Академический Документы
Профессиональный Документы
Культура Документы
OBJETIVOS ESPECFICOS:
ANLISIS DE RIESGO:
1) IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS:
El primer paso en la evaluacin de riesgo es identificar y asignar un valor a los
activos que necesitan proteccin. El valor del activo se usar para determinar
la magnitud de la prdida cuando la amenaza ocurra.
Para identificar y valorar los activos de la empresa, nos basaremos en una
matriz de elementos, cuyos criterios de evaluacin se representaran en una
escala de manera cualitativa, de la siguiente manera:
ESCALA
Muy bajo
VALOR
1
Bajo
Medio
Alto
Muy Alto
2
3
4
5
DESCRIPCIN
De
insignificante
o
valor
importancia.
De poca Valor o importancia.
Tiene cierto valor o importancia
De alto valor o importancia
De
valor
indispensable
muy
importante.
CATEGO
RA
DESCRIPCIN DEL ACTIVO
HARDWA
RE
COMPUTADORAS
IMPRESORAS
PUNTO DE RED (RED LOCAL)
FAX Y FOTOCOPIADORA
SCANNER
MODEM
SOFTWA
RE
SISTEMA OPERATIVO
APLICACIONES
SISTEMAS
DATOS E INFORMACIN DE LOS
DATOS
SISTEMAS
PERSONA
L
EMPLEADOS
VALOR DEL
ACTIVO
5
3
4
3
2
3
5
3
5
5
5
25% 75%
75% 100%
DE OCURRENCIA
CRITERIO
No hay probabilidad de
que ocurra
Poco probable que ocurra
Probablemente
puede
Ocurrir
Muy probable que ocurra
IMPACTO
VALOR
MB 20
%
B
40
%
M
60
%
A
80
%
MA 100
%
CRITERIO
Impacto muy bajo.
Bajo impacto.
Mediano impacto.
Alto impacto.
Impacto muy alto.
A01
A02
A03
A04
A05
A06
A07
A08
A09
ACTIVO
S
H01,H02
,
H03,H04
,
H05 Y
H06
H01,H02
,
H03,H04
,
H05 Y
H06
POSIBILID
AD DE
IMPACT
OCURRENC
O
IA
AMENAZA
VULNERABILIDAD
Fallos en el
suministro elctrico,
apagones y
problemas de tensin
o voltaje.
Falta de Equipos de
proteccin elctricos
(UPS y/o Reguladores
de Voltaje
Falta de Proteccin en
las Instalaciones.
PP
La empresa no tiene
antivirus ni firewall
MP
MA
MA
Incendio, desastres
naturales,
inundaciones.
Robo y/o Hurto
ataques externos
(Ciberataques,
Virus (Gusanos,
Troyanos, bombas
S01,S02
lgicas, maldware,
Y S03
spyware, adware)
Suplantacin de
Identidad.
(Spoofing y phishing)
S01,S02, Ataque externo.
S03
Fallos de seguridad.
Puertas traseras.
La empresa no cuenta
con la licencia original
de los sistemas
A10
A11
A12
A13
A14
A15
A16
A17
A18
A19
Errores de
programacin.
Corrupcin de los
Datos.
Ataque externo.
propietarios que
utiliza
El Acceso a internet
no se encuentra
Virus.
limitado y en
S01,S02, Suplantacin de
consecuencia los
S03
Identidad.
empleados pueden
acceder en cualquier
Correo spam.
momento y a
Puertas traseras.
cualquier sitio web.
Robo, perdida y/o
No se ha previsto el
alteracin de la
establecimiento de
D01 Y informacin de
polticas de seguridad
P01
manera intencionada y/o buenas prcticas
o accidental (error
para el manejo de los
humano)
equipos informtico
El acceso a la
informacin no se
cuenta con una
Prdida, Robo y/o
seguridad para
D01 Y
sustraccin de
permitir el acceso al
P01
informacin.
equipo donde se
encuentra la
informacin
importante.
los respaldos de las
estaciones de trabajo
Prdida o corrupcin
D01
estn bajo la
de la informacin.
responsabilidad de
cada usuario
MP
MP
MA
MA
Nivel
de
Categora (Activos)
Riesg
os
A01
7
Hardware (H01,
A02
3
H02, H03, H04, H05
Y H06)
A03
4
A04
7
A05
8
A06
8
A08
7
A09
6
A10
6
Software (S01, S02,
S03 Y S04)
A11
7
A12
7
A13
8
A14
8
A15
8
A16
7
A17
9
Datos (D01),
A18
9
Personal (P01)
A19
8
Riego informtico de la empresa: (Ri.Wi)/i
Elemento de Anlisis
(Amenazas y
Vulnerabilidades)
Importa
Riesgo
ncia del
Evaluado
Dao
10
7
9
9
6
7
9
6
7
8
9
6
7
5
7
10
10
8
70
21
36
63
48
56
63
36
42
56
63
48
56
40
49
90
90
64
52%
RECOMENDACIONES:
Es importe acotar que esta empresa debe implementar correctivos a corto
plazo, dado el alto grado de riesgo a la se encuentra expuesta, es por ello que
se sugiere:
La implementacin de normar y procedimientos en el rea de la
seguridad informtica a travs de la aplicacin de las polticas de
seguridad planteadas en el presente informe.
Por otro lado, la empresa debe hacer una inversin para la adquisicin
de UPS y reguladores de voltaje para proteger los equipos informticos,
compra de un servidor, un router y un firewall, tambin debe adquirir
licencias y software original (Sistemas Operativos, Antivirus, Aplicaciones
y Sistemas Informticos).
Tambin se sugiere la contratacin de servicios de almacenamiento en
las nubes (Cloud) para el respaldo seguro y disponible de la informacin.