Asignatura Datos del alumno Fecha

Compliance: la Gestión Apellidos: Muñoz Gómez

de los Riesgos
Tecnológicos Nombre:María Fernanda

Actividad ÉCIJA: Elaboración de un mapa de

riesgos digitales

Objetivos de la actividad

La presente actividad tiene como objetivo la identificación de riesgos en sistemas de

información en el ámbito de la implementación de medidas de seguridad en una
aplicación y su posible tratamiento.

Descripción de la actividad

Como director de la empresa Risky, y tras evaluar varias opciones existentes en el

mercado, te has decidido a implementar la herramienta ERP «MIS CLIENTES», de la
empresa de desarrollo «Desarrolladores S. A.».

Una vez implementada, has pedido a tu director de IT que indique cómo se ha

realizado la misma, con el objetivo de que puedas valorar los riesgos de que pudiese
ocurrir una brecha en materia de confidencialidad y disponibilidad en el uso de esta.

Esto es lo que te ha indicado el director de IT:

Estamosdecontentos
© Universidad Internacional La Rioja con la implementación de «MIS CLIENTES», ha sido una
(UNIR)
implementación rápida.

Gracias a que «MIS CLIENTES» es una solución cloud alojada en

«Desarrolladores S. A.», y que esta está certificada en ISO 27001, nos
olvidamos de varias medidas de seguridad, ya que son implementadas por el
proveedor, sobre todo a nivel físico. El cloud está en un CPD físico propiedad

1
Actividades
 Asignatura Datos del alumno Fecha
Compliance: la Gestión Apellidos: Muñoz Gómez
de los Riesgos
Tecnológicos Nombre:María Fernanda

de «Desarrolladores S. A.» que nos asegura medidas de protección física y una

trazabilidad de quién ha accedido al CPD (en concreto, a nuestros servidores
alojados allí). Ahora bien, de momento no tenemos a nadie que esté
revisando esos accesos, creo que al menos de momento no es necesario.

La aplicación además está bastante bien a nivel de seguridad lógica. Tenemos

distintos roles de usuario, y todas las personas que tienen ese rol acceden con
un único usuario compartido. Lo hacemos para ahorrar licencias…, sabemos
que no es legal del todo, pero, si no, se nos sale de nuestro presupuesto. Eso
sí, aunque compartimos contraseña, esa contraseña es segura porque tiene
doce caracteres. Estaría genial implementar doble factor de autenticación,
pero no es posible de momento, porque, como digo, todos accedemos con el
mismo usuario de cada rol y, claro, para implementar doble factor hay que
asignar un móvil… Y cada uno tenemos un móvil distinto, por lo que resulta
imposible.

Al ser cloud, para acceder tenemos que ir a http://risky.misclientes.es; lo sé,

podría estar mejor, pero no nos ha dado tiempo. Una vez en esa web, hay que
hacer login (usuario y contraseña), pero, eso sí, si se introduce contraseña
errónea más de cinco veces, se bloquea al usuario.

¿Me preguntaste si habíamos activado los registros de acceso? Sí, sí, están
activados, y se guardan de manera permanente. Lo bueno que tiene es que
registra todo, hasta si un usuario modifica un dato.

Creemos que la continuidad de negocio está asegurada: el proveedor

(«Desarrolladores») hace copias diarias que guarda en el mismo CPD (es un
CPD muy seguro). Aún no he tenido tiempo de probar si podemos restaurar
copias de seguridad…, pero no te preocupes que, cuando alguien lo solicite,
pruebo a ver si puedo recuperar datos de copias anteriores.

© Universidad Internacional de La Rioja

Me preguntaste
(UNIR)
sobre la infraestructura y mantenimiento de la aplicación. Te
cuento:

La aplicación funciona sobre un sistema operativo Windows 2003. No

queríamos gastarnos más dinero en licencias de sistemas operativos actuales.
Funciona perfectamente. Aunque el servidor esté en el cloud, nosotros lo

2
Actividades
 Asignatura Datos del alumno Fecha
Compliance: la Gestión Apellidos: Muñoz Gómez
de los Riesgos
Tecnológicos Nombre:María Fernanda

gestionamos de forma remota. La aplicación también se actualiza, y ahí sí, te

lo aseguro, cada vez que el proveedor saca una nueva versión, la instalamos.
Eso sí, no te preocupes, al servidor Windows 2003 le hemos metido un
antivirus potente.

Por cierto, me comentaste si habría la posibilidad de cifrar la base de datos

que está por debajo de la aplicación, donde están los datos. Hemos decidido
que no. Cifrar la base de datos, además de que es una característica que
cuesta un dineral, hace que la aplicación vaya más lenta…, así que he decidido
no implementarlo.

Sobre el pentesting…, pues lo tenía pensado, porque ya se sabe que es mejor

que te saquen los colores contratando a un hacker que sufrir una brecha
real…, pero, mira, ni por tiempo, ni por presupuesto. Ya lo haremos.

Ejercicios que realizar:

1. Completa la matriz de riesgos facilitada sobre la aplicación ERP «MIS CLIENTES»

según la plantilla facilitada, indicando por cada medida de seguridad que se
indica en la matriz:
A. ¿La medida de seguridad está implementada actualmente según la redacción
del informe? (Sí / No / Parcialmente).
B. Probabilidad de una brecha de seguridad con el estado de implementación de
la medida de seguridad (1 a 5): Muy baja - Baja - Media - Alta - Muy Alta.
C. ¿Por qué le has asignado esa probabilidad de ocurrencia?, ¿a qué riesgo de los
dos? (revelación de información a terceros no autorizados / continuidad del
negocio). Escoge solo un riesgo por cada medida de seguridad.
© Universidad Internacional de La Rioja
D. Impacto (UNIR)
que supondría el no tener esta medida de seguridad en función del
riesgo analizado (1 a 5): Muy bajo - Bajo - Medio - Alto - Muy Alto.
E. ¿Por qué le he asignado este nivel de impacto?, ¿a qué riesgo de los dos?
(escoge solo un riesgo por cada medida de seguridad)
F. Riesgo actual (Probabilidad X Impacto).

3
Actividades
 Asignatura Datos del alumno Fecha
Compliance: la Gestión Apellidos: Muñoz Gómez
de los Riesgos
Tecnológicos Nombre:María Fernanda

G. ¿Es un riesgo aceptable? ¿Por qué?

H. ¿Qué medida propondrías en caso de que no sea aceptable?
I. Una vez aplicada la medida propuesta, ¿cuál será la nueva probabilidad?,
¿cuál sería el riesgo residual?, ¿podemos asumir el riesgo residual?, ¿por qué?

2. Realiza un breve informe, no más de tres páginas (tamaño Arial 11), en el que se
indique el estado de la seguridad de la aplicación según el informe realizado por
tu director IT, así como las acciones concretas que plantearías al Consejo de
Administración de Risky para abordar los riesgos, indicando el orden –según su
prioridad– de cada una de estas acciones.

© Universidad Internacional de La Rioja

(UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Compliance: la Gestión Apellidos: Muñoz Gómez
de los Riesgos
Tecnológicos Nombre:María Fernanda

DESARROLLO:

Con base en la matriz de riesgos se dan las siguientes propuestas al Consejo de

Administración de Risky, priorizadas según su impacto y urgencia:

Implementar autenticación multifactorial:

Dado el alto riesgo asociado con la falta de autenticación multifactorial, esta medida
debería ser una prioridad. La autenticación multifactorial proporciona una capa
adicional de seguridad al requerir una segunda forma de verificación más allá de las
contraseñas estándar.

Realizar pruebas regulares de restauración de copias de seguridad:

Dada la importancia de la integridad de los datos y la disponibilidad del sistema, es
esencial garantizar que las copias de seguridad sean efectivas mediante la
realización de pruebas regulares de restauración. Esto asegura que los datos críticos
puedan ser recuperados en caso de fallo del sistema o pérdida de datos.

Implementar cifrado de comunicaciones:

Dado el riesgo asociado con la falta de cifrado de las comunicaciones,
especialmente al acceder a la aplicación a través de la web, es crucial implementar
cifrado para proteger la confidencialidad de los datos en tránsito.
© Universidad Internacional de La Rioja
(UNIR)

Programar auditorías periódicas de seguridad:

Para detectar y mitigar posibles vulnerabilidades y amenazas, se deben programar
auditorías periódicas de seguridad. Esto garantiza una evaluación regular del estado

5
Actividades
 Asignatura Datos del alumno Fecha
Compliance: la Gestión Apellidos: Muñoz Gómez
de los Riesgos
Tecnológicos Nombre:María Fernanda

del sistema y ayuda a identificar y abordar cualquier riesgo potencial antes de que
cause un impacto significativo en la seguridad.

Implementar un proceso formal para gestionar parches y actualizaciones de

seguridad: Dado que el soporte técnico para la gestión de vulnerabilidades es solo
parcial, es fundamental establecer un proceso formal para gestionar parches y
actualizaciones de seguridad. Esto asegura que las vulnerabilidades conocidas sean
abordadas de manera oportuna y efectiva, reduciendo así el riesgo de exposición a
amenazas externas.

La implementación de estas acciones es esencial para mitigar los riesgos actuales y

mejorar significativamente la seguridad del sistema ERP «MIS CLIENTES». La
prioridad debe ser dada a las medidas con impacto y probabilidad más altos,
especialmente en áreas de acceso y continuidad del negocio. El Consejo de
Administración debe aprobar estas medidas para asegurar que la empresa Risky se
mantenga protegida contra posibles brechas de seguridad y garantice la
continuidad de sus operaciones.

© Universidad Internacional de La Rioja

(UNIR)

6
Actividades