Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIA ADMINISTRATIVAS
TRABAJO DE TITULACIÓN PRESENTADO COMO REQUISITO PARA
OPTAR POR EL TÍTULO DE INGENIERÍA EN SISTEMAS
ADMINISTRATIVOS COMPUTARIZADOS
TEMA:
DISEÑO DE UN MODELO DE SISTEMA PARA LA GESTIÓN DE RIESGOS CON
BASE A LA NORMA I SO 31000 Y MAGERIT VERSIÓN 3.0 EN LA EMPRESA
BLUEBOX.
AUTOR: Guzmán Morán Omar Daniel
TUTOR DE TESIS: Ing. Viteri Chávez Carlos MSIA
Guayaquil, Septiembre 2019
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
i
REPOSITORIO NACIONAL EN CIENCIA Y
TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: Diseño de un modelo de sistema para la gestión de riesgos con base a la
norma ISO31000 y MAGERIT versión 3.0 en la empresa BlueBox.
AUTOR(ES) (apellidos/nombres): Guzmán Morán Omar Daniel
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
Ing. Viteri Chávez Carlos MSIA
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Ciencias administrativas
MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistemas Administrativos Computarizados
GRADO OBTENIDO: Tercer Nivel
FECHA DE PUBLICACIÓN: Septiembre 2019 No. DE PÁGINAS: 112
ÁREAS TEMÁTICAS: Sistemas de Información
PALABRAS CLAVES/ KEYWORDS: Gestión de riesgos, vulnerabilidades, amenazas, riesgos seguridad de la información
RESUMEN/ABSTRACT (150-250 palabras): La gestión de riesgos es la mejor herramienta que se puede emplear frente
a cualquier tipo de amenaza, riesgo y vulnerabilidades que se enfrenta una organización, la gestión de riesgos está
diseñada como un proceso continuo y disciplinado para la resolución de los problemas.
El presenta trabajo de titulación está dirigido a contribuir a la empresa BlueBox que tiene como actividad
principal la elaboración de videos comerciales en 2D y 3D, teniendo como conocimiento que la información que
maneja es el activo más importante y vital para el funcionamiento de la organización, este activo está de una
manera constante expuesto a un número que va en crecimiento de amenazas, BlueBox se encuentra en la
necesidad de gestionar de manera eficaz y de forma confiable los riesgos a los que estos activos están expuestos,
se propone como la solución más viable el diseño de un modelo de sistema para la gestión de riesgos con base a
la norma ISO 31000 y MAGERIT versión 3.0, el cual nos ayudara a prevenir, tratar y detectar todas aquellas
eventualidades, incidente o amenazas que se lleguen a presentar, precautelando la ejecución de sus actividades y
por consecutivo el cumplimiento de los objetivos.
ADJUNTO PDF: SI NO
CONTACTO CON AUTOR/ES: Teléfono: 2.237620/0989809440
E-mail: [email protected]
CONTACTO CON LA INSTITUCIÓN: Nombre: Ab. Elizabeth Coronel Castillo
Teléfono: (04) 2596830
E-mail: [email protected]
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
ii
CERTIFICADO PORCENTAJE DE SIMILITUD
Habiendo sido nombrado ING. CARLOS ALBERTO VITERI CHÁVEZ, MSIA tutor del
trabajo de titulación certifico que el presente trabajo de titulación ha sido elaborado por
GUZMAN MORAN OMAR DANIEL con CC 0950718692, con mi respectiva
supervisión como requerimiento parcial para la obtención del título de INGENIERO EN
SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS.
Se informa que el trabajo de titulación: “DISEÑO DE UN MODELO DE
SISTEMA PARA LA GESTIÓN DE RIESGOS CON BASE A LA NORMA I
SO 31000 Y MAGERIT VERSIÓN 3.0 EN LA EMPRESA BLUEBOX.”, ha
sido orientado durante todo el periodo de ejecución en el programa antiplagio
URKUND quedando el 2 % de coincidencia.
https://secure.urkund.com/view/53346939-541094- 881920#DcQ7CoAwEAXAu6R+yL7s5nsVsZCgksI0KcW76xTzuHu6uhIU8N+DChoYw
QR meCgMAREJGWWDm/0a/extH+1wVRZhiLkkC2qq0cTs/QA=
ING. CARLOS ALBERTO VITERI CHÁVEZ, MSIA
C.I. 0915268270
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
iii
Guayaquil, 2 de septiembre del 2019
CERTIFICACIÓN DEL TUTOR / REVISOR
Habiendo sido nombrado Ing. Viteri Chávez Carlos MSIA, tutor del trabajo de
titulación Diseño de un modelo de sistema para la gestión de riesgos con base a la
norma ISO 31000 y MAGERIT versión 3.0 en la empresa BlueBox certifico que el
presente trabajo de titulación, elaborado por Omar Daniel Guzmán Morán, con C.I. No.
0950718692, con mi respectiva supervisión como requerimiento parcial para la
obtención del título de Ingeniero en Sistemas Administrativo Computarizado, en la
Facultad Ciencias Administrativas, ha sido REVISADO Y APROBADO en todas sus
partes, encontrándose apto para su sustentación.
DOCENTE TUTOR DOCENTE REVISOR
Ing. Viteri Chávez Carlos Ing. Proaño Sánchez Fernando
C.I. No. 0915268270 C.I. No. 0913694808
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
iv
LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL
USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS
Yo, Omar Daniel Guzmán Morán con C.I. No. 0950718692, certifico que los contenidos
desarrollados en este trabajo de titulación, cuyo título es “Diseño de un modelo de sistema
para la gestión de riesgos con base a la norma ISO 31000 y MAGERIT Version 3.0 en
la empresa BlueBox” son de mi absoluta propiedad y responsabilidad Y SEGÚN EL Art.
114 del CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS
CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN*, autorizo el uso de una licencia
gratuita intransferible y no exclusiva para el uso no comercial de la presente obra con fines
no académicos, en favor de la Universidad de Guayaquil, para que haga uso del mismo,
como fuera pertinente
__________________________________________
Guzmán Morán Omar Daniel
C.I. No. 0950718682
*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial
n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita, intransferible y no
exclusiva para el uso no comercial de la obra con fines académicos.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
v
DEDICATORIA
En primera instancia a nuestro padre Jehová Dios, ya que todo se hacen en obra a su
gracia, voluntad y misericordia.
A mis padres Marisol Morán y Nicolás Guzmán ya que por todos estos años se han
esforzado en brindarme lo mejor, a mis hermanos Elsy, Oscar y Vanessa que han estado allí
apoyándome de una u otra manera en los momentos sencillos y complicados de la vida, a
mi abuelita Rosa Guillen y mi tío David Morán a mis sobrinos Susana, Rebeca, Mathew y
Lorena que forman parte esencial en mi vida.
A mis increíbles profesores el Ing. David Cárdenas y la Ec. Alexandra Wilches que
sin duda alguna fueron de gran ayuda en todo este proceso.
Omar Daniel Guzmán Morán
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
vi
AGRADECIMIENTO
Agradezco a Dios por todas las cosas que ha hecho por mi aun que muchas veces
siento no merecerlas, por la dicha de aún poder estar con vida junto a las personas que
quiero y amo, agradezco a toda mi familia padres, hermanos, sobrinos, tío, abuela, por ser
un pilar fundamental en vida y apoyarme en todos los aspectos.
Quiero agradecer también al Ing. David Cárdenas y su esposa la Ec. Alexandra
Wilches por todo el apoyo brindado, los consejos, porque a pesar de todo siempre creyeron
en mí y fueron un pilar fundamental en la elaboración de este trabajo y a mis amigos,
Christian Miranda, Tania López y Víctor Briones por ser mis más grandes amigos y
apoyarme siempre. Gracias a todos.
Omar Daniel Guzmán Morán
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
vii
“DISEÑO DE UN MODELO DE SISTEMA PARA LA GESTIÓN DE RIESGOS CON BASE A LA NORMA ISO 31000 Y MAGERIT VERSIÓN 3.0 EN LA EMPRESA
BLUEBOX.”
Autor: Omar Daniel Guzmán Morán
Tutor: Ing. Carlos Viteri Chávez MSIA
RESUMEN
La gestión de riesgos es la mejor herramienta que se puede emplear frente a cualquier tipo
de amenaza, riesgo y vulnerabilidades que se enfrenta una organización, la gestión de riesgos
está diseñada como un proceso continuo y disciplinado para la resolución de los problemas.
El presenta trabajo de titulación está dirigido a contribuir a la empresa BlueBox que tiene
como actividad principal la elaboración de videos comerciales en 2D y 3D, teniendo como
conocimiento que la información que maneja es el activo más importante y vital para el
funcionamiento de la organización, este activo está de una manera constante expuesto a un
número que va en crecimiento de amenazas.
BlueBox se encuentra en la necesidad de gestionar de manera eficaz y de forma confiable los
riesgos a los que estos activos están expuestos, se propone como la solución más viable el
diseño de un modelo de sistema para la gestión de riesgos con base a la norma ISO 31000 y
MAGERIT versión 3.0, el cual nos ayudara a prevenir, tratar y detectar todas aquellas
eventualidades, incidente o amenazas que se lleguen a presentar, precautelando la ejecución
de sus actividades y por consecutivo el cumplimiento de los objetivos.
Palabras Claves: Gestión de riesgos, amenazas, vulnerabilidades, riesgos.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADO
viii
"DESIGN OF A MODEL OF SYSTEM FOR RISK MANAGEMENT BASED
ON ISO 31000 AND MAGERIT VERSION 3.0 IN THE BLUEBOX COMPANY"
Author: Omar Daniel Guzmán Morán
Advisor: Ing. Carlos Viteri Chávez MSIA
ABSTRAC
Risk management is the best tool that can be used against any type of threat, risk and
vulnerabilities that an organization faces, risk management is designed as a continuous and
disciplined process for solving problems.
The presentation of the degree work is aimed at contributing to the company BlueBox
whose main activity is the development of commercial videos in 2D and 3D, taking into
account that the information that is handled is the most important and vital asset for the
functioning of the organization, this asset is in a constant way exposed to a number that
goes growing threats.
BlueBox is in need of effectively and reliably managing the risks to which these assets are
exposed, is proposed as the most viable solution the design of a systems model for risk
management based on ISO 31000 and MAGERIT version 3.0, which will help us to
prevent, treat and detect all eventualities, incidents or threats that may arise, protecting the
execution of its activities and, consequently, the fulfillment of the objectives.
Keywords: Risk management, threats, vulnerabilities, risks
1
INDICE
RESUMEN ........................................................................................................... 6
INTRODUCCIÓN .................................................................................................. 7
CAPÍTULO I ....................................................................................................... 10
PLANTEAMIENTO DEL PROBLEMA ..................................................................... 10
1.1 Antecedentes .................................................................................................... 10
1.2 Planteamiento del problema ............................................................................. 13
1.4 Objetivos .......................................................................................................... 16 1.4.1 Objetivo general ............................................................................................................. 16 1.4.2 Objetivo específico ......................................................................................................... 16
CAPÍTULO II ...................................................................................................... 17
MARCO TEÓRICO .............................................................................................. 17
2.1 ISO 31000/2018 Gestión de Riesgos ................................................................... 22
2.2 Beneficios de la gestión del riesgo ..................................................................... 23
2.3 Principios de la norma ISO 31000 ....................................................................... 24
26
2.5 Identificación del riesgo..................................................................................... 26
2.6 Análisis del riesgo .............................................................................................. 27
2.7 Evaluación del riesgo ......................................................................................... 27
2.8 Tratamiento del riesgo ...................................................................................... 28
2.9 Seguimiento y revisión ...................................................................................... 29
2.10 Mejora continua .............................................................................................. 30
2.11 MAGERIT V. 3.0 ............................................................................................... 31
2.11.3 Método ........................................................................................................ 32
2.11.4 Lista de elementos ........................................................................................ 33
2.11.5 Guías de técnicas. ......................................................................................... 33
2.11.6 Método de análisis de riesgos ....................................................................... 33
2.11.7 Activos ......................................................................................................... 34 2.11.7.1 Valoración .................................................................................................................. 35 2.11.7.2 Dimensiones ............................................................................................................... 35
2.11.8 Amenazas ..................................................................................................... 36 2.11.8.1 Identificación de amenazas ...................................................................................... 36 2.11.8.2 Valoración de las amenazas ..................................................................................... 36 2.11.8.3 Determinación del impacto ...................................................................................... 37
2
2.11.9 Salvaguardas ................................................................................................ 37 2.11.9.1 Selección de salvaguardas ........................................................................................ 37 2.11.9.2 Tipos de protección ................................................................................................... 37
2.11.10 Metodología MAGERIT V 3.0 ....................................................................... 39
2.12 Mandato y compromiso................................................................................... 40
CAPÍTULO III ..................................................................................................... 42
METODOLOGÍA................................................................................................. 42
3.1 Metodología de la investigación ........................................................................ 42
3.2 Población y muestra .......................................................................................... 43
3.3 Técnicas e instrumento de investigación. ........................................................... 44 3.3.1 Observación .................................................................................................................... 44 3.3.2 Entrevistas y encuestas .................................................................................................. 44 3.3.3 Análisis de los resultados de la técnica de las encuestas ............................................. 45
3.4 Metodología de la investigación aplicada ........................................................... 45
CAPÍTULO IV ..................................................................................................... 48
PROPUESTA ...................................................................................................... 48
4.1 La propuesta ..................................................................................................... 48
4.2 Justificación de la propuesta .............................................................................. 49
4.3 Descripción de la propuesta ............................................................................... 50
4.4 Implementación del diseño de un modelo de sistema para la gestión de riesgo en los marcos de la norma ISO 31000 y la metodología MAGERIT versión 3.0 ............... 50
4.5 Fase 1: Preparar y planificar los principios .......................................................... 52 4.5.1 Formato de los principios, mandato y compromiso de la empresa BlueBox. ........... 52 4.5.2 Objetivos de la empresa ................................................................................................. 53 4.5.3 Alcance ............................................................................................................................ 53 4.5.4 Compromiso de la empresa ........................................................................................... 53 4.5.5 Responsabilidades de los usuarios. ............................................................................... 54 4.5.6 Responsabilidades del comité. ....................................................................................... 54 4.5.7 Principio de Integración ................................................................................................ 55 4.5.8 Principio de Adaptación ................................................................................................ 55 4.5.9 Principio de Dinamismo ................................................................................................ 55 4.5.10 Principio de Mejor Información ................................................................................. 55 4.5.11 Principio de Factor Humano y Cultural .................................................................... 55
4.6 Fase 2: Gestión de riesgos .................................................................................. 56 4.6.1 Identificación de activos ................................................................................................ 56 4.6.2 Valoración de activos ..................................................................................................... 57 4.6.2 Identificación de amenazas ........................................................................................... 58 4.6.3 Valoración de las amenazas .......................................................................................... 59 4.6.4 Determinación de los niveles de riesgo ......................................................................... 59 4.6.5 Tratamiento de las amenazas ........................................................................................ 60
4.7 Fase 3: Establecer salvaguardas ......................................................................... 61
4.8 Fase 4: Mejora continua .................................................................................... 62
3
4.8.1. Monitoreo, revisión periódica y documentada de la gestión de riesgos .................... 63 4.8.2 Medidas de prevención .................................................................................................. 63
4.9 Ejecuciones del modelo ..................................................................................... 63 4.9.1 Ejecución del modelo por primera vez ......................................................................... 64 4.9.2 Ejecución del modelo por segunda vez ......................................................................... 65 4.9.3 Análisis comparativo entre las dos ejecuciones ........................................................... 66
CONCLUSIONES ................................................................................................ 68
Bibliografía ...................................................................................................... 69
4
ÍNDICE DE TABLAS
Tabla 1 Matriz de riesgo ........................................................................................ 28 Tabla 2 Identificación de activos ........................................................................... 57
Tabla 3 Criterios de valoración para activos, amenazas y riesgos ..................... 58 Tabla 4 Tabla de probabilidad .............................................................................. 60 Tabla 5 Tabla de prioridad para tratar las amenazas según su nivel de riesgo 61 Tabla 6 Resultados de la ejecución del modelo por primera vez ....................... 64 Tabla 7 Resultados de la ejecución del modelo por segunda vez ....................... 65
Tabla 8 Comparación de las ejecuciones .............................................................. 66 Tabla 9 Conclusiones obtenidas de la investigación ............................................ 68 Tabla 10 Identificación de activos de la empresa BlueBox ................................. 83 Tabla 11 Valoración de activos de la empresa BlueBox ...................................... 84
Tabla 12 Determinación de las amenazas a las que están expuestos los activos,
con los promedios de impacto ................................................................................ 86 Tabla 13 Determinación del riesgo ........................................................................ 87
Tabla 14 Prioridad de las amenazas según el nivel de riesgo obtenido ............. 88
Tabla 15 Tratamiento de las amenazas según su prioridad ............................... 88 Tabla 16 Aplicabilidad de las salvaguardas ......................................................... 97 Tabla 17 Medidas de prevención ........................................................................... 98
Tabla 18 Implementación de métricas .................................................................. 99 Tabla 19 Incidentes presentados durante el periodo de tiempo de tres meses 101
Tabla 20 Acciones tomadas contra los incidentes y amenazas detectados ...... 102 Tabla 21 Identificación y valoración de activos ................................................. 103
Tabla 22 Identificación y valoración de las amenazas en la segunda ejecución
................................................................................................................................ 104 Tabla 23 Nuevo cálculo para determinar el riesgo ............................................ 105
Tabla 24 Análisis de tiempo costo del tratamiento de los riesgos ..................... 111
5
ÍNDICE DE FIGURAS Figura 1 Organigrama de la empresa BlueBox 11
Figura 2 Evolución de la norma ISO 31000 13 Figura 3 Árbol de problemas, causas y efectos de la empresa BlueBox. 14 Figura 4 Norma ISO 31000 21 Figura 5 Familias de la norma ISO 31000 22 Figura 6 Gestión del riesgo 23
Figura 7 Principios de la norma ISO 31000 24 Figura 8 Definiciones de los principios de la norma ISO 31000 25 Figura 9 Definición de criterios del riesgo 26 Figura 10 Tratamiento del riesgo 28
Figura 11 Mejora continua 31 Figura 12 Elementos del análisis de riesgos potenciales 34
Figura 13 Tipos de amenazas 36 Figura 14 Implementación de MAGERIT V 3.0 39
Figura 15 ISO 31000 y sus relaciones 41 Figura 16 Metodologías usadas para la investigación del trabajo 43 Figura 17 Metodología de la investigación aplicada 47
Figura 18 Modelo de sistema para la gestión del riesgo 51 Figura 19 Tipos de salvaguardas 62
Figura 20 Gráfica de los niveles de riesgo de la primera ejecución 64 Figura 21 Gráfica de los niveles de riesgo de la segunda ejecución 66 Figura 22 Comparación de los niveles de riesgo 67
Figura 23 Gráfica de la respuesta 1 74
Figura 24 Gráfica de la respuesta 2 75 Figura 25 Gráfica de la respuesta 3 76 Figura 26 Gráfica de la respuesta 4 77
Figura 27 Gráfica de la respuesta 5 78 Figura 28 Gráfica de la respuesta 6 79
Figura 29 Gráfica de la respuesta 7 80 Figura 30 Identificación de las amenazas 85
Figura 31 Fases de ejecución para el tratamiento de las amenazas 90 Figura 32 Implementación de salvaguarda 91 Figura 33 Implementación de salvaguarda 92 Figura 34 Implementación de salvaguarda 93 Figura 35 Implementación de salvaguarda 94
Figura 36 Implementación de salvaguarda 95 Figura 37 Implementación de salvaguarda 96
Figura 38 Plan de mejora continua 100 Figura 39 Implementación de nuevas salvaguardas 107 Figura 40 Implementación de nuevas salvaguardas 108 Figura 41 Implementación de nuevas salvaguardas 109 Figura 42 Implementación de nuevas salvaguardas 110
6
RESUMEN
La gestión de riesgos es la mejor herramienta que se puede emplear frente a
cualquier tipo de amenaza, riesgo y vulnerabilidades que se enfrenta una organización, la
gestión de riesgos está diseñada como un proceso continuo y disciplinado para la resolución
de los problemas.
El presenta trabajo de titulación está dirigido a contribuir a la empresa BlueBox que
tiene como actividad principal la elaboración de videos comerciales en 2D y 3D, teniendo
como conocimiento que la información que maneja es el activo más importante y vital para
el funcionamiento de la organización, este activo esta de una manera constante expuesto a
un número que va en crecimiento de amenazas.
BlueBox se encuentra en la necesidad de gestionar de manera eficaz y de forma
confiable los riesgos a los que estos activos están expuestos, se propone como la solución
más viable el diseño de un modelo de sistema para la gestión de riesgos con base a la norma
ISO 31000 y MAGERIT versión 3.0, el cual nos ayudara a prevenir, tratar y detectar todas
aquellas eventualidades, incidente o amenazas que se lleguen a presentar, precautelando la
ejecución de sus actividades y por consecutivo el cumplimiento de los objetivos.
7
INTRODUCCIÓN
El riesgo informático no solo puede afectar la parte física y digital de un activo si
no también puede causar efecto en los procesos laborales, organizacionales y
estratégicos de una empresa incluso gerencial causando un sin número de pérdidas y
daños irreparables. Estos autores afirman:
El riesgo que es de origen informático, puede recalcar sobre las metas,
objetivos y avances organizacionales y ser causa de algún otro tipo de riesgo, al
ser inherente al uso de la tecnología. Es por esto, el daño, interrupción,
alteración, o falla derivada o proporcionada por el uso de TI puede implicar
pérdidas muy significativas dentro y fuera de la organización, estas pueden ser
físicas, pérdidas financieras, multas o acciones legales, daño en la afectación de
la imagen de la organización y causar varios inconvenientes a nivel operativo y
estratégico. (Ramírez Castro & Ortiz Bayona, 2011).
Una situación que ejemplifica lo mencionado ocurrió en el año 2015, cuando
diecisiete empresas ecuatorianas fueron víctimas por parte de ciber mafias cuando un virus
atacó a estas empresas del Ecuador.
El virus se propagó desde la mañana del lunes 19 de enero. Por la tarde,
expertos en seguridad informática ya conocían de las primeras infecciones. El
‘malware’ avanzó y en cinco días penetró en los ordenadores de unas 17 empresas
privadas e instituciones públicas de Quito, Guayaquil y Cuenca. El programa
maligno ingresó en las computadoras y encriptó archivos sensibles: documentos
levantados en Word, Excel, Autocad. Una de las empresas atacadas perdió carpetas
8
en las que se almacenaban datos del departamento de contabilidad (Diario El
Comercio, 2015).
Durante este ataque muchas de estas empresas no tenían ningún tipo de plan de
contingencia para una pérdida de está magnitud y las empresas tuvieron daños y pérdidas
irreparables. (Diario El Comercio, 2015) “Los técnicos analizaron los ordenadores
infectados y detectaron que se trataba del virus denominado cryptolocker1, un potente
‘malware’ que llega a los usuarios a través de correos electrónicos con información
aparentemente útil.”
Por ende, debido a los altos riesgos no solo informáticos sino también físicos las
empresas optan por mejoras en los procesos para la gestión de riesgos y que mejor guía que
la ISO 31000 que se encarga del Sistema de Gestión de Riesgo.
Por otra parte, MAGERIT es una metodología de análisis y gestión de riesgos que
fue elaborada por el Consejo Superior de Administración Electrónica, la metodología
MAGERIT está relacionada con el uso de tecnologías de la información, que son de gran
ayuda para la automatización de procedimientos, pero a su vez da lugar a ciertos riesgos,
los cuales deben ser minimizados con medidas de seguridad que generen confianza. Tan
grande ha sido el impacto de la metodología MAGERIT que el Centro Cristológico
Nacional (CCN), creó la herramienta PILAR que implementa la misma metodología
MAGERIT y es de amplia utilización en la administración pública española, pero el uso de
está herramienta es opcional ya que maneja los mismos procedimientos de la metodología
MAGERIT. (Portal de administración electrónica , 2012)
1 Malware de la familia de los Ransoms, cuya función es la extorción al usuario
9
MAGERIT sirve para todas aquellas empresas sin importar su tipo o clasificación
que trabajen con información digital y sistemas informáticos y saber cuan valiosos son para
la empresa, está metodología ayudara a proteger y conocer el riesgo a los que están
expuestos estos activos.
Todas las organizaciones sin importar su tamaño o actividad comercial enfrentan
cualquier tipo de riesgo y/o amenaza no solo en sus procesos de producción, a los que se
enfrentan a diario de manera interna o externa, el conocer estos riesgos nos ayuda a
concientizar y dar un mejor uso y manejo a cada uno de sus activos ya sean estos físicos
o digitales. La evolución de las tecnologías de la información ha tenido grandes avances
en su desarrollo e implementación. Esta transformación va acoplándose a los diferentes
menesteres para así poder dar apertura a otras operaciones relacionadas en el día a día,
en conclusión, este modelo propone de manera estructurada y ordenada finiquitar una
correcta gestión de riesgos con el fin de dar un óptimo desarrollo del mismo.
10
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1 Antecedentes
La empresa BlueBox es una organización ecuatoriana privada que surgió como un
negocio familiar y en la actualidad lleva veinte años de trayectoria, consta con un total de
veinticinco empleados y se encarga de la elaboración de vídeos comerciales televisivos en
2D y 3D para empresas como Artefacta, Comandato, La Ganga, Coca Cola, entre otras. Las
elaboraciones de estos vídeos son llevadas a cabos por el personal de audiovisual, una vez
culminado el vídeo comercial, se realiza la logística de distribución del vídeo a la empresa
que contrató los servicios de BlueBox.
Sus principales proveedores de equipos son la compañía Sony y Mac, y su
proveedor de internet Netlife, la empresa BlueBox se encuentra ubicada en el parque
empresarial Colon Of. 210, Edif. 4, Piso 2 en la ciudad de Guayaquil, uno de sus
principales y más directo competidor es la compañía Quimera Films.
En los últimos años la empresa presenta una falta de guías o controles sobre los
riesgos existentes hacía los activos y procedimientos que realiza la organización, dando
apertura a falencias que puedan poner en peligro la continuidad de la empresa.
11
Figura 1 Organigrama de la empresa BlueBox
Fuente 1 Elaborado por el autor
12
En la década de los 80 y 90 la Gestión del Riesgo para la Seguridad de la
Información se transforma en una parte fundamental en las organizaciones para sus
planificaciones y estrategias, pero es a finales del siglo XX donde se empieza a descubrir y
conocer los riesgos informáticos que se presentan dentro de las organizaciones. (Gaona
Vásquez, 2013, pág. 12)
La norma ISO 31000 es una norma internacional no certificable, cuyo objetivo
ofrece los principios para la aplicación directa e indirecta y generalizada a la utilización de
TI para gestionar el riesgo de las organizaciones y a su vez mitigarlos con medidas de
seguridad que puedan ofrecer plena confianza.
ISO 31000 es una normal internacional cuyo objeto y estudio se dedica
principalmente a la gestión de riesgos. A su vez, proporciona guías y principios de
tal forma que ayuda a las empresas en su análisis y evaluaciones de riesgos en su
mayoría de actividades empresariales, esta incluye planificación, procesos de
comunicación y operaciones de gestión.
A través de la implementación de los principios y guías que ofrece la norma
ISO 31000 en su empresa, facultará la mejora de su eficacia operativa, su
gobernanza y la convicción de las partes involucradas, a su vez mitiga alguna
pérdida posible. Cabe recalcar que estas normas colaboran con el favorecimiento de
Seguridad y Salud, entablan una base sólida y compacta para la toma de decisiones
y así, desarrollar una gestión proactiva en cada una de las áreas organizacionales.
(BSI Group, 2019)
13
La evolución de la norma ISO sobre la gestión de riesgo nace con la ISO
31000/2009 que se basa en proporcionar principios que se llevan a cabo para la gestión de
riesgo y esto a su vez se implementa a nivel estratégico luego operativo y de allí nace las
nuevas características de la norma ISO 31000 la cual está conformada por:
(ISO, 2009), (ISO, 2009), (ISO, 2009),
(ISO, 2018)
1.2 Planteamiento del problema
De acuerdo al Gerente de la empresa BlueBox nos indica que ha presentado varias
anomalías con respecto al resguardo de la información, que se proyecta por un manejo
inadecuado de datos de la empresa que se generan tanto interna como externamente a la
misma, por lo cual la empresa ha estado expuesta a la fuga de información. (Carrozzini
Villagran, 2019)
2009
2009
2009 2018
ISO/IEC 31010
Evaluación de
Riesgos
ISO 31000
Principios y
directrices
ISO Guide 73
Vocabulario
ISO 31000
Principios y
directrices
Figura 2 Evolución de la norma ISO 31000
Fuente 2 E laborado por el autor a partir de
14
De acuerdo a la información proporcionada se detectó la ausencia de recursos para
la correcta gestión de información, y está expuesta a muchos riesgos y amenazas los cuales
no han sido debidamente gestionados.
Una inadecuada gestión de información podría tener un malogro de recursos, siendo
éstos económicos o de tiempo, debido a esto también se podría ver afectada la reputación
de la empresa. Consultar anexo D, carta firmada por el representante legal indicando la
autorización de la información brindada y sus límites permisibles de publicación.
Figura 3 Árbol de problemas, causas y efectos de la empresa BlueBox.
Fuente 3 Elaborado por el autor
No existen procesos
establecidos para el
desarrollo de
actividades de la
empresa
Desconocimiento
sobre los riesgos
existentes entorno
a la empresa.
Actos maliciosos como:
sabotaje, robo de
información, ataques a
los sistemas de
información.
Fallo humano como: errores
en la información, accidentes
que causen pérdida de
información sensible para la
empresa.
Administración, clasificación y uso inadecuado de la información.
Personal no
capacitado para el
análisis y
tratamiento
para los riesgos.
No existe criterio de importancia
sobre el desarrollo e
implementación de un modelo
de gestión de riesgo por los altos
directivos de la empresa.
EFECTOS
PROBLEMA
CAUSAS
15
1.3 Justificación del problema
Los directivos de la empresa BlueBox están conscientes de que en la organización
no existe una adecuada gestión de la información, desconocen los riesgos a la que está
expuesta la misma y cometen errores en sus procesos, es por estos factores que han existido
daños físicos y digitales ocasionando pérdidas dentro de la organización.
Las empresas para ser competitivas en el mercado requieren una producción de
calidad, procesos claros, manejar de forma correcta y adecuada su información; en su
defecto, BlueBox siendo una empresa que elabora y edita videos, que maneja información
sensible de clientes, necesita resguardar y conservar adecuadamente dicha información, por
consiguiente Bluebox no realiza esto de manera eficiente, no tiene un control especifico, ni
tampoco realiza una evaluación de forma correcta o adecuada de sus riesgos, los cuales
podrían ocasionar un quiebre del negocio.
En este proyecto de investigación se va a trabajar dentro del estándar ISO 31000
que beneficiará con las mejores prácticas y recomendaciones para implementar un Sistema
de Gestión de riesgos para que la empresa pueda tomar acciones oportunas para prevenir o
mitigar los riesgos a los cuales la empresa puede estar expuesta.
16
1.4 Objetivos
1.4.1 Objetivo general
Diseñar un Modelo de un Sistema de Gestión de Riesgos basado en la Norma
ISO/IEC 31000 y MAGERIT versión 3.0 para la empresa BlueBox.
1.4.2 Objetivo específico
Realizar una correcta gestión de riesgos, para la identificación de amenazas a las
que estén expuestos los activos de la empresa BlueBox.
Definir guías y salvaguardas de los modelos ISO 31000 y MAGERIT versión 3.0
en relación a la gestión de riesgos de la empresa BlueBox.
Desarrollar el nuevo modelo de gestión de riesgos bajo las fortalezas definidas de
ISO 31000 y MAGERIT versión 3.0.
Probar e implementar el nuevo modelo en el área específica más vulnerable de la
empresa BlueBox.
17
CAPÍTULO II
MARCO TEÓRICO
Para una mayor comprensión en cuanto a los términos que se emplearan en esta
tesis se van a establecer los conceptos más.
Seguridad informática. – Se define a la seguridad informática como el proceso de
prevenir y detectar el uso no autorizado de un sistema informático, esto implica el proceso
de proteger contra los intrusos el uso de los recursos informáticos contra intenciones
maliciosas o incluso que accedan por accidente. (Universidad Internacional de Valencia
(VIU), 2018)
Dimensiones de la seguridad de la información. - Las dimensiones de la
seguridad de la información está conformada por:
Vulnerabilidad. - Es una debilidad o fallo en un sistema de información que pone
en riesgo la seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o confidencialidad de la misma, estas
vulnerabilidades pueden ser de diferentes tipos entre las cuales están: fallos de diseño,
errores de configuración e incluso carencia de procedimientos. (Instituto Nacional de
Ciberseguridad de España (INCIBE), 2017)
Amenaza: Es toda acción que aprovecha una vulnerabilidad para atentar contra la
seguridad de un sistema de información, y podría tener un potencial efecto negativo contra
la seguridad de un sistema, las amenazas pueden ser procedentes de ataques, sucesos
físicos, negligencia e incluso hasta de decisiones organizacionales. (Instituto Nacional de
Ciberseguridad de España (INCIBE), 2017)
18
Riesgo: El riesgo es una variable permanente en todas las actividades de la
organización que influye en sus oportunidades de desarrollo, pero que también afecta los
resultados y puede poner en peligro su estabilidad. Bajo la premisa de que no es posible
eliminar totalmente los riesgos en un sistema, se requiere manejarlos de una manera
adecuada, coherente y consistente (ISOTools, 2015)
Probabilidad: En primera instancia se entiende como la posibilidad que existe de
que un determinado hecho probable realmente suceda. Ese hecho puede finalmente suceder,
o no suceder. (Estela Raffino, 2019)
Sistema de información: Conjunto organizado de elementos, que pueden ser
personas, datos, actividades o recursos materiales en general. Estos elementos interactúan
entre sí para procesar información y distribuirla de manera adecuada en función de los
objetivos de una organización. (EcuRed, 2012)
Gestión de riesgos: La gestión de riesgos es el proceso de identificar, analizar y
responder a factores de riesgo a lo largo de la vida de un proyecto y en beneficio de sus
objetivos. La gestión de riesgos adecuada implica el control de posibles eventos futuros.
Además, es proactiva, en lugar de reactiva. (Gerens, 2017)
Sistema de gestión de riesgos: Los sistemas de gestión de riesgos están diseñados
para hacer más que solo identificar el riesgo. El sistema también debe poder cuantificar el
riesgo y predecir su impacto en el proyecto. En consecuencia, el resultado es un riesgo
aceptable o inaceptable. La aceptación o no aceptación de un riesgo depende, a menudo, del
nivel de tolerancia del gerente de proyectos por el riesgo. (Gerens, 2017)
19
Historia de la gestión de riesgo: A partir de la revolución industrial iniciada en el
siglo diecinueve, las condiciones de producción y de la vida ciudadana en general crean y
se ven expuestas a nuevos y más grandes riesgos, que precisan de una respuesta acorde con
la innovación y la importancia que entrañan. En esa dinámica acelerada del desarrollo
industrial, se alcanzan los años cincuenta del siglo veinte, cuando algunas empresas
incorporan la función de la gerencia de riesgos, dedicada inicialmente a la compra y gestión
de seguros, con posterioridad, la gerencia de riesgos amplía su campo de acción, al
asesoramiento en la decisión de otras políticas de la empresa en su estrategia corporativa y
operacional, en particular en el aseguramiento y fiabilidad de los proceso y las acciones de
seguridad como principales herramienta que contribuyen a garantizar la continuidad de las
operaciones. En el mes de enero del 2005 la “Conferencia Mundial sobre la Reducción de
los Desastres” reunida en Kobe, Hyogo- Japón, promueve la instauración de la Gestión de
Riesgos como parte de la política pública a nivel internacional, lo que marcó un importante
hito en el manejo de las emergencias y desastres manejadas hasta ese entonces. A partir de
ello la gestión de riesgos toma un fuerte impulso y posicionamiento a nivel mundial,
dándole el peso e importancia que se merece. (Moreno, 2013)
ISO es una organización a nivel mundial, su función consiste en la elaboración de
normas internacionales que se realizan por medio de los comités técnicos de ISO, adicional
esta norma trabaja junto con la Comisión de Electrónica Internacional (IEC).
Para que una norma internacional sea publicada esta debe ser llevada a los
organismos miembros de votación y estas requieren al menos el 75% de aprobación de los
dichos organismos.
20
ISO 31000 es una norma no certificable, cuya finalidad consiste en la gestión del
riesgo basándose en que todas las empresas a nivel mundial sin importar su tipo o tamaño
desafían factores e influencias ya sean estas externas o internas, que no permiten visualizar
a la empresa cuando y como alcanzaran sus objetivos, el resultado de esta irresolución que
existe sobre el alcance de los objetivos dentro de una empresa se la conoce como “riesgo” y
la forma de tratar el riesgo según lo establecido por la norma es:
Identificarlo
Analizarlo
Evaluarlo
Tratarlo
La norma internacional ISO 31000 consta de un proceso clave para su modelo sea
eficiente y eficaz y este se divide entre sus principios, la gestión de riesgo y la mejora
continua.
21
(AEN/GET13, 2010)2
Al aplicar este proceso dentro de la organización sus riesgos pueden ser asimilados,
minimizados, trasladados a niveles aceptables brindando confianza y seguridad a los
procedimientos y actividades de la organización en general.
ISO 31000 brinda un proceso confiable para la gestión del riesgo a nivel estratégico
y a su vez operativo, esta norma lleva consigo una familia de normas dadas por ISO que
sirven de aporte para gestionar los riesgos, la familia ISO 31000 incluye:
2 Grupo Específico AEN/GET13 Gestión de Riesgo ISO 31000 cuya Secretaría desempeña AENOR
(Asociación Española de Normalización y certificación)
Norma ISO 31000 establece:
Principios
Gestión de riesgo
Identificación
Análisis
Evaluación
Tratamiento
Plan de mejora
Mejora Continua
Figura 4 Norma ISO 31000
Fuente 4 Elaborado por el autor a partir de
22
(ISO, 2009) (ISO, 2009) (ISO, 2009)
(ISO, 2018)
2.1 ISO 31000/2018 Gestión de Riesgos
ISO 31000 establece que todos y cada uno de los procesos de las empresas
contienen un nivel de riesgo, las organizaciones hacen una gestión de los riesgos de una u
otra manera, pero la forma correcta dada por la norma nos indica que para gestionar el
riesgo es necesario identificarlo, analizarlo, evaluarlo y por último tratarlo para así
minimizarlo, trasladarlo o asimilarlo a niveles aceptables.
Una gestión de riesgo se la puede considerar controlada porque, dentro de la
organización se ha establecido las guías correspondientes para que el nivel de impacto del
riesgo sea mínimo sobre los activos físicos, digitales o humanos, tomando en cuenta que el
riesgo no puede ser eliminado totalmente, siempre se tendrá un valor residual, es por este
motivo que la gestión del riesgo cumple un proceso cíclico.
Agosto 2009 Noviembre 2009 Noviembre 2009 Febrero 2018
ISO 31000 Principios
y Directrices: Norma
internacional para la
gestión de riesgos
ISO 31010 Evaluación de
riesgos usada para dar soporte a
la norma ISO 31000 brindando
técnicas de evaluación de riesgo
ISO Guide 73 Vocabulario,
proporciona las definiciones de
términos genéricos relacionados
con la gestión de riesgo
ISO 31000 Principios y
Directrices: Norma internacional
versión actualizada para la
gestión de riesgos
Figura 5 Familias de la norma ISO 31000
Fuente 5 Elaborado por el autor a partir de
23
2.2 Beneficios de la gestión del riesgo
ISO 31000 ofrece una serie de beneficios en las organizaciones para que su gestión
de riesgo sea óptima, adecuada y correcta, estos beneficios ayudan en muchos aspectos
entre los cuales tenemos:
Alcanzar los objetivos de la empresa.
Estimular proactivamente la gestión del riesgo.
Identifica y trata los riesgos en la empresa.
Mejora la visualización para identificar oportunidades y amenazas.
Mejora el gobierno.
Fortalece la base para la toma de decisiones.
Aumenta y mejora la eficiencia y eficacia en los procesos de la organización.
Disminuye las pérdidas
Gestión de
Riesgos
Identificación
Análisis
Evaluación
Tratamiento
Figura 6 Gestión del riesgo
Fuente 6 Elaborado por el autor a partir de (AEN/GET13, 2010)
24
2.3 Principios de la norma ISO 31000
La base de la norma ISO 31000 para la gestión del riesgo se sustenta en los
principios que se definen como un conjunto de elementos que brindan el apoyo y la
preparación para el diseño de la gestión del riesgo, estos principios son de suma
importancia porque es a partir de estos que se forman los cimientos para establecer el
modelo dentro de la organización.
Figura 7 Principios de la norma ISO 31000
Fuente 7 Elaborado por el autor a partir de (AEN/GET13, 2010)
Principio de integración
Principio de estructura y
exhaustividad
Principio de adaptación
Principio de inclusividad
Principio de dinamismo
Principio de mejor
información
Principio de factor
humano y cultural
Principio de mejora continua
25
Una vez identificados los principios, procedemos a detallar cada uno de ellos.
.
Integración
Estructura
Inclusión
Adaptación
Mejor información
Mejora Continua
Dinamismo
Factor Humano y
Cultural
La gestión del riesgo es parte de las responsabilidades de
gestión y una parte integral de todos los procesos.
Un enfoque oportuno y estructurado de la gestión del riesgo
contribuye a la eficiencia y a resultados coherentes.
La gestión del riesgo se alinea con el contexto externo e interno
de la organización y con el perfil del riesgo.
La implicación apropiada y oportuna de las partes interesadas
y, en particular, de las personas que toman decisiones a todos los
niveles.
La gestión del riesgo es sensible de manera continua a los
cambios y responde a ellos.
Las personas que toman decisiones deberían informarse y tener
en cuenta todas las limitaciones de los datos o modelos utilizados.
La gestión del riesgo permite identificar las aptitudes, las
percepciones y las intenciones de las personas externas e internas.
El proceso del Sistema de Gestión de Riesgos debe mostrar una
mejora en el tiempo, en la eficacia y eficiencia.
Figura 8 Definiciones de los principios de la norma ISO 31000
Fuente 8 Elaborado por el autor a partir de (AEN/GET13, 2010)
26
2.4 Criterios del riesgo
La empresa con base a la norma ISO 31000 deberá establecer los criterios
necesarios para evaluar los riesgos, identificarlos, analizarlos, tratarlos, estos deberán
mostrar objetivos, recursos de la empresa, valores, estos criterios deben de ser coherentes
con la gestión de riesgos para implementar un correcto uso de la misma dentro de la
empresa.
2.5 Identificación del riesgo
Esta actividad se basa en que, las empresas tendrán que identificar los riesgos, su
naturaleza, los lugares de impacto, como se suscitan, así como a su vez las causas y
consecuencias, el objetivo de esto consiste en mejorar, prever, crear, retrasar, acelerar la
consecución de los objetivos de la empresa.
Figura 9 Definición de criterios del riesgo
Fuente 9 Elaborado por el autor a partir de (AEN/GET13, 2010)
27
Aquí se emprende la búsqueda y reconocimiento para describir el riesgo, la empresa
tendrá que recurrir a la aplicación de métodos, herramientas y a su vez técnicas brindadas
por la norma ISO 31000 con la finalidad de conocer los riesgos a los que está expuesta la
organización.
Para que la identificación del riesgo sea exitosa la empresa deberá tener información
pertinente y actual, acompañada de antecedentes apropiados que justifiquen cualquier nivel
de riesgo en el que se encuentre un activo ya sea físico o digital.
2.6 Análisis del riesgo
Esto conlleva a desarrollar una comprensión mesurada del riesgo y a su vez
proporcionar detalles específicos para la evaluación del riesgo y así poder tomar decisiones
sobre cómo tratar el riesgo y detallar que métodos y técnicas serán usadas para su
tratamiento.
Esta actividad implica que se deben considerar las causas, la fuente del riesgo, sus
consecuencias ya sean estas negativas o positivas.
Estos resultados obtenidos serán estudiados minuciosamente para dar detalles
apropiados y confiables al momento de evaluarlos, esto debe ser desarrollado de una
manera correcta ya que es de mucha importancia para la toma de decisiones al momento de
tratar el riesgo.
2.7 Evaluación del riesgo
Una vez obtenidos los resultados del análisis del riesgo el proceso de evaluación del
riesgo tiene el propósito de ayudar a la organización a la toma adecuada y apropiada de
decisiones que detallen los riesgos y el tratamiento a implementar.
28
Estos valores de evaluación nos indica el nivel del riesgo en el que se encuentra un
activo o procedimiento en la empresa, aquí el riesgo se lo categoriza por la probabilidad e
impacto y así se puede obtener un análisis cualitativo o cuantitativo, un modelo a seguir
puede ser:
Tabla 1 Matriz de riesgo
2.8 Tratamiento del riesgo
Este proceso implica el método, opciones, implementaciones que van a modificar el
riesgo para que esté sea asimilado, mitigado, trasladado a niveles de impacto aceptables.
El tratamiento del riesgo compone un modelo cíclico en la cual comprende:
Matriz de valoración de riesgo Impacto
Insignificante Moderado Dañino Extremo
Probabilidad
Muy alta Medio Alto Crítico Crítico
Alta Medio Alto Alto Crítico
Media Bajo Medio Alto Alto
Baja Bajo Bajo Medio Medio
Fuente 10 Elaborado por el autor a partir de (AEN/GET13, 2010)
Análisis
del riesgo
Valoración
del riesgo
Tratamiento
del riesgo
Eficacia
del
tratamiento
Figura 10 Tratamiento del riesgo
Fuente 11 Elaborado por el autor a partir de (AEN/GET13, 2010)
29
El tratamiento del riesgo nos brinda varias opciones que de las cuales se establecen
las más apropiadas entre estas opciones tenemos:
Evitar el riesgo (no continuar con la actividad que lo causa).
Aceptar o asimilar el riesgo (con el fin de buscar una oportunidad).
Eliminar la fuente del riesgo.
Modificar su probabilidad o impacto (realizar un cálculo de tiempo determinado).
Mitigar el riesgo (llevarlo a niveles de impacto aceptables).
Trasladar el riesgo (trasladar la causa del riesgo).
Compartir el riesgo (con el fin de que su nivel de impacto se divida).
La elección de opciones brindadas por el tratamiento del riesgo debe ser la que más
se ajuste al riesgo estudiado, para que así brinde una confianza plena a la organización en la
forma en que son gestionados sus riesgos y no exista un nivel de preocupación elevado por
el nivel de impacto o los peligros que se lleguen a materializar sobre los activos.
La valoración y tratamiento de cada riesgo se realiza de manera individual, sin
embargo, se puede dar el mismo tratamiento entre un riesgo y otro porque existe la
posibilidad de que se repita un mismo riesgo entre un activo y otro.
2.9 Seguimiento y revisión
En el proceso de seguimiento y revisión el tratamiento del riesgo será supervisado
de forma periódica o anual para que las guías establecidas para el tratamiento del riesgo
están actuando eficientemente con el objetivo de:
Asegurarse que los controles establecidos aún mantengan su eficiencia y eficacia
en los activos establecidos.
30
Asegurarse de recolectar información complementaria para la apreciación de los
riesgos.
Obtener conclusiones de los sucesos entre los cuales tendremos fallos, cambios,
éxitos y tendencias.
Identificar los riesgos emergentes.
Los resultados obtenidos del seguimiento y revisión nos ayudan a establecer si el
tratamiento está resultando eficiente o no y a su vez nos ayuda para la toma de decisiones si
existen tratamientos que deben ser modificados o añadidos a los procedimientos o activos
de la organización, adicional el seguimiento y revisión es un pilar fundamental para la
mejora continua en el marco de la norma ISO 31000.
2.10 Mejora continua
En esta parte del modelo los resultados se dan por la actividad del seguimiento y
revisión el cual nos da detalles que la gestión de riesgos se está ejecutando de forma
correcta, adicional la mejora continua hace énfasis en las metas de desempeño que tiene la
organización en sus sistemas, recursos, la capacidad y habilidades.
La mejora continua no solo se enfoca en los activos físicos, procedimientos o
actividades de la empresa, si no también considera el factor humano, midiendo sus
conocimientos, funciones, roles e incluso su experiencia laboral.
31
2.11 MAGERIT V. 3.0
MAGERIT V. 3.0 brinda la metodología del análisis y la gestión del riesgo, está
relacionada de forma directa a la generalización del uso de las tecnologías de la
información, esta metodología interesa a todas las partes que trabajan con información
digital o sistemas informáticos, y por medio de su función, MAGERIT dará a conocer
cuánto es el valor que está en juego de estos activos y les ayudará a protegerlos, dará a
conocer el riesgo en el cual se encuentran expuestos los elementos laborales.
2.11.1 Beneficios de MAGERIT V. 3.0
Concientizar a todos los involucrados en la organización de la existencia de
riesgos al cual están vulnerables sus activos y la necesidad de gestionarlo.
Seg
uim
iento
y R
evisió
n (2
.9)
Identificación del riesgo (2.5)
Análisis del riesgo (2.6)
Evaluación del riesgo (2.7)
Tratamiento del riesgo (2.8)
Mejora Continua
Figura 11 Mejora continua
Fuente 12 Elaborado por el autor a partir de (AEN/GET13, 2010)
32
Brindar un método sistemático para que puedan ser analizados los riesgos que son
derivados del uso de tecnologías de la información y comunicación.
Nos guía en la preparación, planificación el tratamiento oportuno para mantener
los riesgos bajo control.
2.11.2 Estructura de MAGERIT V. 3.0
La estructura de la metodología MAGERIT V. 3.0 está formada por tres escritos.
Primer escrito Método.
Segundo escrito Lista de elementos.
Tercer escrito Orientación de técnicas.
2.11.3 Método
Se clasifica en:
Conceptos brindados de manera informal.
Define pasos y concreta las actividades para la gestión del riesgo
Detalla opciones y criterios para el tratamiento de riesgos.
Se enfoca en los proyectos para los análisis de los riesgos.
Se anticipa a problemas que se pueden presentar después de que se realiza los
análisis de riesgo.
En la formulación de estas guías se va reflejando todo tipo de sucesos, el proceso de
gestión de riesgos deberá identificar y trata de manera inmediata los riesgos que sean de
carácter crítico para de esta manera tratar progresivamente los riesgos de menor criticidad,
lo adecuado o indicado es armonizar el esfuerzo al valor de los datos y los servicios que
estos sustenta.
33
2.11.4 Lista de elementos
Marca pautas en cuanto a:
Tipos de activos.
Dimensiones para la valoración de activos.
Criterios para la valoración de los activos.
Salvaguardas a considerar para proteger los activos.
La lista de elementos nos ayuda a normalizar los resultados de los análisis,
promoviendo criterios uniformes que nos ayuden a comparar e integrar la información de la
gestión de riesgos.
2.11.5 Guías de técnicas.
Técnicas para el análisis del riesgo.
Análisis por medio de tablas
Técnicas de manera generales
Técnicas mediante gráficos
Entrevistas, reuniones.
La guía de técnicas que brinda a los involucrados una mejor comprensión de los
resultados que se lleguen a obtener.
2.11.6 Método de análisis de riesgos
El análisis de los riesgos se la puede conocer como una aproximación metódica para
poder conocer el riesgo, para esto se consideran los siguientes pasos:
Establecer los activos más importantes para la organización.
Identificar y definir a que amenazas, peligros o riesgos estén expuestos aquellos
activos.
34
Estimar el impacto, como a su vez el daño en que un impacto llegue a
materializarse sobre un activo.
Estimar el riesgo, o la expectativa de materialización de la amenaza.
La siguiente figura detalla el activo y su valor, el impacto y al riesgo al que está
expuesto y por otra parte las amenazas a las que se encuentra, la causa que genera una
degradación y la probabilidad que está se pueda materializar.
2.11.7 Activos
En una organización existen dos cosas esenciales:
La información que la empresa maneja.
Los servicios que prestan.
Activos
Valor
Riesgo
Impacto
Amenazas
Degradación
Probabilidad
Causan una
cierta
Con una
cierta
Figura 12 Elementos del análisis de riesgos potenciales
Fuente 13 Elaborado por el autor a partir de (Dirección general de modernización administrativa, 2012)
35
Los activos esenciales en toda organización son la información y los servicios
prestados, pero se puede establecer que estos activos dependen de otros activos como
pueden ser los equipos, comunicaciones, las personas, software e incluso instalaciones.
2.11.7.1 Valoración
La valoración no estima lo que cuesta un activo, sino de lo que valen para la
empresa, la valoración se la toma desde la perspectiva de la necesidad de proteger, en otras
palabras, cuanto más valioso es un activo para la organización mayor es su nivel de
protección.
2.11.7.2 Dimensiones
Las dimensiones de un activo son:
Su confidencialidad Esta valoración se refiere en cuanto a datos.
Su integridad Esta valoración es dad cuyos datos puedan ser manipulados, ser
falsos o incluso faltar información.
Su disponibilidad Esto es dado en los servicios.
Para identificar estas tres dimensiones sobre los activos nos realizamos las
siguientes preguntas:
¿Qué daño causaría que lo conociera quien no debe?
¿Qué perjuicio causaría que estuviera dañado o corrupto?
¿Qué perjuicio causaría no tenerlo o no poder utilizarlo?
36
2.11.8 Amenazas
Determinar las amenazas que puedan llegar a afectar a cada activo en la
organización, las amenazas se las puede relacionar con cosas que ocurren que pueden llegar
a ser perjudiciales a nuestros activos.
2.11.8.1 Identificación de amenazas
2.11.8.2 Valoración de las amenazas
Cada activo es vulnerable a cualquiera amenaza si no está debidamente protegido,
pero cuando una amenaza o riesgo se materializa no se ven afectadas todas las dimensiones
que tiene el activo ni en la misma cuantía, cuando la amenaza perjudica el activo, se
valoran dos puntos:
Degradación: Cuan perjudicado podría estar el activo.
De origen natural.
Defectos de las aplicaciones.
Causadas por las personas de forma accidental.
Causadas por las personas de forma deliberada.
Figura 13 Tipos de amenazas
Fuente 14 Elaborado por el autor a partir de (Dirección general de modernización administrativa, 2012)
37
Probabilidad: Cuan probable o a su vez improbable que se llegue a materializar una
amenaza.
2.11.8.3 Determinación del impacto
Se conoce como impacto a la medida que causa el daño sobre un activo procedente
de la materialización de un riesgo, conociendo el valor de los activos y su cálculo es dado
por factores:
El valor del activo
La amenaza al que está expuesto
2.11.9 Salvaguardas
Se conoce como salvaguardas o contramedidas a todos aquellos procedimientos,
mecanismos, guías o controles que ayudan a reducir el riesgo, en las organizaciones existen
riesgos que se pueden minimizar organizando adecuadamente las actividades del personal,
otros requieren ayuda de programas o equipos, otros requieren seguridad física y por último
en muchas ocasiones requieren de políticas.
2.11.9.1 Selección de salvaguardas
Puede existir un amplio abanico de medidas que se tomen para proteger los activos,
pero se debe tener en cuenta los siguientes aspectos: conocer el tipo de activo que se
necesita proteger, las dimensiones que se deben o se necesitan proteger y conocer las
amenazas de las que necesitamos protegernos.
Las salvaguardas actúan de dos formas al ser aplicadas para proteger el activo:
Las salvaguardas reducen la probabilidad de la amenaza.
Ayudan limitando el daño causado.
2.11.9.2 Tipos de protección
38
Prevención, se establece que una medida preventiva cuando se reduce las
oportunidades a que un incidente ocurra.
Ejemplo: autorización de ingreso a los usuarios, segregación para las tareas
Disuasión, una salvaguarda puede llegar a ser disuasoria cuando esta tiene un efecto
sobre los atacantes que estos no se atreverán a atacar.
Ejemplo: avisos de seguridad, avisos de la persecución de un delito.
Minimización, se indica que una salvaguarda minimiza el impacto cuando limita
las consecuencias de un incidente.
Ejemplo: Desconexión de redes, equipos
Corrección, una salvaguarda puede llegar a ser correctiva cuando habiendo
suscitado un daño, ésta lo repara.
Ejemplo: líneas de comunicaciones alternativas, fuentes de alimentación.
Recuperación, una salvaguarda puede brindar una recuperación cuando ésta
permite regresar al estado anterior de un incidente.
Ejemplo: Realizar copias de seguridad que se obtengan como respaldo en caso de
emergencias.
Monitorización, estas son las salvaguardas que ayudan monitorizando lo que está
ocurriendo, si se llegasen a detectar cosas a tiempo, se podrá reaccionar atajando el
incidente en caso contrario se aprenderá del incidente y mejorar el sistema.
Ejemplo: Registro de actividades, registro de descargas web
Detección, una salvaguarda puede funcionar detectando un ataque cuando informa
que el ataque está ocurriendo, aunque este no impida el ataque, si nos permite que entren en
operación otras medidas.
Ejemplo: anti-virus
39
2.11.10 Metodología MAGERIT V 3.0
La metodología MAGERIT nos ayuda de forma considerable a la implementación
de los riesgos dándonos guías, técnicas, y conceptos al momento de identificar activos,
riesgos, amenazas para así tener una mayor claridad al momento de efectuar la gestión de
riesgos.
La aplicación de la metodología MAGERIT se basa únicamente al momento de
implementar la gestión de riesgos.
Principios de la Norma
ISO 31000
Mandato y
compromiso
Mejora del marco
Seguimiento y
revisión del marco
Implementación de la
gestión de riesgo
Diseño del marco de
trabajo
MAGERIT
V.3.0
Figura 14 Implementación de MAGERIT V 3.0
Fuente 15 Elaborado por el autor a partir de (PAE, 2012)
40
2.12 Mandato y compromiso
La gestión de riesgo inicia con el compromiso de la alta gerencia en la cual consiste
en que conozca, concientice y disponga de los recursos necesarios para la implementación
de la norma, además diseñar un marco de trabajo donde se da a conocer los principios de la
norma ISO 31000 y en el cual se establezca de forma clara sus objetivos, funciones de
trabajadores, obligaciones de los mismos, la comunicación entre las partes interesadas y
esto deberá ser monitoreado y que se cumpla lo establecido, para que se pueda implementar
de manera correcta la gestión de riesgo.
41
Mejora Continua Mandato y
compromiso
Principios
- Integración
- Estructura
- Adaptación
- Dinamismo
- Mejor
información
- Factor humano y
cultural
- Mejora continua
Seg
uim
iento
y rev
isión
Identificación del
riesgo
ISO 31000: RELACIONES ENTRE LOS PRINCIPIOS, MARCO DE TRABAJO, PROCESO DE GESTION DE RIESGO Y SU MEJORA
CONTINUA
Diseño del marco de
trabajo de la gestión
del riesgo
Análisis del
riesgo Mejora continua del
marco de trabajo
Implementación de la
gestión del riesgo
Evaluación del
riesgo Seguimiento y revisión
del marco de trabajo
Tratamiento del
riesgo
Figura 15 ISO 31000 y sus relaciones
Fuente 16 Elaborado por el autor a partir de (AEN/GET13, 2010)
42
CAPÍTULO III
METODOLOGÍA
3.1 Metodología de la investigación
Para este trabajo de investigación se utilizarán los siguientes métodos de
investigación.
Investigación de campo, será utilizada ya que facilitará la recolección de
datos imprescindibles de la organización y el investigador estará situado en
la con los factores directos de la problemática.
Investigación exploratoria, permitirá el análisis y el estudio de las guías
impartidas por la norma ISO 31000/2018 así obteniendo la proyección del
modelo de gestión de riesgos y todo lo que sea necesario dentro de su marco.
Finalmente, con la investigación descriptiva se detallan e identifican los
aspectos de la gestión de riesgo y la aplicabilidad en la organización.
43
3.2 Población y muestra
La población de esta investigación pertenece a la empresa BlueBox, con un total de
25 personas distribuidas de la siguiente manera, departamento de TI que cuenta con 4
usuarios, el departamento de recursos humanos con 4 usuarios, departamento financiero
con 4 usuarios, departamento de logística con 3 usuarios, departamento de marketing con 3
usuarios y el departamento de audiovisual con 7 usuarios.
Por otra parte, siendo la muestra de la empresa el departamento de audiovisual que
consta con 7 usuarios, ya que es el área más sensible y más vulnerable en amenazas
identificadas en el transcurso del proyecto. Este departamento lleva el manejo de
información sensible para la operatividad de la empresa, debido a que no existe una
concientización sobre los riesgos que implica el manejo de esta información, esta se vuelve
Investigación de campo
• El investigador se encontrara relacionado con las operaciones de la organización.
• El investigador interactua directamente con el personal de BlueBox.
Investigación explorativa
• Estudio de la norma ISO 31000/2018.
• Estudio de la problemática de la organización.
Investigación descriptiva
• Descripcion de manera detallada de los aspectos de la gestion de riesgo y la forma correcta de la aplicabilidad en la organización.
Figura 16 Metodologías usadas para la investigación del trabajo
Fuente 17 Elaborado por el autor
44
susceptible a cualquier tipo de amenazas o peligro, el uso del muestreo no probabilístico
será el indicado para llegar a los análisis de los resultados.
3.3 Técnicas e instrumento de investigación.
La técnica para la captura y recopilación de datos utilizada en esta investigación fue
la observación y las entrevistas y encuestas. Para un mejor detalle consultar el anexo A.
3.3.1 Observación
Esta técnica se facilitó el recabar información de buena fuente sin tener contacto con
el personal de la organización, así adquiriendo más detalles sobre las incidencias, peligros y
riesgos, dando una constancia de cómo podrá actuar el personal ante la presencia de
cualquier incidente, identificando falencias, descuidos y así, descubriendo los aspectos más
frágiles de la empresa.
La técnica de observación se la realizó por un periodo de dos semanas y fueron
enfocadas en el departamento de audiovisual que consta de siete personas. El resultado de
esta técnica se detalla a continuación:
No llevan un respaldo adecuado de la información.
No hay una correcta segregación de funciones.
Todo el personal del departamento tiene libre acceso a cualquier computadora de
la misma área.
3.3.2 Entrevistas y encuestas
Se entrevistó al encargado del departamento de TI y de audiovisual, y se realizó la
encuesta a todo el personal de BlueBox para conocer el nivel de concienciación que tienen
sobre las vulnerabilidades a las que está expuesta su información. Adicional se les realizó
45
una serie de preguntas plasmadas en las encuestas con el fin de obtener más detalles de
cómo se desenvuelve el personal en sus actividades diarias.
Para conocer detalles sobre la entrevista realizada a los encargados del
departamento de TI y audiovisual consultar el anexo A.
3.3.3 Análisis de los resultados de la técnica de las encuestas
Una vez terminada el estudio de las encuestas del departamento de audiovisual, se
inició el análisis de la información obtenida sobre los incidentes, riesgos o peligros y los
aspectos que encuadran los mismos, para exponer de una mejor manera las conclusiones
obtenidas del personal detallamos lo siguiente. Para una información más detallada de la
encuesta establecida consultar el anexo A.
El personal no está consciente de que la información que maneja es vulnerable a
cualquier riesgo.
El personal no sabe cómo actuar al momento en el cual se materializa un riesgo.
Las computadoras no cuentan con un software antivirus y están posibles al riesgo
de contraer malware.
No existe una segregación adecuada de funciones sobre activos como:
computadoras y dispositivos de almacenamiento externo.
No existen políticas de confidencialidad de la información, cualquiera del
personal tiene acceso libre a la información.
3.4 Metodología de la investigación aplicada
La metodología aplicada fueron técnicas de recolección de datos por medio de
entrevistas, encuestas y observación las mismas que nos permitió desarrollo del modelo
46
ajustado a la organización, se usó la metodología descriptiva para detallar los puntos más
relevantes y críticos de la organización, y se pudo concluir que en la empresa BlueBox
existen falencias tales como las faltas de guías para la correcta gestión de riesgos y el no
contar con políticas de control sobre la gestión de los activos y procedimientos de los
empleados de la empresa.
Con base al resultado de la investigación exploratoria, se promueve el estudio de la
norma ISO 31000 y MAGERIT versión 3.0 donde se detalla el planteamiento de la gestión
de riesgos, la cual busca dar una solución a la problemática actual de la empresa, a
continuación, se detalla la siguiente figura.
47
Figura 17 Metodología de la investigación aplicada
Fuente 18 Elaborado por el autor
1
Estudio de la
norma ISO
31000 y
Magerit.
2
Definir
instrumentos de
recolección de
datos.
3
Análisis de la
información.
6
Ejecución del
modelo.
5
Diseño del
modelo.
4
Sensibilización
y análisis
comparativo.
7
Presentación de
la
documentación
48
CAPÍTULO IV
PROPUESTA
4.1 La propuesta
Como principal objetivo de la propuesta es realizar un sistema de gestión de riesgo
de incidentes y amenazas sobre los activos con el fin de salvaguardar dichos activos tanto
físicos, digitales y humanos en la empresa BlueBox tomando en cuenta que este modelo
pudiera ser implementado o usado como base para otras organizaciones.
El proyecto se desarrolló en conjunto a los directivos de la empresa y las
necesidades de todos los empleados de la misma y se estableció en 4 fases la cuales son,
principios de gestión de riesgo, gestión de riesgos, salvaguardas y el plan de mejora
continua.
En la fase 1 se estableció los principios básicos de la gestión de riesgo
concientizando a la empresa y directivos sobre las necesidades que presenta la
organización, estos principios guían a la comprensión de todo el personal que esté
involucrado en las actividades de la empresa, a una concientización sobre los riesgos
existentes para que se genere un entorno más confiable para llegar al cumplimiento de los
objetivos en la organización implementando compromisos y responsabilidades.
En la fase 2 se estableció la gestión de riesgo en la cual se definió como se van a
identificar los activos los activos más importantes para la empresa mediante sus criterios de
las dimensiones de disponibilidad, integridad y confidencialidad, se va a identificar,
analizar y valorar las amenazas que se presenten en cada activo los resultados de las
amenazas se darán mediante fórmulas que permitan calcular el promedio de impacto que
tiene esta sobre un activo, una vez obtenido estos resultados de las amenazas calculamos
49
los niveles de riesgos que se lo calcula mediante todas las amenazas presentadas a un activo
así determinamos un nivel de riesgo y por último establecemos las guías o tratamientos que
se le van a dar a esos riesgos para minimizarlos y llevarlos a niveles aceptables.
La fase 3 es la implementación de las salvaguardas que son las contramedidas
adicionales a las guías y tratamientos para las amenazas detectadas esto sirvió para
minimizar y minimizar aún más los niveles de riesgo.
Y por último tendremos la fase 4, la mejora continua que es la retroalimentación
del modelo, la mejora continua consiste en la revisión de manera periódica que puede ser
dos veces por año de las medidas y guías implementadas, adicional se utilizarán medidas
preventivas y métricas que nos ayuden a llevar un control de la efectividad del modelo de
gestión de riesgo.
Para lograr el objetivo se ha tomado como guía la norma internacional ISO 31000 y
la metodología MAGERIT V 3.0 ya que estás indican la manera correcta para establecer
una gestión de riesgo, brindando las pautas de cómo implementar sus guías y los procesos
adecuados.
4.2 Justificación de la propuesta
Dado que la empresa BlueBox demuestra riesgos que afectan sus operaciones y que
son emergentes por la incapacidad o desconocimiento de los riesgos existentes, se efectuó
una investigación respecto a las necesidades de dicha empresa junto con el comité.
Con base a la obtención de datos dada por la investigación se propone como
solución más factible el diseño de un modelo sistema para la gestión de riesgo basado en la
50
norma ISO 31000 y MAGERIT versión 3.0, la cual nos permitirá detectar, prever, y tratar a
tiempo los incidentes que se presenten.
4.3 Descripción de la propuesta
La propuesta se basa en la implementación de un modelo de gestión de riesgos
usando como guía la norma ISO 31000 y MAGERIT versión 3.0 estas serán las bases del
modelo al momento de ser implementado, contará con un proceso de identificación,
análisis, evaluación y tratamiento de amenazas, las salvaguardas nos ayudará a que estas
amenazas no lleguen a materializarse y si llegase a pasar su nivel de impacto sea mínimo
para que no cause un daño tan grave a los activos, por otra parte, el plan de mejora
continua es un proceso cíclico que nos indicará si las guías y contramedidas establecidas se
estén cumpliendo de una manera correcta.
En la actualidad se presentan varias amenazas en activos tanto físicos, digitales,
humanos, incluso a los procedimientos más relevantes del departamento de audiovisual, por
lo que se plantea implementar los principios, la gestión de riesgo, las salvaguardas y el plan
de mejora continua.
La propuesta del diseño de un modelo de sistema para la gestión de riesgo basado en
la norma ISO 3100 y MAGERIT versión 3.0, busca demostrar que se identifican, controlan,
mitigan, minimizan o asimilan los riesgos que afectan a la organización todo esto se hará
conjunto al comité.
4.4 Implementación del diseño de un modelo de sistema para la gestión de riesgo en
los marcos de la norma ISO 31000 y la metodología MAGERIT versión 3.0
51
Figura 18 Modelo de sistema para la gestión del riesgo
Fuente 19 Elaborado por el autor
Fase 4. Mejora continua
4.1 Monitoreo, revision periodica y documentada de la
gestión de riesgos4.2 Medidas preventivas.
Fase 3. Establecer Salvaguardas
3.1 Definir contramedidas. 3.2 Implementación.
Fase 2. Gestión de Riesgos.
2.1 Identificación de los activos.
2.2 Identificación y valoración de las
amenazas.
2.3 Evaluación y tratamiento de las
amenazas.
Fase 1. Desarollo de los principios de la gestión de riesgos
Fase 1
Definir los objetivos del
modelo.
Establecer los principios.
Objetivos de la empresa y
responsabilidades.
Fase 2
Identificación.
análisis y evaluación de
amenazas.
Tratamiento de los riesgos.
Riesgos residuales.
Aplicabilidad.
Fase 3
Implementación de
salvaguardas para amenazas
Fase 4
Medir la efectividad de las
guías para tratar el riesgo.
Registrar acciones.
52
4.5 Fase 1: Preparar y planificar los principios
En esta fase se estableció los principios de gestión de riesgos, los objetivos de la
empresa, el alcance, el compromiso al que se ajusta la empresa, la responsabilidad de
usuarios y del comité, los principios de la gestión de riesgo fueron acordados junto con el
comité de la empresa.
4.5.1 Formato de los principios, mandato y compromiso de la empresa BlueBox.
Todo principio que se llegue a incluir en el contexto de la empresa deberá contener
lo siguiente.
Objetivos de la empresa.
Alcance.
Compromiso de la empresa.
Responsabilidades de los usuarios.
Responsabilidades del comité.
Principio de integración
Principio de adaptación
Principio de dinamismo
Principio de mejor información
Principio de factor humano y cultural
Cabe recalcar que cada vez que se modifique el contexto de la empresa estos
principios deberán ser alineados a dicho contexto, adicional se podrán incluir otros
principios de acuerdo a las necesidades que la empresa lo requiera.
53
4.5.2 Objetivos de la empresa
Definir los principios en el cual se va a definir el modelo de gestión de
riesgo y las guías, precautelando los activos más importantes de la
organización en cuanto a su integridad, confidencialidad y disponibilidad,
con el fin para prever y limitar las amenazas en los activos y procedimientos
de la empresa tomando en cuenta los recursos tecnológicos y de seguridad.
Crear y mantener una cultura sobre la gestión de riesgos a los cuales están
expuestos los activos, desde lo más alto de la organización hasta lo más bajo.
Velar por el modelo de la gestión de riesgo se mantengan a lo largo del
tiempo soportado por una adecuada mejora continua.
4.5.3 Alcance
La implementación de estos principios va de la mano con los recursos y
procedimientos vinculados con la empresa ya sean estos externos o internos.
4.5.4 Compromiso de la empresa
La alta directiva de BlueBox, se responsabiliza de:
Aprobación y autorización para implementar el modelo de gestión de
riesgos.
Facilitar la asignación de recursos.
Establecer un comité que trabaje de la mano con el grupo investigador al
momento de implementar la gestión de riesgos.
Establecer un comité que trabaje de la mano con el grupo investigador al
momento de implementar la gestión de riesgos.
54
4.5.5 Responsabilidades de los usuarios.
Cumplir con las guías de tratamiento establecidas para la gestión de los
riesgos.
Cada uno es responsable de sus funciones asignadas.
Utilizar los recursos disponibles y asumir responsabilidades.
4.5.6 Responsabilidades del comité.
Monitorear y establecer guías que garanticen la minimización de riesgos de
una manera periódica
Aplicar y hacer cumplir los principios establecidos.
Aprobar y promover las campañas para la concienciación de los riesgos.
El comité estará conformado por:
Presidente de la empresa BlueBox.
Un representante del departamento de TI.
Un representante del departamento de audiovisual.
Un representante del departamento de Recursos Humanos.
Cabe resaltar que el comité tendrá que reunirse de una manera periódica de dos
veces al año, para llevar un control y registro mesurado de que todas las actividades, guías,
auditorias y cumplimientos de los tratamientos que se lleven a cabo dentro de la
organización.
55
De acuerdo a la norma ISO 31000 se establecieron los siguientes principios básicos.
4.5.7 Principio de Integración
La empresa BlueBox se comprometerá a que la gestión de los riesgos tiene que ser
integrada en todas las actividades, funciones y procedimientos dentro de la organización sin
aislar ninguna de estas.
4.5.8 Principio de Adaptación
BlueBox deberá adaptar el proceso de la gestión de riesgos al contexto de la
empresa para que esté alineada juntos a sus objetivos, metas establecidas y con el perfil de
cada riesgo.
4.5.9 Principio de Dinamismo
A medida del paso del tiempo los riesgos de una u otra manera pueden aparecer,
desaparecer o cambiar, conforme con los cambios de contexto que da la empresa, por este
motivo BlueBox dará seguimiento y responderá de forma oportuna a estos cambios.
4.5.10 Principio de Mejor Información
La gestión de riesgos debe realizarse teniendo en cuenta la opinión del personal
laboral dentro de la empresa, BlueBox se compromete a brindar información histórica y
actual, adicional deberá trabajar en conjunto para la implementación del modelo de gestión
de riesgo para una mejor toda de decisiones.
4.5.11 Principio de Factor Humano y Cultural
BlueBox se compromete a realizar capacitaciones, charlas para crear conciencia de
las amenazas existentes sobre los activos de la empresa y crear una cultura sobre el
personal para mejorar los procedimientos laborales.
56
4.6 Fase 2: Gestión de riesgos
La fase de la gestión de riesgos es un pilar fundamental para la implementación del
modelo en esta tarea se identificó los activos, amenazas, análisis y tratamientos, para
responder a factores de amenazas o incidentes que se presenten a lo largo del proyecto
dentro de la empresa y así medir el nivel de criticidad cuando una amenaza llegue a
materializarse, para toda la fase de la gestión de riesgo se tomó en consideración la
metodología MAGERIT versión 3.0.
El comité que está encargado de desempeñar esta función conjunto a la directiva y
el investigador de este proyecto deberán acoger las guías brindadas para el tratamiento de
los riesgos, precautelando la seguridad de los activos, para que así se llegue al
cumplimiento de los objetivos de la empresa, mediante la gestión de los riesgos se deberán
obtener los siguientes resultados.
Determinar los activos de mayor importancia para la empresa.
Definir las amenazas a las que está expuesto cada activo.
Estimar el impacto si se llegase a materializar alguna amenaza.
4.6.1 Identificación de activos
Para la identificación de los activos se tomará en consideración los activos cuya
importancia sean más relevantes para la empresa, a continuación, se mostrará una tabla con
los diferentes activos en general que pueden existir dentro de una organización.
Para identificar estos activos se consideró la metodología MAGERIT, que brinda
una lista de activos y detalla las funciones de cada uno. Cabe considerar que está es una
lista general y no todas las empresas pueden disponer de todos los activos del listado.
57
Tabla 2 Identificación de activos
4.6.2 Valoración de activos
Para valorar de los activos se tomarán en cuenta varios aspectos tales como: adquirir
nuevos equipos, nueva información, el no tener información disponible, en qué plazos
puedo recuperar la información, y que tan necesario es el activo para la empresa, por ende
valoramos sus tres dimensiones disponibilidad, integridad, confidencialidad y adicional, la
importancia que tiene el activo para la empresa las valoraciones de estos criterios tendrán
una escala del 0 al 10, siendo el 10 un máximo y el 0 un mínimo. La identificación de
activos para la empresa BlueBox se la realizó conjunto al comité.
Activos Función
Datos Físicos y digitales para uso esencial de la empresa
Servicios Necesarios para poder organizar el sistema
Aplicaciones informáticas
(Software)
Uso para el manejo de datos, actividades y procedimientos de la
empresa
Equipos informáticos (Hardware) Para alojar los datos , las aplicaciones y los servicios
Soportes de información Dispositivos extraíbles de almacenamiento de datos
Equipamiento auxiliar Complementarios de materiales informáticos
Redes de comunicación intercambio de datos
Instalaciones Acogen los equipos informáticos y los de comunicación
Personas Explotan u operan todos los elementos anteriormente ya citados
Utensilios de oficina Objetos de escritorio
Fuente 20 Elaborado por el autor
58
Tabla 3 Criterios de valoración para activos, amenazas y riesgos
Nivel Criterio Descripción
10 Extremo Casi imposible de reponer
9 Muy alto Muy dificil de reponer
6-8 Alto Complicado en reponer
3-5 Medio Facíl de reponer
1-2 Bajo Reposición inmediata
0 Despreciable Despreciable
El esquema para la valoración de activos será dado de la siguiente manera:
Nombre del activo
Sus dimensiones
{D} Disponibilidad.
{I} Integridad
{C} Confidencialidad.
Importancia del activo
Este mismo criterio de valoración será utilizado al momento de valorar amenazas y
riesgos.
4.6.2 Identificación de amenazas
Terminada la identificación de activos con sus niveles de importancia, se procede a
realizar la identificación y el análisis de las amenazas a la que los activos están expuestos
para determinar las causas, orígenes, aspectos positivos y negativos de cómo surge las
amenazas.
Fuente 21 Elaborado por el autor
59
Para llevar a cabo esta tarea, se la realizó en conjunto con el comité con base a los
datos obtenidos de las encuestas y técnicas de observación. Un aspecto adicional que se
toma a consideración para la identificación de una amenaza es saber cuán probable o
improbable es que esta se materialice.
4.6.3 Valoración de las amenazas
Una vez identificada las amenazas, la siguiente tarea es la valoración la cual
consiste en determinar los promedios de impacto de las amenazas que lleguen a ocasionar
sobre los activos, es decir que tan dañino puede ser una amenaza sobre un activo. Las
amenazas se las valoran planteando tres preguntas fundamentales (¿Qué daño causaría qué
lo conociera quien no debe?, ¿Qué perjuicio causaría no tenerlo o no poder utilizarlo? y
¿Qué perjuicio causaría que estuviera dañado o corrupto?) y así le damos valores a sus
dimensiones disponibilidad, integridad y confidencialidad y sus criterios serán una escala
del 0 al 10 siendo 10 un máximo y 0 un mínimo, estos valores son dados conjunto al comité
La fórmula para establecer el promedio de las amenazas es la siguiente:
Promedio de amenaza = La suma de sus 3 dimensiones (D+I+C) * la
importancia de un activo dado en %
4.6.4 Determinación de los niveles de riesgo
El nivel del riesgo es la medida de daño sobre un activo producido por la
materialización de una amenaza. Conociendo la importancia de los activos y las amenazas a
las que están expuestos, los niveles de riesgo son los mismos criterios de la tabla# 3.
Una vez conocido el promedio que tiene la amenaza sobre un activo, el riesgo
aumenta con su probabilidad, para el cálculo del riesgo y se da de la siguiente forma:
60
Riesgo = Probabilidad * la suma de todos los promedios de las amenazas en
cada uno de los activos.
La probabilidad de las amenazas fue dada en conjunto con el comité con base a los
datos recolectados a lo largo del proyecto.
Tabla 4 Tabla de probabilidad
4.6.5 Tratamiento de las amenazas
Ya determinado los niveles de riesgos, se establecen las guías para tratar las
amenazas y estas no lleguen a materializarse sobre un activo. Las guías o tratamientos
establecidas fueron tomadas en conjunto con el comité buscando la acción de minimizar el
nivel de impacto de los riesgos sobre los activos, los tratamientos o guías pueden ser de
diferentes tipos, pero se dan según la prioridad que tengan estas amenazas es decir se van a
tratar de forma inmediata aquellas amenazas que se consideren más altas.
La implementación de guías o tratamientos se dará en tres fases, partiendo desde las
amenazas de mayor prioridad hasta las de menor prioridad.
La prioridad de una amenaza se da según el resultado del nivel del riesgo obtenido
Nivel Criterio
5 Muy alto
4 Alto
3 Posible
2 Bajo
1 Raro
Fuente 22 Elaborado por el autor
61
Tabla 5 Tabla de prioridad para tratar las amenazas según su nivel de riesgo
Nivel de
riesgo
entre:
Prioridad
19-20 Muy crítico
16-18 Crítico
13-16 Muy alto
7-10 Alto
4-6 Medio
1-3 Bajo
Fuente 23 Elaborado por el autor
4.7 Fase 3: Establecer salvaguardas
En esta fase se eligen las contramedidas adicionales a las guías y tratamientos de las
amenazas, estas medidas serán tomadas conjunto al comité y serán dadas según a los
niveles de riesgos obtenidos. Cabe detallar que las salvaguardas pueden ser de cualquier
tipo y además que se pueden agregar más salvaguardas según las necesidades que se
presenten en la empresa a medida que transcurra el tiempo o se detecten o emerjan nuevas
amenazas.
Las salvaguardas pueden ser de tipo:
62
4.8 Fase 4: Mejora continua
La mejora continua es el proceso cíclico en el cual se da un seguimiento a la gestión
de riesgo, guías y contramedidas establecidas para verificar que estén cumpliendo de
manera correcta sus funciones establecidas, la tarea de la mejora continua es la
retroalimentación de todo el modelo de la gestión de riesgo implementada.
El comité deberá monitorear las guías establecidas para la gestión de los riesgos, se
puede considerar que la revisión puede ser de manera periódica de dos veces por año, llevar
una documentación adecuada precisa y correcta de todos los incidentes presentados después
de establecer el modelo de gestión de riesgos.
Preventivas Minimización.
Corrección. Detección.
Disuasión. Monitorización.
Figura 19 Tipos de salvaguardas
Fuente 24 Elaborado por el autor
63
4.8.1. Monitoreo, revisión periódica y documentada de la gestión de riesgos
Para el monitoreo se realizará un registro de incidentes el cual lo llevará el comité y
se creará una dirección de correo específica para estos eventos y el responsable de llevar el
registro y dar reporte a estos incidentes es el representante del departamento de TI.
El correo establecido fue: [email protected]
Y el procedimiento será mediante:
Cualquier anomalía sin importar su tipo tendrá que ser inmediatamente reportada
por el usuario al comité por medio del correo establecido.
Para la revisión periódica se la realizará cada 6 meses, pero cada vez que se presente
un incidente de riesgo catalogado como grave que afecte a la organización el comité deberá
reunirse de manera inmediata.
Para la documentación se llevará un registro en Microsoft Excel de los incidentes y
las acciones tomadas, adicional se documentará las reuniones periódicas y las establecidas
por casos de emergencia por parte del comité.
4.8.2 Medidas de prevención
Esta medida tiene como finalidad colaborar a la mejora de las guías propuestas en el
tratamiento de los riesgos, dando cerramiento a aquellas brechas de las amenazas internas
estas medidas fueron realizadas, analizadas e implementadas junto con el comité.
4.9 Ejecuciones del modelo
La ejecución del modelo se la realizó en dos periodos de tiempo, obteniendo dos
resultados diferentes y demostrando la efectividad del modelo, para obtener detalles de las
ejecuciones del modelo consultar el anexo B.
64
4.9.1 Ejecución del modelo por primera vez
Una vez establecidas las 4 fases y cómo se va a realizar cada una de estas, se
procede a ejecutar el modelo, en la primera ejecución como era de esperarse se pudo
identificar un nivel de riesgo alto en cuanto a las amenazas encontradas y a las cuales están
expuestas los activos.
A continuación, se muestra una tabla mostrando los resultados de la primera
ejecución. El desarrollo de los resultados de está tabla se encuentran en la ejecución del
modelo por primera vez en el anexo B.
Tabla 6 Resultados de la ejecución del modelo por primera vez
012345678
Pérdida, hurtode la
información
Libre acceso a lainformación
Avería de tipofísico
Alteración de lainformación
5,43
7,77
2,61
5,55
NIV
EL D
E R
IESG
O
AMENAZAS
NIVEL DE RIESGO DE LA PRIMERA EJECUCIÓN
Amenaza Nivel de riesgo de la primera ejecución
Pérdida, hurto de la información 5,43
Libre acceso a la información 7,77
Avería de tipo físico 2,61
Alteración de la información 5,55
Fuente 25 Elaborado por el autor
Figura 20 Gráfica de los niveles de riesgo de la primera ejecución
Fuente 26 Elaborado por el autor
65
4.9.2 Ejecución del modelo por segunda vez
La segunda ejecución del modelo se la realizó después de tres meses para comprobar
la efectividad que mantenían las guías, tratamientos y salvaguardas implementadas en la
primera ejecución, se pudo evidenciar que estas medidas resultaron efectivas al ver una
disminución en las amenazas, pero surgieron varios incidentes por parte del personal y se
tuvo la necesidad de implementar nuevas salvaguardas para minimizar aún más estos
errores. El desarrollo de los resultados de está tabla se encuentran en la ejecución del
modelo por segunda vez en el anexo B.
Tabla 7 Resultados de la ejecución del modelo por segunda vez
Riesgo Nivel de riesgo de la segunda ejecución
Pérdida, hurto de la información 3,78
Libre acceso a la información 4,77
Avería de tipo físico 2,37
Alteración de la información 3,45
Fuente 27 Elaborado por el autor
66
4.9.3 Análisis comparativo entre las dos ejecuciones
De acuerdo a la tabla a continuación se puede observar una disminución en los
niveles de riesgos existentes, obtenidos de las dos ejecuciones del modelo.
Tabla 8 Comparación de las ejecuciones
Amenaza Riesgo segunda ejecución Riesgo primera ejecución
Pérdida, hurto de la información 3,78 5,43
Libre acceso a la información 4,77 7,77
Avería de tipo físico 2,37 2,61
Alteración de la información 3,45 5,55
Fuente 29 Elaborado por el autor
Comparando las dos ejecuciones se puede ver una disminución en los niveles de
riesgos de las amenazas existentes, en la ejecución de la segunda vez se mantuvieron las
mismas guías y tratamientos ya que resultaron efectivas ante las amenazas, pero se
Fuente 28 Elaborado por el autor
Figura 21 Gráfica de los niveles de riesgo de la segunda ejecución
3,78
4,77
2,37
3,45
0
1
2
3
4
5
6
Pérdida, hurto de lainformación
Libre acceso a lainformación
Avería de tipo físico Alteración de lainformación
NIV
EL D
E R
IESG
O
AMENAZAS
NIVEL DE RIESGO DE LA SEGUNDA EJECUCIÓN
67
agregaron más salvaguardas para minimizar aún más la brecha de las amenazas existentes y
evitar errores por parte de los usuarios y puedan ejercer sus actividades con normalidad.
A continuación, mostramos una y gráfica comparando los niveles de riesgo
mostrados en las dos ejecuciones.
Como se puede apreciar en la gráfica, existe una disminución en los niveles de
riesgo, mostrando una efectividad en el modelo de gestión de riesgos establecido, estos
niveles de riesgos existentes pueden ir disminuyendo paulatinamente también se pueden
incluir más guías, tratamientos y salvaguardas a medida que surjan nuevos incidentes o
amenazas.
Figura 22 Comparación de los niveles de riesgo
Fuente 30 Elaborado por el autor
0 2 4 6 8
Pérdida, hurto de la información
Libre acceso a la información
Avería de tipo físico
Alteración de la información
3,78
4,77
2,37
3,45
5,43
7,77
2,61
5,55
NIVEL DE RIESGO
AM
ENA
ZAS
COMPARACIÓN DE LOS NIVELES DE
RIESGO
Riesgo primera ejecución Riesgo segunda ejecución
68
CONCLUSIONES
Tabla 9 Conclusiones obtenidas de la investigación
Objetivo Pregunta de investigación Conclusiones
Diseñar un modelo de
sistemas para la gestión de
riesgos basado en la norma
ISO 31000 y MAGERIT
versión 3.0 para la empresa
BlueBox.
¿Cuál fue el impacto de diseñar
un modelo de gestión de
riesgos con base a la norma
ISO 31000 y MAGERIT
versión 3.0?
El impacto de diseñar el modelo de gestión de
riesgos fue positivo, ya que tuvo un cambio en
cuanto a la percepción de los usuarios con respecto
a los riesgos, se generó un ambiente más confiable
por las guías y tratamientos establecidos para tratar
las amenazas.
Desarrollar medidas
preventivas para sumir,
tratar, mitigar o minimizar
los riesgos evaluados con
mayor impacto para la
empresa
¿Cuál es el propósito de las
guías o medidas para el
tratamiento de los riesgos de
una empresa?
La empresa una vez establecido todo el modelo
tiene guías o medidas específicas que nos ayuden a
tratar estos riesgos y minimizar su impacto,
permitiendo que así haya rotación del personal ya
existen guías establecidas y documentaciones que
nos permitan mantener una constante mejora
Concientizar al personal de
la empresa sobre la
necesidad de un sistema de
gestión de riesgos que
permita evaluar
continuamente los riesgos de
la empresa.
¿Cuál es la importancia de
concientizar al personal de una
empresa sobre la necesidad de
un modelo de gestión de
riesgo?
Es importante ya que nos ayuda a conocer sobre
una cultura, o procesos adecuados para la gestión
de riesgos, en donde se concientiza a todo el
personal y se dan las guías necesarias que nos
ayudan a este modelo.
Fuente 31 Elaborado por el autor
69
Bibliografía
AEN/GET13. (2010). UNE-ISO 31000. MADRID- ESPAÑA: AENOR.
BSI Group. (2019). ISO 31000 Gestión de Riesgo. Obtenido de Norma iso 31000 Gestión
de Riesgo: https://www.bsigroup.com/es-ES/ISO-31000-Gestion-de-Riesgos/
Carrozzini Villagran, A. (18 de Marzo de 2019). (G. M. Daniel, Entrevistador)
Diario El Comercio. (24 de Enero de 2015). Cibermafias atacaron a 17 empresas
ecuatorianas. Obtenido de El Comercio:
https://www.elcomercio.com/actualidad/cibermafias-ciberataque-17empresas-
ecuador-seguridadinformatica.html
Dirección general de modernización administrativa. (2012). Magerit - versión 3.0
Metodología de análisis y gestión de riesgos de los sitemas de información. Madrid
- España: Ministerio de hacienda y administraciones públicas.
EcuRed. (17 de Agosto de 2012). EcuRed. Obtenido de Sistema de información:
https://www.ecured.cu/index.php?title=Sistema_de_Informaci%C3%B3n&action=i
nfo
Estela Raffino, M. (8 de Marzo de 2019). Concepto.de. Obtenido de Probabilidad:
https://concepto.de/probabilidad/
Gaona Vásquez, K. (Octubre de 2013). Repositorio UPS. Obtenido de Aplicación de la
Metodología Magerit para el análisis y Gestión de Riesgos de la Seguridad de la
Información aplicado a la empresa pesquera e industrial Bravito S.A. en la ciudad
de Machala: https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-
CT002759.pdf
Gerens. (28 de Diciembre de 2017). Gerens. Obtenido de Gestión de riesgos: ¿Qué es? ¿Por
qué emplearla? ¿Cómo emplearla?: https://gerens.pe/blog/gestion-riesgo-que-por-
que-como/
Instituto Nacional de Ciberseguridad de España (INCIBE). (20 de Marzo de 2017). Instituto
Nacional de Ciberseguridad de España (INCIBE). Obtenido de Amenaza vs
Vulnerabilidad, ¿Sabes en qué se diferencia?: https://www.incibe.es/protege-tu-
empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
ISO. (Noviembre de 2009). ISO. Obtenido de IEC 31010 Risk Management -- Risk
Assessment Techniques: https://www.iso.org/standard/51073.html
ISO. (Noviembre de 2009). ISO. Obtenido de ISO GUIDE 73 Risk Management --
Vocabulary: https://www.iso.org/standard/44651.html
ISO. (Noviembre de 2009). ISO. Obtenido de ISO 31000 Risk management -- Principles
and Guidelines: https://www.iso.org/standard/43170.html
ISO. (Febrero de 2018). ISO. Obtenido de ISO 31000 Risk management -- Guidelines:
https://www.iso.org/standard/65694.html
ISOTools. (24 de Julio de 2015). ISOTools. Obtenido de Riesgo laboral, ¿Cuá es su
definición?: https://www.isotools.cl/riesgo-laboral-definicion/
Moreno, T. (Diciembre de 2013). Calameo. Obtenido de Historia de la gestión de riesgos:
https://es.calameo.com/read/002896401c5ffd0ca7f9c
PAE. (Octubre de 2012). Portal de Administración Electrónica. Obtenido de Magerit V.3
Metodología de análisis y gestión de los riesgos:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod
olog/pae_Magerit.html#.XSuPV-hKiUl
70
Portal de administración electrónica . (Octubre de 2012). Portal de administración
electrónica . Obtenido de Magerit v.3 Metodología de ançalisis y gestión de riesgos
de los sistemas de información:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod
olog/pae_Magerit.html#.XWn9kyhKiUk
Ramírez Castro, A., & Ortiz Bayona, Z. (15 de Agosto de 2011). Gestión de riesgos
tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de los
negocios. Obtenido de Dialnet:
https://dialnet.unirioja.es/servlet/articulo?codigo=4797252
Universidad Internacional de Valencia (VIU). (21 de Marzo de 2018). Universidad
Internacional de Valencia (VIU). Obtenido de ¿Qué es la seguridad informática y
cómo puede ayudarme?: https://www.universidadviu.com/la-seguridad-informatica-
puede-ayudarme/
71
ANEXOS
ANEXOS
72
INDICE DE ANEXOS
1 ANEXO A.- Encuestas y Entrevista .................................................................. 73
1 Encuesta ........................................................................................................ 73
1.1 Formato de la encuesta laboral .......................................................................... 73
1.2 Resultados de las encuestas expresadas gráficamente ....................................... 74
2 Entrevista ...................................................................................................... 81
2 ANEXO B.- Ejecuciones del modelo ................................................................. 83
2.1 Ejecución del modelo por primera vez ............................................................... 83 2.1.1 Identificación de activos ................................................................................................ 83 2.1.2 Valoración de activos ..................................................................................................... 84 2.1.3 Identificación de amenazas ........................................................................................... 85 2.1.5 Valoración de las amenazas .......................................................................................... 85 2.1.6 Determinación del riesgo ............................................................................................... 87 2.1.7 Tratamiento de las amenazas ........................................................................................ 88 2.1.8 Salvaguardas .................................................................................................................. 91 2.1.9 Mejora continua ............................................................................................................. 98
2.2 Ejecución del modelo por segunda vez ............................................................. 101 2.2.1 Identificación y valoración de activos ........................................................................ 103 2.2.2 Identificación y valoración de las amenazas .............................................................. 103 2.2.3 Determinación del riesgo ............................................................................................. 104 2.2.4 Tratamiento de las amenazas ...................................................................................... 106 2.2.5 Establecer Salvaguardas ............................................................................................. 106 2.2.6 Mejora continua ........................................................................................................... 110
3 ANEXO C.- Costo beneficio de los tratamientos ............................................. 111
73
1 ANEXO A.- Encuestas y Entrevista
1 Encuesta
Una vez obtenido el resultado de las encuestas se procedió al análisis de la
información para identificar las falencias dentro de la empresa, los resultados fueron
expresados gráficamente por cada respuesta.
Se pudo concluir que el personal desconoce el cómo actuar frente a algún tipo de
riesgos, varios equipos no disponen de antivirus, no conllevan un manejo adecuado,
oportuno con la información.
1.1 Formato de la encuesta laboral
Universidad Estatal de Guayaquil
Trabajo de titulación
Encuesta: “Gestión de riesgos”
La encuesta es de carácter privado, no se revelarán nombre ni funciones de la persona
encuestada.
Sexo: M F
Edad:
1) ¿Conoce usted al riesgo al que está expuesta su información?
Sí No
2) La información de uso laboral la almacena en:
PC
Dispositivos de almacenamiento
3) ¿La computadora en que realiza sus actividades laborales dispone de
antivirus?
Sí No
4) ¿Guarda usted respaldo de la información?
Sí No
74
5) ¿Ha sufrido alteraciones, modificaciones o pérdida de la información que
maneja?
Sí No Especifique cual ha sufrido
6) Si la respuesta anterior fue afirmativa. ¿Ha podido usted recuperar la
información perdida?
Sí No
7) ¿Sabe usted cómo actuar al momento de sufrir pérdida de información?
Sí No
1.2 Resultados de las encuestas expresadas gráficamente
Como análisis de la primera pregunta de la encuesta se pudo descifrar que el
76% que equivale a 19 usuarios del personal de la empresa desconoce el riesgo al que está
expuesta la información que maneja, el otro 24% que equivale a 6 usuarios dicen conocer
los riesgos de la información que manejan, pero no saben cómo actuar o como sobrellevar a
los riesgos a los que está expuesta su información.
24%
76%
¿ C O N O C E U S T E D E L R I E S G O A L
Q U E E S T Á E X P U E S T A S U
I N F O R M A C I Ó N ?
Si No
Figura 23 Gráfica de la respuesta 1
Fuente 32 Elaborado por el autor
75
En análisis a la segunda pregunta de la encuesta el 80% que equivale a 20 usuarios
almacenan su información laboral de todo tipo en las computadoras, y el otro 20% que
equivalen a 5 personan las almacenan en dispositivos extraíbles sin llevar tampoco ningún
tipo de respaldo adicional.
80%
20%
L A I N F O R M AC I Ó N D E U S O
L A B O RA L L A A L M A C E N A E N :
Pc Dispositivos de almacenamiento
Figura 24 Gráfica de la respuesta 2
Fuente 33 Elaborado por el autor
76
De todo el personal de la empresa BlueBox se logró identificar que el 80% que
equivale a 20 usuarios sus computadoras no cuentan con ningún tipo de antivirus que
proteja sus equipos, y el otro 20% equivalente a 5 usuarios dicen tener antivirus en sus
equipos, pero varios de estos están desactualizados y su funcionamiento ya es obsoleto.
80%
20%
¿ L A C O M P U T A D O R A E N Q U E
R E A L I Z A S U S A C T I V I D A D E S
L A B O R A L E S D I S P O N E D E
A N T I V I R U S ?
Si No
Figura 25 Gráfica de la respuesta 3
Fuente 34 Elaborado por el autor
77
En análisis a esta pregunta de la encuesta se estableció que el 60% equivalente a 15
usuarios no llevan respaldo adicional de la información las guardan solo en computadoras o
ya sea en discos extraíbles, el otro 40% equivalente a 10 usuarios llevan respaldo de la
información en computadoras y en dispositivos extraíbles de uso laboral.
40%
60%
¿ G U A R D A U S T E D R E S P A L D O D E L A
I N F O R M A C I Ó N ?
Si No
Figura 26 Gráfica de la respuesta 4
Fuente 35 Elaborado por el autor
78
Con base a los resultados obtenidos mediante esta pregunta de la encuesta se
identificó que el 76% que equivalen a 18 usuarios de la empresa ha sufrido alteraciones,
modificaciones y pérdidas de información, y el 24% que equivale a 7 usuarios aseguran que
no han padecido de ninguno de estos tipos de percance.
76%
24%
¿ H A S U F R I D O A L T E R A C I O N E S ,
M O D I F I C A C I O N E S O P É R D I D A D E L A
I N F O R M A C I Ó N Q U E M A N E J A ?
Si No
Figura 27 Gráfica de la respuesta 5
Fuente 36 Elaborado por el autor
79
De las personas que han sufrido alteraciones, modificación o pérdida de la
información que en total fueron 18 usuarios, 15 de ellos no pudieron recuperar los datos
originales que tuvieron desde un inicio antes de sufrir el percance, mientras que los 3
usuarios restantes pudieron recuperar parte o la totalidad de la información.
3; 17%
15; 83%
S I L A R E S P U E S T A A N T E R I O R F U E
A F I R M A T I V A . ¿ H A P O D I D O
R E C U P E R A R L A I N F O R M A C I Ó N
P É R D I D A ?
Si No
Figura 28 Gráfica de la respuesta 6
Fuente 37 Elaborado por el autor
80
Con base a los resultados de esta pregunta se determinó que el 72% que equivale a
18 usuarios no saben cómo actuar ante cualquier incidente de riesgos que se materialice
sobre un activo y perjudique la información, mientras que el otro 28% que equivale a 7
usuarios indican que, si saben cómo actuar, pero sus acciones no son las correctas.
28%
72%
¿ S A B E U S T E D C O M O A C T U A R A L
M O M E N T O D E S U F R I R P É R D I D A D E
I N F O R M A C I Ó N ?
Si No
Figura 29 Gráfica de la respuesta 7
Fuente 38 Elaborado por el autor
81
2 Entrevista
Para la entrevista se tomó en consideración al responsable del departamento de
audiovisual y TI, entre las preguntas establecidas para dicha entrevista fueron las
siguientes:
¿Existen responsables sobre los activos tales como: equipos de computación,
discos duros extraíbles, dispositivos extraíbles de almacenamiento, impresoras?
La respuesta de los entrevistados a dicha pregunta fue la siguiente: La empresa no
ha establecido responsabilidades sobre los activos brindados para el cumplimiento de las
actividades de la empresa, sí existe algún tipo de daño él o la trabajadora indica el daño,
pero no se responsabiliza por lo sucedido.
¿La empresa cuenta con algún tipo de control o firewall para restringir o
bloquear el acceso hacia alguna red privada por parte de alguien no autorizado?
El responsable del departamento de Ti nos indicó: La empresa no cuenta con la
implementación de firewall, cualquier trabajador puede acceder a cualquier tipo de
información o navegación web no existe un control hoy por hoy para este tipo de casos.
¿La empresa maneja logeos para acceder a las computadoras por parte de los
usuarios de la empresa?
El responsable de TI nos indicó: Los equipos informáticos tales como computadoras
no cuentas con un logue para los equipos no se ha considerado aplicar este método de
restricción. El responsable de audiovisual acoto: Cualquier trabajador tiene acceso a la
información de sus compañeros de trabajo, cualquiera puede acceder a cualquier maquina
sin problema alguno.
82
¿La empresa en la actualidad cuanta con algún servicio de Backups para tener
respaldo de la información que maneja tales como: vídeos, documentos, información
sobre clientes?
Los entrevistados respondieron de la siguiente manera ante dicha pregunta: La
empresa no cuenta con ningún servicio de backups, toda información es almacenada en las
computadoras, el representante de audiovisual acoto: muchas veces los trabajadores solo
llevan respaldos en sus máquinas no tienen ningún respaldo adicional y se ha presentado la
ocasión que por accidentes o errores de los mismos usuarios se han perdido o borrado
vídeos y ellos se han visto en apuros.
¿Cómo maneja la empresa la clasificación de la información por cada
departamento?
La respuesta a dicha pregunta por parte de los entrevistados fue: La información se
comparte en discos duros extraíbles tanto en departamentos administrativos como de
producción, es decir la información que maneja el departamento de recursos humanos
también puede ser accedida por el departamento de audiovisual o cualquier otro
departamento.
¿Cómo maneja la empresa el control de acceso a internet por parte de los
trabajadores?
El encargado del departamento de TI indico: Que no hay un control para el acceso a
internet, por lo cual las redes están abiertas a cualquier uso.
83
2 ANEXO B.- Ejecuciones del modelo
2.1 Ejecución del modelo por primera vez
En la ejecución del modelo vamos a establecer los siguientes puntos:
Determinar los activos de mayor importancia para la empresa.
Definir las amenazas a las que está expuesto cada activo.
Estimar el impacto si se llegase a materializar alguna amenaza.
2.1.1 Identificación de activos
La identificación de activos fue tomada en conjunto al comité establecido por la
empresa y se tomó en consideración la lista de activos de la metodología MAGERIT
(establecida en la tabla#2). Está identificación de los activos fue realizada únicamente en el
departamento de audiovisual.
Tabla 10 Identificación de activos de la empresa BlueBox
Fuente 39 Elaborado por el autor
Activos
Servicios {S} Telefonía
Internet
Software {SW} Ofimática
Software de uso laboral
Hardware {HW}
Computadoras de escritorio
Routers
Impresoras
Dispositivos de
almacenamiento
Personal {P} Usuarios del departamento de
audiovisual
84
2.1.2 Valoración de activos
Para la valoración de activos se consideró lo establecido en el capítulo 4, ítem 4.6.2,
la valoración fue dada conjunto al comité dando criterios a sus dimensiones de
disponibilidad (D), integridad (I) y confidencialidad (C), tomado en consideración: adquirir
nuevos equipos, nueva información, el no tener información disponible, en qué plazos
puedo recuperar la información, y que tan necesario es el activo para la empresa.
Tabla 11 Valoración de activos de la empresa BlueBox
Activos Dimensiones
Importancia
D I C Servicios
7 Telefonía 6 7 7
Internet 8 7 6
Software
8 Ofimática 9 9 8
Software de uso laboral 8 8 9
Hardware
9 Computadoras de escritorio 8 7 7
Routers 8 9 8
Impresoras 9 7 8
Personal 7
Usuarios del departamento de audiovisual 8 7 7
Datos
9 Físicos 8 8 8
Digitales 8 8 8
Fuente 40 Elaborado por el autor
85
2.1.3 Identificación de amenazas
Las identificaciones de las amenazas fueron obtenidas con base a los resultados de
las encuestas, entrevistas y observaciones realizadas en el área de audiovisual, junto al
comité se analizó y se puedo concluir, que el departamento de audiovisual presenta las
siguientes amenazas:
Figura 30 Identificación de las amenazas
2.1.5 Valoración de las amenazas
Para la valoración de las amenazas se la realizó conjunto al comité, y se tomó en
consideración lo establecido en el capítulo 4, ítem 4.6.3, planteando tres preguntas
fundamentales ¿Qué daño causaría qué lo conociera quien no debe?, ¿Qué perjuicio
causaría no tenerlo o no poder utilizarlo? y ¿Qué perjuicio causaría que estuviera dañado o
corrupto?, así damos valores a sus dimensiones de, disponibilidad (D), integridad (I) y
confidencialidad (C).
Fuente 41 Elaborado por el autor
Amenazas
Identificadas
Libre acceso a la información
Pérdida, hurto de la información
Avería de origen físico
Alteración de la información
86
Fórmula de Promedio: Importancia del activo % * (La suma de las
dimensiones (D+I+C))
Tabla 12 Determinación de las amenazas a las que están expuestos los activos, con los
promedios de impacto
Fuente 42 Elaborado por el autor
Activo Amenazas
Importancia
del activo
(A)
Dimensiones Suma de las
dimensiones
(B)
Promedio
(A% * B)
D I C
Servicios/Telefonía,
internet
Pérdida, hurto de la
información 7
3 2 1 6 0,42
Alteración de la
información 3 3 - 6 0,42
Software/Ofimática,
software de uso
laboral
Libre acceso de la
información
8
7 2 - 9 0,72
Alteración de la
información 3 - - 3 0,24
Avería de tipo físico 3 - - 3 0,24
Hardware/Equipos
de computación,
routers, impresoras
Avería de tipo físico
9
7 - - 7 0,63
Libre acceso de la
información 7 - - 7 0,63
Personal/Usuarios
del departamento de
audiovisual
Pérdida, hurto de la
información
7
7 - - 7 0,49
Alteración de la
información 6 2 - 8 0,56
Libre acceso de la
información 4 1 3 7 0,49
Datos/Físicos y
digitales
Pérdida, hurto de la
información
9
7 - 3 10 0,9
Libre acceso de la
información 6 1 2 9 0,81
Alteración de la
información 5 - 2 7 0,63
87
2.1.6 Determinación del riesgo
El riesgo es la medida de daño ocasionado al materializarse una amenaza.
Conociendo la importancia de los activos para el área de audiovisual y las amenazas a las
que están expuestos se procede al cálculo del mismo. Los criterios de las amenazas son los
mismos establecidos de la tabla#3.
Formula de Riesgo = Probabilidad * Impacto
Tabla 13 Determinación del riesgo
Suma de los
promedios de
las amenazas
(Impacto)
Probabilidad
(P)
Nivel de
riesgo
(P*I)
Total de promedio de amenaza Pérdida, hurto de la
información 1,81 3 5,43
Activos y promedio de amenaza
Servicios 0,42
Datos 0,9
Personal 0,49
Total de promedio de amenaza
Libre acceso a la
información 2,59 3 7,77
Activos y promedio de amenaza
Datos 0,81
Hardware 0,63
Software 0,72
Personal 0,49
Total de promedio de amenaza Avería de tipo físico 0.87 3 2.61
Activos y promedio de amenaza Datos 0,24
Hardware 0,63
Total de promedio de amenaza
Alteración de la
información 1,85 3 5,55
Activos y promedio de amenaza
Servicios 0,42
Datos 0,63
Software 0,24
Personal 0,56
Fuente 43 Elaborado por el autor
88
Tabla 14 Prioridad de las amenazas según el nivel de riesgo obtenido
2.1.7 Tratamiento de las amenazas
Las guías o tratamientos establecidas fueron tomadas en conjunto con el
comité buscando la acción de minimizar el nivel de impacto de los riesgos sobre los
activos, los tratamientos o guías pueden ser de diferentes tipos, pero se dan según la
prioridad que tengan estas amenazas es decir se van a tratar de forma inmediata aquellas
amenazas que se consideren más altas.
La implementación de guías o tratamientos se dará en tres fases, partiendo desde las
amenazas de mayor prioridad hasta las de menor prioridad.
Tabla 15 Tratamiento de las amenazas según su prioridad
Amenazas Tratamiento o guía de
mejora Acciones
Tiempo de
Implementación
Libre acceso a
la información
Establecer el control de
acceso de usuarios en los
equipos
computacionales.
Minimizar 0,5 meses
Alteración de
la información
Adquisiciones e
implementación del
servicio de cloud backup.
Minimizar 5 meses
Implementación de
firewall Minimizar 4 meses
Prioridad
Amenaza Baja Media Alta Muy alta Crítico
Pérdida, hurto de la información
Libre acceso a la información
Avería de tipo físico
Alteración de la información
Fuente 44 Elaborado por el autor
89
Instalación de software
antivirus Minimizar 4 meses
Pérdida y
hurto de
información
Implementación de video
cámaras para vigilancia. Minimizar 5 meses
Mejoramiento de la
configuración del control
de acceso a los usuarios.
Minimizar 4 meses
Segregación de
funciones y
responsabilidades.
Minimizar 4 mes
Avería de tipo
física
Adquisición de UPS. Minimizar 6 meses
Mantenimiento a los
equipos dos veces por
año.
Minimizar 6 meses
Concientización por
medio de charlas,
capacitaciones del uso
correcto del hardware.
Minimizar 6 meses
Fuente 45 Elaborado por el autor
90
El plan para el tratamiento de los riesgos se lo ejecuta por fases para así medir su
efectividad, que se van ejecutando de manera secuencial, esto quiere decir que una vez
finalizada una fase continúa la otra.
Figura 31 Fases de ejecución para el tratamiento de las amenazas
Fuente 46 Elaborado por el autor
Fase 1
• Establecer un control de acceso a los usuarios en los equipos computacionales.
• Adquisición e implementación del servicio de cloud backup.
• Implementación de firewall.
• Instlación de software antivirus.
Fase 2
• Implementación de video cámaras para vigilancia.
• Mejoramiento en la configuración del control de acceso a los usuarios.
• Segregación de funciones y responsabilidades.
Fase 3
• Mantenimiento preventivo de dos veces por año en computadoras.
• Adquisiciones de UPS.
• Concientización por medio de charlas, capacitaciones del uso correcto del hardware.
91
2.1.8 Salvaguardas
Las salvaguardas buscarán brindar un desempeño extra de las guías establecidas
para el control de riesgos, se procura fomentar una cultura sobre la gestión de los riesgos,
estas medidas ayudarán al compromiso del personal laboral de la organización para la
correcta realización de sus actividades y funciones.
2.1.8.1 Implementación de las salvaguardas
Restricción de acceso a la información
Una parte de las falencias que presentó la empresa BlueBox fue que no existía
ningún control al acceso de la información, no existían restricciones para los usuarios y esto
es una vía permisiva para la propagación de incidentes de seguridad en la información.
Restricción de acceso a la información
Justificación:
El control para el acceso a la información que maneja
BlueBox.es necesario, para evitar el uso indebido o el
mal intencionado.
Elaborar perfiles de los usuarios y con ayuda de
la segregación de funciones podrá permitir y
denegar el acceso según esté establecida su
función.
Monitorizar el acceso a los usuarios con el
propósito de así poder detectar posibles intrusos.
Métricas:
Número de porcentaje detección de intrusos.
Número de porcentaje de incidencias ocasionadas
por acceso indebido.
Salvaguardas:
Protección de la información.
Cifrado de la información.
Figura 32 Implementación de salvaguarda
Fuente 47 Elaborado por el autor
92
Control contra el software malicioso
Surgiendo de las necesidades de controlar incidencias proporcionadas por algún tipo
de software malicioso, es necesario mantener en control los activos de la empresa, la
ejecución de un inventario ayudará a percibir cualquier tipo de anomalías relacionadas con
un software no identificado. La aplicación de antivirus en los equipos computacionales será
realizada exclusivamente por el departamento de TI.
Control contra el software malicioso
Justificación:
Prevenir la propagación de virus que afecten los
equipos laborales y causen daño a la información.
Conocer y establecer con detalle los softwares
que sean de uso laboral.
Depurar los equipos de trabajo.
Bloquear la instalación de software por parte de
usuarios.
Monitorizar periódicamente.
Métricas:
Número de porcentaje de softwares maliciosos
detectados.
Número de porcentaje de softwares maliciosos
tratados.
Salvaguardas:
Protección de aplicaciones.
Perfiles de seguridad.
Copias de seguridad.
Figura 33 Implementación de salvaguarda
Fuente 48 Elaborado por el autor
93
Control de la red
En el departamento de audiovisual el acceso a internet, la navegación web, no tenía
limitaciones y los usuarios desconocen si están en una página o sitio seguro provocando las
descargas de virus y esto a su vez ocasionaba una afectación en las estaciones de trabajo y
sus actividades, con base a estos sucesos se creó controles para la red.
Copias de seguridad de la información
Uno de los aspectos que no tenía en contemplación la empresa BlueBox es llevar un
respaldo de la información el cual era realizado escasamente, con este control se pretende
establecer un respaldo de manera ordenada, documentada y realizada periódicamente.
Control de la red
Justificación:
Controlar la navegación web es necesario ya que los
usuarios no se percatan de la navegación insegura a la
que están expuestos y estos son puertas para
incidentes de riesgos.
Diseñar configuraciones de navegación web
Monitorear las actividades en la web
Métricas:
Número de tráfico web no identificado.
Número de visitas a sitios peligrosos durante la
navegación.
Salvaguardas:
Protección de servicios y las aplicaciones.
Figura 34 Implementación de salvaguarda
Fuente 49 Elaborado por el autor
94
Uso de activos
Se definen medidas para el uso de activos de información, para que así se pretenda
mantener la seguridad de la información, y así comprometiendo al personal a estas medidas
en donde el comité será fundamental para llevar a cabo revisiones, controles, comprobando
los inventarios y verificando el uso adecuado y correcto de los activos e informar de
cualquier tipo de anomalía.
Copias de seguridad de la información
Justificación:
La empresa BlueBox no lleva un adecuado
respaldo de la información y así exponiéndola a
peligros que causen pérdida o alteración de la
misma.
Respaldar información en equipos, dispositivos
extraíbles y nube.
Realizar pruebas de control que verifiquen que la
información fue almacenada de forma correcta
para su respaldo.
Métricas:
Número de inconsistencias en los respaldos por
mes.
Número de respaldos que maneja la empresa.
Salvaguardas:
Protecciones a nivel general de la información.
Registros disponibles al momento de su uso
inmediato.
Figura 35 Implementación de salvaguarda
Fuente 50 Elaborado por el autor
95
Cumplimiento con políticas de confiabilidad y guías de riesgo
El cumplimiento de las guías y políticas de confiabilidad ayuda a mantener al
personal comprometido y a su vez apoya al cumplimiento adecuado de procedimientos para
que se efectúen los objetivos establecidos por la organización.
Uso de activos
Justificación:
Los activos son fundamentales para el personal
de la empresa BlueBox en sus actividades diarias.
Establecer inventarios y asignar propietario a
cada equipo
Realizar un registro de actividades para el uso de
activos y salvaguardar informaciones.
Métricas:
Número de porcentaje de activos con anomalías
antes de la implementación del modelo.
Número de porcentaje de activos con anomalías
después de la implementación del modelo.
Salvaguardas:
Protecciones a equipos informáticos.
Mantenimientos.
Figura 36 Implementación de salvaguarda
Fuente 51 Elaborado por el autor
96
Cumplimiento con principios y guías de riesgo
Justificación:
Basado en la implementación del modelo de
gestión de riesgos, que cubra las necesidades de
la empresa.
Métricas:
Número de incidentes desde la concientización de
las políticas de gestión de riesgos.
Número de incidentes presentados antes del
modelo.
Salvaguardas:
Gestión de riesgos.
Gestión de vulnerabilidades.
Figura 37 Implementación de salvaguarda
Fuente 52 Elaborado por el autor
97
Tabla 16 Aplicabilidad de las salvaguardas
Contramedida Guía Justificación de la guía Riesgo a la que esta derivada
Restricción del
acceso a la
información.
Se delegarán permisos por cada usuario para uso y manejo
de información sensible, según corresponda su perfil. Evitar uso indebido o mal intencionado de la información. Libre acceso de la información
Control para la red. Se determinarán políticas para el uso de los servicios de red,
se realizará jerarquía de funciones.
El acceso sin restricción en la red, conlleva a la efectuación de
incidentes como la propagaciones de virus, infiltraciones de
atacantes externos o internos, hurto de la información ente otros.
Hurto de la información,
vulnerabilidad en los sistemas de
información.
Uso de activos.
Se realizarán capacitaciones para el correcto uso de los
activos, se compromete a los usuarios de realizar un buen
uso de activos entre los cuales destacan computadores y
dispositivos de almacenamiento.
Los activos son de suma importancia para el uso diario de la
operatividad de la empresa, el fallo de estos causaría retrasos en
la empresa.
Avería de origen físico.
Cumplimiento de
políticas y guías de
riesgo.
Los altos mandos de BlueBox aprobaron las políticas de
riesgo y se compromete a la concientización a todas las
partes que conforman el personal de la empresa.
Las políticas son indicaciones para establecer un adecuado
ambiente laboral, y esto ayuda a colaborar en el cumplimiento de
los objetivos de la empresa.
Libre acceso a la información,
alteración de la misma, hurto de
la información, avería de origen
físico.
Control contra
software malicioso.
Se determina el uso de antivirus, para todos los equipos del
personal.
Prevenir incidentes con infecciones y la propagación de virus en
los equipos y dispositivos de almacenamiento.
Avería de origen físico, hurto y
alteración de la información.
Copias de seguridad
de la información.
Se estableció un procedimiento para el respaldo de la
información no solo se almacenará la información en los
discos extraíble y ordenadores, sino para mayor redundancia
se realiza el respaldo respectivo en la nube.
Mantener respaldo de la información en óptimas condiciones y
disponibles al momento de ser requeridas por personal
autorizado.
Hurto de la información, avería
de origen físico, alteración de la
información.
Fuente 53 Elaborada por el autor
98
2.1.9 Mejora continua
La mejora continua es la retroalimentación de todo el modelo establecido y es el
resultado obtenido de las ejecuciones realizadas, en donde se plantea nuevas medidas para
que se integren en el modelo actual, que se necesiten para el tratamiento del riesgo y de las
eventualidades no previstas.
2.1.9.1 Medidas de prevención
Tabla 17 Medidas de prevención
Medidas de prevención
Amenaza Medidas establecidas Finalidad
Libre acceso a la información. Disminuir los lugares de acceso
para la navegación web.
Navegación segura para
los usuarios.
Pérdida, hurto de la información Realizar tres respaldos de la
información de manera diaria.
Tener soportes de datos
en caso de incidentes de
carácter crítico.
Falta de concientización por parte del personal sobre
los riesgos existentes.
Realizar capacitaciones para la
concienciación al personal.
Crear cultura de sobre
el riesgo de la
información.
Avería de tipo físico en computadoras. Realizar mantenimientos a los
equipos.
Prever el daño en los
equipos.
Libre acceso a la información. Cambio de contraseñas para los
equipos cada 4 meses.
Prever la vulneración
de los equipos.
Fuente 54 Elaborado por el autor
2.1.9.2 Métricas
Las métricas ayudarán a medir el rendimiento de las guías y salvaguardas
implementadas para tratar los riesgos, estas métricas tendrán que ser revisadas, valoradas y
llevar un detallado de cada una exclusivamente por el comité y así poder identificar si las
medidas para el tratamiento de las amenazas implementadas están siendo efectivas con el
transcurrir del tiempo, las métricas establecidas son:
99
Tabla 18 Implementación de métricas
Métricas
Restricción al acceso de la información
Número de detección
de intrusos. VS
Número de
incidencias
ocasionadas por el
acceso libre.
Control contra el software malicioso
Número maliciosos
detectados. VS
Número de softwares
maliciosos detectados.
Control de la red
Número de acceso a
páginas restringidas. VS
Número de visitas a
sitios peligrosos
durante la navegación.
Copias de seguridad de la información
Inconsistencia en el
número de respaldos Vs
Números de respaldos
que maneja la
empresa.
Uso de activos
Número de daños en
los activos antes de
implementar la norma
.
VS
Número de daños a
los activos
presentados durante la
aplicación del modelo.
Cumplimiento con los principios y las guías de los
riesgos
Incidentes presentados
durante el año. VS
Número de incidentes
presentados a partir de
la implementación del
modelo
Fuente 55 Elaborado por el autor
100
La mejora continua es el proceso cíclico en el cual se da un seguimiento a la gestión
de riesgo, guías y contramedidas establecidas para verificar que estén cumpliendo de
manera correcta sus funciones establecidas, la tarea de la mejora continua es la
retroalimentación de todo el modelo de la gestión de riesgo implementada.
El comité deberá monitorear las guías establecidas para la gestión de los riesgos, se
puede considerar que la revisión puede ser de manera periódica de dos veces por año, llevar
una documentación adecuada precisa y correcta de todos los incidentes presentados después
de establecer el modelo de gestión de riesgos.
Actualización
y ejecución
del modelo
Evaluación de
los
procedimientos
del modelo
Análisis de los
resultados de
la ejecución
del modelo
Elaboración de
nuevas guías a
partir de los
nuevos
resultados para
integrarlos al
modelo.
Figura 38 Plan de mejora continua
Fuente 56 Elaborado por el autor
101
2.2 Ejecución del modelo por segunda vez
La segunda ejecución del modelo se la realizó después de tres meses, como la
segunda ejecución se la realizó en un periodo corto de tiempo no se encontraron nuevas
amenazas, pero sí se encontraron fallas cometidas por los usuarios, a continuación,
mostramos una tabla de los incidentes encontrados durante el periodo de tiempo de tres
meses y un nuevo cálculo de las amenazas y riesgos.
Tabla 19 Incidentes presentados durante el periodo de tiempo de tres meses
Fecha Incidente Causa Amenaza con la que está
relacionada.
Mayo-14-2019
Equipo computacional afectado
Mal uso dado al computador por parte del ususario.
Avería de tipo físico
Mayo-25-2019
Documentación de cliente alterada
Cometido por un error de usuario al momento de digitar
la información Alteración de la información
Junio-18-2019
No existia consistencia en los respaldos de la información
por parte de un usuario
Usuario no almaceno la información de manera
correcta. Pérdida, hurto de la información
Julio-01-2019
Equipo computacional afectado
Usuario desactivo antivirus e inserto un dispositivo de
almacenamiento extraíble e infecto el computador.
Software malicioso
Fuente 57 Elaborado por el autor
102
Tabla 20 Acciones tomadas contra los incidentes y amenazas detectados
Como se puede observar en la tabla anterior las amenazas son las mismas
identificadas en la primera ejecución, por ende, ya existían guías y tratamientos
establecidos para estas amenazas, pero las aperturas a estas amenazas fueron dadas por los
propios usuarios al no seguir las guías o no tener una conciencia sobre los peligros
existentes. A partir de este punto se procedió a ejecutar una vez más el modelo sacando
nuevos cálculos de promedios de amenazas y un nuevo cálculo de riesgo para evidenciar la
reducción de estos en comparación con la primera ejecución.
Incidente Amenaza con la que está relacionada. Acción tomada
Equipo computacional afectado
Avería de tipo físico Capacitaciones al personal para el uso correcto y adecuado del
hardware.
Documentación de cliente alterada
Alteración de la información
Concientización al personal de la importancia de los riesgos existentes al alterar una
información.
No existia consistencia en los respaldos de la
información por parte de un usuario
Pérdida, hurto de la información Verificar los respaldos de la
información al momento de ser almacenadas.
Equipo computacional afectado
Software malicioso
Acciones por parte de la empresa contra los usuarios que
no acaten las guías o medidas establecidas.
Fuente 58 Elaborado por el autor
103
2.2.1 Identificación y valoración de activos
La empresa al no haber adquirido nuevos equipos durante este periodo de tiempo
transcurrido, se tomó la misma identificación y valoración de activos ya que siguen siendo
igual de importantes para la empresa.
Tabla 21 Identificación y valoración de activos
2.2.2 Identificación y valoración de las amenazas
Las amenazas identificadas en esta segunda ejecución fueron las mismas, ya que no
se encontraron ni surgieron nuevas amenazas en el periodo de tiempo transcurrido, pero sus
promedios disminuyeron ya que las guías que se establecieron conjunto a las salvaguardas
resultaron efectivas, ya que los incidentes encontrados fueron propiciados por los mismos
usuarios que no acataron o se ajustaron a las guías o tratamientos establecidos.
Activos Dimensiones
Importancia
D I C Servicios
7 Telefonía 6 7 7
Internet 8 7 6
Software
8 Ofimática 9 9 8
Software de uso laboral 8 8 9
Hardware
9 Computadoras de escritorio 8 7 7
Routers 8 9 8
Impresoras 9 7 8
Personal 7
Usuarios del departamento de audiovisual 8 7 7
Datos
9 Físicos 8 8 8
Digitales 8 8 8
Fuente 59 Elaborado por el autor
104
Tabla 22 Identificación y valoración de las amenazas en la segunda ejecución
2.2.3 Determinación del riesgo
Una vez obtenido los nuevos promedios de las amenazas sobre los activos
procedemos a realizar un nuevo cálculo para determinar el nuevo nivel de riesgo ya que las
guías implementadas conjunto a las salvaguardas demostraron su efectividad sobre las
amenazas existentes hubo una reducción en el promedio de las amenazas y por ende sus
niveles de riesgo disminuirán cabe tomar en cuenta que al transcurrir un periodo corto de
Activo Amenazas
Importancia
del activo
(A)
Dimensiones Suma de las
dimensiones
(B)
Promedio
(A% * B) D I C
Servicios/Telefonía,
internet
Pérdida, hurto de la
información 7
2 1 1 4 0,28
Alteración de la
información 2 2 - 4 0,28
Software/Ofimática,
software de uso
laboral
Libre acceso de la
información
8
5 1 - 6 0,48
Alteración de la
información 2 - - 2 0,16
Avería de tipo físico 2 - - 2 0,16
Hardware/Equipos
de computación,
routers, impresoras
Avería de tipo físico
9
5 - - 5 0,45
Libre acceso de la
información 5 - - 5 0,45
Personal/Usuarios
del departamento de
audiovisual
Pérdida, hurto de la
información
7
5 - - 5 0,35
Alteración de la
información 4 1 - 5 0,35
Libre acceso de la
información 2 0 1 3 0,21
Datos/Físicos y
digitales
Pérdida, hurto de la
información
9
5 - 2 7 0,63
Libre acceso de la
información 4 1 0 5 0,45
Alteración de la
información 3 - 1 4 0,36
Fuente 60 Elaborado por el autor
105
tiempo las probabilidades de que una amenaza se materialice se mantiene iguales a la de la
primera ejecución por ende su probabilidad de ocurrencia no cambio.
Tabla 23 Nuevo cálculo para determinar el riesgo
Suma de los
promedios de
las amenazas
(Impacto)
Probabilidad
(P)
Nivel
de
riesgo
(P*I)
Total de promedio de amenaza Pérdida, hurto de la
información 1,26 3 3,78
Activos y promedio de amenaza
Servicios 0,28
Datos 0,63
Personal 0,35
Total de promedio de amenaza Libre acceso a la
información 1,59 3 4,77
Activos y promedio de amenaza
Datos 0,45
Hardware 0,45
Software 0,48
Personal 0,21
Total de promedio de amenaza Avería de tipo físico 0,79 3 2,37
Activos y promedio de amenaza Datos 0,16
Hardware 0,63
Total de promedio de amenaza Alteración de la
información 1,15 3 3,45
Activos y promedio de amenaza
Servicios 0,28
Datos 0,36
Software 0,16
Personal 0,35
Fuente 61 Elaborado por el autor
106
2.2.4 Tratamiento de las amenazas
Los tratamientos para las amenazas serán los mismos que ya se implementaron en la
primera ejecución ya que no existen nuevas amenazas y resultaron ser efectivas, hay que
tomar en cuenta que con el transcurrir del tiempo se pueden agregar nuevos tratamientos y
el comité será el responsable de responder a estos cambios en caso de que se requiera
nuevas implementaciones.
2.2.5 Establecer Salvaguardas
En esta parte se agregaron nuevas salvaguardas que nos ayuden a minimizar esos
incidentes identificados en el lapso de tiempo transcurrido y en un futuro, cabe detallar que
se pueden agregar más salvaguardas conforme transcurra el tiempo, el comité será el
encargado de llevar esta revisión e implementación de futuras salvaguardas en el caso de
ser necesario.
Protección de los equipos informáticos
Se definen medidas para la protección de equipos información, para que así se
pretenda mantener la seguridad de la información, y así comprometiendo al personal a estas
medidas en donde el comité será fundamental para llevar a cabo revisiones, controles,
comprobando y verificando el uso correcto de los activos e informar de cualquier tipo de
anomalía.
107
Protección de las aplicaciones informáticas
Se definen medidas para la protección de aplicaciones informáticas, para mantener la
seguridad y la protección de los equipos y de la información, manteniendo el control del
uso de softwares autorizados o con licencias evitando propagaciones de virus u otras
anomalías, el comité será responsable de una revisión periódica de esta medida.
Protección de los equipos informáticos
Justificación:
Los activos son fundamentales para el personal
de la empresa BlueBox en sus actividades diarias.
Normativas sobre el uso correcto del hardware.
Procedimientos de uso de equipamiento.
Aplicar perfiles de seguridad y asignar
responsables por equipo.
Métricas:
Número de activos dañados antes de la
implementación del modelo.
Número de activos dañados después de la
implementación del modelo.
Salvaguardas:
Protecciones a equipos informáticos.
Mantenimientos.
Figura 39 Implementación de nuevas salvaguardas
Fuente 62 Elaborado por el autor
108
Protección de las instalaciones
Proteger las instalaciones de BlueBox contra cualquier tipo de incidentes que se
pueda llegar a presentar.
Protección de las aplicaciones informáticas
Justificación:
Prevenir la propagación de virus que afecten los
equipos laborales y causen daño a la información.
Normativas sobre el uso autorizado de
aplicaciones.
Controlar las instalaciones de softwares
autorizados y productos con licencia.
Monitorizar periódicamente.
Métricas:
Número de softwares maliciosos detectados.
Número de softwares tratados.
Salvaguardas:
Protección de aplicaciones.
Perfiles de seguridad.
Copias de seguridad.
Figura 40 Implementación de nuevas salvaguardas
Fuente 63 Elaborado por el autor
109
Acciones por parte de BlueBox contra los usuarios que no pongan en práctica las
guías y tratamientos establecidos para los riesgos
Se tomarán acciones por parte del alta directiva de BlueBox contra todos aquellos
usuarios que no cumplan con las guías y tratamiento establecidos para la gestión de los
riesgos.
Protección de las instalaciones
Justificación:
Proteger las instalaciones de BlueBox contra
cualquier tipo de eventualidad
Disponer de áreas específicas para equipos
informáticos.
Disponer normativas de seguridad para la
seguridad de las instalaciones.
Monitorizar periódicamente las video cámaras de
vigilancia.
Métricas:
Número de incidentes detectados a partir de la
segunda prueba.
Número de incidentes detectados antes de aplicar
la salvaguarda.
Salvaguardas:
Protección de las instalaciones.
Perfiles de seguridad.
Figura 41 Implementación de nuevas salvaguardas
Fuente 64 Elaborado por el autor
110
2.2.6 Mejora continua
En la mejora continua no se efectuará ningún cambio se mantendrán las mismas
medidas preventivas, métricas y plan de mejora continua, como ya se detalló anteriormente
todo el proceso de mejora continua deberá ser monitorizado por parte del comité cada seis
meses y llevar reportes de todos los incidentes encontrados para que el modelo de gestión
de riesgo vaya mejorando paulatinamente.
Acciones por parte de BlueBox contra los
usuarios que no pongan en práctica las guías y
tratamientos para los riesgos
Justificación:
Tomar acciones según lo disponga la alta dirección de
BlueBox para los usuarios que no se ajusten a las
medidas y guías implementadas.
Cumplir con las guías y tratamientos
establecidos.
No dar margen de error por parte de los usuarios,
Métricas:
Número de usuarios que incumplen las guías y
tratamientos.
Salvaguardas:
Protección de las instalaciones.
Perfiles de seguridad.
Cumplimientos de guías y tratamientos
establecidos.
Figura 42 Implementación de nuevas salvaguardas
Fuente 65 Elaborado por el autor
111
3 ANEXO C.- Costo beneficio de los tratamientos
Tabla 24 Análisis de tiempo costo del tratamiento de los riesgos
Fuente 66 Elaborado por el autor
Fase/Tratamiento Tiempo Costo
Fase 1
Establecer el control de acceso de
usuarios en equipos de computación. 0,5 mes
$
200,00
Adquisición e implementación del
servicio de cloud backup. 1 mes
$
1500,00
Implementación de firewall. 0,5 mes
$
360,00
Instalación de software antivirus 0,5 mes $
175,00
Total de tiempo fase 1 2,5 meses $ 2.235
Total de costo fase 1
Fase 2
Implementación de video cámaras
para vigilancia. 4 meses
$
500,00
Mejoramiento en la configuración del
control de acceso a los usuarios. 1,5 meses
$
200,00
Implementación de políticas para el
control de acceso y segregación de
funciones.
0,5 mes $
500,00
Total tiempo fase 2 6 meses
$
1.200,00 Total costo fase 2
Fase 3
Mantenimiento de los quipos dos
veces por año y adquisición de ups 4 meses
$
400,00
Implementación de guías 0,5 mes $
400,00
Total de tiempo fase 3 4,5 mese
$
800,00 Total de costo fase 3
Total de tiempo de implementación 13 meses
$
4.235,00 Costo total de la implementación
112
4 ANEXO D.- Carta de autorización firmada por la empresa
