Propia
Tabla 125 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 126 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Correo electrónico
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El correo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Directorio
Activo
Tabla 127 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
166
compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar a la aplicación y realizar las operaciones y modificaciones correspondientes.
Fuente: Propia
Tabla 128 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Directorio Activo solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgado por el área
Fuente: Propia
Tabla 129 Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso al Sistema AcciónBack
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo el administrador de infraestructura puede ingresar a Directorio Activo con usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
Tabla 130 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
167
Tabla 131 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas y el administrador de infraestructura puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 132 Interrupción en el servicio internet Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Para el directorio activo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 133 Falla en los componentes de hardware en los equipos informáticos Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Directorio Activo y los dispositivos hardware y software que puedan interrumpir el servicio
Fuente: Propia
Tabla 134 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas, Directorio Activo puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio
Fuente: Propia
168
Tabla 135 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Requisito de seguridad: Directorio Activo solo puede ser utilizado por el personal autorizado, ya que al información alojada es confidencial
Fuente: Propia
Tabla 136 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El sistema no estará disponible mientras se presentan algún fenómeno natural
Fuente: Propia
Tabla 137 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Directorio Activo
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Directorio Activo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Bases de datos
AcciónBack
Tabla 138 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la
169
compañía
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup de la base de datos de AcciónBack.
Fuente: Propia
Tabla 139 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: La base de datos no estará disponible hasta que no se restablezca el backup de la base de datos de AcciónBack
Fuente: Propia
Tabla 140 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso a la base de datos
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: Destrucción: Interrupción: x
Requisito de seguridad: Solo el área de sistemas puede acceder a la base de datos con un usuario y contraseña otorgado por el área de sistemas
Fuente: Propia
Tabla 141 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
170
Tabla 142 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 143 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: x
Requisito de seguridad: Para el directorio activo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 144 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de las bases de datos y de los componentes, dispositivos informáticos que pueden alterar las bases de datos
Fuente: Propia
Tabla 145 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas las componentes de las base de datos pueden vulnerar la integridad de los activos provocando una paralización temporal de los servicios
Fuente: Propia
171
Tabla 146 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema presentara modificaciones ni alteraciones hasta que se tenga un nuevo administrador de bases de datos
Fuente: Propia
Tabla 147 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, inundaciones, tormentos eléctricas, terremotos
Motivos: Causas naturales
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad: la base de datos de AcciónBack no estarán disponible, mientras estos fenómenos naturales estén presentes
Fuente: Propia
Tabla 148 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Base de datos AcciónBack
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: La base de datos no estará disponible hasta que no se encuentre el fallo o se instale otra base de datos que no presente fallas
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo Plataforma de
recaudo
Tabla 149 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes.
172
Motivos: Intereses personales
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados podrán ingresar a la plataforma de recaudo y realizar los pagos correspondientes.
Fuente: Propia
Tabla 150 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema no estará disponible hasta que no se restablezca el sistema de recaudo
Fuente: Propia
Tabla 151 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: personal interno y externo
Medio: Ingreso a la plataforma de recaudo
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: Destrucción: Interrupción: x
Requisito de seguridad: Solo el área de sistemas puede acceder a la plataforma de recaudo con un usuario y contraseña otorgado por la misma área
Fuente: Propia
Tabla 152 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción x
Requisito de seguridad: Los activos deberán contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 153 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
173
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación.
Fuente: Propia
Tabla 154 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción X
Requisito de seguridad Los activos deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio
Fuente: Propia
Tabla 155 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de los componentes y dispositivos informáticos.
Fuente: Propia
Tabla 156 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios
Fuente: Propia
Tabla 157 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral
174
*Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre reemplazo
Fuente: Propia
Tabla 158 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, inundaciones, tormentos eléctricas, terremotos
Motivos: Causas naturales
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad: La plataforma de recaudo no estarán disponible, mientras estos fenómenos naturales estén presentes
Fuente: Propia
Tabla 159 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Plataforma de recaudo
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El sistema no estará disponible hasta que no se encuentre el fallo o se instale otro software.
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
desarrollo
Tabla 160 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía
Motivos: Intereses personales, robo
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las actividades correspondientes.
Fuente: Propia
Tabla 161 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
175
Activo Critico: Servidor de desarrollo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Servidor de desarrollo solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.
Fuente: Propia
Tabla 162 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Actor: Personal interno y externo
Medio: Ingreso al Sistema AcciónBack.
Motivos: Intereses personales, divulgación información, falta de conocimiento.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo el personal autorizado del área de desarrollo puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia
Tabla 163 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de desarrollo deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio.
Fuente: Propia
Tabla 164 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el administrador de infraestructura y el gerente de sistemas pueden manipular los dispositivos internos de comunicación.
Fuente: Propia
176
Tabla 165 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Interrupción en el servicio internet.
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Para el Servidor de desarrollo deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia
Tabla 166 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo.
Medio: Manipulación en los equipos informáticos.
Motivos: Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de desarrollo y los dispositivos hardware y software que puedan interrumpir el servicio.
Fuente: Propia
Tabla 167 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Desactualización de los sistemas.
Actor: Personal interno y externo.
Medio: El personal no actualiza los parches de seguridad.
Motivos: Falta de actualización de los parches de seguridad.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de desarrollo puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.
Fuente: Propia
Tabla 168 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Alta rotación de Personal.
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía.
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Requisito de seguridad: Servidor de desarrollo solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.
177
Fuente: Propia
Tabla 169 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Desastres naturales.
Actor: Fenómenos naturales.
Medio: Incendios, tormentas, inundaciones, terremotos.
Motivos: Factores climáticos.
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El servidor de desarrollo no estará disponible mientras se presentan algún fenómeno natural.
Fuente: Propia
Tabla 170 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de desarrollo.
Área de preocupación: Falla o defecto de software.
Actor: Personal interno o externo.
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Servidor de desarrollo estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
pruebas
Tabla 171 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno.
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía.
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las actividades correspondientes.
Fuente: Propia
Tabla 172 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno.
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
178
Motivos: Intereses personales.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Servidor de pruebas solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.
Fuente: Propia
Tabla 173 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas.
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Actor: Personal interno y externo.
Medio: Ingreso al Sistema AcciónBack.
Motivos: Intereses personales, divulgación información, falta de conocimiento.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal autorizado del área de pruebas puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia
Tabla 174 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas.
Área de preocupación: Interrupción en el servicio de energía electrónica.
Actor: Agentes externos.
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de pruebas deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 175 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el administrador de infraestructura y el gerente de sistemas pueden manipular los dispositivos internos de comunicación.
Fuente: Propia
Tabla 176 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
179
Resultados: Divulgación: Modificación: Destrucción: Interrupción
Requisito de seguridad: Para el Servidor de pruebas deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia
Tabla 177 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de pruebas y los dispositivos hardware y software que puedan interrumpir el servicio.
Fuente: Propia
Tabla 178 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de pruebas puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.
Fuente: Propia
Tabla 179 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas.
Área de preocupación: Alta rotación de Personal.
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Requisito de seguridad: Servidor de pruebas solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.
Fuente: Propia
Tabla 180 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas.
Área de preocupación: Desastres naturales.
Actor: Fenómenos naturales
Medio: Incendios, tormentas, inundaciones, terremotos
Motivos: Factores climáticos
180
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El servidor de pruebas no estará disponible mientras se presentan algún fenómeno natural.
Fuente: Propia
Tabla 181 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de pruebas.
Área de preocupación: Falla o defecto de software.
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Servidor de pruebas estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.
Fuente: Propia
A continuación, se realiza el análisis en cada una de las áreas de preocupación para el activo servidor de
aplicaciones
Tabla 182 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno.
Medio: Ingreso a la aplicación utilizando credenciales de otros usuarios internos de la compañía.
Motivos: Intereses personales, robo.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá ingresar al servidor de desarrollo y realizar las actividades correspondientes.
Fuente: Propia
Tabla 183 Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Actor: Personal interno.
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: El Servidor de aplicaciones solo puede ser modificado por el área de sistemas con un usuario y contraseña otorgados por el área.
Fuente: Propia
Tabla 184 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
181
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Actor: Personal interno y externo.
Medio: Ingreso al Sistema AcciónBack.
Motivos: Intereses personales, divulgación información, falta de conocimiento.
Resultados: Divulgación: Modificación Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal autorizado del área de aplicaciones puede ingresar al servidor con usuario y contraseña otorgado por el área de sistemas.
Fuente: Propia
Tabla 185 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Interrupción en el servicio de energía electrónica.
Actor: Agentes externos.
Medio: *Descarga eléctrica *Falta de pago al proveedor.
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: El servidor de aplicaciones deberá contar con equipos ups y una planta de energía que supla la necesidad mientras se restablece el servicio
Fuente: Propia
Tabla 186 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Actor: Personal interno y externo.
Medio: Manipulación de los dispositivos de red, falta de capacitación
Motivos: Intereses personales Daño a la organización.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el administrador de infraestructura y el gerente de sistemas pueden manipular los dispositivos internos de comunicación.
Fuente: Propia
Tabla 187 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Interrupción en el servicio internet.
Actor: Agentes externos.
Medio: *Falta de pago al proveedor.
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Para el Servidor de aplicaciones deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet mientras se restablece el servicio.
Fuente: Propia
182
Tabla 188 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.
Actor: Personal interno y externo.
Medio: Manipulación en los equipos informáticos.
Motivos: Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de Servidor de aplicaciones y los dispositivos hardware y software que puedan interrumpir el servicio.
Fuente: Propia
Tabla 189 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Desactualización de los sistemas.
Actor: Personal interno y externo.
Medio: El personal no actualiza los parches de seguridad.
Motivos: Falta de actualización de los parches de seguridad.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas, el Servidor de aplicaciones puede ser incompatible con las actualizaciones y puede presentar fallas en el servicio.
Fuente: Propia
Tabla 190 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Alta rotación de Personal.
Actor: Personal interno.
Medio: Renuncia o despedida por parte de la compañía.
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: x Destrucción: Interrupción:
Requisito de seguridad: Servidor de aplicaciones solo puede ser utilizado por el personal autorizado, ya que a la información alojada es confidencial.
Fuente: Propia
Tabla 191 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Desastres naturales.
Actor: Fenómenos naturales.
Medio: Incendios, tormentas, inundaciones, terremotos.
Motivos: Factores climáticos.
Resultados: Divulgación: Modificación: Destrucción. X Interrupción:
Requisito de seguridad: El servidor de aplicaciones no estará disponible mientras se presentan algún fenómeno natural.
Fuente: Propia
183
Tabla 192 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Servidor de aplicaciones.
Área de preocupación: Falla o defecto de software.
Actor: Personal interno o externo.
Medio: *Incompatibilidad con el sistema operativo. *Eliminación o corrupción de los archivos de instalación. *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Servidor de aplicaciones estará disponible cuando se encuentre la falla o se instale un nuevo software que permita que el servicio funcione correctamente.
Fuente: Propia
Tabla 193 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Correo electrónico.
Motivos: Intereses personales, robo.
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de seguridad:
Solo personal autorizado puede ingresar a la aplicación con un usuario y contraseña asignado por el área de sistemas, realizando consultas e impresión de documentos solo con autorización del jefe inmediato
Fuente: Propia
Tabla 194 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Actor: Personal interno.
Medio: Ingreso a los sistemas de generación de documentos con credenciales de otros usuarios
Motivos: Intereses personales, falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Todos los usuarios deben contar con un usuario y contraseña para generar los documentos en los sistemas de información.
Fuente: Propia
Tabla 195 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos.
Actor: Personal interno.
Medio: Acceso a la aplicación.
Motivos: Intereses personales, desconocimiento de la aplicación.
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo el personal autorizado podrá acceder a la aplicación y realizar operaciones de registro, modificación e impresión de documentos, está
184
prohibida la divulgación de accesos a la aplicación.
Fuente: Propia
Tabla 196 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes)
Área de preocupación: Interrupción en el servicio de energía electrónica.
Actor: Personal interno y externo.
Medio: Descarga eléctrica.
Motivos: Causas Naturales.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Los activos como impresoras, equipos de escritorio, no estarán disponibles hasta que se restablezca el servicio de energía, por lo cual es importante contar con una planta de energía o con dispositivos ups.
Fuente: Propia
Tabla 197 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Actor: Personal interno.
Medio: Manipulación de los dispositivos de red.
Motivos: Intereses personales, falta de conocimiento.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los activos como impresoras no estarán disponibles no estará disponible hasta que no restablezca la conectividad interna.
Fuente: Propia
Tabla 198 Interrupción en el servicio de internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Interrupción en el servicio de internet.
Actor: Personal externo.
Medio: Falta de pago al proveedor.
Motivos: Causas naturales.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Los servicios de correo electrónico no estarán disponibles hasta que se restablezca el servicio con el proveedor y así poder realizar el envió de documentos por correo electrónico.
Fuente: Propia
Tabla 199 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos.
Actor: Personal interno.
Medio: *Manipulación errónea. *Falta de mantenimiento
185
Motivos: * Falta de capacitación * Defecto de fabricación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Los componente de hardware como impresoras, computadores estarán disponibles para la generación e impresión de documentos cuando se encuentre y se resuelva la falla.
Fuente: Propia
Tabla 200 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Desactualización de los sistemas.
Actor: Personal interno y externo.
Medio: Desactualización de los sistemas operativos.
Motivos: Falta de capacitación, parches o actualizaciones erróneas.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Al no realizar las actualizaciones a los diferentes sistemas se puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios, impidiendo la generación de los documentos.
Tabla 201 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes)
Área de preocupación: Alta rotación de Personal.
Actor: Personal interno.
Medio: Impresión de documentos, correo electrónico.
Motivos: Intereses personales.
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de seguridad: Solo personal autorizado deberá enviar correo al cliente los documentos impresos serán sellados y entregados directamente al cliente.
Fuente: Propia
Tabla 202 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes).
Área de preocupación: Desastres naturales.
Actor: Fenómenos naturales
Medio: Incendios, inundaciones, tormentos eléctricas, terremotos
Motivos: Causas naturales.
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad Los documentos no estarán disponibles, mientras estos fenómenos naturales estén presentes.
Fuente: Propia
Tabla 203 Fallo o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Documentos (extractos, estados de cuenta, certificado de aportes)
Área de preocupación: Fallo o defecto de software.
Actor: Personal interno, personal externo.
Medio: Incompatibilidad de los sistemas operativos.
Motivos: Falta de capacitación.
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
186
Requisito de seguridad: Los sistemas de generación de documentos no están disponibles mientras los defectos de software sean solucionados.
Fuente: Propia
Tabla 204 Interrupción en el servicio de energía electrónica
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Interrupción en el servicio de energía electrónica
Actor: Agentes externos
Medio: *Descarga eléctrica *Falta de pago al proveedor
Motivos: *Causas naturales *Sobre carga de energía.
Resultados: Divulgación: Modificación: Destrucción: Interrupción. X
Requisito de seguridad: La compañía deberá contar con equipos ups y una planta de energía que supla la necesidad y permita la continuidad de la operación mientras se restablece el servicio.
Fuente: Propia
Tabla 205 Interrupción en el servicio internet
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Interrupción en el servicio internet
Actor: Agentes externos
Medio: *Falta de pago al proveedor
Motivos: *Causas naturales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Acción Fiduciaria deberán contar con un proveedor de contingencia que pueda suplir la necesidad de internet y al continuidad de la operación mientras se restablece el servicio
Fuente: Propia
Tabla 206 Desconocimiento en el manejo de los sistemas o equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Desconocimiento en el manejo de los sistemas o equipos informáticos
Actor: Personal interno y externo
Medio: Ingreso a la intranet
Motivos: Intereses personales, divulgación información, falta de conocimiento
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: Solo el área de sistemas puede acceder a la intranet y realizar las modificaciones necesarias, con un usuario y contraseña otorgada por la misma área.
Fuente: Propia
Tabla 207 Problemas de conectividad en la red interna de la organización
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Problemas de conectividad en la red interna de la organización
Actor: personal interno y externo
Medio: Manipulación de los dispositivos de red, falta de capacitación,
187
Motivos: Intereses personales Daño a la organización
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el área de sistemas puede manipular los dispositivos internos de comunicación
Fuente: Propia
Tabla 208 Falla en los componentes de hardware en los equipos informáticos
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Falla en los componentes de hardware en los equipos informáticos
Actor: Personal interno y externo
Medio: Manipulación en los equipos informáticos Falta de conocimiento
Motivos: Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: Solo el personal sistemas puede realizar una revisión de los componentes y dispositivos informáticos tales como mantenimientos correctivos y preventivos e instalación de programas.
Fuente: Propia
Tabla 209 Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Desactualización de los sistemas
Actor: Personal interno y externo
Medio: El personal no actualiza los parches de seguridad Instalación de programas no deseables
Motivos: Falta de actualización de los parches de seguridad
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad:
Al no realizar las actualizaciones a los diferentes sistemas ese puede vulnerar la integridad de los activos provocando una paralización temporal de los servicios, solo el área de sistemas puede realizar la actualización de los parches de seguridad en los equipos y las actualizaciones correspondientes
Fuente: Propia
Tabla 210 Desastres naturales
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Desastres naturales
Actor: Fenómenos naturales
Medio: Incendios, inundaciones, tormentos eléctricas, terremotos
Motivos: Causas naturales
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de seguridad: La intranet no estarán disponible, mientras estos fenómenos naturales estén presentes
Fuente: Propia
188
Tabla 211 Alta rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Alta rotación de Personal
Actor: Personal interno
Medio: Renuncia o despedida por parte de la compañía
Motivos: *Ambiente laboral *Crecimiento personal *Interés personal
Resultados: Divulgación: Modificación: X Destrucción: Interrupción:
Requisito de seguridad: la intranet no estará disponible hasta que no se encuentre la persona con conocimiento suficientes para realizar modificaciones en la intranet
Fuente: Propia
Tabla 212 Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura informáticos.
Actor: Personal interno
Medio: Ingreso al datacenter o a las oficinas sin ser autorizado.
Motivos: Intereses personales
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: La intranet no estará disponible hasta que no se restablezca el servicio y se encuentre la falla en el datacenter.
Fuente: Propia
Tabla 213 Falla o defecto de software
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Falla o defecto de software
Actor: Personal interno o externo
Medio: *Incompatibilidad con el sistema operativo *Eliminación o corrupción de los archivos de instalación *Falla del sistema por actualizaciones.
Motivos: *Falta de capacitación
Resultados: Divulgación: Modificación: Destrucción: Interrupción: X
Requisito de seguridad: La intranet no estará disponible hasta que no se encuentre el fallo y se realice el ajuste necesario para continuar con la operación de la compañía
Fuente: Propia
Tabla 214 Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo Critico: Intranet
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Actor: Personal interno
Medio: Ingreso a la plataforma de recaudo, con credenciales de los clientes
Motivos: Intereses personales
Resultados: Divulgación: X Modificación: Destrucción: Interrupción:
Requisito de seguridad: Solo los usuarios autorizados podrán ingresar a la intranet, solo el área de sistemas puede realizar modificaciones en la intranet.
Fuente: Propia
189
Anexo 4
Árbol de amenaza de cada uno de los activos de información
Tabla 215 Árbol de Amenaza Correo Electrónico
Árbol de Amenaza: Activo de Información: Correo Electrónico
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Divulgación
Desconocimiento en el manejo de los sistemas o equipos informáticos Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción
Problemas técnicos.
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas.
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 216 Árbol de Amenaza Directorio Activo
Árbol de Amenaza: Activo de Información: Directorio Activo
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Modificación
Problemas técnicos.
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas.
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 217 Árbol de Amenaza Base de datos AcciónBack
Árbol de Amenaza: Activo de Información: Base de datos AcciónBack
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Interrupción
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción
Problemas técnicos Problemas de conectividad en la red interna de la organización. Interrupción
190
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Interrupción
Desastres Naturales Destrucción
Fuente: Propia
Tabla 218 Árbol de Amenaza Servidor de desarrollo
Árbol de Amenaza: Activo de Información: Servidor de desarrollo
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 219 Árbol de Amenaza Servidor de pruebas
Árbol de Amenaza: Activo de Información: Servidor de pruebas
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Modificación
Problemas técnicos
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 220 Árbol de Amenaza Servidor de Aplicaciones
Árbol de Amenaza: Activo de Información: Servidor de Aplicaciones
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Modificación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
191
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Modificación
Problemas técnicos
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 221 Árbol de Amenaza Documentos
Árbol de Amenaza: Activo de Información: Documentos
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Divulgación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Divulgación
Desastres Naturales Destrucción
Fuente: Propia
Tabla 222 Árbol de Amenaza Intranet
Árbol de Amenaza: Activo de Información: Intranet
Árbol de amenaza Área de preocupación Resultado
Actores Humanos utilizando medios técnicos.
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Divulgación
Desconocimiento en el manejo de los sistemas o equipos informáticos
Modificación
Actores Humanos utilizando medios físicos.
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Interrupción
Problemas técnicos
Problemas de conectividad en la red interna de la organización. Interrupción
Interrupción en el servicio de internet Interrupción
Falla en los componentes de hardware de los equipos Interrupción
Desactualización de los sistemas. Interrupción
Fallo o defecto de Software Interrupción
Otros Problemas
Interrupción en el servicio de energía eléctrica. Interrupción
Alta Rotación de Personal Modificación
Desastres Naturales Destrucción
Fuente: Propia
192
Anexo 5
Consecuencias de los activos de información
Centro Negocios
Tabla 223 Consecuencias del centro de negocios
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos del centro negocios para regresar al estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para instruir al cliente al ingreso a la plataforma
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al centro de negocios hasta no encontrar la interrupción del servicio
Problemas de conectividad en la red interna de la organización: El centro de negocios estará fuera de servicio mientras se restablece el servicio de red interna, los administradores presentaría retrasos en los informes solicitados por el cliente
Interrupción en el servicio de internet: El centro de negocios estará fuera de servicio mientras se restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por los clientes
Falla en los componentes de hardware de los equipos: Los administradores presentarían retrasos en las consultas afectando al área de servicio al cliente
Desactualización de los sistemas: La interfaz del centro de negocios presenta fallas mostrando inconvenientes en las descargas de los reportes o en el acceso al centro de negocios
Fallo o defecto de Software: Los administradores dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado al centro de negocios
Interrupción en el servicio de energía eléctrica: El centro de negocios estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: Los administradores presentan dificultades para ingresar y realizar consultas al centro de negocios
Desastres Naturales: El centro de negocios estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Plataforma de recaudo
Tabla 224 Consecuencias de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de la plataforma de recaudo para regresar al estado anterior a la exposición
Desconocimiento en el manejo de los sistemas informáticos: El personal presenta dificultad para instruir al cliente al ingreso a la plataforma de recaudo
Exposición de los activos de información, acceso no autorizado a la infraestructura física. El área de sistemas no pueden ingresar a la plataforma de recaudo hasta no encontrar la interrupción del servicio
Problemas de conectividad en la red interna de la organización: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de red interna, los administradores y los usuarios autorizados presentaría retrasos en los informes solicitados por el cliente
Interrupción en el servicio de internet: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de red, los administradores pueden presentar retrasos en las consultas solicitadas por los clientes
193
Falla en los componentes de hardware de los equipos: Los administradores y los usurarios autorizados presentarían retrasos en las consultas afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la plataforma presenta fallas mostrando inconvenientes en el pago de los compromisos
Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo
Interrupción en el servicio de energía eléctrica: La plataforma de recaudo estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: Los administradores y los usuarios autorizados presentan dificultades para ingresar y realizar consultas en la plataforma de recaudo
Desastres Naturales: La plataforma de recaudo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Base de datos
Tabla 225 Consecuencias de las bases de datos de AcciónBack
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas en la base de datos presentando retrasos en las operaciones diarias
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de bases de datos de AcciónBack
Problemas de conectividad en la red interna de la organización: La base de datos estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de la fiduciaria
Interrupción en el servicio de internet: La base de datos de AcciónBack estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas afectando a una o más áreas
Desactualización de los sistemas: La interfaz de la base de datos de AcciónBack presenta fallas mostrando inconvenientes en las consultas de la aplicación
Fallo o defecto de Software: Los administradores y los usuarios autorizados dejan de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de recaudo
Interrupción en el servicio de energía eléctrica: La base de datos estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y realizar consultas sobre la base de datos
Desastres Naturales: La base de datos estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Correo electrónico
Tabla 226 Consecuencias del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de AcciónBack para restablecer el servicio
194
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas y envió de correos electrónicos
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de correo electrónico
Problemas de conectividad en la red interna de la organización: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de la fiduciaria
Interrupción en el servicio de internet: El correo electrónico estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de los correo electrónico afectando a una o más áreas
Desactualización de los sistemas: La interfaz del correo electrónico presenta fallas mostrando inconvenientes en las consultas, descargas y envió de archivos por correo.
Fallo o defecto de Software: El persona deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a la plataforma de correo electrónico
Interrupción en el servicio de energía eléctrica: El correo electrónico estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal del área de sistemas presentan dificultades para ingresar y realizar consultas sobre la base de datos
Desastres Naturales: El correo electrónico estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Digitalizador de documentos
Tabla 227 Consecuencias del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos del digitalizador de documentos para restablecer el servicio de la aplicación
Desconocimiento en el manejo de los sistemas informáticos: El personal autorizado puede presentar dificultad con el manejo de aplicación presentando retrasos en las operaciones de la fiduciaria
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor del digitalizador de documentos, presentando retrasos en las operaciones de la fiduciaria
Problemas de conectividad en la red interna de la organización: El personal no podrá ingresar a la aplicación hasta que no se restablezca el servicio de red interno presentando retrasos en las operaciones de la fiducia afectando a una o más áreas
Interrupción en el servicio de internet: El personal no podrá ingresar a la aplicación hasta que no se restablezca el servicio de internet presentando retrasos en las operaciones de la fiducia afectando a una o más áreas
Falla en los componentes de hardware de los equipos: El digitalizador de documentos presenta fallas para establecer comunicación con la impresora, presentando retrasos en las operaciones de la fiduciaria
Desactualización de los sistemas: La interfaz del digitalizador que presenta fallas mostrando inconvenientes para digitalizar los documentos de los clientes
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado al digitalizador
Interrupción en el servicio de energía eléctrica: El digitalizador de documentos estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio
Desastres Naturales: El digitalizador de documentos estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
195
Inveracción
Tabla 228 Consecuencias de Inveracción
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberán ejecutar el backup de la base de datos de Inveracción para restablecer el servicio de la aplicación
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar consultas, de pagos de compromisos, consulta de movimientos y apertura de encargos
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de Inveracción
Problemas de conectividad en la red interna de la organización: Inveracción estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria
Interrupción en el servicio de internet: Inveracción estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en las consultas de movimientos de encargos, aperturas y retiros de los clientes
Desactualización de los sistemas: La interfaz de Inveracción presenta fallas mostrando inconvenientes en las aperturas de los encargos
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor dedicado a Inveracción
Interrupción en el servicio de energía eléctrica: Inveracción estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal : El personal presentara dificultades para registrar las operaciones de los negocios, provocando retrasos en las actividades, afectando una o varias áreas del negocio
Desastres Naturales: Inveracción estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de aplicaciones
Tabla 229 Consecuencias del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de aplicaciones restablecer el servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de la fiduciaria presenta dificultad para realizar la configuración del servidor de aplicaciones
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de aplicaciones
Problemas de conectividad en la red interna de la organización: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de red interna, el personal autorizado presentaría retrasos en las operaciones de los negocios de la fiduciaria
Interrupción en el servicio de internet: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de red, el personal puede presentar retrasos en las operaciones de la fiduciaria
Falla en los componentes de hardware de los equipos: El personal puede presentar retrasos en la operaciones de la fiduciaria debido a que no tienen acceso a las aplicaciones
Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando inconvenientes en el acceso de las aplicaciones
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad en el servidor de aplicaciones
Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio
196
mientras se restablece el servicio de energía
Alta Rotación de Personal: El servidor presentara dificultades para que el personal pueda acceder a las aplicaciones, presentando retrasos en las operaciones de la fiduciaria
Desastres Naturales: El servidor de aplicaciones estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de desarrollo
Tabla 230 Consecuencias del servidor de desarrollo
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de desarrollo para restablecer el servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de desarrollo de la fiduciaria presenta dificultad para realizar la configuración del servidor
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de desarrollo
Problemas de conectividad en la red interna de la organización: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de red interna, el personal desarrollo presentaría retrasos en las implementaciones de los proyectos
Interrupción en el servicio de internet: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de red, el personal de desarrollo puede presentar retrasos en las implementaciones de los proyectos
Falla en los componentes de hardware de los equipos: El personal de desarrollo puede presentar retrasos en las implementaciones de los proyectos debido a las fallas presentadas en los componentes
Desactualización de los sistemas: La interfaz del servidor de desarrollo presenta fallas mostrando inconvenientes en el acceso al servidor
Fallo o defecto de Software: El personal de desarrollo deja de laboral parciamente si falla o existe incompatibilidad en el servidor.
Interrupción en el servicio de energía eléctrica: El servidor de desarrollo estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de desarrollo pueda acceder al servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de entrenamiento al nuevo personal
Desastres Naturales: El servidor de desarrollo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Servidor de pruebas
Tabla 231 Consecuencias del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El personal de sistemas deberá restablecer la configuración del servidor de pruebas para restablecer el servicio
Desconocimiento en el manejo de los sistemas informáticos: El personal de pruebas de la fiduciaria presenta dificultad para realizar la configuración del servidor
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al servidor de pruebas
Problemas de conectividad en la red interna de la organización: El servidor de pruebas estará fuera de servicio mientras se restablece el servicio de red interna, el personal QA presentaría retrasos en las pruebas de las aplicaciones implementadas
197
Interrupción en el servicio de internet: El servidor de pruebas estará fuera de servicio mientras se restablece el servicio de red, el personal de QA puede presentar retrasos en las pruebas de las aplicaciones de los proyectos
Falla en los componentes de hardware de los equipos: El personal de QA puede presentar retrasos en las pruebas de implementación de los proyectos debido a las fallas presentadas en los componentes
Desactualización de los sistemas: La interfaz del servidor de aplicaciones presenta fallas mostrando inconvenientes en el acceso al servidor
Fallo o defecto de Software: El personal de aplicaciones deja de laboral parciamente si falla o existe incompatibilidad en el servidor.
Interrupción en el servicio de energía eléctrica: El servidor de aplicaciones estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El servidor presentara dificultades para que el equipo de QA pueda acceder al servidor, presentando retrasos en el cronograma de actividades debido a la falta de conocimiento y falta de entrenamiento al nuevo personal
Desastres Naturales: El servidor de pruebas estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Directorio Activo
Tabla 232 Consecuencias del directorio activo
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: El digitalizador de documentos estará fuera de servicio mientras se restablece el servicio de energía
Desconocimiento en el manejo de los sistemas informáticos. El ingeniero de infraestructura presenta fallas al momento de realizar consultas sobre usuarios vigentes
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas no pueden ingresar al directorio activo
Problemas de conectividad en la red interna de la organización: El directorio activo estará fuera de servicio mientras se restablece el servicio de red interna
Interrupción en el servicio de internet: El directorio activo estará fuera de servicio mientras se restablece el servicio de red de internet
Falla en los componentes de hardware de los equipos: el directorio dejaría de funcionar mientras se encuentra la falla en los equipos
Desactualización de los sistemas: La interfaz del directorio activo puede presentar fallas debido a que los sistemas se encuentran desactualizados
Fallo o defecto de Software: El personal deja de laboral parciamente si falla o existe incompatibilidad.
Interrupción en el servicio de energía eléctrica: El directorio activo estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El directorio activo puede ser manipulado por personas del área de sistemas que no conocer realmente su funcionamiento
Desastres Naturales: El directorio activo estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Control de acceso
Tabla 233 Consecuencias del control de acceso
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La información sensible de la compañía puede ser expuesta debido a que los usuarios tienen privilegios inadecuados
Desconocimiento en el manejo de los sistemas informáticos: El personal puede ingresar a las aplicación y realizar modificaciones sin darse cuenta del proceso que ejecuta en la aplicación
198
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas debe trabajar largas horas para identificar el problema
Problemas de conectividad en la red interna de la organización: Los usuarios no pueden acceder a las aplicaciones
Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones
Falla en los componentes de hardware de los equipos: El control de acceso puede presentar fallas debido a la configuración de los equipos de hardware
Desactualización de los sistemas: El control de acceso puede presentar incompatibilidad con los sistemas debido a la desactualización de los mismos
Fallo o defecto de Software. El control de acceso puede presentar fallas por defecto o mala instalación es el equipo
Interrupción en el servicio de energía eléctrica: El control de acceso estará fuera de servicio mientras se restablece el servicio de energía
Alta Rotación de Personal: El control de acceso puede presentar fallas de configuración y afectar al personal debido a que el personal encargado no conoce la herramienta
Desastres Naturales: El control de acceso estaría fuera de servicio mientras se presenta el fenómeno natural, retrasando las operaciones de la fiduciaria
Fuente: Propia
Documentos
Tabla 234 Consecuencias de documentos
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos: La información del cliente como extractos, estados de cuenta sensible puede ser expuesta por mal uso de los sistemas
Desconocimiento en el manejo de los sistemas informáticos: La información del cliente puede ser divulgada por el personal al no conocer la herramienta
Exposición de los activos de información, acceso no autorizado a la infraestructura física: El área de sistemas debe trabajar largas horas para identificar el problema
Problemas de conectividad en la red interna de la organización: Los usuarios no pueden generar la documentación requerida por los clientes
Interrupción en el servicio de internet: Los usuarios no pueden ingresar a las aplicaciones para generar los documentos de los clientes
Falla en los componentes de hardware de los equipos: El personal puede presentar problemas para imprimir los documentos o descargar de las aplicaciones las solicitudes realizadas por clientes
Desactualización de los sistemas: El personal puede presentar problemas para visualizar los documentos debido a que el visor de imágenes es incompatible
Fallo o defecto de Software: El personal puede presentar fallas en las aplicaciones que permiten descargar los documentos debido a que el software es incompatible
Interrupción en el servicio de energía eléctrica: El personal no podrá descargar ni imprimir documentación mientras se presenta la falla
Alta Rotación de Personal: El personal puede presentar fallas en las operaciones s de la fiduciaria debido a que el personal no conoce la herramienta
Desastres Naturales: El personal no podrá descargar ni imprimir documentos mientras se presenta el fenómeno natural
Fuente: Propia
199
Anexo 6
Análisis de riesgos de los activos de información
Centro de negocios
Tabla 235 Análisis de riesgo del centro de negocios según la Exposición de los activos de información, acceso
no autorizado a los sistemas informáticos.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 236 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 237 Análisis de riesgo del centro de negocios según Desconocimiento en el manejo de los sistemas
informáticos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso
no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 238 Análisis de riesgo del centro de negocios según Problemas de conectividad en la red interna de la
organización.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
200
Tabla 239 Análisis de riesgo del centro de negocios según Interrupción en el servicio de internet
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 31
Fuente: Propia
Tabla 240 Análisis de riesgo del centro de negocios según Falla en los componentes de hardware de los
equipos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 241 Análisis de riesgo del centro de negocios según Desactualización de los sistemas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 242 Análisis de riesgo del centro de negocios según Fallo o defecto de Software
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 243 Análisis de riesgo del centro de negocios según Interrupción en el servicio de energía eléctrica.
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
201
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 244 Análisis de riesgo del centro de negocios según Alta Rotación de Personal
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 245 Análisis de riesgo del centro de negocios según Desastres Naturales
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 34
Fuente: Propia
Tabla 246 Análisis de riesgo del centro de negocios
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 22
Desconocimiento en el manejo de los sistemas informáticos. Bajo 17
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Medio 26
Problemas de conectividad en la red interna de la organización. Bajo 17
Interrupción en el servicio de internet Medio 31
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 24
Alta Rotación de Personal Bajo 17
Desastres Naturales Medio 34
Fuente: Propia
Plataforma de recaudo
Tabla 247 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
202
sistemas informáticos. Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 248 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 249 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 250 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 251 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 33
Fuente: Propia
Tabla 252 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los Consumidor financiero 5 Medio (2) 10
203
componentes de hardware de los equipos
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 253 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 254 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 255 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 256 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
204
Tabla 257 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 258 Análisis de riesgo de la plataforma de recaudo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 22
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Bajo 22
Problemas de conectividad en la red interna de la organización. Bajo 17
Interrupción en el servicio de internet Medio 33
Falla en los componentes de hardware de los equipos Bajo 22
Desactualización de los sistemas Bajo 22
Fallo o defecto de Software Bajo 22
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 37
Fuente: Propia
Base de datos AcciónBack
Tabla 259 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 260 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
205
Tabla 261 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Alto(3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
Tabla 262 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 263 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 264 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 265 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
206
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
Tabla 266 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 267 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 268 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 269 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 270 Análisis de riesgo de la Base de datos AcciónBack
Hoja de trabajo Metodología Octave Allegro
207
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Medio 22
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Medio 27
Problemas de conectividad en la red interna de la organización. Medio 29
Interrupción en el servicio de internet Medio 29
Falla en los componentes de hardware de los equipos Bajo 22
Desactualización de los sistemas Bajo 27
Fallo o defecto de Software Bajo 22
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 15
Desastres Naturales Alto 37
Fuente: Propia
Correo electrónico
Tabla 271 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 272 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 273 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo(1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 274 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de Consumidor financiero 5 Bajo (1) 5
208
conectividad en la red interna de la organización.
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 275 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 276 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 277 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 278 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 279 Análisis de riesgo del correo electrónico
209
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 32
Fuente: Propia
Tabla 280 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 281 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 282 Análisis de riesgo del correo electrónico
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 17
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Bajo 19
Problemas de conectividad en la red interna de la organización. Bajo 19
Interrupción en el servicio de internet Medio 24
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Bajo 22
Interrupción en el servicio de energía eléctrica. Medio 32
Alta Rotación de Personal Bajo 15
Desastres Naturales Alto 37
Fuente: Propia
AcciónBack
Tabla 283 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
210
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 284 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 285 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio(2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 286 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 287 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 288 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
211
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 289 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 290 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 291 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 292 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 293 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
212
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 294 Análisis de riesgo del sistema AcciónBack
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 22
Desconocimiento en el manejo de los sistemas informáticos. Bajo 17
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 24
Problemas de conectividad en la red interna de la organización. Bajo 19
Interrupción en el servicio de internet Medio 24
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 15
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 37
Fuente: Propia
Inveracción
Tabla 295 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 296 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 297 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos Consumidor financiero 5 Bajo(1) 5
213
de información, acceso no autorizado a la infraestructura física.
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 298 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 299 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 300 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 301 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
214
Tabla 302 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 303 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 304 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Tabla 305 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 306 Análisis de riesgo del sistema Inveracción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 17
Desconocimiento en el manejo de los sistemas informáticos. Bajo 17
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 19
Problemas de conectividad en la red interna de la organización. Bajo 19
Interrupción en el servicio de internet Medio 24
Falla en los componentes de hardware de los equipos Bajo 15
Desactualización de los sistemas Bajo 15
215
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 15
Desastres Naturales Alto 37
Fuente: Propia
Servidor de aplicaciones
Tabla 307 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 308 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 309 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 310 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
216
Tabla 311 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 312 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 313 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 314 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 315 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
217
Tabla 316 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 317 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Medio(2) 2
Total: 37
Fuente: Propia
Tabla 318 Análisis de riesgo del servidor de aplicaciones
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Medio 24
Desconocimiento en el manejo de los sistemas informáticos. Medio 24
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 24
Problemas de conectividad en la red interna de la organización. Medio 24
Interrupción en el servicio de internet Bajo 22
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 15
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 29
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 37
Fuente: Propia
Servidor de pruebas
Tabla 319 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
218
Tabla 320 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 321 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 322 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 323 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 324 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
219
Tabla 325 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 326 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 327 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 328 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 329 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
220
Tabla 330 Análisis de riesgo del servidor de pruebas
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 15
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 17
Problemas de conectividad en la red interna de la organización. Bajo 15
Interrupción en el servicio de internet Bajo 17
Falla en los componentes de hardware de los equipos Bajo 15
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Bajo 17
Alta Rotación de Personal Bajo 17
Desastres Naturales Bajo 15
Fuente: Propia
Servidor de Producción
Tabla 331 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 9
Seguridad /Salud 1 Bajo (1) 1
Total: 32
Fuente: Propia
Tabla 332 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 333 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
221
Tabla 334 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Alto(3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 335 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Alto(3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 336 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 337 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 338 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
222
Tabla 339 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
Tabla 340 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 341 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 38
Fuente: Propia
Tabla 342 Análisis de riesgo del servidor de producción
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Alto 32
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Medio 22
Problemas de conectividad en la red interna de la organización. Alto 29
Interrupción en el servicio de internet Alto 29
Falla en los componentes de hardware de los equipos Medio 22
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Medio 22
Interrupción en el servicio de energía eléctrica. Medio 27
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 38
Fuente: Propia
223
Directorio Activo
Tabla 343 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 344 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 345 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 346 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 347 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Alto(3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
224
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
Tabla 348 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 349 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 350 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 351 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Alto (3) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 29
Fuente: Propia
225
Tabla 352 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 353 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 38
Fuente: Propia
Tabla 354 Análisis de riesgo del directorio activo
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 17
Desconocimiento en el manejo de los sistemas informáticos. Bajo 17
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Medio 22
Problemas de conectividad en la red interna de la organización. Medio 24
Interrupción en el servicio de internet Alto 29
Falla en los componentes de hardware de los equipos Medio 22
Desactualización de los sistemas Medio 22
Fallo o defecto de Software Medio 22
Interrupción en el servicio de energía eléctrica. Alto 29
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 38
Fuente: Propia
Digitalizador de Documentos
Tabla 355 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
226
Tabla 356 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 357 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 358 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 359 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto(3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 360 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
227
Tabla 361 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 362 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 363 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 364 Análisis de riesgo de los documentos Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 365 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 38
Fuente: Propia
228
Tabla 366 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Medio 22
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 22
Problemas de conectividad en la red interna de la organización. Medio 24
Interrupción en el servicio de internet Medio 24
Falla en los componentes de hardware de los equipos Bajo 15
Desactualización de los sistemas Medio 22
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 24
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 38
Fuente: Propia
Documentos
Tabla 367 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 368 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
Tabla 369 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Bajo (1) 2
Seguridad /Salud 1 Bajo (1) 1
Total: 15
Fuente: Propia
229
Tabla 370 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 371 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 372 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 373 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 374 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
230
Tabla 375 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 24
Fuente: Propia
Tabla 376 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 377 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Alto (3) 15
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 38
Fuente: Propia
Tabla 378 Análisis de riesgo de los documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 15
Desconocimiento en el manejo de los sistemas informáticos. Bajo 15
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 15
Problemas de conectividad en la red interna de la organización. Medio 22
Interrupción en el servicio de internet Medio 22
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Medio 22
Fallo o defecto de Software Bajo 17
Interrupción en el servicio de energía eléctrica. Medio 24
Alta Rotación de Personal Medio 22
Desastres Naturales Alto 38
Fuente: Propia
231
Digitalizador
Tabla 379 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 380 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 381 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 382 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 383 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de internet
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
232
Tabla 384 Análisis de riesgo del digitalizador de documentos Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 385 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 386 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 387 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 388 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
233
Tabla 389 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Medio (2) 10
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 33
Fuente: Propia
Tabla 390 Análisis de riesgo del digitalizador de documentos
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 17
Desconocimiento en el manejo de los sistemas informáticos. Medio 22
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Bajo 17
Problemas de conectividad en la red interna de la organización. Medio 22
Interrupción en el servicio de internet Medio 22
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Medio 22
Interrupción en el servicio de energía eléctrica. Bajo 19
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 33
Fuente: Propia
Control de acceso
Tabla 391 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 392 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desconocimiento en el manejo de los sistemas informáticos.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
234
Tabla 393 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Consumidor financiero 5 Medio (2) 15
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 27
Fuente: Propia
Tabla 394 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Problemas de conectividad en la red interna de la organización.
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
Tabla 395 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Falla en los componentes de hardware de los equipos
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 396 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desactualización de los sistemas
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 397 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Fallo o defecto de Software
Consumidor financiero 5 Medio (2) 10
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 22
Fuente: Propia
235
Tabla 398 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Interrupción en el servicio de energía eléctrica.
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Bajo (1) 1
Total: 19
Fuente: Propia
Tabla 399 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Alta Rotación de Personal
Consumidor financiero 5 Bajo (1) 5
Reputación 4 Bajo (1) 4
Legal 3 Bajo (1) 3
Productividad 2 Medio (2) 4
Seguridad /Salud 1 Bajo (1) 1
Total: 17
Fuente: Propia
Tabla 400 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Área de impacto Ranking Valor del impacto Score
Desastres Naturales
Consumidor financiero 5 Medio (2) 10
Reputación 4 Medio (2) 8
Legal 3 Medio (2) 6
Productividad 2 Alto (3) 6
Seguridad /Salud 1 Alto (3) 3
Total: 33
Fuente: Propia
Tabla 401 Análisis de riesgo del control de acceso
Hoja de trabajo Metodología Octave Allegro
Área de preocupación Impacto Puntaje
Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Bajo 17
Desconocimiento en el manejo de los sistemas informáticos. Bajo 17
Exposición de los activos de información, acceso no autorizado a la infraestructura física. Medio 27
Problemas de conectividad en la red interna de la organización. Medio 22
Interrupción en el servicio de internet Medio 22
Falla en los componentes de hardware de los equipos Bajo 17
Desactualización de los sistemas Bajo 17
Fallo o defecto de Software Medio 22
Interrupción en el servicio de energía eléctrica. Bajo 19
Alta Rotación de Personal Bajo 17
Desastres Naturales Alto 33
Fuente: Propia
236
Anexo 7
Mitigación de riesgos de los activos de información
Tabla 402 Mitigación de riesgos Bases de datos
Nombre del activo: Base de datos
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Transferir o Aceptar
Control: • Solo el gerente de tecnología y el administrador de bases de datos pueden realizar alguna modificación,
eliminación o alteración sobre la base de datos. • Solo se puede ingresar a la base de datos con un usuario y contraseña. • Se debe cambiar la clave de las aplicaciones cada 30 a 45 días. • La contraseña de acceso a la base de datos debe contener letras mayúsculas, minúsculas, números y
caracteres especiales.
• registrar en un log y/o bitácora los cambios realizados sobre la base de datos. • Realizar un backup diario de la base de datos. Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el personal autorizado puede realizar modificaciones sobre la base de datos. • Realizar un manual o instructivo de procesos para los cambios realizados en la base de datos. • Registrar todos los cambios realizados sobre la base de datos. • Capacitar al personal constantemente en actualizaciones de bases de datos
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 27
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el gerente de tecnología y el administrador de bases de datos pueden acceder al data center donde se
encuentra alojado el servidor de bases de datos. • Registrar en una bitácora o log los cambios y/o ajustes realizados sobre el servidor. • Registrar en una bitácora la fecha, hora y usuario que accede al data center. Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Transferir o Aceptar
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza.
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 27
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
237
Control: • Instalar actualizaciones en los equipos y servidor de base de datos. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los equipos y en el servidor de base de datos. • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de las bases de datos • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de las bases de datos. • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 4
Acción: Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 37
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Adecuar un servidor dedicado que permita tener copias de seguridad de la base de datos en otra ciudad,
asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización. • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
Tabla 403 Mitigación de riesgos correo electrónico
Nombre del activo: Correo electrónico
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • El usuario y contraseña es personal e intransferibles no se debe compartir por ningún motivo ni medio. • La contraseña debe ser cambiada cada 30 a 45 días. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 4
Acción: Aceptar
Control: • Capacitar al personal virtual y presencialmente en el uso del correo electrónico. • Implementar un manual de usuario para el uso adecuado del correo electrónico.
238
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el correo
electrónico. • Todas las modificaciones realizadas en el correo electrónico deben quedar registradas en una bitácora. • Para acceder al datacenter se ingresar con la clave y huella. • Registrar en una bitácora la fecha y hora de ingreso al datacenter.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre la red interna de la compañía. • Registrar todos los eventos de interrupción o modificación de la red interna.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía.
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Implementar un manual que indique el uso adecuado de los equipos. • Realizar mantenimiento preventivo y correctivo para cada uno de los equipos. • Instalar el sistema operativo adecuado para cada uno de los equipos. • Instalar en los equipos antivirus para la prevención de ataques e intrusos.
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar actualizaciones en los equipos y en el servidor de correo electrónico. • Desinstalar programas que no sean de uso exclusivo de la empresa. • Las actualizaciones deben ser compatibles con los sistemas operativos • Instalar parches de seguridad.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los equipos en los que se instalara el correo electrónico. • Desinstalar los programas que nos sean de uso exclusivo de la empresa. • Adquirir software licenciado. • Instalar el sistema operativo indicado para la correcta operación del correo electrónico. • Instalar de manera correcta el correo electrónico en los equipos de la compañía. • Instalar todas las actualizaciones correspondientes al correo electrónico.
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 32
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las
operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
239
• Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 37
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Adecuar un servidor dedicado que permita tener copias de seguridad de los correos electrónicos de todos los
usuarios de la compañía en otra ciudad, asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización. • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
Tabla 404 Mitigación de riesgos centro de negocios
Nombre del activo: Centro de Negocios
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
• Solo los administradores de negocios pueden ingresar al centro de negocios con un usuario y contraseña
• La contraseña debe ser de uso personal e intransferible, la contraseña debe ser cambiada cada 10 a 45 días.
• La contraseña debe tener una longitud mínima de 8 caracteres, debe contener letras mayúsculas, minúsculas, caracteres especiales y números.
• Todas las operaciones realizadas en el centro de negocios debe quedar registradas con el usuario.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Se debe realizar manuales sobre el uso adecuado del centro de negocios
• Se debe realizar capacitaciones virtuales y presenciales sobre el centro de negocios.
• Realizar pruebas piloto en cada una de las primas para conocer el correcto funcionamiento
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 26
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
• Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor del centro de negocios para realizar modificaciones
• Solo el gerente de tecnología y el gerente de infraestructura p acceder so data center con un usuario y contraseña asignados por el área de sistemas
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red
• Se debe registrar en una bitácora todas las modificaciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 31
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
240
Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos en los que se usará el centro de negocios en los equipos de la compañía
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Instalar actualizaciones en los equipos y en el servil
• Desinstalar programas que no sean de uso exclusivo de la empresa.
• Las actualizaciones deben ser compatibles con los sistemas operativos
• Instalar parches de seguridad.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Instalar antivirus en cada uno de los equipos en los que se usara el centro de negocios en la compañía
• Desinstalar los programas que nos sean de uso exclusivo de la empresa.
• Adquirir software licenciado.
• Instalar el sistema operativo indicado para la correcta operación del centro de negocios.
• Instalar todas las actualizaciones correspondientes que permitan la correcta operación del centro de negocios
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
• Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 34
Probabilidad subjetiva:
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Adecuar un servidor dedicado que permita tener copias de seguridad del centro de negocios en otra ciudad,
asegurando la continuidad de la operación. • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización. • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial.
Fuente: Propia
241
Tabla 405 Mitigación de riesgos Accionback
Nombre del activo: Accionback
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación. • Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales. • El usuario y contraseña debe personal e intransferible. • El usuario es responsable de las operaciones o movimientos realizados en la aplicación.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva:
Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la
aplicación. • Todas las modificaciones realizadas en Acciónback deben quedar registradas en una bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y modificación de los
dispositivos de red. • Registrar todas las modificaciones realizadas
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Realizar mantenimientos preventivos de los equipos. • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la tomas de corriente
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
242
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los equipos y en el servidor de AcciónBack • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de Accionback • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de Accionback • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 31
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
Tabla 406 Mitigación de riesgos documentos
Nombre del activo: Documentos
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el personal autorizado puede generar documentos. • Los usuarios pueden acceder a generar documentos con un usuario y contraseña asignados por el área de
sistemas. • El usuario y contraseña son de uso exclusivo del usuario no se debe difundir a ningún compañero de la
compañía. • La contraseña debe ser cambiada cada 30 a 45 días • La contraseña de acceso a las aplicaciones deben contener letras mayúsculas, minúsculas, números y
caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 4
Acción: Aceptar
Control: • Capacitar al personal constantemente de manera virtual y presencial en la generación de documentos para
los clientes.
243
• Realizar un instructivo que permita al personal guiarlo en cada paso del uso de la herramienta para generar documentos.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Solo el ingeniero de infraestructura y el gerente de tecnología pueden acceder al servidor con un usuario y contraseña Solo con el usuario y contraseña pueden acceder al datacenter y realizar modificaciones sobre el servidor.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red.
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo:24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal para el uso adecuado de los equipos de cómputo e impresoras • Realizar mantenimientos preventivos tanto a los equipos como a las impresoras • Adquirir repuestos compatible con los equipos e impresoras con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo:22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Instalar las actualizaciones en los equipos e impresoras • Desinstalar los programas que no sean de uso operativo de la compañía para generar documentos. • Adquirir software licenciado
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los equipos • Desinstalar los programas que no sean necesarios para la operatividad de la compañía • Instalar el sistema operativo adecuado que permita la funcionalidad correcta para la generación de
documentos • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso
244
• Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 39
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
Tabla 407 Mitigación de riesgos digitalizador de documentos
Nombre del activo: Digitalizador de documentos
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación. • Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales. • El usuario y contraseña debe personal e intransferible. • El usuario es responsable de las operaciones o movimientos realizados en la aplicación.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la
aplicación. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo:22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
• Control: Solo el ingeniero de infraestructura puede realizar modificaciones sobre la configuración y modificación de los dispositivos de red.
Registrar todas las modificaciones realizadas
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
245
Control: • Instalar antivirus en cada uno de los equipos y los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la intranet • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la intranet • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar actualizaciones en los equipos • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Instalar antivirus en cada uno de los equipos • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del digitalizador de
documentos • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del digitalizador de documentos • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo:19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo:33
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de accionback en otra ciudad,
asegurando la continuidad de la operación.
Fuente: Propia
Tabla 408 Mitigación de riesgos Inveracción
Nombre del activo: Inveracción
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo los usuarios que pertenecen a la compañía pueden ingresar a la aplicación.
246
• Los usuarios deben ingresar la aplicación con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales. • El usuario y contraseña debe personal e intransferible. • El usuario es responsable de las operaciones o movimientos realizados en la aplicación.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre la
aplicación. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 19
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo:15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los equipos de la compañía. • Desinstalar los programas que no sean necesarios para la correcta funcionalidad de la aplicación. • Instalar el sistema operativo adecuado que permita la funcionalidad correcta de la aplicación • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo:29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
247
Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo:15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 37
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad de la aplicación de Inveracción en
otra ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 409 Mitigación de riesgos directorio activo
Nombre del activo: Directorio Activo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Solo el ingeniero de infraestructura y el gerente de tecnología pueden ingresar al directorio activo
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para la manipulación adecuada del directorio activo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el directorio
activo. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
248
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Capacitar al personal para el uso adecuado de los equipos. • Realizar mantenimientos preventivos de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Instalar antivirus en cada uno de los equipos de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del directorio activo • Instalar el sistema operativo adecuado • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo:29
Probabilidad subjetiva:
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo:38
Probabilidad subjetiva: Alto
Categoría: Grupo 3
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 410 Mitigación de riesgos servidor de desarrollo
Nombre del activo: Servidor de Desarrollo
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
249
Puntaje de riesgo relativo:24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor. • Registrar todas las modificaciones realizadas en el servidor. • Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 24
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo:22
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma corriente • El servidor debe de trabajar en un ambiente con Aire Acondicionado • ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo:15
Probabilidad subjetiva: Bajo
Categoría: Grupo 4
Acción: Aceptar
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor
250
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor • Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 37
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 411 Mitigación de riesgos servidor de aplicaciones
Nombre del activo: Servidor de Producción
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo:32
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor. • Registrar todas las modificaciones realizadas en el servidor. • Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Capacitar al personal de manera virtual y presencialmente en la aplicación. • Implementar un manual de usuario para el uso adecuado de la aplicación.
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
251
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo:29
Probabilidad subjetiva: Alto
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 29
Probabilidad subjetiva: Alto
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control:
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: 22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • El servidor debe de trabajar en un ambiente con Aire Acondicionado • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma corriente • Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo:22
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo: 27
Probabilidad subjetiva: Medio
Categoría: Grupo 2
Acción: Mitigar o Transferir
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad
subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 38
Probabilidad subjetiva: Alto
Categoría: Grupo 1
Acción: Mitigar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
252
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
Tabla 412 Mitigación de riesgos servidor de pruebas
Nombre del activo: Servidor de pruebas
Área de preocupación: Exposición de los activos de información, acceso no autorizado a los sistemas informáticos.
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura puede realizar configuraciones sobre el servidor. • Registrar todas las modificaciones realizadas en el servidor. • Se ingresa al servidor con usuario y contraseña asignada por el área de Sistemas. • La contraseña debe tener una longitud de mínimo 8 caracteres, entre los cuales debe contener letras
mayúsculas minúsculas, números y caracteres especiales.
Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.
Puntaje de riesgo relativo:15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control:
Área de preocupación: Exposición de los activos de información, acceso no autorizado a la infraestructura física.
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura, y gerente de tecnología pueden realizar modificaciones sobre el servidor. • Todas las modificaciones realizadas en el digitalizador de documentos deben quedar registradas en una
bitácora. • Para acceder al datacenter se debe ingresar con la clave y huella.
Área de preocupación: Problemas de conectividad en la red interna de la organización.
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Solo el ingeniero de infraestructura puede realizar modificaciones sobre los dispositivos de red interna. • Registrar en una bitácora las configuraciones realizadas sobre los dispositivos de red
Área de preocupación: Interrupción en el servicio de internet
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos
Puntaje de riesgo relativo: Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Capacitar al personal para el uso adecuado de los servidores • Realizar mantenimientos preventivos a los servidores • Verificar la ventilación de los equipos. • Adquirir repuestos compatibles con los equipos y con proveedores de confianza • Verificar el voltaje de la toma de corriente • El servidor debe de trabajar en un ambiente con Aire Acondicionado • Ubicar los servidores lejos de materiales de alta tensión y líquidos flamables
Área de preocupación: Desactualización de los sistemas
Puntaje de riesgo relativo:15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
253
Control: • Instalar actualizaciones en los equipos y servidores de la compañía. • Se deben desinstalar los programas que no sean de uso corporativo. • Se debe adquirir software licenciado.
Área de preocupación: Fallo o defecto de Software
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Instalar antivirus en cada uno de los servidores de la compañía • Desinstalar los programas que no sean necesarios para la correcta funcionalidad del servidor • Instalar el sistema operativo adecuado que permita la funcionalidad correcta del servidor Instalar las actualizaciones y parches de seguridad
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Puntaje de riesgo relativo:17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la compañía.
Área de preocupación: Alta Rotación de Personal
Puntaje de riesgo relativo: 17
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Reconocimiento profesional • Mejorar las condiciones de trabajo • Brindar mejoras de ascenso • Bonificaciones por cumplimiento de metas. • Mejorar ambiente laboral • Capacitar constantemente al personal
Área de preocupación: Desastres Naturales
Puntaje de riesgo relativo: 15
Probabilidad subjetiva: Bajo
Categoría: Grupo 3
Acción: Transferir o Aceptar
Control: • Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como extinguidores,
señalización • Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una distancia
prudencial • Adecuar un servidor dedicado que permita tener las copias de seguridad del directorio activo de datos en otra
ciudad, asegurando la continuidad de la operación
Fuente: Propia
254
Anexo 8
Documentación de los casos de uso
Tabla 413 Documentación caso de uso Crear Criterio de Medida de Riesgo
Caso de uso No. 5 Nombre: Crear Criterio de Medida de Riesgo
Actores: Administrador
Objetivo: Configurar el criterio de medida de riesgo para una de las áreas de impacto
Descripción: Se configura cual es la medida de riesgo en bajo, moderado y alto para un área de impacto
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar criterios de
medida de riesgo
3.Hacer clic en el botón Agregar Medida de Riesgo
5.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del mensaje Criterio
de Medida de Riesgo registrado correctamente
Acciones del Sistema
2.Desplegar los criterios de medida de riesgo configurados
4. Mostrar el formulario con los campos necesarios para
crear la Medida de Riesgo
6.Retornar mensaje Criterio de Medida de Riesgo
Registrado Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
creados, incluyendo el nuevo
Manejo de situaciones Excepcionales
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 414 Documentación de caso de uso consulta de criterios de Medida de Riesgo
Caso de uso No. 6 Nombre: Consultar Criterios de Medida de Riesgo
Actores: Administrador, Consulta
Objetivo: Ver la lista de Criterios de Medida de riesgo configurados
Descripción: Ver la lista organizada por orden de configuración de los criterios de medida de riesgo
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios registrados en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar criterios de
medida de riesgo
Acciones del Sistema
2.Desplegar los criterios de medida de riesgo
configurados, con la opción de ver y eliminar en cada
uno de los criterios listados
Manejo de situaciones Excepcionales
Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
255
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 415 Documentación de caso de uso Actualización de Criterios de Medida de Riesgo
Caso de uso No. 7 Nombre: Actualizar Criterio de Medida de Riesgo
Actores: Administrador
Objetivo: Actualizar un criterio de Medida de Riesgo Creado
Descripción: Se permite al usuario cambiar la descripción para los niveles, bajo, moderado y alto de cada
una de las áreas de preocupación
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar criterios de
medida de riesgo
3.Hacer clic en el icono Ver del criterio de medida
de riesgo
5.Dar clic en el botón Actualizar
7.Dar clic en el botón aceptar del mensaje Criterio
de Medida de Riesgo actualizado correctamente
Acciones del Sistema
2.Desplegar los criterios de medida de riesgo
configurados
4. Mostrar el formulario de creación con los campos
diligenciados con la información del criterio de medida
de riesgo
6.Retornar mensaje Criterio de Medida de Riesgo
Actualizado Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
creados y la actualización realizada
Manejo de situaciones Excepcionales
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 416 Documentación de Caso de uso Eliminar criterio de Medida de Riesgo
Caso de uso No. 8 Nombre: Eliminar Criterios de Medida de Riesgo
Actores: Administrador
Objetivo: Eliminar un criterio de Medida de Riesgo Creado
Descripción: Se permite al usuario eliminar la configuración de medida de riesgo para un área de
preocupación
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar criterios de
medida de riesgo
Acciones del Sistema
2.Desplegar los criterios de medida de riesgo
configurados
256
3.Hacer clic en el icono Eliminar del criterio de
medida de riesgo
5.Dar clic en el botón Aceptar del mensaje de
confirmación
7.Dar clic en el botón aceptar del mensaje Criterio
de Medida de Riesgo Eliminado correctamente
4.Se debe mostrar un cuadro de confirmación,
preguntándole al usuario si está seguro de eliminar el
criterio de medida de riesgo
6.Retornar mensaje Criterio de Medida de Riesgo
Eliminado Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los criterios de medida
de riesgo excepto el eliminado
Manejo de situaciones Excepcionales
-Si no existen activos criterios de riesgo configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y ver listados
los criterios de medida de riesgo
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 417 Documentación de caso de uso Consultar Priorización de áreas de Impacto
Caso de uso No. 9 Nombre: Consultar Priorización áreas de impacto
Actores: Administrador, Consulta
Objetivo: Ver la priorización de las áreas de impacto
Descripción: El usuario visualiza las áreas de impacto en el orden de prioridad
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Priorizar áreas de impacto
Acciones del Sistema
2.Listar las áreas de impacto en el orden de prioridad,
la primera será la que tenga la prioridad más alta
Manejo de situaciones Excepcionales
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 418 Documentación de caso de uso Actualizar Priorización de áreas de impacto
Caso de uso No. 10 Nombre: Cambiar Priorización áreas de impacto
Actores: Administrador
Objetivo: Actualizar la priorización de las áreas de impacto
Descripción: El usuario puede mover las áreas de impacto creadas para reorganizarlas y cambiar la prioridad
Precondiciones:
- Las áreas de impacto deben estar cargadas previamente en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
257
Acciones del Actor
1.Seleccionar el menú Priorizar áreas de impacto
3.reorganizar las áreas de impacto de acuerdo a la
prioridad que se quiera asignar
4. Dar clic en el botón Guardar
6. Dar clic en el botón aceptar el mensaje Priorización
guardada correctamente
Acciones del Sistema
2.Listar las áreas de impacto en el orden de
prioridad, la primera será la que tenga la prioridad
más alta
5.Mostrar mensaje Priorización Guardada
Correctamente
7.Listar las áreas de impacto con el orden ya
establecido
Manejo de situaciones Excepcionales
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 419 Documentación de caso de uso Creación de Activo crítico
Caso de uso No. 11 Nombre: Crear Activos Críticos
Actores: Administrador
Objetivo: Seleccionar activos como críticos
Descripción: El usuario selecciona de la lista de activos ya creado cuales considera como críticos, añadiendo
la justificación del porqué este se considera crítico
Precondiciones:
- Deben existir activos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Seleccionar Activos Críticos
3.Hacer clic en el botón Agregar Activo Crítico
5.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del mensaje Activo
Crítico registrado correctamente
Acciones del Sistema
2.Desplegar la lista de activos críticos registrados
4. Mostrar el formulario con los campos necesarios
para crear un activo crítico
6.Retornar mensaje Activo Crítico Registrado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, incluyendo el nuevo
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 420 Documentación de caso de uso Consulta de Activos Críticos
Caso de uso No. 12 Nombre: Consultar Activos Críticos
Actores: Administrador, Consulta
Objetivo: Ver la lista de activos críticos registrados
258
Descripción: Se listan todos los activos críticos
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Seleccionar Activos Críticos
Acciones del Sistema
2.Desplegar la lista de activos críticos registrados,
con las opciones ver y eliminar en cada uno de los
activos críticos listados
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 421 Documentación de caso de uso Actualización de Activo Crítico
Caso de uso No. 13 Nombre: Actualizar Activos Críticos
Actores: Administrador
Objetivo: Actualizar activo crítico
Descripción: Se le permite al usuario actualizar uno o todos los datos del activo crítico
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Seleccionar Activos Críticos
3.Hacer clic en el icono Ver del Activo Crítico
5.Dar clic en el botón Actualizar
7.Dar clic en el botón aceptar del mensaje Activo
Crítico Actualizado correctamente
Acciones del Sistema
2.Desplegar la lista de activos críticos registrados
4. Mostrar el formulario de creación con todos los
campos diligenciados con la información del activo
crítico
6.Retornar mensaje Activo Crítico Actualizado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, incluyendo la actualización realizada
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 422 Documentación de caso de uso Eliminar Activo Crítico
Caso de uso No. 14 Nombre: Eliminar Activos Críticos
Actores: Administrador
Objetivo: Eliminar activo crítico
Descripción: El usuario elimina de manera permanente un activo crítico configurado
259
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Seleccionar Activos Críticos
3.Hacer clic en el icono Eliminar del Activo Crítico
5.Dar clic en el botón Aceptar del cuadro de
confirmación
7.Dar clic en el botón aceptar del mensaje Activo
Crítico Eliminado correctamente
Acciones del Sistema
2.Desplegar la lista de activos críticos registrados
4. Mostrar un mensaje de confirmación
preguntándole al usuario si está seguro de eliminar el
activo crítico
6.Retornar mensaje Activo Crítico Eliminado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los activos críticos
registrados, excepto el activo crítico eliminado
Manejo de situaciones Excepcionales
-Si no existen activos críticos configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
-Si el usuario da cancelar en el cuadro de confirmación de eliminación, se debe cerrar el cuadro y listar los
activos críticos.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 423 Documentación de caso de uso Crear Contenedor
Caso de uso No. 15 Nombre: Crear Contenedor
Actores: Administrador
Objetivo: Configurar un contenedor
Descripción: El usuario crea un nuevo contenedor de tipo físico, técnico o personas
Precondiciones:
- Los tipos de contenedores deben estar configurados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar Contenedores
3.Hacer clic en el botón Agregar Contenedor
6.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del mensaje
Contenedor registrado correctamente
Acciones del Sistema
2.Desplegar la lista de contenedores registrados
4. Seleccionar el tipo de contendor a crear
5. Mostrar los campos necesarios para crear el
contenedor de acuerdo al tipo de contenedor
seleccionado.
6.Retornar mensaje Contenedor Registrado
Correctamente
7.Limpiar todos los campos
8.Mostrar la interfaz con todos los contenedores
registrados, incluyendo el nuevo
Manejo de situaciones Excepcionales
-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
260
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 424 Documentación de caso de uso Consultar Contenedores
Caso de uso No. 16 Nombre: Consultar Contenedor
Actores: Administrador
Objetivo: Consultar contenedores registrados
Descripción: Se listan los contenedores configurados en el sistema
Precondiciones:
- Los tipos de contenedores deben estar configurados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar Contenedores
Acciones del Sistema
2. Desplegar la lista de contenedores registrados, con
las opciones ver y eliminar en cada uno de los
contendores listados.
Manejo de situaciones Excepcionales
-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 425 Documentación de caso de uso Actualizar Contendor
Caso de uso No. 17 Nombre: Actualizar Contenedor
Actores: Administrador
Objetivo: Actualizar un contenedor
Descripción: Se le permite al usuario actualizar la información ingresada para el contenedor
Precondiciones:
- Los tipos de contenedores deben estar configurados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar Contenedores
3.Hacer clic en el icono Ver del Contenedor
5.Dar clic en el botón Actualizar
7.Dar clic en el botón aceptar del mensaje
Contenedor Actualizado correctamente
Acciones del Sistema
2.Desplegar la lista de contenedores registrados
4. Mostrar todos los campos diligenciados con la
información del contenedor seleccionado.
6.Retornar mensaje Contenedor Actualizado
Correctamente
8.Limpiar todos los campos
9.Mostrar la interfaz con todos los contenedores
registrados, incluyendo la actualización
Manejo de situaciones Excepcionales
-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
261
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 426 Documentación de caso de uso Eliminar Contenedor
Caso de uso No. 18 Nombre: Eliminar Contenedor
Actores: Administrador
Objetivo: Eliminar un contenedor
Descripción: El usuario elimina de manera permanente un contenedor configurado
Precondiciones:
- Los tipos de contenedores deben estar configurados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Configurar Contenedores
3.Hacer clic en el icono Eliminar del Contenedor
5.Dar clic en el botón Aceptar el cuadro de
confirmación
7.Dar clic en el botón aceptar del mensaje
Contenedor Eliminado correctamente
Acciones del Sistema
2.Desplegar la lista de contenedores registrados
4.Se muestra un mensaje de confirmación
preguntándole al usuario si está seguro de eliminar el
contenedor
6.Retornar mensaje Contenedor Eliminado
Correctamente
8.Mostrar la interfaz con todos los contenedores
registrados, excepto el eliminado
Manejo de situaciones Excepcionales
-Si no existen contendores configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Si el usuario da cancelar en el cuadro de confirmación de eliminar se debe cerrar el cuadro y mostrar la lista
de contenedores.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 427 Documentación de caso de uso Crear área de preocupación Caso de uso No. 19 Nombre: Crear Área de Preocupación
Actores: Administrador
Objetivo: Registrar una nueva área de preocupación
Descripción: El usuario documenta un área de preocupación
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver áreas de preocupación
3.Hacer clic en el botón Agregar Documentación de
área
5.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del mensaje área de
preocupación Registrado Correctamente
Acciones del Sistema
2.Desplegar la lista de áreas de preocupación
registradas
4. Mostrar los campos necesarios para crear el área
de preocupación
6.Retornar mensaje área de preocupación Registrado
Correctamente
7.Limpiar todos los campos
8. Mostrar la interfaz listando todas las áreas de
262
preocupación registradas, incluyendo la nueva.
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 428 Documentación de caso de uso Consultar área de Preocupación
Caso de uso No. 20 Nombre: Consultar Áreas de Preocupación
Actores: Administrador, Consulta
Objetivo: Listar las áreas de preocupación registradas
Descripción: El usuario puede ver la lista de áreas de preocupación registradas en el sistema
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver áreas de
preocupación
Acciones del Sistema
2.Desplegar la lista de áreas de preocupación registradas,
con las opciones de ver y eliminar en cada una de las áreas
de preocupación listadas
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 429. Documentación de caso de uso Actualizar área de preocupación
Caso de uso No. 21 Nombre: Actualizar Área de Preocupación
Actores: Administrador
Objetivo: Actualizar área de preocupación
Descripción: El usuario tiene la posibilidad de cambiar uno o todos los datos ingresados durante la creación
del área de preocupación
Precondiciones:
- Deben existir activos críticos registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver áreas de
preocupación
3.Hacer clic en el icono Ver del área de
preocupación
5.Dar clic en el botón Actualizar
7.Dar clic en el botón aceptar del mensaje
área de preocupación Actualizada
Acciones del Sistema
2.Desplegar la lista de áreas de preocupación registradas
4. Mostrar los campos diligenciados con la información del
área de preocupación seleccionada
6.Retornar mensaje área de preocupación Actualizada
Correctamente
7.Limpiar todos los campos
8. Mostrar la interfaz listando todas las áreas de
263
Correctamente preocupación registradas, incluyendo la actualización
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 430 Documentación de caso de uso Eliminar área de preocupación.
Caso de uso No. 22 Nombre: Eliminar Área de Preocupación
Actores: Administrador
Objetivo: Eliminar área de preocupación
Descripción: El usuario elimina de manera permanente el área de preocupación registrada
Precondiciones:
- Deben existir activos críticos registrados en el sistema - Deben existir áreas de preocupación registradas - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver áreas de
preocupación
3.Hacer clic en el icono Eliminar del área de
preocupación
5.Dar clic en el botón Aceptar del cuadro de
confirmación
7.Dar clic en el botón aceptar del mensaje
área de preocupación Eliminada
Correctamente
Acciones del Sistema
2.Desplegar la lista de áreas de preocupación registradas
4. Mostrar cuadro de confirmación Preguntándole al usuario si
está seguro de eliminar el área de preocupación
6.Retornar mensaje área de preocupación Eliminada
Correctamente
8. Mostrar la interfaz listando todas las áreas de preocupación
registradas, excepto la eliminada
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro
y mostrar la lista de áreas de preocupación registradas.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 431 Documentación de caso de uso Consultar Puntaje de Riesgo Relativo
Caso de uso No. 23 Nombre: Consultar Puntaje de Riesgo Relativo
Actores: Administrador, Consulta
Objetivo: Mostrar el puntaje de riesgo relativo
Descripción: Se muestra el puntaje de riesgo relativo para cada una de las áreas de preocupación creadas
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor Acciones del Sistema
264
1.Seleccionar el menú Ver Puntaje de Riesgo
Relativo
2.Mostrar El puntaje de riesgo relativo junto con la
probabilidad subjetiva para cada una de las áreas de
preocupación registradas en el sistema
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 432 Documentación de caso de uso Consultar Enfoque de Mitigación
Caso de uso No. 24 Nombre: Consultar Enfoque de Mitigación
Actores: Administrador, Consulta
Objetivo: Ver el resultado del Enfoque de Mitigación
Descripción: Se presenta al usuario el resultado del análisis realizado de acuerdo a la información ingresada
para conocer la acción que debería aplicar a cada área de preocupación
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Enfoque de
Mitigación
Acciones del Sistema
2.Mostrar el análisis con la acción y el grupo al que pertenece
cada una de las áreas de preocupación, junto con la opción
ver controles en cada una de las áreas de preocupación
listadas
Manejo de situaciones Excepcionales
-Si no existen áreas de preocupación configurados se debe mostrar un mensaje que lo indique.
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 433 Documentación de caso de uso Ver controles
Caso de uso No. 25 Nombre: Ver Controles
Actores: Administrador, Consulta
Objetivo: Ver los controles creados para cada una de las área de preocupación en enfoque de Mitigación
Descripción: Se presenta al usuario el listado de controles que se han registrado para llevar a cabo la acción
sugerida
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Enfoque de Mitigación
3.Dar clic en ver controles de alguna de las áreas de
Preocupación
Acciones del Sistema
2.Mostrar el análisis con la acción y el grupo al que
pertenece cada una de las áreas de preocupación,
junto con la opción ver controles en cada una de las
265
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
Manejo de situaciones Excepcionales
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 434 Documentación caso de uso Crear Control
Caso de uso No. 26 Nombre: Crear Control
Actores: Administrador
Objetivo: Agregar un control a alguna de las áreas de preocupación listadas
Descripción: El usuario registra el control que se va a aplicar para mitigar, transferir o aceptar el riesgo
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Enfoque de Mitigación
3.Dar clic en ver controles de alguna de las áreas de
Preocupación
5 Dar clic en el botón Agregar Control
6.Dar clic en el botón Guardar
7. Dar clic en botón aceptar el mensaje control
registrado correctamente
Acciones del Sistema
2.Mostrar el análisis con la acción y el grupo al que
pertenece cada una de las áreas de preocupación,
junto con la opción ver controles en cada una de las
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
5. Mostrar formulario con los campos necesario para
crear el control
6. Mostrar mensaje control registrado correctamente
7. Mostrar la lista de controles, junto con el nuevo
control creado
Manejo de situaciones Excepcionales
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 435 Documentación de caso de uso Actualizar Control
Caso de uso No. 27 Nombre: Actualizar Control
Actores: Administrador
Objetivo: Modificar un control registrado
Descripción: El usuario tiene la posibilidad de actualizar el control registrado para el área de preocupación
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
266
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Enfoque de Mitigación
3.Dar clic en ver controles de alguna de las áreas de
Preocupación
5 Dar clic en el icono Ver del Control Seleccionado
7.Dar clic en el botón Actualizar
7. Dar clic en botón aceptar el mensaje control
actualizado correctamente
Acciones del Sistema
2.Mostrar el análisis con la acción y el grupo al que
pertenece cada una de las áreas de preocupación,
junto con la opción ver controles en cada una de las
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
6. Mostrar el formulario con los campos diligenciados
con la información del control
6. Mostrar mensaje control actualizado correctamente
7. Mostrar la lista de controles, junto con la
actualización realizada
Manejo de situaciones Excepcionales
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 436 Documentación de caso de uso Eliminar Control
Caso de uso No. 28 Nombre: Eliminar Control
Actores: Administrador
Objetivo: Eliminar un control registrado
Descripción: El usuario eliminar de manera permanente el control registrado
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Ver Enfoque de Mitigación
3.Dar clic en ver controles de alguna de las áreas de
Preocupación
5 Dar clic en el icono Eliminar del Control
Seleccionado
7.Dar clic en el botón Aceptar del cuadro de
confirmación
8. Dar clic en botón aceptar el mensaje control
eliminado correctamente
Acciones del Sistema
2.Mostrar el análisis con la acción y el grupo al que
pertenece cada una de las áreas de preocupación,
junto con la opción ver controles en cada una de las
áreas de preocupación listadas
4. Mostrar la lista de controles registrados para el
área de preocupación, junto con la opción Ver y
Eliminar en cada uno de los controles listados
6. Se Muestra un cuadro de confirmación
preguntándole al usuario si está seguro que desea
eliminar el control
7. Mostrar mensaje control eliminado correctamente
9. Mostrar la lista de controles, excepto el control
eliminado
Manejo de situaciones Excepcionales
267
-Si no existen controles se debe mostrar el mensaje, no se han registrado controles aún
Flujo Alterno
-Si el usuario da clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar el cuadro
y mostrar la lista de controles
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 437 Documentación de caso de uso Descargar Reportes
Caso de uso No. 25 Nombre: Descargar Reportes
Actores: Administrador, Consulta
Objetivo: Descargar reportes
Descripción: El usuario tiene la posibilidad de descargar diferentes reportes que contienen información
ingresada en el sistema
Precondiciones:
- Deben existir áreas de preocupación registradas en el sistema - Deben existir Activos Críticos registrados en el sistema - Deben existir criterios de medida de riesgo registrados en el sistema - El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Descargar Reportes
3. Dar clic en el icono de descargar PDF
5. Dar clic en VER PDF
Acciones del Sistema
2. Se muestra el menú de opciones que tiene el
usuario para seleccionar el reporte que desea
generar.
4.Mostrar un cuadro con las opciones VER PDF y
CERRAR
5. Mostrar el PDF generado
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el usuario da clic en CERRAR no se mostrará el PDF y quedará en el listado de opciones de reporte.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 438 Documentación de caso de uso Crear Usuario
Caso de uso No. 26 Nombre: Crear Usuario
Actores: Administrador
Objetivo: Crear un nuevo usuario en el sistema
Descripción: El usuario registra un nuevo usuario asignándole un perfil
Precondiciones:
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Administración de usuarios
3.Hacer clic en el botón Agregar Usuario
5.Dar clic en el botón Guardar
7.Dar clic en el botón aceptar del mensaje usuario
creado Correctamente
Acciones del Sistema
2.Desplegar la lista de usuarios registrados en el
sistema
4. Mostrar los campos necesarios para crear el
usuario
6. Se valida que el email y todos los demás campos
268
hayan sido diligenciados correctamente
7. Se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario creado Correctamente
9.Limpiar todos los campos
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario nuevo
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 439 Documentación de caso de uso Consultar Usuarios
Caso de uso No. 27 Nombre: Consultar Usuarios
Actores: Administrador
Objetivo: Crear un nuevo usuario en el sistema
Descripción: El usuario registra un nuevo usuario asignándole un perfil
Precondiciones:
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Administración de usuarios
Acciones del Sistema
2.Desplegar la lista de usuarios registrados en el
sistema, junto con la opción ver y eliminar en cada
uno de los usuarios creados
Manejo de situaciones Excepcionales
Flujo Alterno
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 440 Documentación de caso de uso Actualizar Usuario
Caso de uso No. 28 Nombre: Actualizar Usuario
Actores: Administrador
Objetivo: Actualizar usuario en el sistema
Descripción: El usuario Actualiza alguno de los usuarios
Precondiciones:
- El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Administración de usuarios
3.Hacer clic en el icono Ver del usuario seleccionado
5.Dar clic en el botón Actualizar
Acciones del Sistema
2.Desplegar la lista de usuarios registrados en el
sistema
4. Mostrar todos los campos diligenciados con la
269
7.Dar clic en el botón aceptar del mensaje usuario
actualizado Correctamente
información del usuario
6. Se valida que el email y todos los demás campos
hayan sido diligenciados correctamente
7. Sí se marcó la opción generar contraseña nueva
se envía un correo al email registrado notificándole
su usuario y contraseña para ingresar.
8.Retornar mensaje usuario actualizado
Correctamente
9.Limpiar todos los campos
10.Mostrar la interfaz listando todas los usuarios,
incluyendo el usuario con su actualización
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el email o alguno de los campos no está diligenciado correctamente, se notifica al usuario del error y
permanece en el formulario.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
Tabla 441. Documentación de caso de uso Eliminar Usuario
Caso de uso No. 29 Nombre: Eliminar Usuario
Actores: Administrador
Objetivo: Eliminar usuario en el sistema
Descripción: El usuario elimina de manera permanente un usuario del sistema
Precondiciones: El usuario debe haber iniciado sesión en el sistema
Flujo de Eventos
Acciones del Actor
1.Seleccionar el menú Administración de usuarios
3.Hacer clic en el icono Eliminar del usuario
seleccionado
5.Dar clic en el botón Aceptar del cuadro de
confirmación
7.Dar clic en el botón aceptar del mensaje usuario
eliminado Correctamente
Acciones del Sistema
2.Desplegar la lista de usuarios registrados en el
sistema
4. Mostrar cuadro de confirmación preguntándole al
usuario si está seguro de eliminar el usuario
6.Retornar mensaje usuario eliminado Correctamente
8.Mostrar la interfaz listando todas los usuarios,
excepto el usuario eliminado
Manejo de situaciones Excepcionales
Flujo Alterno
-Si el usuario hace clic en el botón cancelar del cuadro de confirmación de eliminación, se debe cerrar la
ventana y se debe mostrar la lista de usuarios.
Autor Fecha Versión
Lorena Rojas 26/06/17 1.0
Fuente: Propia
270