Análisis de riesgos en la organización Ferretería Confidencial

Por:
John jader Cuesta Palacio

Trabajo colaborativo

Tutor
Salomón Gonzales

Universidad Nacional Abierta Y A Distancia (UNAD)

Escuela de ciencias básicas tecnología e ingeniería (ECTBI)
Especialización en seguridad Informática
CEAD Turbo
2018
 NOTA DE ACEPTACIÓN
________________________________
________________________________
________________________________
________________________________

_____________________________
Firma presidente de jurado

_____________________________
Firma del jurado

_____________________________
Firma del jurado

Turbo Marzo 27 2018

DEDICATORIA

Este trabajo fue posible gracias al Dios todopoderoso, que hizo los cielos y la
tierra y quien da la sabiduría y la inteligencia para que se han hecha todas la
obras que nuestros ojos ven, por ello quiero dedicar principalmente, este
esfuerzo a él por todo lo que ha hecho, hace y hará.
AGRADECIMIENTO.
El desarrollo de este trabajo significo la puesta en práctica de todo el
conocimiento que Dios me permitió, a través de distintas instituciones
educativas, que tuvieron que ver con este desarrollo estas son: la Universidad
De Antioquia donde inicie mi carrera profesional y la Universidad Nacional
Abierta Y A Distancia, en la cual me encuentro en el camino de conocimiento
con la especialización de seguridad informática.
Tabla de contenido
Lista de figuras

Lista de tablas
 I. Introducción

Una parte fundamental dentro de la gestión de riesgos y la seguridad de la

información, es conocer y controlar los peligros a los cuales está expuesta la
información de la compañía; Si bien existen algunos estándares para la gestión
de estos, también se pueden implementar modelos de gestión que permitan
un marco de trabajo que facilite la administración de peligros y ayude a mitigar
los peligros.
En este sentido pretendemos señalar esta problemática haciendo referencia a
la metodología MAGERIT, la cual ofrece un método sistemático de análisis de
riesgos derivados del uso de tecnologías de la información y que reúne
medidas de control adecuadas que permiten abordar riesgo, de tal manera que
todas sus incidencias se mitigue.
Teniendo en cuenta lo anterior quiero presentar en este trabajo, la
implementación de la metodología MAGERIT, con la cual hare un abordaje
estructural y transversal, a un caso presentado para la organización: Ferretería
confidencial. Lo anterior mostrara entre otras cosas, la identificación de
activos, haciendo un levantamiento de información que maneja la empresa
según la metodología, me hará un análisis de riesgos con base en la
metodología MAGERIT y un plan de tratamiento de riesgos teniendo en cuenta
la norma ISO 27001:2013.
 II. Ferretería Confidencial

Es una empresa caracterizada por la venta de artículos para la construcción,

mampostería y muebles en general, ubicada en la ciudad de Medellín
Antioquia.
La edificación donde funciona consta de 3 pisos los cuales tienen una red LAN,
donde cada piso tiene su propia sub red con dominio 192.168.x.y donde (x)
identifica al piso (y) e identifica el host en la red, la red se extiende a toda la
edificación. La empresa servicios integrales internos, tiene su software propio
maneja servidores en su infraestructura, los cuales son, uno de base de dados,
uno de archivos, uno de correo. Uno para la resolución de nombres de dominio
y uno http.

El gerente en sus proyecciones de negocios ha observado que a pesar de la

competencia el negocio es sostenible, pero, desde hace 8 meses a la fecha
actual (fecha de inicio del trabajo colaborativo 1), el margen de ganancia ha
venido disminuyendo encontrando en su mayor competidor la ferretería
CONSTRUYENDO HOGAR, su mayor rival en ventas.

La empresa maneja lo siguiente:

 Los productos que se manejan de manera exclusiva en su almacén,
están almacenados en una base de datos, la cual es gestionada con
una aplicación de escritorio, pero con comunicación en red, través de
ip pública.
 Existe un grupo de proveedores que comercializan con la empresa, y
son ellos los que proveen insumos para productos
 La ferretería maneja inventario de productos nuevos
 Los servicios están especificados a través de contratos, con distintas
entidades
 Productos que ofrece la empresa tienen menor costo que la
competencia y además adicionan sin valor algunos servicios o
promociones
 La gerente de CASA MODERNA tiene a su cargo 30 empleados los
cuales están repartidos en distintas áreas
 El área comercial está conformada por 8 personas las cuales tienen un
jefe de área, 3 de ellos son de atención al público en mostrador 2
cajeras y 2 de bodega
  Área de recursos humanos cuya encargada es el jefe de seguridad y
salud en el trabajo, una psicóloga y una trabajadora social, todas en
cabeza de la jefe se encargan, además de lo anterior, se encargan de
bienestar laboral, proceso de selección y relacionados.

 En el área de sistemas el jefe es el ingeniero del área, encargado de la

infraestructura y dos personas de mantenimiento una de equipos
informáticos y otra de los dispositivos de otra índole.

 Están área de domicilios y mensajería, cuyo jefe de área maneja 5

empleados, en cargado de transporte de mercancía y actividades
relacionadas

Cada uno de los empleados a excepción de las personas de transportes y lo 3

de venta al público maneja una host (PC microtorre G1 200 HP) conectado a
la LAN y poseen internet en sus oficinas.

III. Actividad a desarrollar

Identificación de activos
TIPO IDENTIFICACION NOMBRE DEL RESPONSABLE UBICACION
ACTIVO
DI_01 Base Datos VenTif Jefe informática Oficina
sistemas
DI_02 Base Datos Precios Jefe informática Oficina
sistemas
DATOS / DI_03 Base Datos Jefe informática Nodo central
INFORMAC TramiDoc
ION DI_04 Base de datos del Jefe informática Oficina
PDT Planilla sistemas
Electrónica
DI_05 Código Fuente del Jefe informática Nodo central
Portal Web
S_01 Servicio de Jefe área Oficina de
información a comercial ventas
SERVICIOS
instituciones y
público en general
 S_02 Emisión de reportes Encargada Área
ventas cartera comercial
S_03 Formular y elaborar Gerente gerencia
la planilla única de
sueldos de personal
activo y cesante
S_04 Registrar las Contador Oficina
operaciones contabilidad
contables y
patrimoniales de la
institución.
S_05 Estados Financieros contador Oficina
y Presupuesto contabilidad
S_06 Adquirir, Almacenar Jefe distribución bodegas
y distribución a
instituciones
S_07 Servicio de Gerente gerencia
tramitación al por
mayor
AP_01 Portal Web Jefe sistema Nodo central
AP_02 Sistema de Jefe área Área
Información de comercial comercial
Abastecimiento y
Precios (ABSA)
AP_03 ComprasYa (online) Jefe área Area
comercial comercial
AP_04 APP compras Vendedores Area
comercial
AP_05 Sistema Informático Vendedores Area
de Pedidos TAT comercial
AP_06 Sistema informático Gerente Gerencia
APLICACI de Tramite
ONES Documentario
AP_07 Sistema Integrado de Contador contabilidad
Administración
Financiera (SIAF)
AP_08 Planillas Electrónica Gerente Gerencia
AP_09 Sistema operativo Jefe sistemas Nodo central
servidor
AP_10 Sistema Operativo Jefe sistemas Nodo central
host
AP_11 Herramientas de Jefe sistemas Oficina
ofimática sistemas
AP_12 Anti virus Jefe sistemas Oficina
sistemas
EI_01 Servidor de Firewall Jefe sistemas Oficina
EQUIPAMI
sistemas
ENTO
EI_02 Computadora Encargado Oficina
INFORMAT
mantenimiento mantenimien
ICO
to
REDES DE RC_01 Conexión a internet Jefe sistemas Nodo central
COMUNIC (ADSL)
ACIONES
EQUIPAMI EA_01 Cableado de Red Encargado mantenimien
ENTO mantenimiento to
AUXILIAR
INSTALACI IN_01 Local de rack Jefe sistemas Nodo central
ONES IN_02 Gabinete de Red Jefe sistemas Nodo central
PER_01 Gerente Gerente gerencia
PER_02 Contador Gerente Gerencia
PER_03 Técnico en jefe sistemas Área
mantenimiento mantenimien
to
PER_04 Técnico Gerente Gerencia
Administrativo
PER_05 Técnico Jefe área Área
Administrativo II comercial comercial
PER_05 mensajero Gerente gerencia
PER_05 Jefe bodega Jefe área Bodega
comercial
PER_06 Transportador I Jefe bodega Bodega
PER_07 Transportador I Jefe bodega Bodega
PER_08 Aux. bodega Jefe bodega Bodega
PER_09 Aux. bodega Jefe bodega Bodega
PER_10 Aux. bodega Jefe bodega Bodega
PER_11 Psicóloga Gerente gerencia
PER_12 Trabajo social Gerente gerencia
PERSONA PER_13 Técnico Jefe sistema sistemas
L Mantenimiento
informático
PER_14 Atención en Jefe área Área
mostrador I comercial comercial
PER_15 Atención en Jefe área Área
mostrador II comercial comercial
PER_15 Atención en Jefe área Área
mostrador III comercial comercial
PER_16 Cajera I Jefe área Área
comercial comercial
PER_17 Cajera II Jefe área Área
comercial comercial
PER_18 Cartera Jefe área Área
comercial comercial
PER_19 Vendedor externo Jefe área Área
comercial comercial
PER_20 Salud ocupacional Gerente Gerencia
PER_21 Vendedor Jefe área Área
comercial comercial
PER_22 Vendedor Jefe área Área
comercial comercial
 PER_23 Vendedor Jefe área Área
comercial comercial
PER_24 Vendedor Jefe área Área
comercial comercial
PER_25 Vendedor Jefe área Área
comercial comercial
PER_26 Vendedor Jefe área Área
comercial comercial
PER_27 Vendedor Jefe área Área
comercial comercial

Amenazas
Tras el uso e importancia de cada activo, se puede identificar las amenazas y
el impacto que pueden tener estas dentro de la compañía, por ello es
importante identificarlas según este contexto:

Amenazas derivadas del entorno

Identificación Descripción Lugar

Fluctuaciones La energía puede tener Todas las instalaciones
eléctricas cambios bruscos de
potencia que afectan a
todo lo que dependa de
ella para su
funcionamiento
Accesos a dispositivos Las cajas y equipos Caja
de mostrador están en lugares que
tiene visibilidad ante el
publico cosa que
alguien con mala
intención puede
aprovechar
Partículas del ambiente Los dispositivos están Bodegas y sitios
propensos a ser cercanos
filtrados por partículas
de polvo u otros que
afectan los equipos, sin
protección
Amenazas de origen natural

No hay riesgo de este tipo del que la empresa deba preocuparse, ya que, no
hay posibilidades de inundaciones, los relámpagos o rayos son controlados
por sistemas para rayos y no hay alerta o reporte de posible alteración del
terreno.

Defectos de aplicaciones
Defecto Descripción Lugar
Inexistencia de log bd Falta descripción de Nodo central
actividades dentro de
bd
Error de licenciamiento Software sin activación Todos los dispositivos
o espiración pronta
Mantenimiento sitio Sitio en desuso Nodo central
web
Bug aplicativo de Facilidad de Área ventas
ventas explotación de
aplicativo de comercio
Virus Afectación a equipos Todos los dispositivos

Análisis de riesgos

Controles ISO