Proyecto Final EVALUACIÓN DE SEGURIDAD INFORMÁTICA

Proyecto Final EVALUACIÓN DE SEGURIDAD INFORMÁTICA

Nombre Apellidos

Gómez Alvarado Alexis Yovany, agomeza@miumg.edu.gt Bin de León Melky Enmer Evelio, mbind@miumg.edu.gt Rivas González Ricardo Jozef, rrivasg4@miumg.edu.gt

06 de septiembre de 2025

Seguridad de sistemas informáticos

Activos Evaluados

Producción

Desarrollo

Pruebas

• Estaciones de Trabajo de Devs

• IDEs y Herramientas de Dev

• Desarrolladores

• Repositorios de Código Fuente

• Servidor de Aplicaciones

• Base de Datos Principal

• Firewall Corporativo

• Equipo de Soporte Técnico

• Servidor de QA

• Sistema de Gestión de Versiones

• Datos de Prueba

• Ingenieros de QA

Evaluación del Riesgo: MAGERIT y OCTAVE

Modelo OCTAVE

Modelo MAGERIT

El proceso consiste en: • Identificación del activo → ¿Qué recurso se evalúa? • Identificación de amenazas y vulnerabilidades → ¿Qué puede ocurrirle? • Valoración de impacto → Consecuencias sobre la organización si la amenaza se materializa. • Valoración de probabilidad → Qué tan probable es que la amenaza ocurra. • Determinación del nivel de riesgo (R = Impacto × Probabilidad).

• Activos operacionales críticos. • Amenazas específicas sobre dichos activos. • Vulnerabilidades detectadas en la gestión y en la tecnología. • Prácticas de seguridad organizacional.

Matriz de Calor

Distribución de Riesgos: Probabilidad vs Impacto

Distribución de Riesgos: Probabilidad vs Impacto

Tratamiento

Objetivo y Alcance del Tratamiento

Gobernanza y Aprobaciones Seguimiento, KPIs y Revisión Comunicación y Concienciación Cronograma y Dependencias Presupuesto y Beneficio Esperado Verificación y Auditoría Declaración de Aplicabilidad / Trazabilidad

Criterios y Umbrales de Tratamiento Principios y Supuestos de Evaluación Opciones de Tratamiento Priorización de Acciones Catálogo de Controles Propuestos Plan de Tratamiento por Riesgo Estimación de Riesgo Residual

Clasificación de la criticidad

2. Introducción

Escala de Criticidad Propuesta

Criticidad Por Activos

Escala de Clasificación

• 1: Muy bajo • 2: Bajo • 3: Medio • 4: Alto • 5: Muy alto

Análisis Global y Especifico del Riesgo Evaluado

• Base de Datos Principal• Repositorios de Código Fuente • Servidor de Aplicaciones • Firewall Corporativo • Equipo de Soporte Técnico y Desarrolladores • Entorno de Pruebas (QA y datos de prueba)

Dictamen

Acciones de máxima prioridad

• Cifrado de datos en tránsito y almacenados en la base de datos principal. • Implementación obligatoria de autenticación multifactor (MFA) en repositorios, firewall, servidores y cuentas privilegiadas. • Endurecimiento del servidor de aplicaciones y segmentación de los entornos de pruebas. • Políticas de protección de ramas y firma de commits en los repositorios de código. • Refuerzo de la supervisión a equipos de soporte técnico y desarrolladores mediante monitoreo de acciones privilegiadas y capacitación continua.

Gracias

Fortalezas

Contextualiza tu tema

• Planificar la estructura de tu comunicación.
• Jerarquizarla y darle peso visual a lo principal.
• Definir mensajes secundarios con interactividad.
• Establecer un flujo a través del contenido.
• Medir los resultados.

Debilidades

Contextualiza tu tema

• Planificar la estructura de tu comunicación.
• Jerarquizarla y darle peso visual a lo principal.
• Definir mensajes secundarios con interactividad.
• Establecer un flujo a través del contenido.
• Medir los resultados.

Amenazas

Contextualiza tu tema

• Planificar la estructura de tu comunicación.
• Jerarquizarla y darle peso visual a lo principal.
• Definir mensajes secundarios con interactividad.
• Establecer un flujo a través del contenido.
• Medir los resultados.