Universidad Católica De Colombia - Ç RES UMEN ......datos/información, hardware, software, redes...

Ç

RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -

1

FACULTAD INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS

ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACION BOGOTÁ D.C.

LICENCIA CREATIVE COMMONS: Atribucion – No comercial – Compartirlgual 2.5 (CC BY-NC-SA 2.5) AÑO DE ELABORACIÓN: 2015 TÍTULO: DISEÑO DE RECOMENDACIONES DE SEGURIDAD INFORMÁTICA SOBRE LOS ACTIVOS DE INFORMACIÓN CRÍTICOS DE LA EMPRESA GRAN TIERRA ENERGY COLOMBIA- SECCIONAL BOGOTÁ. AUTOR (ES): Forero Cruz, William y Quiroz Pedraza, Jhon Henry DIRECTOR(ES)/ASESOR(ES): Díaz Benito, Cesar Orlando MODALIDAD: Tesis – Practica empresarial.

PÁGINAS: 597 TABLAS: 106 CUADROS: FIGURAS: 107 ANEXOS: 13

. CONTENIDO: RESUMEN INTRODUCCIÓN OBJETIVOS JUSTIFICACIÓN MARCOS DE REFERENCIA ALCANCES Y LIMITACIONES DISEÑO METODOLÓGICO

Ç


2

PRESUPUESTO Y FUENTES DE FINANCIACIÓN DESARROLLO METODOLÓGICO PLANIFICACIÓN ANÁLISIS DE RIESGOS GESTIÓN DE RIESGOS CONCLUSIONES REFERENCIAS

DESCRIPCIÓN: El trabajo consistió en la realización de recomendaciones de seguridad sobre activos y sistemas de información críticos con los que cuenta Gran Tierra Energy, y con la utilización de la metodología “MAGERIT”, el uso de la herramienta “PILAR”, el uso de planeación estratégica y el enfoque de las tres barreas o anillos de seguridad. METODOLOGÍA: Para el diseño de las recomendaciones de seguridad sobre el conjunto de activos de información críticos (Servicios, hardware, software, soportes de información, redes de comunicaciones, instalaciones, personas) con los que cuenta Gran Tierra Energy seccional Bogotá1; se utilizó la metodología de Análisis y Gestión de Riesgos MAGERIT con el apoyo de la herramienta PILAR2, herramientas de planeación estratégica y el enfoque de las tres barreras o anillos de seguridad en el diseño de las respectivas recomendaciones de seguridad.

La metodología Magerit se desarrolló en tres grandes procesos (planificación, análisis y gestión). Para el proceso de planeación se realizó un análisis y diagnóstico de la organización sobre los activos y sistemas de información más críticos y esenciales para el modelo de negocio siguiendo las actividades que indica la metodología y con el apoyo de herramientas de planeación estratégica, como lo es el análisis interno (Matriz PCI), externo (POAM), matrices por proceso (en cada proceso se identificaron los diferentes activos de información por cada dominio de seguridad, con sus respectivos responsables y funciones). Todo lo anterior permitió no solo identificar activos esenciales para el posterior análisis de riesgos y recomendaciones de seguridad, si no para tener un diagnostico general y vulnerabilidades de seguridad en Gran Tierra Energy.

1 Gran Tierra Energy es una de las más exitosas compañías de petróleo y gas independientes que han entrado en Colombia en los

últimos años nuestro país. La sede en Colombia objeto del proyecto es la sede ubicada en Bogotá. 2 Procedimiento Informático-Lógico para el Análisis de Riesgos. Es una herramienta automática desarrollada bajo las

especificaciones del Centro Criptológico Nacional de Inteligencia que soporta el análisis y la gestión de riesgos de un sistema de

información siguiendo la metodología MAGERIT.

Ç


3

En el proceso de análisis y gestión se consolidaron y definieron los activos de información a tratar, identificando el conjunto de amenazas a las que pueden estar expuestos los diferentes activos en sus respectivos dominios3 y dimensiones de seguridad4, categorizándolas por diferentes tipos de amenazas ([N] Desastres naturales, [I] De origen industrial, [E] Errores y fallos no intencionados, [A] Ataques intencionados), para posteriormente valorar la frecuencia de ocurrencia o probabilidad con la que se puede presentar la amenaza y la posible degradación causada dada la materialización de esta sobre cada activo de información.

Con la identificación y valoración de las amenazas a las que están expuestos los diferentes activos de información en sus diferentes dominios y dimensiones de seguridad se identificaron los impactos y riesgos potenciales y acumulados existentes, para posteriormente identificar y evaluar el nivel de madurez de las salvaguardas o contra medidas que permiten hacer frente a las amenazas y de esta forma identificar y evaluar los impactos y riesgos residuales y diseñar los respectivos controles y/o salvaguardas siguiendo los criterios de la metodología MAGERIT, lo cual permitirá prevenir, mitigar y corregir los riesgos identificados; además de contribuir al mejoramiento continuo de la organización en materia de seguridad informática.

Complementando el análisis y gestión de riesgos realizado mediante la metodología, se diseñarán anillos de seguridad sobre los riesgos críticos, lo cual consiste en implementar un conjunto de controles que actúan sobre las amenazas de los riesgos identificados de tres maneras interdependientes pero que tienen sinergia a través de controles preventivos, detectivos y correctivos; de manera que para cada riesgo critico se formularán tres (3) anillos de seguridad con el fin de contribuir en la organización a disminuir los riesgos potenciales y residuales sobre los activos de información. PALABRAS CLAVES: RECOMENDACIONES DE SEGURIDAD, ACTIVOS D EINFORMACION, RIESGOS, MAGERIT, BARRERAS DE SEGURIDAD, ANILLOS DE SEGURIDAD, CONTROLES ,SALVAGUARDAS, PLANEACION ESTRATEGICA.

3 Dominios de seguridad (datos/información, soportes de información, servicios, software, hardware,

comunicaciones, elementos auxiliares, instalaciones y personas) 4 Dimensiones de seguridad (Disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad)

Ç


4

CONCLUSIONES: El trabajo realizado, referente al diseño de recomendaciones de seguridad sobre activos y sistemas de información críticos con los que cuenta Gran Tierra Energy, y con la utilización de la metodología “MAGERIT”, el uso de la herramienta “PILAR”, el uso de planeación estratégica y el enfoque de las tres barreas o anillos de seguridad se obtuvo un diagnóstico, identificación y análisis de riesgos confiable y holístico, así: Como resultado de identificar los diferentes activos de información con los que

cuenta cada proceso de TI en sus diferentes dominio se seguridad en Gran Tierra Energy y determinando sus funciones y sus respectivos responsables mediante herramientas de planeación estratégica se observó lo siguiente:

Por restructuraciones realizadas ha desaparecido el departamento de Planeación estrategia, los roles y responsabilidades ha recaído en las gerencias de cada Área, sin que el proceso se halla formalizado.

El proceso donde se definen los objetivos por áreas para el 2015 no se ha concluido.

Existe una alta rotación del personal de TI en casa Matriz. Generando cambios contantes en las estrategias de las demás regiones incluyendo Colombia.

Existe una alta dependencia de la operación del centro de Cómputo del Edificio AR, para la prestación de servicios de usuarios e Bogotá y las demás sedes en Colombia.

Se está llegando al límite en VRAM de la infraestructura Virtual de Colombia.

Los procesos de donación de equipos en las regiones, pueden ser mal utilizados por los funcionarios a los que son entregados para donación.

Excelente manejo de las políticas HSE, logrando más de 3 años sin incidentes, incapacitantes o enfermedades profesionales en los integrantes del equipo de TI.

Por una inundación que se presentó en el Centro de Computo del edificio AR, se implementó un sistema de detección de Agua, el departamento de HSE agregó al sistema de aspersión, válvulas que permite cortar el suministro de agua en caso de volverse a presentar este tipo de eventos. Pero la forma de utilizarse no ha sido comunicada en la organización.

Ç


5

Algunos procesos de contratación no tienen en cuenta los requerimientos de los usuarios, adquiriendo productos o servicios que no están acorde a las necesidades.

Se observa un alto compromiso de la Gerencia de TI para alinear sus procesos a las mejores prácticas y normatividad en materia de seguridad y gobierno de TI.

Al realizar el análisis interno mediante el uso del Perfil de capacidad

institucional (PCI), la cual permite evaluar las fortalezas y debilidades en Gran Tierra Energy en relación al medio interno e involucrando todos los procesos de TI de la organización se observó lo siguiente:

Debilidades en su estructura organizacional al ser muy flexible.

Habilidad para atraer y retener gente creativa en materia de seguridad informática y el uso de tics.

Ejecución de planes estratégicos de sistemas de información (PESI).

Medición de los procesos de TI y realización de planes de mejoramiento en el área de TI.

Auditorías externas en materia de seguridad informática

Existencia de planes de continuidad y recuperación de desastres.

Al realizar el análisis externo mediante el uso perfil de oportunidades y amenazas (POAM), la cual permite evaluar las oportunidades y amenazas en Gran Tierra Energy en relación con las oportunidades y amenazas que le presenta el entorno se observó lo siguiente:

La existencia de políticas y programas de desarrollo relacionados con el sector y en maría de TI y seguridad informática.

Se observan reservas por parte de la organización en cuanto a recursos humanos capacitados.

Las políticas de gobierno de Colombia en relación al modelo de negocio (petróleo y gas) son favorables para la organización.

Se evidencian procedimientos, buenas prácticas y marcos de trabajo en materia de seguridad informática y de riesgos en la organización (ITIL, políticas de seguridad informática, entre otros)

La organización se puede ver afectada por efectos culturales, políticos, geográficos y económicos.

Ç


6

La organización se puede ver afectada por efectos conflictos internacionales y el precio de la bolsa, el petróleo y el dólar.

Se logró identificar las debilidades y amenazas existentes (internas y

externas), de tal forma que se diseñaron controles y salvaguardas que mitigaran y previeran la materialización y el impacto de estas. Los resultados se observan a continuación:

Con la encuesta realizada y diferenciada en nivel estratégico, táctico operativo, se recopilo información relativa al estado actual y uso de los activos y sistemas de información en Gran Tierra Energy (Servicios, datos/información, hardware, software, redes de comunicación, equipamiento auxiliar e instalaciones) como la siguiente:

De destacar la no existencias de matriz de riesgos de activos, o la no divulgación de esta al interior del equipo. Tampoco es conocida por los

Ç


7

integrantes del equipo la implementación de una metodología de análisis de riesgos

La pregunta 9 de la encuesta general evidencia una infraestructura y políticas de seguridad y de activos de la información que cumplen su cometido. Según lo reportados por los encuestados solo en 4 ocasiones se han presentados incidentes de perdida de CONFIDENCIALIDAD en los activos de información

El impacto sobre los activos de información antes y después de los controles

en la dimensión DISPONIBILIDAD, sin tener en cuenta las dependencias entre activos son los siguientes:

ANTES DE CONTROLES DESPUÉS DE CONTROLES

Se puede observar que los activos puntuados con Impacto [M-], luego de la identificacion y evaluacion de los controles pasaron de representar el 35% a representar 6%, el porcentaje restante (29%) se redistribuyo en las escalas de impacto inferiores. El impacto sobre los activos de información antes y después de los controles

en la dimensión INTEGRIDAD, sin tener en cuenta las dependencias entre activos son los siguientes:

Ç


8


En esta dimensión el comportamiento del Impacto antes y después de la identificacion y evaluacion de los controles sobre los activos de información, analizados en forma independiente, es más marcada, los activos sin valor apreciable pasan del 59% al 70%


en la dimensión CONFIDENCIALIDAD, sin tener en cuenta las dependencias entre activos son los siguientes:


Ç


9

En la dimensión CONFIDENCIALIDAD los activos con puntuación de impacto de [A-] antes de la identificacion y evaluacion de los controles representaban el 21%, luego se redujeron aproximadamente a la mitad, pasando a ser un 12% del total, adicional los activos sin valor apreciable, se duplicaron luego de la evaluacion de los controles.


en la dimensión AUTENTICIDAD, sin tener en cuenta las dependencias entre activos son los siguientes:


En la Dimensión de AUTENTICIDAD, los activos puntuados con impacto [M-] pasaron de representar el 14% a representar solo el 6%, el 88% de los activos luego de la identificacion y evaluacion de los controles, quedan ponderados con impacto sin valor apreciable.

El impacto sobre los activos de información antes y después de los controles en la dimensión TRAZABILIDAD, sin tener en cuenta las dependencias entre activos son los siguientes:

Ç


10


En la Dimensión de TRAZABILIDAD, los activos puntuados con impacto [B-] disminuyeron considerablemente luego de la identificación y evaluación de los controles.

El impacto sobre los activos de información antes y después de los controles en la dimensión DISPONIBILIDAD, teniendo en cuenta las dependencias entre activos son los siguientes:


Ç


11

En la dimensión DISPONIBILIDAD el 41% de los Activos tienen una ponderación de Impacto [A+], luego de la identificación y evaluación de los controles este valor baja a 31%, si se observa detenidamente los activos ponderados con impacto alto (72%), después de los controles, los activos ponderados con impacto Alto equivalen al (53%) El impacto sobre los activos de información antes y después de los controles

en la dimensión INTEGRIDAD, teniendo en cuenta las dependencias entre activos son los siguientes:


En la dimensión integridad la identificacion y evaluacion de los controles reduce del 72% de activos de información con impacto considerable, al 37% es decir se controla el 50% de la afectaciones a los activos de información El impacto sobre los activos de información antes y después de los controles

en la dimensión CONFIDENCIALIDAD, teniendo en cuenta las dependencias entre activos son los siguientes:

Ç


12


En la dimensión de la CONFIDENCIALIDAD la identificación y evaluación de los controles reduce el Impacto [A+] del 21% al 3%, lo que es una reducción muy importante y nos permite ver la efectividad de los controles. El impacto sobre los activos de información antes y después de los controles

en la dimensión AUTENTICIDAD, teniendo en cuenta las dependencias entre activos son los siguientes:


En lo que refiere a la AUTENTICIDAD, la identificacion y evaluacion de los controles aumenta los activos sin valor apreciable de impacto del 65% al 79%, y

Ç


13

reduce los activos que tiene impacto [A+] del 14% al 3%, comprobando nuevamente la efectividad de la metodología utilizada.

El impacto sobre los activos de información antes y después de los controles en la dimensión TRAZABILIDAD, teniendo en cuenta las dependencias entre activos son los siguientes:


En la dimensión de la trazabilidad la identificacion y evaluacion de los controles sobre los activos con impacto [M+] reducen su porcentaje de 10% al 6%. Después de identificar las salvaguardas con las que cuenta Gran Tierra

Energy y evaluar el nivel de madurez de cada salvaguarda, se evaluó el riesgo potencial y residual. los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión DISPONIBILIDAD, sin tener en cuenta las dependencias entre activos, son los siguientes:

Ç


14

Todos los riesgos más representativos que en la dimensión de DISPONIBILIDAD se redujeron luego de la implementación de los controles

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión INTEGRIDAD, sin tener en cuenta las dependencias entre activos, son los siguientes:

Ç


15

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión CONFIDENCIALIDAD, sin tener en cuenta las dependencias entre activos, son los siguientes:

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión AUTENTICIDAD, sin tener en cuenta las dependencias entre activos, son los siguientes:

Ç


16

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión TRAZABILIDAD, sin tener en cuenta las dependencias entre activos, son los siguientes:

Ç


17

Después de identificar las salvaguardas con las que cuenta Gran Tierra Energy y evaluar el nivel de madurez de cada salvaguarda, se evaluó el riesgo potencial y residual. los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión DISPONIBILIDAD, teniendo en cuenta las dependencias entre activos, son los siguientes:

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión INTEGRIDAD, teniendo en cuenta las dependencias entre activos, son los siguientes:

Ç


18

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión CONFIDENCIALIDAD, teniendo en cuenta las dependencias entre activos, son los siguientes:

Ç


19

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión AUTENTICIDAD, teniendo en cuenta las dependencias entre activos, son los siguientes:

Los riesgos más críticos identificados sobre los activos de información antes y después de los controles en la dimensión TRAZABILIDAD, teniendo en cuenta las dependencias entre activos, son los siguientes:

Ç


20

Uno de los dominios de seguridad más importantes a tener en cuenta para garantizar las dimensiones de seguridad “disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad” son las personas, pues el análisis realizado y estudios de soporte muestran que estos son quienes emplean y utilizan los activos y sistemas de información y que pueden, consciente o inconscientemente, propiciar un incidente de seguridad o potenciar un riesgo.

Con el desarrollo del presente trabajo Gran Tierra Energy identificó falencias, de tal forma que se diseñaron recomendaciones de seguridad que permitieran prevenir, mitigar, transferir y/o asumir los riesgos, además de preparar a la organización para posteriores evaluaciones y auditorías en materia de seguridad informática. Los controles se propusieron y diseñaron de tres formas:

1. Proponiendo el aumento del nivel de madurez en varios de los controles

identificados y evaluados, como se muestra a continuación:

Ç


21

2. Proponiendo salvaguardas en los diferentes dominios de seguridad y definiendo el tipo de protección en cada una de las dimensiones de seguridad, como las siguientes:

Protección a los equipos informáticos (HW)

Salvaguarda y/o control Estrategia Tipo de

protección

Dimensión de seguridad

{D} {I} {C} {A} {T}

Normativa sobre el uso correcto de los equipos

[M] mixta [EL] eliminación x x

Procedimientos de uso del equipamiento

[M] mixta [EL] eliminación x x x

Inventario de equipos (Propios, ajenos y responsables)

[RF] reducción de la frecuencia (prevención)

[AD] administrativa

x x x

Revisión periódica del inventario


[PR] prevención, [MN] monitorización

x

Mantenimiento periódico según especificaciones de los fabricantes


Mantenimiento sólo por personal debidamente autorizado


Monitorización de fallos e incidencias

[D] detección [DT] detección, [MN] monitorización

x x

Registro de fallos, reales o sospechados y de mantenimiento preventivo y correctivo

[RI] reducción del impacto

[IM] minimización del impacto, [MN] monitorización

x x

Copias de seguridad de la configuración

[R] recuperación [RC] recuperación

x x

Procedimiento para la adquisición de hardware conjuntamente con la necesidad de repuestos, garantías sobre el producto y cláusulas de penalización.


Retirada de componentes innecesarios


[EL] eliminación, [PR] prevención

x

Asignación de roles y responsabilidades a los funcionarios que dispongan del HW


[IM] minimización del impacto

x x x

Procedimiento para alta, baja del HW y modificación de privilegios


[IM] minimización del impacto

x x x

Política de adquisición de HW [RI] reducción del [IM] x

Ç


22


protección


{D} {I} {C} {A} {T}

impacto minimización del impacto

Evitar acceso visual a pantallas y monitores por personas no autorizadas


Creación y actualización de los planes de continuidad del HW

[M] mixta [EL] eliminación x

Proceso de autorización de recursos para el tratamiento de la información

[M] mixta [EL] eliminación x x x x

Los nuevos medios deben tener la aprobación adecuada, autorizando su propósito y uso


Comprobación de que el nuevo HW adquirido sea compatible con los demás dispositivos del sistema


Autorización previa para el uso de medios informáticos personales para el tratamiento de la información de la organización.


Normativa sobre el manejo de información compartida, e implantación de medidas


Normas de manejo de información sensible en función de la seguridad que proporcionan los medios


Relación e identificación del personal autorizado a acceder al sistema (contratistas, socios, etc.)


Asignación de permisos y recursos en función de roles de usuarios


Seguridad de los equipos fuera de las instalaciones


Normativa de uso de equipos fuera de las instalaciones


Póliza de seguro para los equipos fuera de su lugar de trabajo


Protección de los dispositivos de red

[M] mixta [EL] eliminación x x x x x

Seguimiento permanente de actualizaciones (HW)


Realización de cambios y mantenimiento del HW por personal debidamente autorizado


Ç


23


protección


{D} {I} {C} {A} {T}

Registro de todo cambio en el HW

[M] mixta [EL] eliminación, [MN] monitorización

x x

Control de versiones de todo cambio de hw


Normatividad para dar de baja del HW


Registro y revisión de la actividad de los dispositivos de reproducción (número de copias, usuarios que las han realizado, etc.)

[M] mixta [EL] eliminación, [MN] monitorización

x x x x

Prohibición de establecimiento de conversaciones confidenciales en lugares públicos o sin adecuadas medidas de protección


Prohibición de dejar mensajes confidenciales en contestadores automáticos


Formación y concienciación en el uso seguro de los sistemas y recursos

[M] mixta [AW] concienciación

x x x x

3. Diseñando recomendaciones de seguridad mediante el enfoque de las tres barreras o anillos de seguridad, como las siguientes:

Recomendación de anillos de seguridad No 1

Activo de información afectado

Dominio de seguridad afectado

Dimensión de seguridad afectada

Discos virtuales Soportes de información Disponibilidad

Ç


24

Recomendaciones:

Las anteriores recomendaciones coadyuvó en gran medida en la prevención, mitigación, control y gestión de riesgos a que están expuestos los sistemas de información y su conjunto de activos, evitando así, posibles responsabilidades laborales, civiles, fiscales y penales sobre el personal de Gran Tierra Energy, además de que se vea afectada por pérdidas económicas y de imagen. Asimismo buscan reducir en términos de probabilidad o impacto los riesgos identificados.

El análisis y gestión de riesgos no debe ser entendido como una actividad

aislada sino como parte de las actividades y procesos primordiales en la organización.

La responsabilidad de establecer los controles no corresponde a los

desarrolladores del proyecto, sino a la dirección de la empresa en sus niveles estratégico, como los son la alta dirección de la organización y los niveles tácticos que son dueñas de los procesos y activos de información y porque interpretan e implementa las políticas establecidas por la dirección.

Como resultado de las recomendaciones de seguridad se espera que los niveles de riesgo sean los siguientes:

En la dimensión disponibilidad:

Ç


25

En la dimensión integridad:

Ç


26

En la dimensión Confidencialidad:

En la dimensión Autenticidad:

Ç


27

En la dimensión Trazabilidad:

El trabajo realizado, referente al análisis y gestión de riesgos sobre activos y sistemas de información, mostraron que es un campo que no ha recibido la relevancia suficiente en las organizaciones tanto públicas como privadas.

El análisis y gestión de riesgos no debe ser entendido como una actividad

aislada sino como parte de las actividades y procesos primordiales en la organización.

FUENTES:

[1]. MAGERIT. (2012)– versión 3 Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información Libro I - Método, MINISTERIO DE

ADMINISTRACIONES PÚBLICAS Madrid.

[2]. MAGERIT. (2012)– versión 3 Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información Libro II - Catalogo, MINISTERIO DE


Ç


28

[3]. MAGERIT. (2012) – versión 3 Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información Libro III - Técnicas, MINISTERIO DE


[4]. MAGERIT versión II, Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información libro 1- método p.18

[5]. ANDREU, Rafael, RICKART Joan, & VALOR, Joseph. (1991)Estrategia y sistemas

de información.

[6]. LARDENT Alberto R. (2001) Sistemas de información para la gestión empresarial,

planeamiento, tecnología y calidad, Prentice Hall, Buenos Aires.

[7]. RINCÓN ROJAS, Edgar, (1999).Planeación de sistemas de información, Bogotá:

Universidad Distrital.

[8]. PIATTINI, (2007).Mario G. Calidad de Sistemas de Información. Alfaomega.

[9]. PIATTINI, (2001) Auditoría Informática: Un enfoque práctico, Alfaomega, p. 50

[10]. COOPERS Y LYBRAND., (1997) Los nuevos conceptos del control interno.

Informe C.O.S.O, Ediciones Díaz de Santos, Madrid, I, 43.

[11]. ICONTEC, (2004) Norma Técnica Colombiana NTC-5254. Gestión del Riesgo, 1

[12]. IEEE LATIN AMERICA TRANSACTIONS, VOL. 5, NO. (2007) Un Proceso de

Ingeniería de Requisitos de Seguridad en la Práctica, Mellado Daniel,

Fernandez Eduardo, Piattini Mario.

[13]. E.T.S.I. Telecomunicación (UPM), (1999) Efecto 2000 tecnología global con fecha

de caducidad, Sáez Vacas, Fernando.

[14]. FIGUEROA, Luis C.; HERRERA, Andrea y GIRALDO, Olga L. Guía de buenas

prácticas en gestión de riesgo de TI en el sector bancario colombiano [en

Ç


29

línea]. Colombia: Universidad de los Andes, 2010 [consultado el 1 de mayo

del 2015]. Disponible en Internet:

http://biblioteca.uniandes.edu.co/Tesis_22010_segundo_semestre/347.pdf.

LISTA DE ANEXOS:

Anexo 1: glosario.

Anexo 2: Encuesta general, Estratégica, Tácticas, Operativa.

Anexo 3: Identificaciones de Activos.

Anexo 4: Dependencias entre Activos.

Anexo 5: Valores Propios

Anexo 6: Valores Acumulados

Anexo 7: Identificación de Amenazas.

Anexo 8: Valoración de las amenazas.

Anexo 9: Identificación de Salvaguardas.

Anexo 10: Impacto Acumulado

Potencial

Residual

Objetivo

Anexo 11: Impacto Repercutido.

Potencial

Residual

Objetivo

Anexo 12: Riesgo repercutido

Potencial

Residual

Objetivo

Anexo 13: Riesgo Acumulado

Potencia

Residual

Objetivo

http://biblioteca.uniandes.edu.co/Tesis_22010_segundo_semestre/347.pdf

Universidad Católica De Colombia - Ç RES UMEN ......datos/información, hardware, software, redes...

Documents

Transcript of Universidad Católica De Colombia - Ç RES UMEN ......datos/información, hardware, software, redes...