Asignatura Datos del alumno Fecha

Apellidos: Rivera Elizondo

Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Actividades

Actividad: Gestión de riesgos legales: seguridad jurídica de los

proyectos de los programas informáticos

Eres el director de seguridad de la información en una empresa de mantenimiento de

computadoras para grandes corporativos, como parte del servicio te llevas las máquinas
a tus instalaciones para dar soporte o cambiarlas, generas respaldos de información en
diversos medios y cambias equipo obsoleto por nuevo.

Identifica los riesgos en temas de seguridad de la información, privacidad y

propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la
información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo
de documentos.

Crea un sistema de gestión de riesgos enfocado a su identificación y atención.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Introducción

La presente actividad, describe la identificación de riesgos y un sistema de gestión de

riesgos enfocados a su identificación y atención, de acuerdo al caso presentado en esta
actividad, en el cual como director de seguridad de la información de una empresa de
mantenimiento (Outsourcing) para empresas grandes, se tendrá que realizar la
identificación de riesgos relacionados con las actividades en las cuales se involucra el
manejo de información privada y/o confidencial de estas empresas, la cual se deberá
garantizar su seguridad (integridad, confidencialidad, disponibilidad), a las empresas
contratantes.

Contexto

Hoy en día las empresas de outsourcing en el área de soporte técnico y/o

mantenimiento de equipos de cómputo, son comúnmente contratadas por las pequeñas
e incluso, medianas y grandes empresas, lo cual involucra en estas, el establecimiento
de métodos, políticas, controles y medidas que garanticen no solo la prestación correcta
del servicio, sino también el aseguramiento de la información guardada en los equipos,
que pueden ser tan crítica como sería la de un servidor de servicios de banca en línea,
en el caso de una institución bancaria, o tan específica, como sería el caso de
computadoras personales asignadas a empleados clave como directores o ejecutivos de
cuentas.
Estas compañías de outsourcing realizan sus servicios tanto dentro de las instalaciones
de la empresa, como fuera de, llevando en algunos casos, el traslado de equipo de
cómputo (impresoras, pc, laptops, servidores) a estas compañías, estando expuesta sin
las debidas medidas, la información contenida en estos.
Como se puede ver, de acuerdo a este breve análisis anterior, a continuación se
describen los siguientes riesgos a los que estas empresas están expuestas, riesgos que
pueden perjudicar las diferentes actividades del negocio, o bien, hasta la existencia de
la misma empresa.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Desarrollo

Los riesgos identificados de acuerdo al contexto anterior, se pueden clasificar

enfocándose en:

Alcance

1. Seguridad de la información
Información específica de redes y sistemas de cómputo (configuraciones,
información de usuarios, accesos, permisos, contraseñas, detección de
vulnerabilidades) que puede usarse para realizar actividades relacionadas con
delitos informáticos.

2. Privacidad
Información privada y/o confidencial (datos personales, datos laborales como
información de proyectos, clientes, datos fiscales, bancarios, etc.) que pueden
permitir la realización de actividades perjudiciales tanto para la empresa como
para su personal.

3. Propiedad intelectual
Información clasificada relacionada con productos y servicios tanto de inventiva en
el caso de nuevos o de proyectos en desarrollo, como de aquellos que se encuentren
ya en el mercado. Esta información puede estar expuesta a su revelación y mal uso
por terceros.

Todos estos riesgos derivan en un riesgo legal, en el cual temas como el de la propiedad
intelectual y la privacidad son muy claros.

Es fundamental el establecimiento de políticas como contratos con los proveedores de

esta índole, con bases legales específicas, que permitan proteger la información y así
evitar la exposición de esta, previniendo estos riesgos así como teniendo la metodología
correcta del cómo proceder, en los casos contrarios.
En México, leyes como la de protección de datos personales en posesión de
particulares, de la propiedad industrial, y como la del código penal federal, pueden

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

fundamentar bien nuestras políticas en cuanto a la contratación y presentación de

servicios de estas empresas de outsourcing de soporte técnico o mantenimiento de
equipo de cómputo.

Los riesgos están asociados en gran parte, a delitos informáticos relacionados con la
exposición de la información de los equipos de cómputo de la empresa, con personal de
estas compañías, estos son descritos a continuación como son conocidos legalmente.

Identificación de riesgos

1. Seguridad de la información
1.1. Robo
1.2. Fraude
1.3. Espionaje
1.4. Suplantación o falsificación de identidad
1.5. Daño a propiedad privada (destrucción de información por ataque a TIC)

2. Privacidad
2.1. Divulgación de información privada y/o confidencial
2.2. Extorsión
2.3. Secuestro
2.4. Problemas legales (incumplimiento con cliente de convenios de secrecía o
confidencialidad de la información)

3. Propiedad Intelectual
3.1. Plagio
3.2. Piratería
3.3. Problemas legales (incumplimiento con cliente de convenios de secrecía o
confidencialidad de la información )

Sistema de Gestión de Riesgos

Planificación

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Primeramente, es de debida importancia para proteger adecuadamente la información

de una organización y gestionar sus riesgos, empezar con 4 conceptos clave:

1. QUÉ
Que es lo que se debe proteger, en nuestro caso la información que se encuentra
en los Activos de equipo de cómputo.

2. DÓNDE
Localización o ubicación de estos activos.

3. CÓMO
Métodos, políticas, controles y medidas para el aseguramiento de estos activos.

4. CUÁNDO
Casos específicos, como en este, en el cual equipo de cómputo es expuesto a
terceros.

En base a lo anterior, procedemos a definir un diagnóstico, para entender la situación

actual y así proceder a nuestros objetivos específicos:

QUE
Computadoras personales, portátiles, servidores e impresoras
Información guardada en los discos duros:
 Archivos de usuario  Información de sistemas
o Archivos personales o Configuraciones de
o Archivos laborales programas, sistemas
o Correo electrónico operativos y red
o Archivos de programas o Acceso a recursos de red

o Archivos de bases de datos o Acceso a sistemas

 Programas  Información de usuarios

o Aplicaciones o Perfiles

o Utilitarios o Cuentas

o Sistemas o Permisos

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

DONDE
Equipo de cómputo de las diferentes áreas y departamentos de la empresa, con
prioridad a aquellos con actividades clave o críticas.

COMO
Métodos, políticas, controles y medidas para el aseguramiento de estos activos. Estos
serán definidos en los contratos de servicio con la empresa, especificando
responsabilidades en ambas partes con los fundamentos legales aplicables para
prevenir los riesgos identificados. En estas se definirán como por ejemplo, perfiles del
personal de soporte técnico, inventario de equipos e información, control de revisiones
a equipos, código de ética, etc.
Estos deberán cumplirse, teniendo controles que se estarán revisando periódicamente a
través de auditorías que permitan un control del servicio por parte de la empresa al
proveedor. Además de estas auditorías por parte de la empresa, el proveedor deberá
realizar auditorías internas, las cuales tendrá que reportar y ser verificadas por la
empresa contratante.
El objetivo de estas, es garantizar el servicio como la seguridad de la información.

CUANDO
Intervención del personal de la empresa de outsourcing:
1- Mantenimiento preventivo
2- Mantenimiento correctivo
3- Reparación
4- Instalación de equipos

Objetivos

Los objetivos son enfocados en garantizar al cliente:

 Seguridad (Confidencialidad, Integridad, Disponibilidad, ) de la información

 Privacidad de la información
 Prestación correcta del servicio
 Prevención de delitos relacionados con el manejo de la información
 Resguardo de la información
 Preservación de la información
TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Evaluación de Riesgos

Ya que tenemos identificados nuestros riesgos, hay que proceder a evaluarlos bajo
parámetros de impacto y probabilidad para determinar el riesgo inherente de estos así
como su umbral para medición.

Se definen a continuación los parámetros de impacto para medición de riesgos:

Nivel de Impacto Descripción de la Escala de Evaluación

Consecuencia
Significativo El evento tendrá un efecto 5
catastrófico. (Pérdidas
financieras, de clientes e
imagen, que considera un
alto impacto para la
organización).
Alto El evento tendrá efectos 4
considerables para la
organización. (Pérdidas
altas, con un impacto
importante a nivel de la
organización).
Moderado El evento tendrá efectos de 3
menor impacto que pueden
ser asumidos sin mayores
problemas.
Bajo El evento tendrá efectos de 2
mínimo impacto que
pueden ser asumidos sin
mayores problemas por las
áreas.
Limitado El evento tendrá efectos 1
poco significativos

La tabla presentada a continuación, define los parámetros de probabilidad para

medición de riesgos:

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Nivel de Probabilidad Descripción de la Escala de Evaluación

Probabilidad de
Ocurrencia
Esperado Muy alta 5
90% a 100%
Muy Probable Alta 4
60% y 89%
Probable Media 3
30% a 59%
Poco Probable Baja 2
10% a 29%
Leve Muy baja 1
1% y 9%

A continuación, se específica los parámetros de umbral de riesgos:

Umbrales de Riesgos Límite Inferior Límite Superior

ALTO 6 10
MEDIO 3 5
BAJO 1 2

Nomenclatura de las áreas involucradas en las actividades de servicio:

Nomenclatura Áreas de Negocios

DG Dirección General
GR Gerencia
ST Soporte Técnico
CL Cliente

Análisis de riesgos

En base a los parámetros de evaluación de riesgos, se presenta un análisis donde se

pueden identificar los riesgos de manera medibles, con valores que serán nuestros
indicadores para realizar las acciones correctivas necesarias para la prevención de
incidentes:

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Área de Riesgo Identificado Nivel de Probabilidad Total Valor

Negocios Impacto

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

1. Seguridad de la información
ST 1.1 Robo 5 3 8 ALTO
1.2 Fraude 5 3 8 ALTO
1.3 Espionaje 5 3 8 ALTO
1.4 Suplantación o 5 3 8 ALTO
falsificación de identidad
1.5 Daño a propiedad privada 4 1 5 MEDIO
(destrucción de
información por ataque a
TIC)

2. Privacidad
2.1 Divulgación de 4 2 6 ALTO
información privada y/o
confidencial
2.2 Extorsión 4 1 7 MEDIO
2.3 Secuestro 4 1 7 MEDIO
2.4 Problemas legales 4 1 5 MEDIO
(incumplimiento con
cliente de convenios de
secrecía o
confidencialidad de la
información)

3. Propiedad Intelectual
3.1 Plagio 5 2 7 ALTO
3.2 Piratería 4 1 5 MEDIO
3.3 Problemas legales 4 1 5 MEDIO
(incumplimiento con
cliente de convenios de
secrecía o
confidencialidad de la
información )

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Métricas de evaluación

Una vez revisado el análisis de riesgos, es necesario realizar evaluaciones periódicas

que permitan verificar su cumplimiento de los métodos, políticas, controles y medidas
para el aseguramiento de la información, a fin de evitar el menor número de incidentes
y buscar siempre la mejora continua (ciclo de deming).

Estas métricas pues ser definidas de acuerdo a la siguiente tabla, se preponen ejemplos
de indicadores:

# Indicador Métrica Mecanismo Resultados

1 Incidentes Evaluación de Realizar 0 al 5 No Aceptable
respuesta a simulaciones que 6 al 7 Bajo
simulación de permitan evaluar el 8 Regular
incidente. nivel de respuesta 9 Muy Bien
de acuerdo al 10 Excelente
Ejemplo: proceso, para
posteriormente a De acuerdo al nivel de
Simulación para través de cumplimiento del sistema,
verificar el correcto auditarías, obtener política y procesos en los
uso, manejo y los resultados. Se resultados de la auditoría,
protección de datos recomienda se permitirán medidas
personales por parte realizar correctivas si fuese
del personal, en este periódicamente necesario.
caso por el personal estas simulaciones
de soporte técnico. y auditorías.

3 Acciones correctivas Número de acciones Realizar la 1 a 5 Bajo

correctivas recabación de los 5 a 10 Medio
identificadas en los números de las > a 10 Alto
resultados de las acciones
diferentes auditorias correctivas De acuerdo al número de
dictaminadas en acciones correctivas,
las auditoras. permitirá evaluar tanto las
funciones del personal, así
como los procesos
aplicables y la política, para
sí necesario, realizar
cambios y proceder a su
mejora.
4 Evaluación del Número de Realizar la 0 Seguro
sistema de gestión incidencias recabación de los 1 a 10 Vulnerable
TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

riesgos detectadas números de > a 10 No seguro

incidencias
detectadas en las De acuerdo al número de
auditorias. incidencias, permitirá
evaluar el correcto
funcionamiento del sistema,
ayudando a clasificar su
nivel de desempeño, para, si
es el caso, realizar las
medidas correctivas o
preventivas necesarias.

Es necesario alcanzar en este sistema de riesgos, que los procesos sean encaminados a
una etapa de madurez. Esto ayudará a brindar una mejor confianza a los clientes.

Monitoreo.

Es indispensable la revisión de los indicadores por medio de auditorías internas e

externas que de manera periódica, estén evaluando el cumplimiento de los métodos,
políticas, controles y medidas para el aseguramiento de la información por parte de la
empresa prestadora de servicio de soporte técnico, esto ayudará no solo a mantener la
confianza del cliente hacía la empresa, si no como se ha dicho la prevención y atención
de incidentes.
Como parte de los métodos, las diferentes actividades de respuesta a incidentes,
deberán estar incluidas dentro de, llevando controles que serán parte de la auditoría,
algunos de estos pueden ser:

 Bitácoras del personal asignado

 Control de equipos “Inventario de Hardware y Software ”
 Control de peticiones de servicio “Mesa de servicio”
 Control de mantenimiento

Conclusiones

Este sistema de gestión de riesgos, como hemos visto, facilita la prevención de

incidentes que pueden ser tan perjudiciales para la empresa prestadora de servicio,
como para la compañía contratante. Para su buen funcionamiento es necesario su ciclo
continuo, el cual involucra el cumplimiento de las diferentes actividades que garanticen
la seguridad de la información, como la gestión a través de auditorías que tienen como
función específica, monitorear los procesos a fin de detectar anomalías o
incumplimientos, ayudando a su pronta acción correctiva.
A mi punto de vista, en las grandes empresas, como requisito indispensable para estas
empresas de outsourcing prestadoras de soporte técnico, es necesario que estas tengan
implementado algún sistema de gestión de riesgos como de seguridad de la
información, que garanticen el correcto uso de la información por parte de ellos, es por
eso que leyes como la de protección de datos en posesión de terceros, son
fundamentales en los contratos que se realicen con este tipo de empresas, con la
finalidad de realmente asegurar correctamente la información.

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Rivera Elizondo
Análisis de Riesgos
12 – Julio -2018
Informáticos
Nombre: Alberto

Referencias

Avantika SA de CV. (5 de Octubre de 2017). AVANTIKA Soluciones para T.I. Blog,

Soporte técnico 'in house' vs outsourcing de soporte técnico. Obtenido de
https://blog.avantika.mx/soporte-tecnico-in-house-vs-outsourcing

Informática Xp. (5 de Diciembre de 2008). Blog de software e internet. Obtenido de

http://informaticaxp.net/clasificacion-y-tipos-de-software

M. Reyes González Ramírez José Luis Gascó Gascó y Juan Llopis Taverner. (2015).
Razones y riesgos del outsourcing de sistemas de información en las grandes empresas
españolas. Revista Europea de Dirección, 24, 175-189.

Torres-Ruiz, P. (s.f.). Secretaria de Gobernación, Aspectos Generales de los Delitos

Informáticos y el Combate de los Mismos. Obtenido de
http://ordenjuridico.gob.mx/Congreso/2doCongresoNac/pdf/TorresRuiz.pdf

TEMA 2 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)