TABLA DE CONTENIDOS

INTRODUCCIN.......................................................................1
DESARROLLO DE LA ACTIVIDAD................................................1
APRECIACIONES DEL RIESGO..........................................................1
MODELADO VISUAL........................................................................3

USABILIDAD DE LA APLICACIN................................................4
CONCLUSIONES.......................................................................4
REFERENCIAS.......................................................................... 5

INTRODUCCIN
El siguiente trabajo tiene por objetivo realizar un anlisis de riesgo considerando una
estructura inicial que esta determinada por un sistema encargado de la tramitacin de
expedientes, el cual posee componentes a nivel de negocio, nivel tcnico y nivel operativo
entre otros, considerando las relaciones existentes entre cada una de las partes.
La primera parte tiene por objetivo modificar la estructura inicial agregando componentes
que permitan identificar con precisin aquellos elementos que se puedan ver afectados por
una amenaza en particular.
A continuacin se determina el anlisis de riesgo correspondiente, configurando de
manera preliminar la apreciacin del riesgo en cada uno de los componentes, para
posteriormente gestionar los riesgos de acuerdo a los criterios revisados anteriormente.

DESARROLLO DE LA ACTIVIDAD
Para el desarrollo se consideraron las siguientes actividades de inters.
APRECIACIONES DEL RIESGO
En este proceso fue importante verificar como la herramienta operaba para el proceso de
identificar las amenazas y configurar la valoracin correspondiente, necesarias para
agregar cada una de las estas, para lo cual se disean las posibles amenazas sobre
determinados activos, como se muestra en la siguiente tabla.

Evento/Amenaza

Activo

amenaz
a
1

E.28.1Erroresyfallosnointencionados:Indisponibilidaddel

2 funcionarios

2
3
4
5
6
7

Aplicacin tramitacin
de expedientes
Centro de soporte
Conexin a internet
Correo electrnico

8
Expedientes en papel
9
10

Oficina

11
12

Responsable oficina

Almacenamiento en la
red

15

18

usuario
E.7.2 Erroresyfallosnointencionados: Deficienciasenla
organizacin:Nohayunapersonaacargo
I.9.1Deorigenindustrial:Interrupcindeotrosservicioso
suministrosesenciales:Papel
I.1Deorigenindustrial:Fuego
N.*.8Desastresnaturales:Desastresnaturales:Meteoritos
A.6Ataquesdeliberados:Abusodeprivilegiosdeacceso
A.29.1 Ataques deliberados: Extorsin: Ataque desde el

beneficiodelatacante
A.18.2Ataquesdeliberados:Destruccindelainformacin:A
beneficiodelatacante
A.15.2Ataquesdeliberados:Modificacindeinformacin:A
beneficiodelatacante
A.17.2Ataquesdeliberados:Corrupcindelainformacin:A

16
17

agotamientoderecurso
A.24Ataquesdeliberados:Denegacindeservicio
I.1Deorigenindustrial:Fuego
I.8Deorigenindustrial:Fallodeserviciosdecomunicaciones
A.5 Ataques deliberados: Suplantacin de la identidad del

exterior
A.17.2Ataquesdeliberados:Corrupcindelainformacin:A

13
14

personal:Enfermedad
A.11Ataquesdeliberados:Accesonoautorizado
E.24Erroresyfallosnointencionados:Cadadelsistemapor

Almacenamiento local

beneficiodelatacante
A.18.2Ataquesdeliberados:Destruccindelainformacin:A
beneficiodelatacante
A.15.2Ataquesdeliberados:Modificacindeinformacin:A
beneficiodelatacante

TABLA N 1 Muestra los activos del problema y las amenazas a gestionar

De acuerdo a la instruccin propuesta, el procedimiento a realizar sobre la apreciacin del
riesgo, se establece del siguiente modo:
1) Crear Riesgo:
a) Seleccionar el activo sobre el cual se aprecia la existencia de una amenaza
b) Seleccionar la amenaza en particular que se asigna al activo
2) Anlisis:

a) Establecer la probabilidad (valor cualitativo)

b) Establecer el valor de impacto sobre la Confidencialidad (valor cuantitativo)
c) Establecer el valor de impacto sobre la Integridad (valor cuantitativo)
d) Establecer el valor de impacto sobre la Disponibilidad (valor cuantitativo)
3) Evaluacin:
a) Determinar si el valor asignado esta correctamente asignado o mover a la categora
correspondiente ( Inaceptable, Tolerable, Ampliamente aceptable)
4) Tratamiento:
Seleccionar la amenaza
Aplicar contramedida (solo si aplica)
Asignar nuevos valores para las categoras de Confidencialidad, Integridad y
Disponibilidad.
Finalizado este proceso ya es posible indicar que se realiz el anlisis de riesgos y su
correspondiente gestin, con el propsito de mitigar las problemticas propias de los
sistemas que involucran tecnologas de la informacin.
MODELADO VISUAL
Si bien la herramienta posee una configuracin preestablecida en cuanto el mbito y
componentes para el ejercicio, tambin es necesario entender y poner en prctica la
edicin del mismo.
De acuerdo a lo sugerido, los cambios se realizaron una vez que ya se haba implementado
el anlisis de riesgo, a fin de evitar posibles inconsistencias con el modelo inicial.
Se establecieron las siguientes modificaciones al modelo original:

Incorporacin de la relacin Correo electrnico Conexin a Internet

Incorporacin de la relacin Almacenamiento remoto Conexin a Internet
Creacin de una Ubicacin denominada Centro de Soporte
Asignacin de relacin Tcnico informtico Centro de Soporte
Asignacin de relacin Centro de Soporte - Oficina

USABILIDAD DE LA APLICACIN
La aplicacin al tener pre configurado un ambiente de trabajo evita que se desarrollen
inconsistencias, las cuales pueden afectar la produccin del anlisis de riesgo.
Modelado Visual
Esta seccin de la herramienta es bastante verstil, posee de manera clara el acceso de los
diferentes componentes de una organizacin, los submen con las categoras de tipos de
componentes tambin ayuda a identificar rpidamente el componente. Claramente a
muchas personas la compresin mediante un grfico ayuda a entender de una manera ms

intuitiva el comportamiento de las partes del negocio, su interrelacin y como estas pueden
afectar su funcionamiento si son expuestas a ciertas amenazas.
Apreciaciones del riesgo
En esta seccin es bastante intuitiva la asignacin de componentes para su anlisis, pero a
medida de incorporar nuevos elementos, ciertamente hace ms refinado su tratamiento lo
cual beneficia a aquellos que tienen un conocimiento avanzado en la aplicacin. Tambin
incorpora aspectos de grfica (colores), los cuales dan al usuario claras indicaciones del
estado de un componente en particular.. Las opciones de tomar y arrastrar tambin estn
incorporadas y permiten rpidamente asignar estados de amenazas a una categorizacin.
El tratamiento de las amenazas tambin es bastante granular, pudiendo dar un
seguimiento a Proyectos y controles determinados bastante especficos.

CONCLUSIONES
La utilizacin de una herramienta para el desarrollo de una anlisis de riesgos agrega una
importante cantidad de beneficios, siempre y cuando se tenga un conocimiento y pericia en
la materia.
A pesar de las complejidades tcnicas para la ejecucin de la plataforma online, la
herramienta permite realizar las tareas propias de un anlisis de riesgos, haciendo ms
sencilla una tarea que en el papel parece sencilla, pero que requiere de bastante tiempo y
principalmente de conocimientos.
Adems del conocimiento tcnico para emplear esta herramienta en especifico, es
necesario tambin conocer del negocio, por lo que es necesario contar con todos los
antecedentes preliminares antes de ejecutar un bosquejo del anlisis de riesgos y adems
es necesario contar con el apoyo de la alta gerencia para desarrollar los proyectos o
controles necesarios que permitan mitigar las amenazas existentes dentro y fuera de la
organizacin.

REFERENCIAS
Plan de valoracin informtica
http://www.univo.edu.sv:8081/tesis/020086/020086_Cap5.pdf

PDF informativo GesConsultor

http://www.gesconsultor.com/wp-content/uploads/GesConsultor.pdf
Gua para la elaboracin del trabajo
https://www.youtube.com/watch?v=ML8W3Xix4zg