ENTREGA II

PROYECTO - ANALISIS DE RIESGOS DE LA INFORMACIN

EMPRESA FINAGRO

ESPECIALIZACIN EN SEGURIDAD
DE LA INFORMACIN

ANALISIS DE RIESGOS DE LA INFORMACION

Ing. Jhonny Oramas Gonzlez

INGENIERO DE SISTEMAS

ESTUDIANTES:
ADALBERT ESPAA
VICTOR MANUEL HURTADO PALACIO

POLITECNICO GRAN COLOMBIANO

BOGOTA D.C., MARZO 02 DE 2015

Tabla de contenido
INTRODUCCION3
1. CONTEXTO DE LA EMPRESA...4
1.1. MISION.4
1.2. VISION..4
1.3. VALORES Y PRINCIPIOS4
1.4. PRINCIPIOS CORPORATIVOS..4
1.5. PENSAMIENTO ORGANIZACIONAL.4
1.6. PRODUCTOS Y SERVICIOS5.6.7
1.7. ORGANIGRAMA FINAGRO.8
2. PLANTEAMIENTO DEL PROBLEMA.9
3. DESARROLLO DE METODOLOGIA10
3.1. ESTABLECER EL CONTEXTO...10.11
3.2. IDENTIFICACION DE ACTIVOS...12
3.3. DEFINICION DE CRITERIOS DE EVALUACON DE RIESGOS..........13.14.15
3.4. MATRIZ DERIESGO16

INTRODUCCION
El Fondo para el Financiamiento del Sector Agropecuario FINAGRO es un banco de segundo piso, es decir no
financia directamente sino que lo hace a travs de los intermediarios financieros vigilados por la Superintendencia
Bancaria. Fue fundado el 22 de enero de 1990 y naci de la necesidad del sector rural colombiano de tener una entidad
autnoma y especializada que manejara los recursos de crdito para el sector rural, dispersos en varios organismos que
los asignaban como una variante de la poltica macro econmica, en manos del Banco de la Repblica.1

De Acuerdo a lo anterior FINAGRO viene evolucionando desde su nacimiento tanto es sus productos y servicios como
en el rea tecnolgica, convirtindose en una de las entidades estatales de mayor proyeccin en el pas, con un
aumento en sus activos un valor de 8 billones de pesos en el Ao 2013, lo que nos impulsa a generar un anlisis de
riesgos para dos reas importantes dentro de la Empresa.
GERENCIA DE TECNOLOGIA
VICEPRESIDENCIA FINANCIERA

http://www.encolombia.com/economia/economiacolombiana/emp-turisticos/fondoparaelfinanciamientodelsector/

1. CONTEXTO DE LA EMPRESA
1.1. MISIN
Contribuir al desarrollo integral, competitivo y sostenible del sector rural, facilitando el acceso al financiamiento y a los
dems instrumentos de apoyo establecidos en la poltica pblica.2
1.2. VISIN
Ser la institucin financiera lder en la gestin del desarrollo rural colombiano con clase mundial.3
1.3. VALORES Y PRINCIPIOS
Valores Corporativos: Respeto, Responsabilidad, Compromiso, Objetividad e Innovacin.4
1.4. PRINCIPIOS CORPORATIVOS
Principios Corporativos: Lealtad, Transparencia y Honestidad.5
1.5. PENSAMIENTO ORGANIZACIONAL
Somos respetuosos de la constitucin, las leyes y dems normas que nos regulan.6
El centro de nuestra gestin es el ser humano, promovemos el desarrollo del potencial de nuestro equipo y
procuraremos las mejores condiciones de vida para todos.7
2

https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
4
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
5
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
6
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
7
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
3

 En las diferentes actividades generamos valor para asegurar la viabilidad y sostenibilidad financiera. 8
Somos optimistas, proactivos y trabajamos con pasin, disciplina y compromiso para construir un mejor campo para
Colombia.9
1.6. PRODUCTOS Y SERVICIOS
PRODUCTOS Y SERVICIOS10
Recursos para Crdito

Incentivos

FAG Respaldo con Garantas

PRAN y FONSA Carteras Administradas

Programa de Asociatividad
Microcrdito Rural

8
9

DESCRIPCION
Crdito Agropecuario y Rural
Lneas de Crdito
Programas Especiales
Exportadores 2008-2009
ICR - Incentivo a la Capitalizacin Rural
ISA - Incentivo al Seguro Agropecuario
CIF - Certificado de Incentivo Forestal
IAT - Incentivo a la Asistencia Tcnica
Fondo cuyo objetivo es respaldar los crditos redescontados ante
FINAGRO o concedidos en condiciones FINAGRO con recursos
propios de los intermediarios financieros vigilados por la
Superintendencia Financiera de Colombia.
PRAN
FONSA
Legislacin
Cursos Virtuales.
Es un producto de crdito administrado por Finagro cuyo objeto es
promover el acceso de la poblacin rural al sistema financiero
como estrategia para combatir la pobreza en el sector.

https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional
https://www.finagro.com.co/qui%C3%A9nes-somos/informaci%C3%B3n-institucional

10

https://www.finagro.com.co/productos-y-servicios/TDAs

PRODUCTOS Y SERVICIOS10

DESCRIPCION

Programas de Coberturas

El programa es manejado por FINAGRO mediante el Sistema

Electrnico del Programa de Coberturas - SEPC, el cual es un
aplicativo WEB que agiliza la inscripcin de los participantes, toma
de coberturas, registro de facturas y compensacin de las
coberturas.

Informacin Sectoral

Recursos Hdricos

Inversiones

Ttulos de Desarrollo Agropecuario

Este incentivo apoya la Ejecucin de Proyectos Asociativos de

Adecuacin de Tierras (IEPAT) as como para la Elaboracin de
Estudios y Diseos de Proyectos Asociativos de Adecuacin de
Tierras (EDAT).
Este incentivo apoya la Ejecucin de Proyectos Asociativos de
Adecuacin de Tierras (IEPAT) as como para la Elaboracin de
Estudios y Diseos de Proyectos Asociativos de Adecuacin de
Tierras (EDAT).
Esta seccin est dirigida a los intermediarios financieros, en la
que podrn encontrar toda la informacin normativa y operativa
necesaria para cumplir con el nivel requerido de inversin en
Ttulos de Desarrollo Agropecuario TDAs, de acuerdo con la
Carta Circular publicada trimestralmente por la Superintendencia
Financiera de Colombia.
Cuadro 1

1.7. Organigrama FINAGRO

Figura 1

2. PLANTAMIENTO DEL PROBLEMA

La Estructura Organizacional de FINAGRO se compone de:

1 Junta Directiva
1 Oficina de Presidencia
1 Oficina de Secretaria General
1 Oficina de Control Interno
4 Oficinas de Carcter Gerencial: Gerencia Planeacin Gerencia de Tecnologa Gerencia Comercial Gerencia
Administrativa
4 Oficinas de Vicepresidencias
22 Direcciones que componen las anteriores reas

Teniendo en cuenta la Misin y Visin de la entidad, es de suma importancia generar un anlisis de riesgos a la Gerencia
de Tecnologa ya que esta es la responsable de garantizar la Disponibilidad, Integridad y Confidencialidad de la
informacin. Ya que como principal activo y en caso de una prdida parcial o total de la misma, pondra en riesgo el
normal funcionamiento de la entidad, al igual que un anlisis de riesgos a la Vicepresidencia Financiera.

3. DESARROLLO DE LA METODOLOGIA
De acuerdo a lo anterior proponemos que se emplee una metodologa basada en diferentes tcnicas y sugerencias que
se encuentran en diferentes publicaciones: ISO/IEC27005 la cual nos ayuda a la identificacin los riesgos de la seguridad
de la informacin, de igual manera la ISO/31000 la cual nos gua para la generacin de un Anlisis de Riesgos; buscando
contrarrestar las amenazas y vulnerabilidades y de esta manera minimizar las posibles riesgos; esta utiliza una
metodologa cuantitativa de 5 x 5 (5 Probabilidades X 5 Impactos), con el fin de evaluar el nivel de riesgo en que se
encuentra un activo.

Dicho nivel de riesgo ser calificado de 1 a 4 siendo 1 el nivel ms bajo y 4 el nivel extremo; para dar la valoracin
correspondiente al riesgo, tomaremos el valor de la probabilidad de que el riesgo se active segn criterio de los analistas
contra el valor del impacto consolidado el cual ser el resultado mayor del estudio generado a dicho riesgo en cuanto el
Impacto Financiero, Reputacional y Legal dentro de los 3 principios de la Seguridad de la Informacin, posterior a esto
nos situamos en la matriz de calor y ubicamos segn los resultados de PROBABILIDAD e IMPACTO CONSOLIDADO el
nivel de riesgo; posteriormente iniciamos la implementacin de los controles y seguido valoramos la efectividad de los
mismos a travs del anlisis del riesgo residual.

3.1. ESTABLECIMIENTO EL CONTEXO

Caracterizacin de los escenarios seleccionados
Gerencia de Tecnologa: La Gerencia de Tecnologa se encuentra dividida en 4 direcciones

Direccin de Operaciones
Tecnolgicas

Direccin de arquitectura
empresarial

Procedimientos De
Definicin de un plan
Administracin De Inventarios estratgico
Gestin De Backups Centro
De Datos

Creacin de polticas y
normas

Gestin De Backups De
Servidores

Establecimiento y
asignacin de actividades

Mantenimiento preventivo de
hardware y software

Direccin de ingeniera y
software

Direccin de procesos

Administracin de firewall y
seguridad

Procedimientos de redes y
conectividad
Procedimiento del centro de
Servicios del sistema de
atencin al usuario mesa de
informacin presupuestal
ayuda
Procedimiento De
Bases de datos
Administracin Del Portal
Institucional
Desarrollo y actualizacin de Procedimientos De Soporte
objetos de una base de datos Tcnico

10

Direccin de Operaciones
Tecnolgicas

Direccin de arquitectura
empresarial

Direccin de ingeniera y
software

Direccin de procesos

Mantenimiento correctivo de
hardware y software

Distribucin de puntos de
conexin fsicos a la red

Procedimientos de
administracin de inventarios

Procedimientos De
Administracin De Inventarios

Administracin de firewall y
seguridad

Procedimientos de redes y
conectividad

Gestin De Backups Centro

De Datos

Servicios del sistema de

informacin presupuestal

Procedimiento del centro de

atencin al usuario mesa de
ayuda

Cuadro 2

Vicepresidencia Financiera: Esta rea se divide en tres direcciones

Direccin de tesorera
Procedimientos de recaudo
Manejo de los sistemas financieros

Direccin de contabilidad
Crditos Agropecuarios
Cobro de Carteras

Direccin de Cartera
Administracin de la informacin financiera
Establecimiento de normas y polticas

Cuadro 3

11

3.2. IDENTIFICACION Y VALORACION DE LOS ACTIVOS INFORMACION SELECCIONADOS

AREA
Gerencia de Tecnologa

CONFIDENCIALIDAD
Financiero = 3
Reputacional = 4
Legal = 3

Copias de Seguridad de la
Informacin
4

Descripcin del
Responsable
Activo de
del Activo de
Informacin
Informacin
Tipo Activo:
Financiero = 2
Financiero = 3
INFORMACION
Reputacional = 2 Reputacional = 4
Este Activo
Legal = 2
Legal = 3
Contiene el
Respaldo de la
Informacin Base
de Empresa, ya
Direccin de
sea Informacin
Ingeniera y
Suministrada por
Software
Otras
2
4
Organizaciones e
Informacin Nueva
que se genera en
Cada una de las
reas
INTEGRIDAD

DISONIBILIDAD

Financiero = 4

Financiero = 3

Reputacional = 4

Reputacional = 3 Reputacional = 4 Tipo Activo:

INFRAESTRUCURA
Legal = 4
Legal = 4
Aloja toda la
Infraestructura
Tecnolgica de
Primer Nivel de la
4
4
Empresa

Legal = 4
Centros de Datos
4

Financiero = 4

Direccin de
Ingeniera y
Software

Contenedores

Custodios

Gerencia de
Tecnologa Servidor de
Empresa
Backup / Disco
Tercerizada
Duro Extrable
para la Custodia
/
y Seguridad de
los Backup

Rack de
Servidores
Generadores
de Backup /
Servidores de Gerencia de
Produccin de Tecnologa
la Informacin
/ Servidores
de Respaldo
de los Backup

12

AREA
Vicepresidencia
Financiera

Informacin de Cartera

Crdito Agropecuario y
Rural

Descripcin del
Activo de
CONFIDENCIALIDAD
INTEGRIDAD
DISONIBILIDAD Informacin
Tipo Activo:
INFORMACION
Este Activo se
Financiero = 4
Financiero = 3
Financiero = 4
Refiere a toda la
Reputacional = 4
Reputacional = 3 Reputacional = 4
Informacin que
Legal = 3
Legal = 3
Legal = 3
se Genera de todo
el Proceso de
Crdito
4
3
3
Agropecuario y
Rural
Tipo Activo:
Financiero = 3
Financiero = 3
Financiero = 4
INFORMACION
Reputacional = 3
Reputacional = 3 Reputacional = 3
Este Activo se
Legal = 3
Legal = 3
Legal = 3
Refiere a toda la
Informacin que
se Genera de todo
el Proceso de
3
3
4
Crdito
Agropecuario y
Rural

Responsable
del Activo de
Informacin

Contenedores Custodios

Servidor de
Produccin del
rea de
Vicepresidencia
Vicepresidencia
Cartera /
Financiera
Financiera
Equipos de
Cmputo del
rea

Servidor de
Produccin del
rea de
Vicepresidencia
Vicepresidencia
Cartera /
Financiera
Financiera
Equipos de
Cmputo del
rea

Cuadro 4
Los Activos de Informacin que se seleccionaron para llevar el presente anlisis de riesgos, se seleccionaron debido a la
gran importancia que representa cada uno de ellos en sus reas respectivas; estos fueron valorados con el fin de
brindarnos una visin de cual importante es dicho activo en trminos de seguridad.
Los Activos se valoran teniendo en cuenta las tablas de Impacto Financiero, Reputacional y Legal, las cuales se
encuentran en el punto 3.4.

13

3.3. IDENTIFICACION DE AMENAZAS Y VULNERABILIDADES

Estas fueron las amenazas y vulnerabilidades que se identificaron en el proceso de anlisis de riesgos, para nuestros
activos previamente seleccionados.

ACTIVO

AMENAZAS
Falta de Electricidad en el Momento de
Generar los Backup

VULNERABILIDADES
Insuficiencia en Herramientas Auxiliares Generadoras de Corriente
Elctrica- UPS, Planta Elctrica
Malas Prcticas en la Cadena de Custodia por Parte de la Empresa
Tercerizada para este Proceso
Falta de Mantenimiento Preventivo a los Servidores Utilizados para
Alojar los Backup
Acceso Lgico NO Restringido a los Servidores - Generadores de
Backup

Prdida Fsica de los Backup

Copias de
Seguridad de
Fallo en los Discos Duros donde se Alojan
la Informacin
los Backup
Borrado Accidental de los Backup

Centros de
Datos

Informacin
de Cartera
Crdito
Agropecuario
y Rural

No Existe un Control de Acceso Fsico

Adecuado
No se Cuenta con un Adecuado Sistema de
Climatizacin
Dao a la Estructura Fsica por Causa de
Catstrofes Naturales
Violacin a los Protocolos de Seguridad del
Sistema de Informacin
Disminucin de los Clientes
Disminucin de los Clientes

Fcil Acceso de Personal No Autorizado

Dao Constante del Sistema de Climatizacin
No Contar con un Plan de Contingencia
Conexin de Dispositivos Desconocidos a Equipos de la Red - USB Discos Duros - Telfonos Mviles
Probables Alzas en las tasa de Inters No Autorizadas en el Sistema de
Clculo de Crditos
Personal No Capacitado

Cuadro 5

14

3.4. DEFINICION DE CRITERIOS DE EVALUACION DE RIESGOS

Probabilidad: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad de que una
amenaza se materialice.
NIVEL
1
2
3
4
5

DESCRIPTOR
Raro
Poco Probable
Posible
Probable
Casi Cierto

PROBABILIDAD
DESCRIPCION DETALLADA
Puede ocurrir solamente en circunstancias excepcionales
Podra ocurrir en algunas veces
Es posible que ocurra en algunas veces
Puede probablemente ocurrir en la mayora de las circunstancias
Se espera que ocurra en la mayora de las circunstancias

Cuadro 6
Probabilidad Residual: Se determin la siguiente escala de valores como herramienta para determinar la probabilidad
Residual de que una amenaza se materialice despus de haber puesto unos controles.

NIVEL
1
2
3
4
5

DESCRIPTOR
Improbable
Remoto
Ocasional
Frecuente
Inminente

PROBABILIDAD - RESIDUAL
DESCRIPCION DETALLADA
La Amenaza Nunca se ha Materializado, Pero No se Descarta su Ocurrencia
La Materializacin de la Amenaza Ocurre una vez Cada Semestre
La Materializacin de la Amenaza Ocurre una vez Cada Trimestre
La Materializacin de la Amenaza Ocurre una vez Cada 15 Das
La Materializacin de la Amenaza Ocurre Diariamente
Cuadro 7

15

Impactos: Se determin la siguiente escala de valores como herramienta para determinar la severidad en caso de que
una Amenaza se materialice, estos valores fueron previamente analizados, conciliados y autorizados por la ala gerencia.

IMPACTO
NIVEL
1
2

DESCRIPTOR
Insignificante
Menor

DESCRIPCION DETALLADA

Moderada

Mayor

Sin Perjuicios
Se Contuvo Inmediatamente, Perdida Financiera Media
Requiere Atencin Inmediata de los Directivos de rea, Requiere Tratamiento,
Perdida Financiera Alta
Requiere Atencin Inmediata de los Altos Directivos, Perdida Financiera Mayor

Catastrfica

Enorme Perdida Financiera, Sin Posibilidad Alguna de Recuperacin Financiera

Cuadro 8

DESCRIPTOR
Insignificante
Menor

IMPACTO FINANCIERO
DESCRIPCION DETALLADA
Perdidas Hasta $100.000.000.oo
Perdidas Hasta $600.000.000.oo

Moderada

Perdidas Entre $3.000.000.000.oo - $5.000.000.000.oo

Mayor

Perdidas Entre $5.000.000.000.oo - $7.000.000.000.oo

Catastrfica

Prdidas Superiores a $7.000.000.000.oo

NIVEL
1
2

Cuadro 9

16

NIVEL

DESCRIPTOR

Insignificante

Menor

Moderada

Mayor

Catastrfica

IMPACTO REPUTACIONAL
DESCRIPCION DETALLADA
la causa es de conocimiento del personal del rea, no afecta en nada la imagen de la
empresa a nivel de los clientes
la causa es de conocimiento de la Direccin del rea, no afecta en nada la imagen
de la empresa a nivel de los clientes
la causa es de conocimiento de la presidencia o de la junta directiva, no afecta la
imagen de la empresa a nivel de los clientes
la causa es de conocimiento de los clientes, afectando la imagen de la empresa entre
sus clientes
la causa es de conocimiento general en el sector y es publicado por los medios
comunicacin Nacional e Internacionales, lo que afecta la imagen de la empresa a
nivel del pas y el mundo en todos los mbitos
Cuadro 10

NIVEL
1
2

DESCRIPTOR
Insignificante
Menor

Moderada

Mayor

Catastrfica

IMPACTO LEGAL
DESCRIPCION DETALLADA
Investigacin Laboral Disciplinaria para la Persona Directamente Implicada
Sancin Laboral para la Persona Directamente Implicada
Sancin Disciplinaria para todo el Personal y Director del rea Directamente
Responsable
Investigacin Disciplinaria y Penal para la Empresa por parte de los entes de
Control
Sancin Disciplinaria, Penal e Intervencin y Cierre de la Empresa por Parte de los
Entes de Control
Cuadro 11

17

Clasificacin de los Riesgos: La clasificacin del riesgo tiene como objetivo determinar el grado de criticidad que
presenta el mismo y as determinar los controles necesarios para mitigar dicho riesgo.

CALIFICACION DE RIESGOS
NIVEL

DESCRIPTOR

B = BAJO

DESCRIPCION DETALLADA
La Ocurrencia del Evento Tendra Consecuencias Leves, Tolerables por la Empresa, se
Puede Gestionar Mediante Procedimientos de Rutina, en Caso de Presentarse No
Desestabiliza la Empresa

M = MEDIO

En Caso de Presentarse Ocasionara Consecuencias que Superan el Nivel de Tolerancia

de la Organizacin, Debe ser Gestionado con Controles para Disminuir su Impacto o la
Frecuencia de Ocurrencia

A = ALTO

En Caso de Presentarse Ocasionara Consecuencias Financieras y Operacionales de

Impacto Severo o Significativo para la Organizacin , es Necesaria la Atencin Inmediata
de los Altos Directivos o Gerencia

Su Ocurrencia Ocasionara Consecuencias Financieras y Operacionales de Impacto

Catastrfico para la Organizacin, Debe Gestionarse con Mecanismos para Evitar su
E = EXTREMO
Ocurrencia o Transferir el Riesgo a Terceros, Dispersar el Riesgo y Reducir su Impacto o
Frecuencia de Ocurrencia

Cuadro 12

18

Mapa de Riesgos: La Matriz de Riesgo se presenta con las escalas de Probabilidad e Impacto definidas y valoradas
previamente.

IMPACTO

MATRIZ DE RIESGOS
5

PROBABILIDAD
Cuadro 13
o
o
o
o

Color Verde: Indica Riesgos de valoracin Baja

Color Amarillo: Indica Riesgos de Valoracin Media
Color Naranja: Indica Riesgos de Valoracin Alta
Color Rojo: Indica Riegos de Valoracin Extrema

19

4. MATRIZ DE RIESGO
Observar la Matriz Completa Archivo de Excel

5. Matriz Riesgo Inherente: Nos muestra la escalabilidad o valoracin de los Riesgos respecto a la Amenaza

Cuadro 14

20

6. CONTROLES ESTABLECIDOS PARA MITIGAR EL RIESGO

Se establecieron controles para cada uno de los riesgos identificados, con el objetivo de mitigar o minimizar dichos
riesgos, a medida que estos controles sean eficientes, el indicador del riesgo inherente tiende a disminuir.

DESCRIPCIN DEL RIESGO

No Generacin del Backup

Nombre Control

Reducir

Disponibilidad

Prdida Fsica Total o Parcial de Backup por Falta de Polticas

de Seguridad
Prdida Lgica de los Backup de
la Informacin

Descripcin Tratamiento

Tipo de
Control

Clase de
Control

Disponibilidad

Contar con Polticas y

La No Generacin del Backup por Falta de Fluido Elctrico por Metodologa para la
Falta de Mantenimiento y Adquisicin de Herramientas
Asignacin de Recursos
Auxiliares Generadoras de Corriente Elctrica- UPS, Planta
Econmicos
Elctrica
Prdida Fsica de los Backup de
la Informacin

Tratamiento

Disponibilidad

Desarrollar e Implementar
Polticas de Seguridad

Compartir

Generar Polticas de
Mantenimientos
Prdida Lgica Total o Parcial de Backup por falta de Generar Preventivos y Correctivos a Reducir
los Servidores que Alojan los
un Plan de Mantenimiento Preventivo a los Servidores que
Backup
Alojan los Backup de Informacin

Reducir el Riesgo
Mediante la Adquisicin
de Infraestructura (UPS Plantas Elctricas)

Preventivo Automtico

Compartir el Riesgo
Mediante Asignacin de
Varias Personas para el
Preventivo Manual
Cumplimiento de las
Polticas de Seguridad a
Desarrollar
Reducir el Riesgo
Mediante el Cumplimiento
Oportuno de las Polticas
Creadas para la
Preventivo Manual
Realizacin de los
Mantenimientos
Preventivos y Correctivos

21

DESCRIPCIN DEL RIESGO

Prdida Lgica de los Backup de
Disponibilidad
la Informacin
Prdida Lgica Total o Parcial de Backup por falta de No tener
un Adecuado Control de Acceso a los Servidores generadores
de Backup de Informacin
Hurto o Prdida de los Equipos
Confidencialidad
Tecnolgicos
Hurto de Prdida de Equipos Tecnolgicos por No tener un
Adecuado Control de Acceso Fsico al Centro de Datos
Daos en los Equipos
Tecnolgicos de Primer Nivel

Integridad

Daos en los Equipos Tecnolgicos de Primer Nivel por Mala

Variacin de Temperatura y Humedad
Tiempo de Restauracin de los
Sistemas de Informacin

Nombre Control

Tratamiento

Definir y Verificar el
Cumplimiento de las
Polticas de Acceso Lgico a Reducir
Servidores Generadores de
Backup
Implementar un Sistema
Automtico de Control de
Acceso - Cmaras y Sistemas
Reducir
de Circuito Cerrado, Sistema
de Tarjetas RFID, Alarmas,
Entre Otras
Implementacin de un
Sistema de Ambiente
Controlado en el Centro de
Datos

Transferir

Integridad - Disponibilidad

Desarrollo e
Demora en la Restauracin de los Sistemas de Informacin de Implementacin de un Plan
de Contingencias
la Empresa, debido a que NO se tiene un Plan de

Reducir

Contingencia
Hurto de Informacin
Financiera

Confidencialidad

Hurto de Informacin Financiera de los Equipos de Cmputo

del rea a travs de Dispositivos de Almacenamiento
Extrable, No se tienen Controles de Seguridad en el rea

Generar Polticas de
Seguridad para la
Prevencin de Hurto de
Informacin a travs de
Dispositivos de
Almacenamiento Extrable

Reducir

Descripcin Tratamiento

Tipo de
Control

Clase de
Control

Reducir el Riesgo,
Implementando y dando
Cumplimiento a Dichas
Polticas

Preventivo Manual

Reducir el Riesgo
Mediante la Adquisicin e
Implementacin de un
Sistema Automtico de
Control de Acceso Fsico

Preventivo Automtico

Se Transfiere el Riesgo a
una Empresa Especializada
en la Implementacin y
Correctivo Automtico
Mantenimiento de
Ambientes Controlados en
Datacenter
Reducir el Tiempo de
Restauracin de los
Sistemas de Informacin,
Preventivo Manual
con el Desarrollo e
Implementacin del Plan
de Contingencias
Reducir el Hurto de
Informacin a travs de la
Implementacin de las
Polticas Generadas para
tal Fin

Preventivo Manual

22

DESCRIPCIN DEL RIESGO

Disminucin de Ingresos

Eficiencia

Disminucin de Ingresos Econmicos, Debido al Aumento de

las Tasas de Inters Sin Previa Autorizacin en el Sistema de
Clculo de Crditos

Nombre Control

Generar Polticas para el

Control de Roles a Usuarios
del Sistema de Crdito

Integridad - Confiabilidad Generar Polticas para la

Seleccin, Capacitacin y
Prdida y Modificacin de la Informacin por Personal No
Autorizacin del Personal
Apto ni Autorizado, afectando la Integridad de la Informacin
Apto
de Crditos Agropecuarios y Rural

Tratamiento

Descripcin Tratamiento

Tipo de
Control

Clase de
Control

Reducir

Reducir el Riesgo en la
Autorizacin de los Roles a
Preventivo Manual
Usuarios Mediante la
Aplicacin de las Polticas

Reducir

Reducir el Riesgo
Mediante el Cumplimiento
Preventivo Manual
de las Polticas para la
Contratacin del Personal

Desventaja Competitiva

Cuadro 15
Los controles implementados para los riesgos descritos, se basan en Polticas de Seguridad, al igual que la adquisicin e
implementacin de elementos tecnolgicos que nos ayudaran a minizar los riesgos mencionados para cada uno de los
activos seleccionados; estos nos permitirn analizar la efectividad y el cumplimiento de las medidas tomadas mediante
dichos controles, y as determinar los pasos a seguir segn el resultado de riesgo residual.

23

7. MATRIZ RIESGO RESIDUAL

Resultado del Grado de Efectividad que apliquen los controles establecidos a los Riesgos Inherentes, A partir de este
resultado el grupo de trabajo de Seguridad de la Informacin podr determinar si se contina con el proceso, fortaleciendo
los controles existentes o implementando nuevos controles; o por el contrario se abandona la actividad.

Cuadro 16

24

Riesgo Inherente

Nivel del
Riesgo
Inherente

M = MEDIO

Contar con Polticas y Metodologa para la Asignacin

de Recursos Econmicos

E = EXTREMO

Desarrollar e Implementar Polticas de Seguridad

M = MEDIO

M = MEDIO

B = BAJO

E = EXTREMO

M = MEDIO

E = EXTREMO

Disminucin de Ingresos

M = MEDIO

Desventaja Competitiva

A = ALTO

DESCRIPCIN DEL
RIESGO
No Generacin del Backup
Prdida Fsica de los Backup de la
Informacin
Prdida Lgica de los Backup de la
Informacin
Prdida Lgica de los Backup de la
Informacin
Hurto o Prdida de los Equipos
Tecnolgicos
Daos en los Equipos
Tecnolgicos de Primer Nivel
Tiempo de Restauracin de los
Sistemas de Informacin
Hurto de Informacin Financiera

Controles

Generar Polticas de Mantenimientos Preventivos y

Correctivos a los Servidores que Alojan los Backup
Definir y Verificar el Cumplimiento de las Polticas de
Acceso Lgico a Servidores Generadores de Backup
Implementar un Sistema Automtico de Control de
Acceso - Cmaras y Sistemas de Circuito Cerrado,
Sistema de Tarjetas RFID, Alarmas, Entre Otras
Implementacin de un Sistema de Ambiente
Controlado en el Centro de Datos
Desarrollo e Implementacin de un Plan de
Contingencias
Generar Polticas de Seguridad para la Prevencin de
Hurto de Informacin a travs de Dispositivos de
Almacenamiento Extrable
Generar Polticas para el Control de Roles a Usuarios
del Sistema de Crdito
Generar Polticas para la Seleccin, Capacitacin y
Autorizacin del Personal Apto

Riesgo
Residual

Nivel del
Riesgo
Residual

B = BAJO

M = MEDIO

B = BAJO

B = BAJO

B = BAJO

A = ALTO

B = BAJO

A = ALTO

B = BAJO

B = BAJO

Cuadro 17

25

Figura 2

26

8. COSTO BENEFICIO
ANTES DE LA IMPLEMENTACION DE CONTROLES

-----

DESPUES DE LA IMPLEMENTACION DE CONTROLES

Cuadro 17
Teniendo en cuenta los riegos descritos el grupo de trabajo de seguridad de la informacin, implementa los controles que
considera importantes para la mitigacin de estos; se observa en la Figura 2 Comparativo Matriz Inherente Vs Matriz
Residual - un resultado positivo, puesto que los riesgos que se encuentran valorados como Nivel EXTREMO se han
minimizado gracias a la efectividad de dichos controles, en este caso R2 = PERDIDA FISICA DE LOS BACKUP DE LA
INFORMACIN, R6 = DAOS EN LOS EQUIPOS TECNOLOGICOS DE PRIMER NIVEL, R8 = HURTO DE
INFORMACION FINANCIERA.

27

Para los controles que se establecieron se tuvo una inversin econmica menor si se compara con el valor econmico
que se asumira en caso de materializarse una amenaza.

ACTIVO DE
INFORMACION

RIESGO
No Generacin del
Backup

Copias de
Seguridad de
la Informacin

Prdida Fsica de los

Backup de la
Informacin
Prdida Lgica de los
Backup de la
Informacin
Prdida Lgica de los
Backup de la
Informacin
Hurto o Prdida de los
Equipos Tecnolgicos

Centros de
Datos

Daos en los Equipos

Tecnolgicos de Primer
Nivel
Tiempo de Restauracin
de los Sistemas de
Informacin

CONTROL IMPLEMENTADO
Contar con Polticas y Metodologa
para la Asignacin de Recursos
Econmicos
Desarrollar e Implementar Polticas
de Seguridad
Generar Polticas de Mantenimientos
Preventivos y Correctivos a los
Servidores que Alojan los Backup
Definir y Verificar el Cumplimiento de
las Polticas de Acceso Lgico a
Servidores Generadores de Backup
Implementar un Sistema Automtico
de Control de Acceso - Cmaras y
Sistemas de Circuito Cerrado,
Sistema de Tarjetas RFID, Alarmas,
Entre Otras
Implementacin de un Sistema de
Ambiente Controlado en el Centro
de Datos
Desarrollo e Implementacin de un
Plan de Contingencias

VALOR DE PERDIDAD EN
VALOR
CASO DE MATERIALIZARCE
CONTROL
UNA AMENZA
IMPLEMENTADO
$ 2.500.000.oo

Perdidas
$600.000.000.oo

Perdidas
$ 2.500.000.oo $3.000.000.000.oo
$5.000.000.000.oo
Perdidas
$ 2.500.000.oo $3.000.000.000.oo
$5.000.000.000.oo
$ 2.500.000.oo

Perdidas
$600.000.000.oo

Hasta
Entre
Entre
Hasta

Perdidas
$ 30.000.000.oo $3.000.000.000.oo
$5.000.000.000.oo

Entre
-

Perdidas
$15.000.000.oo $5.000.000.000.oo
$7.000.000.000.oo
Perdidas
$ 2.500.000.oo $5.000.000.000.oo
$7.000.000.000.oo

Entre
Entre
-

28

ACTIVO DE
INFORMACION
Informacin de
Cartera

Crdito
Agropecuario
y Rural

RIESGO

CONTROL IMPLEMENTADO

Generar Polticas de Seguridad para

la Prevencin de Hurto de
Informacin a travs de Dispositivos
de Almacenamiento Extrable
Generar Polticas para el Control de
Disminucin de Ingresos Roles a Usuarios del Sistema de
Crdito
Generar Polticas para la Seleccin,
Desventaja Competitiva Capacitacin y Autorizacin del
Personal Apto
Totales General
Hurto de Informacin
Financiera

VALOR DE PERDIDAD EN
VALOR
CASO DE MATERIALIZARCE
CONTROL
UNA AMENZA
IMPLEMENTADO
Perdidas
$ 2.500.000.oo $5.000.000.000.oo
$7.000.000.000.oo

Entre
-

Perdidas
$ 2.500.000.oo $3.000.000.000.oo
$5.000.000.000.oo
Perdidas
$ 2.500.000.oo $3.000.000.000.oo
$5.000.000.000.oo
$ 65.000.000.oo

Entre
Entre
-

Cuadro 18
Como se mencionaba anteriormente el valor total de la Implementacin de los controles es muy inferior frente a la prdida
econmica que se cause por consecuencia de la materializacin de una Amenaza que nos abra la brecha de seguridad
para que el riesgo detectado se ejecute.

29