TRABAJO COLABORATIVO 3.

APORTE INDIVIDUAL

POR:
DIANA MARISOL BOJACA BOJACA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

CEAD GACHETÁ
ABRIL DE 2018
 APORTE INDIVIDUAL - GESTION DE RIESGOS
La gestión de riesgos estará presente en el desarrollo de cualquier tipo de
software.
1. Identificación del riesgo:
La identificación de riesgos es una actividad de protección dentro de la gestión
de proyectos de software, encargada de identificar, mitigar y monitorizar los
riesgos que pudieran afectar a la ejecución y viabilidad del proyecto o poner en
peligro la información del usuario.
Dentro del desarrollo del software CEE (Control de Elementos de Emergencia),
existen múltiples riesgos, por ejemplo:
 Ingreso de personal no autorizado.
 Suplantación de identidad.
 Divulgación de información.
 Robo de los equipos que contienen las bases de datos.
 Alteración indebida de la información
 Secuestro de información.
Para la verificación del riesgo se utilizan las siguientes estrategias:
Espina de pescado

Ingreso de personal Suplantación de Divulgación de información

no autorizado identidad

Falta de Divulgación de Falta de acuerdos de confidencialidad

control contraseñas Contraseñ Falta de conciencia de
Acceso sin
contraseña as fáciles funcionarios

Bajos controles Sesiones Robo de

físicos abiertas información

Riesgo CEE

Ausencia de Acceso Equipos sin

controles físicos por parte actualizar
Complicidad de Ransomware
de
funcionarios Bajo control de terceros
autenticación
Descuido Suplantación de Carencia de
identidad antivirus

Robo de equipos Alteración de Secuestro de

información información
Hipótesis y escenarios.
La hipótesis y escenarios están enmarcados en primer lugar en el inventario de
activos, requisitos legales y materialización de posibles amenazas que para el
caso del programa CEE estará determinado en el servidor principal y las
estaciones de trabajo.
Con respeto al inventario de activos tendremos:
 1 servidor.
 4 estaciones de trabajo (computadores de escritorio).
 1 Router
 1 Switch
 10 tablets
Con respecto a los requisitos legales tenemos:
 Facturas de comprar de equipos
 Licencia de funcionamiento de la estación de bomberos
 Seguros de los equipos
 Inventario de activos por placa y código de identificación
 Servicio de internet debidamente adquirido.
Con respecto a las amenazas tenemos:
 Ingreso de personal no autorizado al programa CEE por bajos controles
de autenticación.
 Suplantación de identidad de los funcionarios bien sea por compartir la
contraseña o por vulneración de la misma.
 Divulgación de información por descuido de los funcionarios o por el robo
de la información almacenada en la base de datos.
 Robo de los equipos que contienen las bases de datos por falta de
controles perimetrales.
 Alteración indebida de la información por acceso de terceros, sobornos o
error involuntario de los funcionarios
 Secuestro de información por falta de parches de seguridad, bajo control
de antivirus, ataque informático.

Lo anteriormente expuesto ocurre en el escenario laboral del cuerpo de

bomberos ya que mientras se realiza el proceso de verificación de extintores los
activos informáticos y en especial el software CEE puede afectarse el proceso
por la materialización de amenazas.
Análisis DAFO
Debilidades
 Dificultades de conexión a la red durante eventos masivos, Congestión de
peticiones al proveedor del servicio “claro o movistar”
 Falta de conocimiento de funcionarios sobre manejo de equipos de
computo
 Falta de un funcionario de sistemas dentro de la organización “bomberos
de Gachetá”

Amenazas
 Divulgación de información
 Acceso no autorizado
 Robo de información.
 Alteración de información

Fortalezas
 Recepción de la información en tiempo real.
 Consulta de datos desde cualquier lugar.
 Emisión de alertas para mitigar probabilidad de incendios por falta de
extintores
 Aplicación multiplataforma lo que facilita el acceso del usuario.

Oportunidades
 Conectividad por Internet: La comunidad se comunica a través de Internet.
Las listas de correo, chats, grupos de noticias y sitios Web permiten el
crecimiento de esas comunidades, permitiendo que exista un desarrollo y
mantenimiento las 24 horas del día los siete días de la semana.

 Estructura de soporte competitiva: El software comercial depende de un

monopolio, en cuanto a que el código fuente no está disponible. Cuando
un producto de software libre supera el umbral crítico de usuarios, el
soporte que puede dar cualquier empresa es el mismo, y por tanto la
competencia aumenta, lo que beneficiará al mercado.
2. Análisis de riesgos

En la columna Riesgo, se registran todos los riesgos

En la columna Categoría, cada riesgo se categoriza así:
 Tamaño del producto (TP)
 Impacto en la organización (IO)
 Tipo de cliente (TC)
 Proceso de producción (PP)
 Entorno de desarrollo (ED)
 Tecnología (T)
 Experiencia técnica (ET)
Se pueden utilizar las iniciales que se encuentran entre paréntesis o puede
asignar unas específicas.

 En la columna Probabilidad, se registra la probabilidad de aparición de

cada riesgo.

 En la columna Impacto, Se valora multiplicando la probabilidad por la

magnitud del daño.
 RIESGO CATEGORIA PROBABILIDAD MAGNITUD IMPACTO
Deficiente control
de acceso a las IO 2 2 4
aplicaciones
Existencia de
vulnerabilidades T 2 3 6
del aplicativo CEE.
Falta de formación
y concienciación
sobre IO 3 4 12
confidencialidad
de información.
Fraude, secuestro
o robo de ET 3 4 12
información.
Falta de
planificación de
ET 2 4 8
continuidad de
negocio.
Robo de los
IO 1 3 3
equipos
Infección por virus
T 3 3 9
informático

3. Planificación de la respuesta al riesgo

Cuando se definen o se priorizan los riesgos se procede a realizar un tratamiento
buscando la mejor estrategia buscando las mayores probabilidades de eliminar
el riesgo o al menos mitigarlo.
Las estrategias son:
 Eliminar o evitar el riesgo.
 Transferir el riesgo.
 Mitigar el riesgo
 Aceptar el riesgo
RIESGO ESTRATEGIA
Deficiente control de acceso a las Mitigarlo
aplicaciones
Existencia de vulnerabilidades del Mitigarlo
aplicativo CEE.
Falta de formación y concienciación Eliminarlo
sobre confidencialidad de información.
Fraude, secuestro o robo de información. Mitigarlo
Falta de planificación de continuidad de Eliminarlo
negocio.
Robo de los equipos Transferirlo
Infección por virus informático Mitigarlo