UNIVERSIDAD TECNOLÓGICA DEL PERU

TEMA:
PROYECTO GRUPAL

CURSO: GESTION DE RIESGOS INFORMATICOS

ALUMNOS:

IVAN FERNANDO MUCHICA FARFAN [0822033]

JOSE ANTONIO JULCA DIAZ [1635001]
SERGIO PALOMINO MIRANDA [U17209698]
VLADIMIR ALEXEI DIAZ PEREZ [U17107164]
WILLBER ALEJANDRO CHU¾OCCA MOLINA [1628554]

ASESOR: MERCEDES SUSANA BUSTOS DIAZ

LIMA – PERÚ

2018
 I. PRESENTACIÓN DEL TRABAJO
Actualmente estamos viviendo una gran revolución de la información sin darnos cuenta
y sin conocer totalmente la tecnología que nos rodea. Nuevos cambios hacen que
tengamos que actualizarnos constantemente, pero el actual desarrollo de las nuevas
tecnologías de la información y las redes de comunicación ha abierto una nueva puerta
a conductas criminales imposibles de concebir hace unas décadas. Así, ha aparecido
un nuevo tipo de intrusos en hogares, empresas e instituciones.
El presente trabajo fue realizado con el fin de sumar un valor en la seguridad informática
para las organizaciones que día a día enfrentan a grandes peligros en el mundo como
ciberataque, virus, ransomware, etc. en ese sentido la investigación del proyecto es
para tomar consciencia de cuán importante es contar con el área de investigación como
es en este caso Gestión de Riesgos Informáticos para reducir el impacto de ataques
cibernéticos basándonos en normas y estándares de nivel internacional por lo tanto para
poder desarrollar el proyecto se tomó como ejemplo la empresa peruana (CESEL).

II. DESCRIPCIÓN DE LA EMPRESA ELEGIDA (MISIÓN, VISIÓN,

ORGANIGRAMA, OBJETIVOS)
CESEL S.A. es una empresa peruana de ingeniería de consulta con presencia en Perú
y Latinoamérica, con un alto nivel técnico, experiencia y capacidad empresarial y un
merecido prestigio adquirido a través del desarrollo exitoso de complejos proyectos de
ingeniería multidisciplinarios. CESEL inició sus operaciones en 1972 y brinda servicios
especializados en estudios, diseños y desarrollo de ingeniería, supervisión de estudios
y obras, gerencia de proyectos integrales de ingeniería y construcción, y consultoría en
prácticamente todos los sectores de la producción.
Desde el 2004 CESEL cuenta con un Sistema de Gestión de Calidad certificado, cuyo
alcance desde el 2008 se amplió a un Sistema de Gestión Integrado Trinorma
certificado: Calidad, Medio Ambiente, Seguridad y Salud, alineado a las Normas ISO
9001, ISO 14001 y OHSAS 18001, habiendo sido recertificado en dos oportunidades
2010 y 2013.
CESEL cuenta con un Laboratorio Geotécnico y de Concreto, cuyo Sistema de Gestión
Integrado Trinorma certificado: Calidad, Medio Ambiente, Seguridad y Salud alineado
a las Normas ISO 9001, ISO 14001 y OHSAS 18001, también ha sido recertificado en
dos oportunidades 2010 y 2013 y que desde el 2012 ha logrado su acreditación bajo
los lineamientos de la Norma ISO/IEC 17025.

MISIÓN
Contribuir al desarrollo del Perú y de los países en donde opera, así como con la
ingeniería peruana e internacional, a través de los servicios que brinda.

VISIÓN

Mantener el liderazgo en la consultoría de ingeniería en el Perú. Ampliar la presencia de

CESEL en otros países de la Región.

VALORES

 Lealtad
 Comunicación efectiva
 Liderazgo
 Creatividad
 Orgullo de pertenencia
 Trabajo en equipo
 Iniciativa
ORGANIGRAMA

4
OBJETIVOS

 Estudios preliminares y anteproyectos.

 Estudios de planeamiento, prefactibilidad y factibilidad técnica y económica.
 Ingeniería básica, diseños a nivel definitivo, incluyendo especificaciones técnicas
y documentos de licitación.
 Ingeniería de detalle, a nivel de ejecución.
 Supervisión de obras y de montaje de equipos e instalaciones.
 Servicios integrales de gerencia de proyectos, incluyendo aspectos técnicos,
económicos y financieros.
 Control general, adquisiciones, gerencia de construcción, inspección de
fabricación, pruebas y puesta en servicio.
 Estudios ambientales, impacto ambiental de obras de infraestructura, estudios
de remediación ambiental.
 Análisis geotécnicos, estudios de riesgo sísmico, servicios de laboratorio
geotécnico y de concreto, levantamientos batimétricos.
 Estudios tarifarios, gestión de servidumbre, asesoría especializada para
procesos de privatización, evaluación de empresas y planes de desarrollo.

III. DESCRIBIR EL ESTADO DE LA SEGURIDAD DE INFORMACIÓN Y LOS

INCIDENTES MÁS RESALTANTES

Actualmente la corporación CESEL desde el momento de celebrar el acuerdo para

laborar en la organización tanto del Empleado y del Empleador llegan a un acuerdo de
confidencialidad. Por lo cual se hace un hincapié al momento de ingresar a laborar o
prestar servicios en la empresa, usted ha firmado un Convenio de Confidencialidad,
por el cual usted reconoce y acepta que la totalidad de la información a la que tendrá
acceso, de manera directa e indirecta, es de carácter confidencial y de propiedad de
CESEL. Por lo que deberá guardar absoluta reserva por la misma y no usarla en
beneficio propio o de terceros. Así mismo nuestra política se extiende a la prohibición
de hacer copias de información en cualquier unidad extraíble, tomar fotografías salvo
indicación del jefe del proyecto, mantener absoluta reserva de datos financieros,
información técnica, negociaciones y cualquier tipo de información de CESEL y de
nuestros CLIENTES.

OBSERVANCIA A DERECHOS DE AUTOR EN CESEL

El D.L. 822 Ley sobre el Derecho de autor, prohíbe terminantemente las fotocopias de
obras impresas, así como el cambio de formato de las mismas a otro soporte.

invocamos a todo el personal de la empresa a tener presente esta disposición,

respetarla y aplicarla, cuyo incumplimiento está sujeto de amonestación por parte de
INDECOPI.

EN ÁREA DE TI

El jefe inmediato solicitará, de acuerdo a las labores de su colaborador, los accesos

correspondientes y software necesarios. Por otra parte, todos tienen acceso al Portal,
con su usuario y contraseña de red. Es un medio de comunicación entre la organización
y los colaboradores. Encontrarán las políticas, procedimientos, comunicados de las
gerencias, contenido de seguridad y salud, etc.

5
DEL MISMO MODO SE CUENTA CON SISTEMA DE GESTION INTEGRADO

• Conjunto de actividades estandarizadas, sistemáticas y relacionadas entre sí,

para dirigir y controlar una organización y todos los elementos que la conforman
orientados al logro de un objetivo en común.

¿En su empresa existe un plan de continuidad de negocio?

NO, Actualmente, no se cuenta con un PCN debido a que la organización
está atravesando una crisis económica, pues la empresa está postergando varios
proyectos hasta que se estabilice económicamente a través de las licitaciones con
Estado.

¿Qué actividades principales consideraría, para un plan de continuidad de negocio en

su empresa?
1. Presentar PCN de grupo electrógeno para las áreas críticas y Data Center de la
empresa.
2. A nivel del desastre Natural/Artificial contar backup en la nube para restablecer
la información para PCN.
Para desarrollar este PNC consideramos las siguientes actividades:
1. Elaborar el PCN.
 Identificar los posibles riesgos que afecten la operatividad del negocio.
 Realizar un proyecto de respaldo de la continuidad del negocio.
Buscar proveedores que brinden el servicio de grupo electrógeno.
Presentar el proyecto a la gerencia general para realizar la ejecución del
proyecto.
2. PCN probarlo y mejorarlo
 Una vez implementado el proyecto realizar las pruebas pertinentes.

Realizar el monitoreo uy supervisión.

Resolver las fallas encontradas y/o mejorarlos.
3. Aprobar PCN
 Realizar pase a producción.
4. Conocimiento al personal involucrado.

 Brindar capacitación al personal involucrado a cerca del PCN

por distintos medios (Correo, portal web).

IV. IDENTIFICAR Y CLASIFICAR LOS RIESGOS, AMENAZAS Y

VULNERABILIDADES
Situación de riesgos informáticos que ha experimentado la empresa
CASO: “No mantener actualizado el antivirus en los equipos de la empresa.
En este caso se detectó un virus en la unidad compartida donde todos los usuarios de
la empresa tienen acceso infectando el servidor y las estaciones de trabajo de los
usuarios. La versión del antivirus no detectaba la amenaza la cual creaba un acceso
directo de las carpetas con símbolos.
Para reestablecer esta amenaza se contactó con el proveedor de antivirus, quien indico
apagar todas las estaciones infectadas y migrar a una versión más actualizada, con ello
se logró eliminar el virus y los rastros se eliminaron manualmente. “

RIESGOS

En las organizaciones las tecnologías de la información se han convertido en el corazón

de las operaciones para cualquier empresa, para este mundo globalizado y de
constantes cambios las empresas obligadamente requieren ser cada vez más agiles y
se deben adaptar a estos cambios.

Las empresas actualmente dependen en su totalidad de tener la información exacta en

el momento preciso, las compañías que no son capaces de alcanza esto están en
peligro de extinción porque con el paso de los años la información se vuelto importante
para la toma de decisiones, la productividad de la compañía y su crecimiento, sin
embargo, la empresa está propensa a tener riesgos que impacten en sus procesos.

El riesgo es una probabilidad de que una amenaza se convierta en desastre. La

vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se
juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
Sin embargo, los riesgos pueden reducirse o manejarse. Si somos cuidadosos en
nuestra relación con el ambiente, y si estamos conscientes de nuestras debilidades y
vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para
asegurarnos de que las amenazas no se conviertan en desastres.
AMENAZAS

Potencial ocurrencia de un hecho que pueda manifestarse en un lugar específico, con

una duración e intensidad determinadas. Cuando el Agente de riesgo selecciona una
víctima contra la cual pretende cometer un acto delictivo, automáticamente se convierte
en una amenaza para ella. Se puede considerar que es la materialización del riesgo. La
principal amenaza que podría perjudicar a la empresa es que la operatividad del negocio
pare por causa de algún desastre, y este no opere por mucho tiempo, ya que la empresa
no cuenta con un programa o un plan de continuidad del negocio para evitar que la
magnitud del desastre sea de mayor porcentaje.

VULNERABILIDADES

Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de
ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser
aprovechadas. En ese sentido el equipo de trabajo ha identificado que actualmente la
empresa presenta las siguientes vulnerabilidades:

 No contar con sistemas operativos actualizados

 No contar con antivirus actualizados
 No tener los puertos usb restringidos
 No hacer un backup de información periódicamente
 No tener una política de restricción de navegación a internet
 No tener restricción de envió o recepción de correos de dominios desconocidos

El activo más importante de la empresa

La empresa seleccionada se considera el activo más importante el servidor de
Dominio, este equipo es de suma importancia porque mantiene el control de los
permisos de cada usuario, así como también las políticas de restricción. Además, la
gestión de accesos de los usuarios a los demás servidores.

¿Es importante analizar la relevancia de los activos en TI? Justifique

Si, es necesario este análisis para poder revisar que no ocurra ningún inconveniente
inesperado que pueda afectar las operaciones de la empresa. Al tener mapeado dichos
activos facilita el trabajo del agente TI y restablecer el servicio sin afectar la operatividad
de la organización.
 V. Inventariar y clasificar los activos TI

Valor Valor Fecha de Controles e

Código Nombre Descripción Responsable Vida Util Amenazas Vulnerabilidad
Económico Cualitativo /Importancia Adquisición Indicadores

001 Server BD HP Proliant ml110 TI $3000 Alto 16/08/2016 10 años Gestion de roles no
Alteracion de BD definidos
Perdida de
002 File Server PowerEdge C Ti $3500 Medio 12/04/2017 10 años
informacion No realice copias

003 Server AD PowerEdge C Ti $3500 Alto 12/04/2017 10 años Manipulación de

Politicas AD Asignación de Roles
004 Switch Cisco2930 TI $1500 Alto 15/10/2015 10 años No tener Respaldo

005 PC Compatible Usuario $1000 Bajo 08/05/2018 5 años

006 Stogare NAS TI $500 Alto 10/05/2017 5 años

007 Server App HP Proliant ml110 TI $3000 Alto 16/08/2016 10 años

008 NB Toshiba Usuario $1000 Alta 08/05/2018 5 años

009 Autocad Civil 3D 2018 TI $6000 Alta 08/05/2018 1 Año

9
VI. REALIZAR UN ANÁLISIS DE RIESGOS, USANDO LA MATRIZ DE
RIESGOS

VII. DEFINICIÓN DE CONTROLES Y LOS RIESGOS ASOCIADOS

Los controles o medidas de seguridad, son importantes pues con ellos podemos
mitigar los riesgos encontrados en el análisis de riesgos.
Los objetivos de una compañía son proteger el valor de sus activos existentes y
crear nuevos activos/valor para el futuro. Valor para la compañía es el valor
integrado para los stakeholders en su totalidad (internos y externos). Riesgo es
el impacto y la probabilidad de que una amenaza (o de una serie de eventos/
amenazas) puedan afectar de manera adversa la consecución de los objetivos.

VIII. ESTRUCTURAR UN PSI (PLAN DE SEGURIDAD DE LA INFORMACIÓN)

1. Alcance del plan

Para lograr identificar el alcance que tendrá el plan se tendrá que realizar una matriz
de riesgos y así poder identificarlos con mayor facilidad.

2. Características del sistema informático

 Recursos: Pueden ser físicos, como ordenadores, componentes, periféricos y
conexiones, recursos no informativos; y lógicos, como sistemas operativos y
aplicaciones informativos.
 Equipo Humano: Compuesto por las personas que trabajan en la organización.
 Información: Conjunto de datos organizados que tienen significado. La
información puede estar contenida en cualquier tipo de soporte.
 Actividades: Lo que realiza la organización, relacionadas o no con la
informática.
 Sistema Informático: Constituido por un conjunto de elementos físicos, lógicos
y humanos.

3. Resultado del Análisis de riesgo

Luego de realizar la matriz de riesgos y analizarla obtuvimos los siguientes resultados:

 Seguridad Eléctrica
No contar con grupo electrógeno
 Seguridad de Datos
No contar con backup en la Nube
 Seguridad de Comunicaciones
No contar con backup de contingencia de la fibra óptica.
 Seguridad de Equipos
No contar con sistema de contingencia (refrigeración de data center)

10
 No contar con disco ARRAY.

4. Medidas y procedimientos de la Seguridad informática

A continuación, se muestran las medias a seguir:

 Comprar un grupo electrógeno adecuado para soportar los equipos

requeridos.
 Contratar un servicio de Cloud para poder almacenar un backup de respaldo
en la nube.
 Contratar un servicio de internet inalámbrico de respaldo.


5. Responsabilidades

6. Políticas de la Seguridad Informática

7. Anexos
 

IX. CONCLUSIONES

Es claro que las organizaciones hoy en día son conscientes de la necesidad de

identificar los riesgos asociados a TI, pero también es claro que al tener esta
preocupación y no aplicar una metodología adecuada para cada negocio; es imposible
lograr que estas metodologías alcancen sus metas de minimizar los riesgos. Es por esta
razón que, adicionalmente a conocer los estándares, normas, regulaciones y
metodologías de análisis de riesgos, es necesario contar con un gobierno de TI que
establezca en forma clara las directrices estratégicas para llevar en forma exitosa estos
procesos de análisis de riesgos. Lo anterior significa que para lograr un proceso exitoso
se requiere de la sinergia del conocimiento de los estándares y normas, con las
metodologías a aplicar y con un gobierno de TI que lidere, organice y defina los
lineamientos a seguir, con miras a sostener sus procesos de misión crítica bajo una
cultura organizacional.

X. RECOMENDACIONES

XI. BIBLIOGRAFÍA

http://www.cesel.com.pe/
http://www.iso27000.es/download/Analisis_del_Riesgo_y_el_ISO_27001_2005.pdf
http://www.elladodelmal.com/
https://www.elevenpaths.com/es/tecnologia/vamps/index.html

XII. ANEXOS

INDICE
1. Descripción de la empresa ………………………………………………………….. pag. 2

2. Misión de la empresa ……………………………… ……………………………….. pag. 2

3. Visión de la empresa ……………………………… ……………………………….. pag. 2

4. Organigrama de la empresa …………………… ……………………………….. pag. 3

ANUNCIOS:

1. Identificar los indicadores de riesgo existentes y/o proponer los que

correspondan a criterio del grupo. (punto h)
2. Revisar su inventario de activos trabajado en sesión anterior, para
identificar los activos que pueden ser afectados por las amenazas y
vulnerabilidades. (punto f)
Incluir su inventario de activos trabajado en clases, que es para los
puntos e y f del trabajo final.
Para la empresa real elegida en su grupo.Integrar a su trabajo final (punto d) :
-Los antecedentes de la existencia o no de un plan de continuidad de negocio,
y
-Las actividades principales que Ud. consideraría, para desarrollar un plan de
continuidad de negocio en su empresa en base al ciclo y las fases de un PCN
mostrados en clase. (Solo enumerarlas)