Ingeniera de sistemas e

Informtica
Trabajo de investigacin
Implementacin de la NTP-ISO/IEC
122!"2# al proceso de s$ministro de la
Empresa OPEN %O&'( E)PO&T S*C
INTEGRANTES:
+,*N +OSE -,ISPE .,TIE&&E/
*&N*'(O &*0I&E/ 1*'1E&(E
C*'CIN* *P*/* &O2
SOTO 2*,''I +E*N C*&'O
.O0E/ E(%*&( +ON*T*N

CURSO: ECONO0I* (E SO3T%*&E
DOCENTE: IN.4 0I.,E' *N.E' 5,*0*N
2*N*&ICO
CICLO: I)
AREQUIA !"#$
CONTENIDO
C*PIT,'O I - *cta de Constit$cin4444444444444444444444444444444444444444444444444444444444444444446
1414 1ersiones4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 6
1424 Nom7re del Pro8ecto4444444444444444444444444444444444444444444444444444444444444444444444444 9
1464 Siglas del Pro8ecto444444444444444444444444444444444444444444444444444444444444444444444444444449
1494 (escripcin del Pro8ecto44444444444444444444444444444444444444444444444444444444444444444449
14:4 (e;nicin del prod$cto del pro8ecto44444444444444444444444444444444444444444444444449
14#4 (e;nicin de &e<$isitos del Pro8ecto444444444444444444444444444444444444444444444444:
14!4 O7=eti>os del Pro8ecto44444444444444444444444444444444444444444444444444444444444444444444444:
a? *lcance4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 :
7? Tiempo44444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 :
c? Costo *pro@imado444444444444444444444444444444444444444444444444444444444444444444444444444444 :
14A4 3inalidad del Pro8ecto444444444444444444444444444444444444444444444444444444444444444444444444:
a? (atos de la Empresa44444444444444444444444444444444444444444444444444444444444444444444444444:
7? 0isin444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 #
c? 1isin4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 #
d? O7=eti>os EstratBgicos44444444444444444444444444444444444444444444444444444444444444444444444!
14C4 +$sti;cacin del Pro8ecto4444444444444444444444444444444444444444444444444444444444444444444!
1414 &ecoleccin de datos4444444444444444444444444444444444444444444444444444444444444444444444A
14114 Instr$mentos $tiliDados444444444444444444444444444444444444444444444444444444444444444444A
14124 (esignacin del Encargado del Pro8ecto4444444444444444444444444444444444444444A
14164 Entrega7les del Pro8ecto4444444444444444444444444444444444444444444444444444444444444444A
14194 Interesados <$e inter>ienen en el Pro8ecto444444444444444444444444444444444444A
141:4 Sponsor444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 C
CAITULO I % Acta de Constit&cin
'ersiones
Versi

n
Responsable
Fecha Descripcin
1.0.0
juan jose quispe gutierrez
10-01-14 Se establece el tema de
suministro de la
empresa de
PERFOE!
1.0.1
gomez ed"ard jonatan
1#-01-14 Se $iso la recopilaci%n de la
in&ormaci%n de la
empresa PERFOE!
1.0.'
arnaldo ramirez (al(erde
0)-0'-14 *orrecci%n de errores +
agregaci%n de
in&ormaci%n de la
empresa
1.0.,.
-eancarlo Soto .aulli
10-0'-14 *orrecion del /ord

1.1. Nombre del Proyecto
Implementacin de la NTP-ISO/IEC
122!"2# al proceso de s$ministro de la
Empresa OPEN %O&'( E)PO&T S*C
1.2. Siglas del Proyecto
I V E OPEN WORLD EXPORT SAC
1.3. Descripcin del Proyecto
Primero0 recopilaremos la in&ormaci%n de la empresa de OPE1 /OR23
E!POR4 S5* para determinar f$ncin a proponer para el $so de la
ad<$isicin de $n las <$e permitan el aseg$ramiento de la
informacin 8 el $so adec$ado de la 7ase de datos de la empresa4
Segundo" considerando el desarrollo de implementacin de la NTP-
ISO/IEC se $tiliDara el proceso de s$ministro como Eerramienta de
>entas >irt$ales de la empresa4
1.4. Denicin del prod!cto del proyecto
El pro+ecto est6 elaborado con un control de (ersiones de alineamiento que
abarca los suministros + (ersiones de so&t"are para proteger la 7ase de 3atos
contra accesos no autorizados las cuales pueden ser0
5spectos legales sociales + 8ticos9
Pol:ticas de la empresa9 ni(eles de in&ormaci%n p;blica + pri(ada.
*ontroles de tipo &:sico9 acceso a las instalaciones.
<denti&icaci%n de usuarios.
*ontroles de sistema operati(o
2os sistemas operati(os pro(een algunos mecanismos de protecci%n para poder
implementar pol:ticas de seguridad. 2as pol:ticas de&inen qu8 $a+ que $acer9 +
los mecanismos determinan c%mo $a+ que $acerlo. Esta separaci%n es
importante en t8rminos de &le=ibilidad9 puesto que las pol:ticas pueden (ariar en
el tiempo + de una organizaci%n a otra. 2os mismos mecanismos9 si son
&le=ibles9 pueden usarse para implementar distintas pol:ticas.
>n aspecto importante de la seguridad es el de impedir la p8rdida de
in&ormaci%n9 la cual puede producirse por di(ersas causas0 &en%menos naturales9
guerras9 errores de $ard"are o de so&t"are9 o errores $umanos.
1.". Denicin de Re#!isitos del Proyecto
2a base de datos debe ser protegida contra el &uego9 el robo + otras
&ormas de destrucci%n.
2os datos deben ser creados permanentemente en un bac?up.
El sistema debe dise@arse a prueba de intromisiones la cual deber6 ser
desarrollada por programadores que abarcan el campo pro&esional.
1ing;n sistema puede e(itar de manera absoluta las intromisiones
malintencionadas9 pero es posible $acer que resulte mu+ di&:cil eludir los
controles.
El sistema debe tener capacidad para (eri&icar que sus acciones $an sido
autorizadas. 2as acciones de los usuarios deben ser super(isadas9 de
modo tal que pueda descubrirse cualquier acci%n indebida o err%nea
1.$. %b&eti'os del Proyecto
a( A)cance
El presente proyecto busca alcanzar la adquisicin de un
software de que asegure la informacin de la empresa.
b( Tie*+o
La meta de entrega que se plantea es de 18 semanas.
c( Costo A+ro,i*ado
El costo que tendr ser de $3.
1.(. Finalidad del Proyecto
a( Datos de )a E*+resa
La empresa !"E# $!%L& E'"!%( )*+ es una
empresa que se encarga de la ,enta mayorista de
Elaboraci%n &rutas9 legumbres + $ortalizas propicios para la
alimentacin o consumo -umano y e.portacin.
!"E# $!%L& E'"!%( )*+ Es una empresa
agroindustrial9 dedicada a la e=portaci%n de alcac$o&a9 p6pri?a +
pimiento9 en distintas (ariedades + presentaciones9 cuenta con su
propia planta de producci%n.
OPEN WORLD EXPORT SAC
Posici%n en el Ran?ing PEP
&anFing PEP de Empresa"
5815
1ombre de Empresa OPEN WORLD EXPORT SAC
1ombre *omercial O/!S5*
R>* '04#),00'A'
Fec$a de Fundaci%n 01B0)B'00'
4ipo de Sociedad SO*<E353 51O1<5 *ERR535
Estado de la Empresa 5*4<CO
Sector econ%mico de desempe@o Elaboracion &rutas9 legumbres + $ortalizas
*<<> 1A1,0
arca 3e 5cti(idad *omercio E=terior E!POR453OR
3irecci%n Principal >macollo
Re&erencia de ubicaci%n >*S
Poblaci%n 5RED><P5 B 5RED><P5 B 5RED><P5
Fa= -
4el8&onos 'AA41#
'AA41#
1ro. 4rabajadores 1,#
b( -isin
)er la mayor organizacin mayorista en el pa/s0
ofreciendo e.celencia en precios0 calidad y amplia
,ariedad a sus clientes para contribuir al desarrollo
de sus traba1adores y empresa.
c( 'isin
)er el aliado estrat2gico de clientes y pro,eedores0
satisfaciendo necesidades mutuas para la
sustentabilidad de una larga relacin de mutuo
bene3cio.
d( Objetivos Estrat.gicos
Satis&acer a los clientes
Obtener la m6=ima seguridad de in&ormaci%n
Obtener resultados a corto plazo
7ene&iciar a la comunidad
3ar ser(icio a los clientes
7ene&iciar a los empleados
3ar imagen personal
1.). *!sticacin del Proyecto
El siguiente pro+ecto tiene como resultado la adquisici%n de un so&t"are
in&orm6tico desde la cual9 la empresa pueda con(ertirse en una organizaci%n
m6s seria + de con&ianza.
3e esta manera9 los clientes se sentir6n m6s seguros a la $ora solicitar los
ser(icios de (entas de la empresa9 o cuando quieran importar cualquiera de sus
productos.
Por otra parte el personal autorizadoEempleados de la tiendaF podr6 realizar
acciones como el modi&icado de los pedidos realizados con muc$a m6s
seguridad + &acilidad9 la inserci%n de nue(os :tems en la base de datos o la
correcci%n de los datos err%neos que puedan aparecer en el registro de alg;n
cliente. 2a &inalidad es conseguir una e=pansi%n de un mercado accesible e
competiti(o para el crecimiento de la empresa.
1.+. Recoleccin de datos
)u 4erencia est compuesta por un personal muy reconocido y
de primera calidad que labor en empresas de primer ni,el y
traduce esa positi,a e.periencia en un proyecto empresarial
muy grande y ambicioso que estoy seguro lle,ara no solo a su
gran desarrollo si no al desarrollo de toda una comunidad a
tra,2s de la generacin oportuna de empleo
El "er5 por tener una gran di,ersidad de clima y microclimas
puede cosec-ar *lcac-ofa 6 meses al a7o menos de 8unio a
*gosto en donde sede la plaza de E.portacin a *rgentina que
es el 5nico pa/s que tiene cosec-a de *lcac-ofa de 8ulio a
*gosto.
#uestro principal socio comercial es Estados 9nidos con un
total de 18:3;;03<1 =g y una participacin de
apro.imadamente el >3? del total e.portado. Le siguen
Espa7a0 @rancia0 +anad y *lemania con participaciones de
A1?0 8?0 A? y A?0 respecti,amente. El total del ,olumen
e.portado en lo que ,a del a7o con datos preliminares a
no,iembre es A6:<>03B< =g.
1.1,. -nstr!mentos !tili.ados
"ara poder realizar esta in,estigacin se entre,ist a
algunos empleados de la empresa adems se -izoC
Entre,ista con el gerente.
Encuesta al personal
Disita a pgina web
1.11. Designacin del /ncargado del Proyecto
El presente traba1o se estableci como responsableC
*rnaldo %am/rez Dal,erde
+omo apoyoC
8uan 8os2 E9F)"E 49(FE%%EG
8eancarlo )!(! H*9LLF
%oy +*L+F#* *"*G*
Edwar E9F)"E 4!IEG
1.12. /ntregables del Proyecto
Entregable &ec$a
Entregable 1umero1 0)-0'-'014 $oras 1A000
Entregable Final 0#-04-'014 $oras 1'0,0
1.13. -nteresados #!e inter'ienen en el Proyecto
En el proyecto se establece como interesadosC
"rincipal
4erente 4eneralJ )r. )e,ero @ernndez.
*lumnos
*rnaldo %am/rez Dal,erde
8uan 8os2 E9F)"E 49(FE%%EG
8eancarlo )!(! H*9LLF
%oy +*L+F#* *"*G*
Edwar E9F)"E 4!IEG
&ocente
Iiguel Kngel L9*I*# H*#*%F+!
1.14. Sponsor #!e a!tori.a el Proyecto
&ocente
Iiguel Kngel L9*I*# H*#*%F+!
CAITULO II: An/)isis de) Entorno 0 )a
ro+&esta
2.1 0n1lisis de Riesgos
!1#1#1 Inventario de Activos de) roceso
En esta seccin identi;camos todos los acti>os con los <$e c$enta este
proceso para s$ f$ncionamiento"
Nro1
Activo
No*bre de) Activo Ti+o de Activo
# Comp$tadora 5ardGare
! Hase de (atos SoftGare
2 Ser>idor de *nti>ir$s 5ardGare
$ Operador Operario
3 Esta7iliDador >olta=e E<$ipo
4 Ser>idor de *plicaciones 5ardGare
5 3$ente de S$ministro ElBctrico ,PS 5ardGare
6 .estor de Hase de (atos S-' Ser>er
2A &2 Enterprise
SoftGare
7 Encargado de Soporte TBcnico TI
#" Ser>icios de '$D 7rindado por SE*' Sitio I Ser>icios
PJ7licos
## Sistema Operati>o %indoGs )P SoftGare
#! O;cina de Ser>icios Informticos TI
2.1.2. 2lasicacin del -n'entario de 0cti'os del Proceso
En este apartado identi3caremos a todos los acti,os que tienen
una alta probabilidad de adoptar amenazas0 es decir encontrar a
los acti,os que est2n ms propensos a tener riesgos y que
comprometan a este proceso a disminuir sus ni,eles de seguridad.
(odo esto suceder siempre y cuando no se llegue a implementar
un control adecuado que ayude a mitigar estos riesgos.
Esta clasi3cacin se realizar de la siguiente maneraC
N
8
Activo Descri+cin
C)asi9caci
n
:rec&encia de
Uso
ro+ietar
io
C&stodio
'a)or de) Activo 0 Nive)
de Tasacin

;
b
)
i
c
a
U
s
o

I
n
t
e
r
n
o
U
s
o

r
e
s
t
r
i
n
g
i
d
o
D
i
a
r
i
o
S
e
*
a
n
a
)
Q
&
i
n
c
e
n
a
)
-
e
n
s
&
a
)
E
v
e
n
t
&
a
)
C
o
n
9
d
e
n
c
i
a
)
i
d
a
d
I
n
t
e
g
r
i
d
a
d
D
i
s
+
o
n
i
b
i
)
i
d
a
d
'
a
)
o
r

d
e
)

A
c
t
i
v
o
N
i
v
e
)

d
e
T
a
s
a
c
i

n
# Comp$tado
ra
(ispositi>o necesario para
la cone@in con la 7ase de
datos del relo= digital
) ) +efe de
area de
*7astos
O;cina de
Informtic
a
9 9 6 64#
!
*'TO
! Hase de
(atos
Es $n e<$ipo de cmp$to
especialiDadoK el c$al
pro>ee de ser>icios de
alo=amiento de informacin
a todos los Sistemas de
Informacin del 0I*SEC*E4
) ) +efe de
area de
*7astos
&esponsa7
le de
Ser>icios
Informtic
os
9 9 9 94

*'TO
2 Ser>idor de
*nti>ir$s
Ser>idor al c$al se conecta
para la act$aliDacin de la
;rmas de >ir$s
) ) +efe de
area de
*7astos
&esponsa7
le de
Ser>icios
Informtic
os
6 2 6 24#
!
0E(I
O
$ Operador Personal <$e opera la
informacin del control de
asistencia
) ) O;cina de
Personal
&esponsa7
le de
Ser>icios
Informtic
os
9 9 6 64#
!
*'TO
3 Esta7iliDad
or >olta=e
E<$ipo elBctrico <$e se
conecta para s$ $so
adec$ado de la pc
controlando el >olta=e
re<$erido
) ) +efe de
area de
*7astos
O;cina de
Informtic
a
1 2 1 146
6
H*+O
4 Ser>idor de
*plicacione
s
Es $n e<$ipo de cmp$to
especialiDadoK el c$al da
alo=amiento a los Sistemas
de Informacin del
0I*SEC*EK para l$ego
distri7$irlos a todos los
$s$arios <$e lo necesiten
) ) +efe de
area de
*7astos
&esponsa7
le de
Ser>icios
Informtic
os
6 6 9 646
6
*'TO
5 3$ente de
S$ministro
ElBctrico
,PS
Es $na f$ente de s$ministro
elBctrico <$e posee $na
7atera con el ;n de seg$ir
dando energa a $n
dispositi>o en el caso de
$na interr$pcin elBctrica
) ) +efe de
area de
*7astos
O;cina de
Informtic
a
2 2 2 24

0E(I
O
6 .estor de
Hase de
(atos S-'
Ser>er
2A &2
Enterprise
SoftGare <$e permite el
almacenamientoK
modi;cacin 8 e@traccin
de la informacin en $na de
las Hase de (atos $tiliDadas
por los S4I4
) ) +efe de
area de
*7astos
&esponsa7
le de
Ser>icios
Informtic
os
9 9 : 946
6
*'TO
7 Encargado
de Soporte
TBcnico
Persona encargada de
7rindar ser>icios de
mantenimiento 8 soporte de
los e<$ipos informticos de
la empresa
) ) O;cina de
Personal
&esponsa7
le de
Ser>icios
Informtic
os
9 6 9 64#
!
*'TO
#
"
Ser>icios
de '$D
7rindado
por SE*'
*cti>idades ofrecidas por $n
pro>eedor <$e 7$scan
satisfacer la necesidad de
s$ministro elBctrico de la
empresa
) ) +efe del
Lrea de
Tesoreria
+efe del
Lrea de
Tesoreria
6 6 2 24#
!
0E(I
O
#
#
Sistema
Operati>o
%indoGs
)P
SoftGare 7sico de las
comp$tadorasK el c$al
pro>ee de $na interfaD entre
el resto de programas de
este e<$ipoK los dispositi>os
electrnicos e@ternos 8 los
$s$arios del 0I*SEC*E4
) ) +efe de
area de
*7astos
&esponsa7
le de
Ser>icios
Informtic
os
9 6 9 64#
!
*'TO
#
!
O;cina de
Ser>icios
Informtico
s
*m7iente en donde se
desarrollan las acti>idades
de ser>icios informticos de
toda la empresa
) ) O;cina de
Informtic
a
O;cina de
Informtic
a
6 2 6 24#
!
0E(I
O
&ndeC
ro+ietarios de )a In<or*acin:
(iene la responsabilidad aprobada de controlar la
produccin0 desarrollo0 mantenimiento0 uso y seguridad de
los acti,os que contienen informacin.
C&stodio de )a In<or*acin:
%esponsable del uso y cumplimiento de los controles de
seguridad en los acti,os de informacin ba1o su tutela.
'a)ori=acin de) Activo:
#o todos los acti,os de informacin tienen la misma
importanciaC &ebemos discriminar a aquellos que son ms
cr/ticos para nosotros de la siguiente manera.
En nuestro caso el ni,el de tasacin se indicar por colores0
donde el ro1o indica la tasacin alta0 el amarillo indica la
tasacin media y por 5ltimo el ,erde indica la tasacin ba1a.
2.1.3. 0n1lisis de Riesgo del Proceso
El anlisis de riesgos nos permitir conocer el da7o probable
que pueda causar en esta rea un fallo en la seguridad de la
informacin0 con las consecuencias potenciales de p2rdida
de con3dencialidad0 integridad y disponibilidad de la
informacin. Este anlisis tiene como principal ob1eti,o el de
identi3car y conocer los riesgos a los que se e.pone esta
rea diariamente. Esta medicin es el primer paso para el
control y la me1ora de los ser,icios que se ofrecen0 ya que si
los riesgos no se pueden medir0 no se pueden entender y si
no se pueden entender no se pueden controlar y me1orar.
*ntes de realizar el anlisis de riesgos en cuanto a los
ser,icios informticos que ofrece esta rea0 es importante
Con9dencia)idad>
C:#113(
Integridad >I:#113(
Dis+onibi)idad
>D:#113(
ro*edio
>C?I?D(
Nive) de
Tasacin
A)to >212$ @
31""(
-edio >#146 @
2122(
Aajo >#1"" @
#145(
conocer otro tipo de conceptos muy relacionados con este
anlisis y la seguridad de la informacin. Estos son los ms
importantesC
a3 0cti'os4 )on todos aquellos bienes tangibles o intangibles que
tienen alg5n ,alor para la organizacin y por tanto deben
protegerse.
b3 0mena.as4 )on aquellas acciones que pueden ocasionar
consecuencias negati,as en los acti,os de la organizacin.
c3 V!lnerabilidades4 )on ciertas condiciones in-erentes a los
acti,os o presentes en su entorno que facilitan que las
amenazas lleguen a materializarse.
d3 -mpacto4 +onsecuencias de que la amenaza ocurra.
e3 Probabilidad4 Es el grado de posibilidad de ocurrencia de una
amenaza.
53 Riesgo4 Es la estimacin del grado de e.posicin a que una
amenaza se materialice sobre uno o ms acti,os causando da7os o
per1uicios a la organizacin. 4eneralmente se obtiene por la
con1uncin matemtica de -mpacto . Probabilidad.
"asaran a este anlisis los acti,os que en el proceso de
in,entariado0 percibieron un ni,el de tasacin alto M#i,el con color
%o1oN. Estos acti,os son los siguientesC
N
8
Activo A*ena=a -ecanis*os de +roteccin E,istente '&)nerabi)idad Riesgo
N
8
Deta
))e
Descri+cin
N
i
v
e
)
reventivo
N
i
v
e
)
Detectivo
N
i
v
e
)
Correctivo
N
i
v
e
)
Descri+cin
N
i
v
e
)

r
o
b
a
b
i
)
i
d
a
d

d
e
O
c
&
r
r
e
n
c
i
a
N
i
v
e
)

d
e

r
o
b
a
b
i
)
i
d
a
d
# # Com
p$ta
dora
3alla del
e<$ipo
ocasionado
por $na
descarga o
s$7ida de
tensin en la
cone@in
2 Se tiene
$na red
elBctrica
esta7iliDada
2 Se ad>ierte
ante caidas
de ser>icio
en las PCs
de las
O;cinas
1 Ning$no 1 Se prod$ce $n
pico en la
cone@in de las
O;cinas
94##
#
6466
6
*'TO
! # Com
p$ta
dora
3alla del
e<$ipo
ocasionado
por ata<$e
de >ir$s
informatico
2 Se c$enta
con
anti>ir$s
con licencia
2 0al
f$ncionami
ento del
SoftGare
2 Ning$no 1 Se prod$ce al
no contar con
anti>ir$s
act$aliDados
9466
6
641#
#
0E(I
O
2 # Com
p$ta
dora
Errores de
EardGare
2 Se realiDa
mantenimie
ntos
periodicos
2 0al
f$ncionami
ento en
di>ersos
aspectos
MsonidosK
1 Ning$no 1 Se prod$ce por
factores
e@ternos
MgolpesKcaidasK
etc?
94##
#
6466
6
*'TO
apagonesKe
tc?
$ ! Hase
de
(ato
s
*cceso no
a$toriDado
ocasionado
por $n ro7o
de identidad
de otros
$s$arios
2 Se tiene
controlado
el *cceso
de $s$arios
por IP
2 Ning$no 1 Se cam7ia
de cla>e a
peticin del
,s$ario
1 'os $s$arios no
tienen los
c$idados en la
preser>acin de
s$s cla>es de
acceso
94##
#
6466
6
*'TO
3 ! Hase
de
(ato
s
So7recarga
de
almacenami
ento de la
informacin
2 Ning$no 1 Ning$no 1 &eemplaDar
el disco
d$ro del
ser>idor
6 Ser>idor con
disco d$ro
pr@imo a
deteriorarse o
llenarse
completamente
de informacin
9466
6
641#
#
0E(I
O
4 ! Hase
de
(ato
s
Perdida del
s$ministro
de energa
por cortes
inesperados
de l$D
2 *>isar a los
$s$arios
<$e $san
los ser>icios
de este
ser>idorK
<$e se
s$scitar
$n corte de
l$D 8 <$e
procedan a
g$ardar
toda la
informacin
<$e estn
procesando
antes <$e
6 Conectar al
ser>idor a
$n ,PS
2 Tra7a=ar
con la
carga
act$al de la
7atera de
los ,PSK
para
g$ardar
todos los
cam7ios
re<$eridos
8 no perder
la
informacin
procesada
Easta el
momento
6 ,PS de la sala
de ser>idores
sin
mantenimiento
6466
6
24##
#
0E(I
O
se s$scite
este EecEo
5 ! Hase
de
(ato
s
Errores en la
transmisin
o
rec$peracin
de la
informacin
6 Ning$no 1 Ning$no 1 ,7icar el
pro7lema
de
transmisin
8 proceder
a repararlo
en ese
momento
9 'as redes para
la transmisin
de datos no
tienen
mantenimientoK
se p$ede
s$scitar errores
en la
transferencia
de informacin
a este ser>idor
9 64: *'TO
6 A Ser>i
dor
de
*plic
acion
es
(aNo fsico
del e<$ipo
por la
E$medad o
el pol>o
2 Cam7iar la
$7icacin
del e<$ipo
a $n l$gar
ms seg$ro
6 Ning$no 1 Proceder a
desconecta
r
inmediatam
ente el
e<$ipo 8
darle $na
reparacin
inmediata
6 3alta de
medidas de
proteccin
am7iental para
los e<$ipos
64##
#
24A6
6
0E(I
O
7 A Ser>i
dor
de
*plic
acion
es
5$rto o daNo
de las
aplicaciones
por softGare
maliciosos
introd$cidos
por algJn
EacFer o
>ir$s
informtico
6 Comprar 8
con;g$rar
$n ;reGallK
<$e permita
controlar el
acceso a
este
ser>idor 8
act$aliDar
constantem
6 Cam7iar
inmediatam
ente las
contraseNa
s de todos
los
ser>idores
6 Proceder a
reparar el
daNo
ca$sado
por el
softGare
malicioso o
EacFers 8
resta7lecer
la
2 'icencias de
anti>ir$s
pr@imas a
cad$car 8 as
como tam7iBn
perifBricos 8
p$ertos sin $so
estn
Ea7ilitados
6466
6
641#
#
0E(I
O
ente el
anti>ir$s
<$e tiene
instalado
contin$idad
del ser>icio
de este
e<$ipo
#
"
A Ser>i
dor
de
*plic
acion
es
Perdida del
s$ministro
de energa
por cortes
inesperados
de l$D
6 Conectar al
ser>idor a
$n ,PS
6 *>isar a los
$s$arios
<$e $san
los
ser>icios de
este
ser>idorK
<$e se
s$scitar
$n corte de
l$D 8 <$e
procedan a
g$ardar
toda la
informacin
<$e estn
procesando
antes <$e
se s$scite
este EecEo
6 Tra7a=ar
con la
carga
act$al de la
7atera de
los ,PSK
para
g$ardar
todos los
cam7ios
re<$eridos
8 no perder
la
informacin
procesada
Easta el
momento
6 ,PS de la sala
de ser>idores
sin
mantenimiento
6 6 0E(I
O
#
#
A Ser>i
dor
de
*plic
acion
es
Errores en la
transmisin
o
rec$peracin
de la
informacin
2 Ning$no 1 Ning$no 1 ,7icar el
pro7lema
de
transmisin
8 proceder
a repararlo
en ese
momento
6 'as redes para
la transmisin
de datos no
tienen
mantenimientoK
se p$ede
s$scitar errores
en la
transferencia
9466
6
641#
#
0E(I
O
de informacin
a este ser>idor
#
!
1

.est
or de
Hase
de
(ato
s S-'
Ser>e
r
2A
&2
Enter
prise
,so
incorrecto
del softGare
2 Capacitar al
personal de
ser>icios
informtico
s para <$e
$sen
adec$adam
ente este
.estor de
Hase de
(atos
6 Cons$ltar
en internet
los posi7les
errores <$e
se >an a
s$scitar con
este .estor
de Hase de
(atos 8
darle $na
sol$cin
anticipada
mente
6 &eparar el
incon>enien
te s$scitado
por el mal
$so de este
.estor de
Hase de
(atos
6 (esconocimient
o en $n 6O de
la f$ncionalidad
del softGare
por parte del
personal
encargado
6 24: 0E(I
O
#
2
1

.est
or de
Hase
de
(ato
s S-'
Ser>e
r
2A
&2
Enter
prise
Errores en el
procesamien
to de la
informacin
2 Ning$no 1 Ning$no 1 ,7icar el
pro7lema
de
transmisin
8 proceder
a repararlo
en ese
momento
6 'as redes para
la transmisin
de datos no
tienen
mantenimientoK
se p$ede
s$scitar errores
en la
transferencia
de informacin
a este softGare
9466
6
641#
#
0E(I
O
#
$
1

.est
or de
Hase
de
(ato
s S-'
Ser>e
r
2A
&2
Enter
prise
,so no
a$toriDado
del softGare
6 Cam7iar
constantem
ente las
contraseNas
para el
acceso del
S4O4
6 Con;g$rar
la gestin
de
contraseNa
s
n$e>ament
e
6 Con;g$rar
la gestin
de
contraseNa
s
n$e>ament
e
2 ContraseNas no
cam7iadas
frec$entemente
por el personal
a cargo del
ser>idor
6466
6
641#
#
0E(I
O
#
3
1
1
Siste
ma
Oper
ati>o
%ind
oGs
)P
,so
incorrecto
del softGare
2 (ar
capacitaci
n para el
adec$ado
$so del S4O4
a los
empleados
de la
empresa
6 Informar a
los $s$arios
so7re los
pro7lemas
ms
com$nes
<$e tienen
8 como
sol$cionarlo
s
6 &eparar el
incon>enien
te s$scitado
por el mal
$so del S4O4
6 .estin
de;ciente de
las contraseNas
6 24: 0E(I
O
#
4
1
1
Siste
ma
Oper
ati>o
%ind
oGs
)P
*ta<$es
maliciosos
por >ir$s
6 *ct$aliDar
constantem
ente el
anti>ir$s
6 (arle $n
mantenimie
nto 8
monitorear
c$ales son
los fallos de
seg$ridad
<$e se
s$scitarn
en Bl
pr@imame
nte
2 (esinfectar
el S4O4 de
este
softGare
malicioso
inmediatam
ente 8
sal>ag$ard
ar la
informacin
en $n
medio
e@tra7le
6 'icencias de
anti>ir$s
pr@imas a
cad$car
6466
6
641#
#
0E(I
O
#
5
1
1
Siste
ma
Oper
ati>o
%ind
oGs
)P
So7recarga
de
informacin
para el
sistema
operati>o
6 Proc$rar no
instalar
m$cEas
aplicacione
s 8 darle
mantenimie
nto
constantem
ente
2 (esinstalar
aplicacione
s <$e
prod$cirn
$n 7a=o
rendimiento
en la
f$ncionalid
ad del S4O4
6 (esinstalar
todo
a<$ella
aplicacin
<$e
prod$Dca
<$e el S4O4
no f$ncione
correctame
nte
2 Ser>icios
acti>os de
alg$nas
aplicaciones no
$sadas por el
Sistema
Operati>o
64##
#
6466
6
*'TO
#
6
1
2
Encar
gado
de
Sopo
rte
TBcni
co
(i>$lgacin
ilegal de la
informacin
incenti>ado
por algJn
$s$ario de la
empresa o
agente
e@terno
6 3irmar $n
acto de
compromis
o para no
di>$lgar
informacin
importante
de la
empresa
2 *lteracin
de la
informacin
de los S4I4
6 Cam7iar
inmediatam
ente al
personal
act$al por
$no <$e
este ms
capacitados
para s$s
f$nciones
6 3alta de
conciencia
acerca de la
seg$ridad
6466
6
641#
#
0E(I
O
&ndeC
Los Iecanismos de +ontrol E.istentes se de3nen comoC
2ontroles Pre'enti'os4
)on aquellos controles que estn in,olucrados dentro de los
procesos y tienen como propsito e,itar la ocurrencia y
frecuencia de des,iaciones.
2ontroles Detecti'os4
)on aquellos que se acti,an una ,ez que se registra la
ocurrencia del incidente y e.isten para a,isar a los
in,olucrados0 para que est2n ,igilantes respecto al
problema.
2ontroles 2orrecti'os4
(ienen como propsito ayudar en la correccin de aquellos
errores o des,iaciones detectadas.
"or otro lado tambi2n en esta seccin realizaremos un 3ltro de
informacin referido a-ora a las amenazas de cada acti,o0 con el
3n de que nue,amente tomemos aquellos que tengan una alta
probabilidad de que sus amenazas lleguen a materializarse. "ara
tal 3n procedemos a realizar la siguiente e,aluacin con respecto
a las ,ulnerabilidades de cada acti,oC
Iencionamos tambi2n que la probabilidad de ocurrencia de que
un acti,o este e.puesto ante una amena.a ser e,aluado a
tra,2s del promedio del Ni'el de la 0mena.a 6 Ni'el de la
V!lnerabilidad. Es as/ que de manera anloga como en el caso
anterior0 el ni,el de tasacin que resulte de este promedio0
indicar si la amenaza del acti,o e,aluado es alta Mcolor ro1oN0
media Mcolor amarilloN o ba1a Mcolor ,erdeN. El siguiente gr3co
indicar la e,aluacin de estos resultados
Nive) de
Tasacin
A)to >212$ @
31""(
-edio >#146 @
2122(
Aajo >#1"" @
#145(
Ni>el de
1$lnera7ilidad
P #-
Nive) de ca+acidad de:
Controles Pre>enti>os Q
controles (efecti>os Q
Controles Correcti>os
2.1.4. /'al!acin del Riesgo
La e,aluacin de riesgos nos permitir analizar el impacto que
llegarn a tener las amenazas de los acti,os0 si no son
controlados adecuadamente0 en el adecuado funcionamiento
del proceso de soporte y mantenimiento de los )istemas de
Fnformacin del IF*)E+*E. Esta e,aluacin se desarrollar de
la siguiente maneraC
N
8
Activo A*ena=a Criterios de Eva)&acin Riesgo
E<ectivo
N
8
Descri+cin I*+acto

r
o
b
a
b
i
)
i
d
a
d

d
e

o
c
&
r
r
e
n
c
i
a
d
e
)

R
i
e
s
g
o
R
e
)
e
v
a
n
c
i
a

d
e
)

A
c
t
i
v
o
>
'
a
)
o
r
(
N
i
v
e
)

d
e

E
,
+
o
s
i
c
i

n

a
)
R
i
e
s
g
o
L
e
g
a
)
E
c
o
n

*
i
c
o
O
+
e
r
a
c
i
o
n
a
)
N
i
v
e
)

d
e

I
*
+
a
c
t
o
# # Comp$tador
a
3alla del e<$ipo ocasionado
por $na descarga o s$7ida
de tensin en la cone@in
1 1 6 14#
!
6466 64#
!
24AC
! # Comp$tador
a
Errores de EardGare 1 1 6 14#
!
6466 64#
!
24AC
2 ! Hase de
(atos
*cceso no a$toriDado
ocasionado por $n ro7o o
>$lneracin de datos4
6 2 6 24#
!
6466 94

6466
$ ! Hase de
(atos
Errores en la transmisin o
rec$peracin de la
informacin
2 1 6 24

64: 94

641!
3 1
1
Sistema
Operati>o
%indoGs )P
So7recarga de informacin
para el sistema operati>o
1 1 6 14#
!
6466 64#
!
24AC
&onde el Fmpacto en este cuadro medir el ni,el de afectacin del
proceso con respecto a los distintos factores rele,antes con que
cuenta0 estos factores sonC
Legal
Econmico O Fmagen Fnstitucional
!peracional
aN Fmpacto Legal
Estimacin de la probabilidad de que el riesgo identi3cado
pueda producir el incumplimiento de cualquier ley0 requisito
reglamentario y regulacin contractual.
Iuy *lto MBNC *fecta irre,ersiblemente a la institucin
*lto M<NC *fecta drsticamente a la institucin
Iedio M3NC *fecta seriamente a la institucin
Pa1o MANC *fecta parcialmente a la institucin
Iuy Pa1o M1NC #o afecta a la institucin
aN Fmpacto Econmico O Fmagen
#i,el de impacto de la amenaza sobre la capacidad
econmica para generar ingresas o de1ar de percibirlos de la
institucin
Iuy *lto MBNC "erdidas iguales o superiores a )O. 10
*lto M<NC "erdidas entre )O. B0 y )O. 10
Iedio M3NC "erdidas entre )O. 10 y )O. B0
Pa1o MANC "erdidas entre )O. B0 y )O. 10
Iuy Pa1o M1NC "erdidas menores )O. B0
bN Fmpacto !peracionalC
Estimacin de la probabilidad de que el riesgo identi3cado
pueda producir la paralizacin de operaciones de la
institucin.
Iuy *lto MBNC *fecta irre,ersiblemente a la operati,idad
de los procesos de la institucin
*lto M<NC*fecta drsticamente a la operati,idad de los
procesos de la institucin
Iedio M3NC *fecta seriamente a la operati,idad de los
procesos de la institucin
Pa1o MANC *fecta parcialmente a la operati,idad de los
procesos de la institucin
Iuy Pa1o M1NC #o afecta la operati,idad de los procesos
de la institucin
+omo en los casos anteriores se determinar el ni,el de impacto
con el promedio de los 3 ni,eles e,aluadosC Legal Q Econmico Q
!peracional. "ara luego con la probabilidad del riesgo e,aluado
en la seccin de R*nlisis del riesgoS y la %ele,ancia del Dalor del
*cti,o en la seccin de R+lasi3cacin del Fn,entario de *cti,os del
"rocesoS0 podemos sacar nue,amente un promedio para
identi3car el ni,el del riesgo del acti,o ante esa amenaza y si es
que seg5n el ni,el de tasacin es alto0 proceder a aplicarle un
control adecuado para mitigar este riesgo.