FASE DE LA ESTRATEGIA DE APRENDIZAJE: IDENTIFICACIN Y

CLASIFICACIN DE ACTIVOS, IDENTIFICACIN DE AMENAZAS Y

VULNERABILIDADES, ANLISIS Y EVALUACIN DE RIESGOS

HEINER MAHECHA MERA

ANDRES ALBERTO ACEVEDO SOSA
NICOLAS QUINTERO AMAYA
JUAN PABLO MONTAEZ
JOSE JULIAN JARAMILLO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
SISTEMA DE GESTION DE SEGURIDAD INFORMTICA
OCTUBRE DE 2016

FASE DE LA ESTRATEGIA DE APRENDIZAJE: IDENTIFICACIN Y

CLASIFICACIN DE ACTIVOS, IDENTIFICACIN DE AMENAZAS Y
VULNERABILIDADES, ANLISIS Y EVALUACIN DE RIESGOS

HEINER MAHECHA MERA

CODIGO
ANDRES ALBERTO ACEVEDO SOSA
CODIGO 1090393776
NICOLAS QUINTERO AMAYA
CODIGO
JUAN PABLO MONTAEZ
CODIGO
JOSE JULIAN JARAMILLO
CODIGO

ING FRANCISCO NICOLAS SOLARTE

Director y Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
SISTEMA DE GESTION DE SEGURIDAD INFORMTICA
OCTUBRE DE 2016

CONTENIDO
Pg
INTRODUCCION................................................................................................................5
1.

2.

DEFINICION DE LA EMPRESA...................................................................................6
1.1.

Empresa.............................................................................................................6

1.2.

Actividad Econmica.........................................................................................6

1.3.

Organigrama......................................................................................................6

IDENTIFICACION DE ACTIVOS..................................................................................7
2.1.

[IS] Servicios Internos.......................................................................................8

2.2.

[SW] Aplicaciones (Software)...........................................................................8

2.3.

[HW] Equipos.....................................................................................................9

2.4.

[COM] Comunicaciones....................................................................................9

2.5.

[MEDIA] Soportes de Informacin..................................................................10

2.6.

[AUX] Equipamiento Auxiliar..........................................................................10

3.

VALORACION DE ACTIVOS......................................................................................11

4.

CARACTERIZACION DE LAS AMENAZAS...............................................................14

4.1.

5.

Identificacin de las amenazas.......................................................................14

AMENAZAS LATENTES............................................................................................20

Listado de figuras

FIGURA 1. ORGANIGRAMA DE COLPENSIONES...........................................................................7

Listado de tablas
TABLA 1. LISTADO DE ACTIVOS...................................................................................................... 8
TABLA 2. APLICACIONES (SOFTWARE).......................................................................................... 9
TABLA 3. HARDWARE..................................................................................................................... 10
TABLA 4. COMUNICACIONES........................................................................................................ 10
TABLA 5. SOPORTES DE INFORMACIN......................................................................................11
TABLA 6. EQUIPAMIENTO AUXILIAR.............................................................................................. 11

INTRODUCCION

El presente documento se identifican los activos de la empresa Colpensiones el

cual se regir con la metodologa MAGERIT en su tercera versin, el cual se
realizar la respectiva valoracin de los activos y de las amenazas segn el
estndar con el fin de mitigar de hallar el pareto de las amenazas latentes y
podes dar un salvaguardas de lo analizado, adems de identifican las
vulnerabilidades que se encuentran en el entorno.

1. DEFINICION DE LA EMPRESA
Entre las diferentes empresas propuestas por el grupo, se defini tratar a
profundidad la empresa Colpensiones, a continuacin se confirman loas datos de
la organizacin a tratar.
1.1. Empresa
Administradora Colombiana de Pensiones Colpensiones.
1.2. Actividad Econmica
La Administradora Colombiana de Pensiones - COLPENSIONES, es una Empresa
Industrial y Comercial del Estado organizada como entidad financiera de carcter
especial, vinculada al Ministerio de Trabajo.
1.3. Organigrama
Figura 1. Organigrama de Colpensiones

Fuente: El Autor

2. IDENTIFICACION DE ACTIVOS
En esta etapa se definirn los activos que estn dentro de la empresa
Colpensiones, con el fin de por aplicar la metodologa Magerit. El siguiente cuadro
muestra los activos de la empresa en donde la identificacin de estos permitirn el
establecimiento de las dependencias entre los activos, valorar con precisin,
identificacin y valoracin de las amenazas y finalmente la opcin de escoger las
protecciones
Bizagi
necesarias
del
Base de Datos (Oracle)
sistema.
Base de Datos (Sybase)
TIVOLI
Aplicaciones
Tabla 1. Listado de
HPOO
(Software)
Activos
Historia Laboral
Luquidador
Antivirus
Dispositivos de red
Estaciones de trabajo
Hardware
Servidores
Fuente: El Autor
Impresoras
Router
Siguiendo el modelo
Switch
de la metodologa
Redes de
Magerit en su versin
comunicaciones Concentradores
3.0 se presenta la
Firewall fsico
traduccin de los
MPLS
activos
en
su
Soportes de
Equipo NAS
estndar
en
la
informacin
metodologa.
Generador Elctrico
Cableado
2.1.
[SW]
Mobiliario
Aplicaciones
(Software)
Sistemas de vigilancia
Equipos Auxiliares Antenas
Radios
Sistema de alimentacin
ininterrumpida
Otro equipos auxiliares
Centro Principal y alterno de
Instalaciones
Procesamiento
Desarrolladores
8
Recursos
Agentes de servicio al cliente
Humanos
Operadores de datacenter

segn la tabla 1 de activos se pueden definir el software como se muestra a

continuacin.
Tabla 2. Aplicaciones (Software)
Cdigo grupo de
activo MAGERIT

Nombre grupo de
activo MAGERIT

Cdigo Activo de
acuerdo a la entidad

[SIS]

Aplicaciones

[SIS_COLP]

[DBMS]

Gestin de base
de datos

[DBMS_COLP]

[DBMS]

Gestin de base
de datos

[DBMS_COLPSEC]

Monitor
transaccional
Monitor
transaccional

[TM]
[TM]

[TM_COLPT]
[TM_COLPH]

Nombre activo de acuerdo a la

entidad

Bizagi, Herramienta de
gestin de los casos de
ciudadanos
Base los
de Datos
(Sybase), Motor
gestor de bases de datos
principal
Base de Datos
(Oracle), Motor
gestor de bases de datos
secundario
TIVOLI, Herramienta de
monitoreo NOC
HPOO, herramienta de BPM de
procesos de negocio

[OTR]

Otros software

[OTR_COLPHL]

Software de historia laboral

[OTR]

Otros software

[OTR_COLPL]

Software liquidador

[AV]

Antivirus

[AV_COLP]

Antivirus de proteccin

Fuente : El Autor

2.2. [HW] Equipos

la empresa posee los siguiente equipos, el cual se definirn de acuerdo a la
metodologa
Tabla 3. Hardware
Cdigo grupo de
activo MAGERIT

Nombre grupo de activo

MAGERIT

[NETWORK]

Soportes de la red

[HOST]

Grandes equipos

[SDB]

Servidores

Cdigo Activo de
Nombre activo de acuerdo a
acuerdo a la
la entidad
entidad
[NETWORK_COLP
Equipos y dispositivos de red
]
Equiposactivos
terminales de
[HOST_COLP]
usuarios
Mquinasfuncionales
fsicas que
soportan
los
aplicativos,
[SDB_COLP]
bases de datos y
almacenamiento

[PRINT]

Medios de impresin

[PRINT_EZ]

Impresoras de la entidad
ubicada en diferentes reas
de la dependencia.

Fuente: El Autor
2.3. [COM] Comunicaciones
lo siguientes medios de comunicacin se encuentran en la empresa y se definen
segn la metodologa.
Tabla 4. Comunicaciones
Cdigo grupo de
activo MAGERIT

Nombre grupo de activo

MAGERIT

[ROUTER]

Enrutadores

Cdigo Activo de
acuerdo a la
entidad
[ROUTER_COLP]

[SWITCH]

Conmutadores

[SWITCH_COLP]

[LAN]

Red LAN

[FIREWALL]

Cortafuegos

[BP]

Dispositivos de frontera

[LAN_COLP]
[FIREWALL_COLP
]
[BP_COLP]

Nombre activo de acuerdo a

la entidad
Enrutamiento de trafico
Direccionamiento de host,
arp
Red interna networking
Seguridad de trafico de
informacion
MPLS

Fuente: El Autor

2.4. [MEDIA] Soportes de Informacin

se usan lo siguiente soportes de informacin
Tabla 5. Soportes de informacin
Cdigo grupo de
activo MAGERIT

Nombre grupo de activo

MAGERIT

Cdigo Activo de
acuerdo a la
entidad

[SAN]

Almacenamiento de red

[SAN _COLP]

Fuente: El Autor

10

Nombre activo de acuerdo a

la entidad
Servidor de archivos que
soportan la plataforma y
aplicaciones.

2.5. [AUX] Equipamiento Auxiliar

se cuenta con los siguientes equipos auxiliares
Tabla 6. Equipamiento auxiliar
Nombre
activo de
acuerdo a
la entidad

Cdigo
grupo de
activo
MAGERIT

Nombre grupo de
activo
MAGERIT

[GEN]

Generador
Elctrico

[GEN_EZ]

Generador de
energa

[CABLING]

Cableado

[CABLING_EZ]

Red interna

[MOB]

Mobiliario

[MOB_EZ]

Muebles

[SISVG]

Sistema de
Vigilancia

[SISVG_EZ]

Vigilancia

[ANT]

Antenas

[ANT_EZ]

[RAD]

Radios

[RAD_EZ]

[SAI]
[AUXOTR]

Cdigo Activo
de acuerdo a la
entidad

Sistema de
alimentacin
ininterrumpida
Otros equipos

[SAI_EZ]
[AUXOTR_EZ]

auxiliares

Fuente: El Autor

11

Comunicacion
es en
frecuencia
Comunicacion
es en
frecuencia
Alimentacin
sin
interrupcin
Otros equipos