PROBLEMA DE ESTUDIO

En la actualidad, las entidades pblicas y empresas privadas del Ecuador se

enfrentar a riesgos e inseguridades informticas, entre las cuales podemos
incluir espionaje, sabotaje, daos ocasionados por virus informticos y la
negacin de servicios. (Cibermafias atacaron a 17 empresas ecuatorianas,
s. f.)
La incorporacin de activos TI en instituciones pblicas, conllevan a obtener una
ventaja competitiva, es uno de los temas principales que concierne hoy en da a altos
ejecutivos y dirigentes de estas instituciones. Esto ha producido una creciente
demanda en el desarrollo de los sistemas de informacin (SI) y los componentes
tecnolgicos, para soportar las actividades de una organizacin. Sin embargo, es una
realidad que el riesgo de las instituciones pblicas tambin se ha incrementado ya que
en el complejo mundo actual de la tecnologa, la administracin es cada vez ms
compleja

PROPUESTA DE SOLUCIN Y ALCANCE

ACTIVIDAD:
Para la realizar el proyecto se implementara dos procesos los cuales son:
1. PROCESO 1: ANLISIS DE RIESGO:
Tiene como objetivo identificar y valorar los activos y amenazas que tiene la institucin,
como tambin estimar el impacto y el riesgo de la materializacin de las amenazas
sobre los activos TI del IEPI. Para poder alcanzar dichos objetivos se implementara las
siguientes actividades y tareas como se describen en la tabla 0.1
Tabla 01. Actividades y tareas de la fase 1: Anlisis de Riesgo
IDENTIFICACIN DE LOS RIESGOS
Se identificara los activos relevantes del IEPI para su anlisis
por el tipo de activos, identificando las relaciones entre los
Actividad 1 diferentes activos, determinando en que dimensiones de
Caracterizacin seguridad son importantes y valorarlos, para la realizacin de
de los activos: esta actividad se realizara las siguientes tareas:
Tarea T1.1: Identificacin de los activos.
Tarea T1.2: Valoracin de los activos.

Se identificara las posibles amenazas que se pueden

Actividad 2 materializar sobre los activos anteriormente identificados, para
Caracterizacin la realizacin de esta actividad se realizara las siguientes
de las amenazas: tareas:
Tareas T2.1: Identificacin de las amenazas.
Tareas T2.2: Valoracin de las amenazas
Se buscara identificar las vulnerabilidades que pueden ser
explotadas por las amenazas para causar daos a los activos
Actividad 3 TI del IEPI, para la realizacin de esta actividad se realizara
Caracterizacin
las siguientes tareas:
de las
Tareas T3.1: Identificacin de las vulnerabilidades.
vulnerabilidades:
Tareas T3.2: Valoracin de las vulnerabilidades.
 Es una actividad que procesa todos los datos recopilados en
las actividades anteriores. Con la finalidad de obtener el
Actividad 4 informe del estado de riesgo, para la realizacin de esta
Estimacin del
actividad se debe realizar las siguientes tareas:
estado del
riesgo: Tarea T2.4.1: Estimacin del impacto.
Tarea T2.4.2: Estimacin del riesgo.
Tarea T2.4.3: Interpretacin de los resultados.

Elaborado por: Los autores

2. PROCESO 2 : GESTIN DE RIESGO

Tiene como objetivo mitigar los riesgos que sern descubiertos en el anlisis de
riesgos, a travs de una secuencia de actividades y tareas que recomienda la
metodologa MAGERIT. A continuacin se describen las actividades y tareas para el
diseo de un plan de mitigacin de riesgos para los activo TI del IEPI
Tabla 02. Actividades y tareas de la fase 2: Gestin de riesgos
GESTIN DE RIESGOS
Es una actividad que gestiona las conclusiones tcnicas del
Actividad 1 proceso 1 Anlisis de riesgos, que recomienda cmo tomar
Toma de decisiones ante los riesgos detectados anteriormente y en la
decisiones eleccin de estrategias para mitigar el impacto y/o riesgo, para
la realizacin de esta actividad se realizara las siguiente tarea:
Tarea T1.1: Calificacin de los riesgos.
Actividad 2
Se menciona las decisiones que se van a realizar para mejorar
Elaboracin del
la seguridad de los activos TI del IEPI, para la realizacin de
plan de
esta actividad se realizara las siguiente tarea:
mitigacin:
Tareas T2.1: Plan de mitigacin.

Elaborado por: Los autores

La matriz de mitigacin de riesgo constituir como una herramienta de control y de

gestin utilizada para identificar los procesos, actividades, el tipo y nivel de riesgo.
Evaluacin de riesgos se realizar un anlisis, la cual permitir una valoracin
realizada a travs de las caractersticas que tienen como base un escenario de
amenaza sobre los activos, y generalmente est asociado a una calificacin de los
riesgos que utiliza como parmetros cualidades como alto, medio o bajo.

ENTREGABLE:
Se entregar un plan de mitigacin de riesgos para los activos TI del IEPI, el cual
contara de un conjunto recomendaciones para reducir los riesgos a un nivel aceptable
dentro de la UGDT, basndose en riesgos definidos. La seleccin de las medidas de
mitigacin se ajustara a cada amenaza o vulnerabilidad que tenga los activos de TI.
Los objetivos del plan de mitigacin sern:
Demostrar mediante el plan de mitigacin todos los posibles riesgos a
los que est expuesta la Institucin.
 Presentar a la entidad UGDT las medidas que podra implementar para
reducir los riesgos identificados.
HERRAMIENTA TECNOLOGA:
Para la seleccin de las herramientas tecnolgicas se tom en cuenta algunos
aspectos:
Que sean de distribucin libre, permitan ser instalados en ambientes virtuales.
Nmap: es una aplicacin multiplataforma usada para explorar redes y obtener
informacin acerca de los servicios, sistemas operativos y vulnerabilidades.
Nessus: es una herramienta de auditoria de sistemas de informacin para la bsqueda
de fallas crticas, escanea vulnerabilidades en diversos sistemas operativos y escaneo
de puertos
METODOLOGA
Para logar el cumplimento del proyecto tcnico, se realizara reuniones con la Unidad
de Gestin de Desarrollo Tecnolgico del IEPI, los cuales van a proveer de la
informacin necesaria para realizar el anlisis y el diseo de un plan de mitigacin de
riesgo. Adems para la recopilacin de informacin se aplicar la "investigacin
documental".
MAGERIT es una metodologa de anlisis y gestin de riesgos que proporciona un
mtodo sistemtico para analizar los riesgos derivados del uso de tecnologas de la
informacin para as poder implementar las medidas de control ms adecuadas que
permitan mitigar los riesgos.
Otra metodologa que busca el mismo objetivo de analizar y gestionar los riesgos es
OCTAVE, esta metodologa se enfoca en tres fases para examinar los problemas
organizacionales y tecnolgicos.
Construccin de los Perfiles de amenazas Basados en Activos
Identificacin de la infraestructura de vulnerabilidades
Desarrollo de planes y estrategias de seguridad
Las dos metodologas buscan un mismo objetivo el analizar y gestionar el riesgo y la
seguridad de los activos, por ende se las puede combinarlas y aplicarlas.