INFORME

ANLISIS DE RIESGO CASO DE ESTUDIO LA CASA DE LAS

BATERAS
NOTA: CASO TOMADO DE INTERNET PARA FINES DE ESTUDIO
DIPLOMADO EN INFORMTICA FORENSE
RESUMEN
En la actualidad, el manejo de la informacin implica un alto grado de
riesgos dada las distintas amenazas que enfrentan las organizaciones en
sus sistemas informticos que deben
garantizar la confiabilidad,
integridad y disponibilidad de la informacin, lo cual es fundamental
para una toma de decisiones acertadas y el buen desarrollo de los
procesos organizacionales.
Es por ello, que el presente informe, a travs de un anlisis de riesgo de
la empresa La Casa de las Bateras, pretende dar un diagnostico actual
de su situacin de una manera detallada y precisa para conocer las
debilidades y fortalezas a travs de la identificacin y valoracin de los
activos afectados, as como de la identificacin y valoracin de las
distintas amenazas que enfrenta y las vulnerabilidades relacionadas a
esta.
Una vez, calculado y estimado el Riesgo informtico total, al que est
expuesta la organizacin, y dependiendo del grado de criticidad del
mismo, se elaboran y establecen las polticas de seguridad que deben
implementarse para reducir el riesgo y su impacto en la organizacin.
Finalmente, se hacen las recomendaciones del caso, en base al anlisis
del presente informe.
ABSTRACT
Currently, the management of information involves a high degree of risk
given the different threats that organizations face in their computer
systems must ensure the reliability, integrity and availability of
information, which is essential for sound decision-making and the
successful development of organizational processes.
This is why the present report, through a risk analysis of the company
"House of Batteries", aims to give a current diagnosis of your situation in
a detailed and accurate way to know the weaknesses and strengths
through the identification and valuation of the assets involved, as well as
the identification and valuation of the various threats to and
vulnerabilities related to this.
Once calculated and estimated the total risk, which the organization is
exposed, depending on the degree of criticality thereof, are developed

and established security policies that must be implemented to reduce

the risk and its impact on the organization.
Finally, appropriate recommendations are made, based on the analysis
of this report.
Valencia, 17 de abril de 2016

OBJETIVOS DEL INFORME

OBJETIVO GENERAL:
Realizar un Diagnostico basado en una Anlisis de Riesgo para la
empresa LA CASA DE LAS BATERAS que permita conocer su
situacin actual para implementar polticas de seguridad y salvaguarda
dentro de la Organizacin.

OBJETIVOS ESPECFICOS:

Implementar una metodologa para el Anlisis de Riesgo que permita

calcular el Riesgo informantico al que est expuesto y su impacto en la
operatividad de la organizacin.
Identificar y Valorar los activos que se encuentran expuestos a la
materializacin de una amenaza.
Identificar las amenazas y las vulnerabilidades para determinar y evaluar
el riesgo.
Realizar las respectivas recomendaciones a la empresa, a fin de que
apliquen los correctivos necesarios en pro de un funcionamiento
adecuado de sus procesos para salvaguardar sus activos y patrimonio.

DIAGNOSTICO DE LA SITUACIN ACTUAL:

En base al Planteamiento del problema, se puede determinar que la empresa
LA CASA DE LAS BATERAS, no cuenta con ningn tipo de Control sobre la
seguridad informtica, no cuenta con normas, polticas y/o procedimientos
establecidos para la resguardo y proteccin de sus activos, lo cual hace posible
la materializacin de una o varias amenaza que puedan poner en riesgo el
funcionamiento correcto de la organizacin.
Por otro lado, no posee dispositivos que regulen y protejan a los equipos de
fallas elctricas o apagones inesperados, tales como UPS que permiten
resguardar la informacin que se est manejando en el momento, no pudiendo
guardar la informacin en desarrollo; lo que conlleva a otros problemas de
fallas de los equipos como daos de hardware o perdida de la informacin en
las estaciones de trabajo de la organizacin.
As mismo otra vulnerabilidad se presenta al no preservar la importancia de la
informacin para la organizacin, al no contar con polticas de control de
usuario o administrador para acceder con responsabilidad a la data
almacenada en los equipos y que esta no sea manipulada por personas ajena a
la empresa.
En otra parte refirindose a las licencias del sistema operativo y de las
aplicaciones de terceros, las copias ilegales (no originales), no cuentan con
soporte de parte de la empresa fabricante por lo que representan un riesgo de
seguridad para la organizacin y se convierten en un blanco fcil al por no
poder tener acceso a las actualizaciones ms recientes y adecuadas que
brinda una licencia original, lo que la hace vulnerable a virus, robo de
identidad y ataques externos.

El acceso de internet sin restricciones, no es adecuado en una organizacin

esto conlleva a el acceso de usuarios no autorizados tales como (hacker
vndalos y espas) y virus informticos en la red colocando en riesgo los
servicios de la red local y la informacin almacenada.

ANLISIS DE RIESGO:
1) IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS:
El primer paso en la evaluacin de riesgo es identificar y asignar un valor a los
activos que necesitan proteccin. El valor del activo se usar para determinar
la magnitud de la prdida cuando la amenaza ocurra.
Para identificar y valorar los activos de la empresa, nos basaremos en una
matriz de elementos, cuyos criterios de evaluacin se representaran en una
escala de manera cualitativa, de la siguiente manera:
ESCALA
Muy bajo

VALOR
1

Bajo
Medio
Alto
Muy Alto

2
3
4
5

DESCRIPCIN
De
insignificante
o
valor
importancia.
De poca Valor o importancia.
Tiene cierto valor o importancia
De alto valor o importancia
De
valor
indispensable
muy
importante.

MATRIZ DE IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS

ID
H01
H02
H03
H04
H05
H06
S01
S02
S03
D01
P01

CATEGO
RA
DESCRIPCIN DEL ACTIVO
HARDWA
RE
COMPUTADORAS
IMPRESORAS
PUNTO DE RED (RED LOCAL)
FAX Y FOTOCOPIADORA
SCANNER
MODEM
SOFTWA
RE
SISTEMA OPERATIVO
APLICACIONES
SISTEMAS
DATOS E INFORMACIN DE LOS
DATOS
SISTEMAS
PERSONA
L
EMPLEADOS

VALOR DEL
ACTIVO
5
3
4
3
2
3
5
3
5
5
5

2) IDENTIFICACIN Y VALORACIN DE LAS AMENAZAS Y

VULNERABILIDADES:

Despus de identificar los activos que requieren proteccin procedemos a

identificarse y valorar las amenazas y vulnerabilidades. Este paso envuelve la
identificacin y la descripcin de las amenazas existentes dentro de la
organizacin. Para ello, utilizaremos una matriz, cuyos criterios de evaluacin
se representaran en una escala de manera cualitativa de la siguiente manera:
POSIBILIDAD
VALOR
N
0%
P
PP 0% -25%
P
M
P

25% 75%
75% 100%

DE OCURRENCIA
CRITERIO
No hay probabilidad de
que ocurra
Poco probable que ocurra
Probablemente
puede
Ocurrir
Muy probable que ocurra

IMPACTO
VALOR
MB 20
%
B
40
%
M
60
%
A
80
%
MA 100
%

CRITERIO
Impacto muy bajo.
Bajo impacto.
Mediano impacto.
Alto impacto.
Impacto muy alto.

MATRIZ DE IDENTIFICACIN Y VALORACIN DE LAS AMENAZAS Y

VULNERABILIDADES
ID
AMENA
ZA

A01

A02
A03
A04
A05

A06
A07
A08
A09

ACTIVO
S
H01,H02
,
H03,H04
,
H05 Y
H06
H01,H02
,
H03,H04
,
H05 Y
H06

POSIBILID
AD DE
IMPACT
OCURRENC
O
IA

AMENAZA

VULNERABILIDAD

Fallos en el
suministro elctrico,
apagones y
problemas de tensin
o voltaje.

Falta de Equipos de
proteccin elctricos
(UPS y/o Reguladores
de Voltaje

Falta de Proteccin en
las Instalaciones.

PP

La empresa no tiene
antivirus ni firewall

MP

MA

MA

Incendio, desastres
naturales,
inundaciones.
Robo y/o Hurto

ataques externos
(Ciberataques,
Virus (Gusanos,
Troyanos, bombas
S01,S02
lgicas, maldware,
Y S03
spyware, adware)
Suplantacin de
Identidad.
(Spoofing y phishing)
S01,S02, Ataque externo.
S03
Fallos de seguridad.
Puertas traseras.

La empresa no cuenta
con la licencia original
de los sistemas

A10
A11
A12
A13
A14
A15
A16

A17

A18

A19

Errores de
programacin.
Corrupcin de los
Datos.
Ataque externo.

propietarios que
utiliza
El Acceso a internet
no se encuentra
Virus.
limitado y en
S01,S02, Suplantacin de
consecuencia los
S03
Identidad.
empleados pueden
acceder en cualquier
Correo spam.
momento y a
Puertas traseras.
cualquier sitio web.
Robo, perdida y/o
No se ha previsto el
alteracin de la
establecimiento de
D01 Y informacin de
polticas de seguridad
P01
manera intencionada y/o buenas prcticas
o accidental (error
para el manejo de los
humano)
equipos informtico
El acceso a la
informacin no se
cuenta con una
Prdida, Robo y/o
seguridad para
D01 Y
sustraccin de
permitir el acceso al
P01
informacin.
equipo donde se
encuentra la
informacin
importante.
los respaldos de las
estaciones de trabajo
Prdida o corrupcin
D01
estn bajo la
de la informacin.
responsabilidad de
cada usuario

MP

MP

MA

MA

3) ESTIMACIN DEL RIESGO:

El nivel de riesgo se determina analizando la relacin entre las amenazas y las
vulnerabilidades. Un riesgo existe cuando una amenaza tiene una
vulnerabilidad
correspondiente
y su Impacto sobre el Activo,
las
cuales determinan conjuntamente el valor del Riesgo.
Esto se puede ver con facilidad cuando se representa el riesgo utilizando matriz
de riesgo para representarlo de manera grfica, clara y sencilla.
Para ello, utilizaremos la siguiente frmula para evaluar el riesgo total: Wri =
Ri . Wi
Cuya escala es: Ri = Valor entre 0 y 10 que identifica la Probabilidad de
Amenaza de Riesgo, siendo 10 el valor ms alto; Wi = Valor entre 0 y 10 que
identifica la Importancia del dao, siendo 10 el valor ms alto.

MATRIZ DE ANLISIS Y CUANTIFICACIN DEL RIESGO:

Nivel
de
Categora (Activos)
Riesg
os
A01
7
Hardware (H01,
A02
3
H02, H03, H04, H05
Y H06)
A03
4
A04
7
A05
8
A06
8
A08
7
A09
6
A10
6
Software (S01, S02,
S03 Y S04)
A11
7
A12
7
A13
8
A14
8
A15
8
A16
7
A17
9
Datos (D01),
A18
9
Personal (P01)
A19
8
Riego informtico de la empresa: (Ri.Wi)/i
Elemento de Anlisis
(Amenazas y
Vulnerabilidades)

Importa
Riesgo
ncia del
Evaluado
Dao
10
7
9
9
6
7
9
6
7
8
9
6
7
5
7
10
10
8

70
21
36
63
48
56
63
36
42
56
63
48
56
40
49
90
90
64
52%

INTERPRETACIN DE LOS RESULTADOS:

Al observar la matriz, se puede evidenciar que la Empresa LA CASA DE LAS
BATERAS , est expuesta en ms de un 50% de riesgo de que se materialice
una o varias amenazas. Es por ello, que la directiva de la empresa debe tomar
acciones a corto plazo que le permitan implementar polticas de seguridad y
salvaguarda para proteger sus activos y garantizar su correcto funcionamiento.

4) SALVAGUARDAS (POLTICAS DE SEGURIDAD).

POLTICAS DE SEGURIDAD ORGANIZACIONAL:
La empresa aplicara la gestin de los recursos tecnolgicos y humanos, a
travs del cumplimiento de normas, procedimientos y polticas de seguridad
que garanticen acciones preventivas y/o correctivas para salvaguardar los
activos de la organizacin.
Toda la informacin y documentos contenidos y manejados por los sistemas
informticos, sern clasificados, transmitidos, almacenados y custodiados de
forma segura y controlada como soporte de los procesos de la organizacin.

POLTICAS DE SEGURIDAD FSICA Y AMBIENTAL:

Controles de acceso fsico a las instalaciones.

Monitoreo Ambiental, Control de Incendios y/o desastres naturales.

POLTICAS DE SEGURIDAD RELACIONADA AL PERSONAL:

Implementar controles de acceso a los equipos informticos del personal.
Los empleados deben ser capacitados en temas bsicos de seguridad de la
informacin, as como del uso correcto del internet, proteccin contra virus y
software malicioso, respaldo de informacin, etc.
El empleado es responsable de toda la informacin manipulada y producida
por l, ya que la misma es propiedad de la empresa y deber garantizar su
confiablidad y disponibilidad.
Documentar todo los incidentes que conduzcan a poner en riesgo la
seguridad de la informacin.

POLTICAS DE SEGURIDAD DEL HARDWARE Y SOFTWARE:

Control de acceso. (Uso de contrasea, administracin de los accesos de los

usuarios)
Respaldo y restauracin de informacin. (Utilizacin de medios de
almacenamientos externos y/o servidores)
Uso correcto de estaciones de trabajo.
Proteccin contra virus y software maliciosos. (Software Antivirus)
Licenciamientos del software (Sistemas operativos, aplicaciones y sistemas
de informacin)
Acceso a la Red y usos de Internet y del correo electrnico (Polticas de
Firewall, VPN, Deteccin de Intrusos)
Seguridad fsica de los Equipos informticos, cableados de red, instalaciones
elctricas.
Uso de Protectores de voltaje (UPS y reguladores de voltaje)
Mantenimiento preventivo y correctivos de los Equipos e instalaciones (Red
de comunicaciones y Red elctrica).
Protecciones de la infraestructura de comunicaciones (Modem, Servidor,
Router, Switches y Firewall)

RECOMENDACIONES:
Es importe acotar que esta empresa debe implementar correctivos a corto
plazo, dado el alto grado de riesgo a la se encuentra expuesta, es por ello que
se sugiere:
La implementacin de normar y procedimientos en el rea de la
seguridad informtica a travs de la aplicacin de las polticas de
seguridad planteadas en el presente informe.

 Por otro lado, la empresa debe hacer una inversin para la adquisicin
de UPS y reguladores de voltaje para proteger los equipos informticos,
compra de un servidor, un router y un firewall, tambin debe adquirir
licencias y software original (Sistemas Operativos, Antivirus, Aplicaciones
y Sistemas Informticos).
Tambin se sugiere la contratacin de servicios de almacenamiento en
las nubes (Cloud) para el respaldo seguro y disponible de la informacin.