Aporte3 - Fase 2. Desarrollar El Analisis de Riesgos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Especializacin en Seguridad Informtica Modelos y Estndares de Seguridad
Informtica - Curso 233002A_360
PROGRAMA:
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
CURSO:
MODELOS Y ESTNDARES DE SEGURIDAD INFORMTICA
TRABAJO
FASE 2. DESARROLLAR EL ANLISIS DE RIESGOS
PRESENTADO POR
RUTH YADIRA MOSQUERA PARRA
CDIGO 35604928
CURSO 233002A_360
PRESENTADO A
ING. SALOMN GONZLEZ
MARZO 2017
INTRODUCCIN
La seguridad informtica, en el trascurso de los aos, se ha convertido de mayor

prioridad para las organizaciones mediante el manejo de las TIC; ayudando a una mejor
prestacin de servicios a las empresas y ciudadanos, implementando polticas,
procedimientos y mtodos con el cual se salvaguarda los principios de la seguridad,
CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD.
Para ello es importante implementar los modelos y estndares de la informacin, ya que

con estos se podr encontrar los Lineamientos, Polticas, Normas, Procesos, que
ayudara a manejar, controlar e implementar, las estrategias para un correcto
funcionamiento, pero todo esto se logra con el apoyo constante de la alta gerencia, lo
que ayuda a incentivar a los involucrados a buen manejo y aplicacin de los sistema
para contrarrestar la vulnerabilidad a la informacin.
Hoy en da las empresas a travs de modelos, estndares y normas pueden establecer

y definir un patrn en sus organizaciones con la finalidad de crear procesos,
procedimientos y estrategias para un manejo adecuado de la informacin y su
tratamiento; es as como se puede establecer una adecuada proteccin de todos los
activos que componen la tecnologas de la informacin y comunicaciones y por ende
cumplir con la misionalidad y objetivos de la organizacin.
Por todo lo anterior y teniendo ms clara la perspectiva general de la materia, as

como el estudio y revisin del, modulo y actividades; se da la posibilidad de presentar
en este trabajo colaborativo, mediante el anlisis de riesgos para las actividades
sugeridas para una Pymes y determinar a travs de unos aportes grupales la
importancia definiendo cada punto planteado.
Este trabajo es realizado teniendo en cuenta la metodologa de MAGERIT, debido a

que hay varios acercamientos al problema de analizar los riesgos soportados por los
sistemas TIC, Como pueden ser guas informales, aproximaciones metdicas y
herramientas de soporte. Todas buscan objetivar el anlisis de riesgos para saber
cun seguros (o inseguros) son los sistemas.
Es por ello que en MAGERIT se persigue una aproximacin metdica que no deje
lugar a la improvisacin, ni dependa de la arbitrariedad del analista, por lo que en la
Planificacin del Anlisis del Riesgos se establecen las consideraciones necesarias
para arrancar este tema en la empresa.
OBJETIVOS
1. identificar una PYME (pequea o mediana empresa)
2. Realizar el anlisis de riesgos basado en La metodologa MAGERIT de

la empresa escogida.
3. Reconocer de los diferentes mtodos para el Anlisis de Riesgos en

relacin a la empresa.
4. Realizar el levantamiento de los activos de informacin que posee la

empresa.
5. Realizar el plan de tratamiento de los riesgos con base en la norma ISO

27001: 2013
SITUACIN PLANTEADA
1. El grupo colaborativo identificar una PYME (pequea o mediana empresa) y

determinar para la empresa en cuestin los siguientes aspectos:
2. Levantamiento de Informacin: Realizar el levantamiento de los activos de

informacin que posee la empresa.
3. Anlisis de riesgos: Realizar el anlisis de riesgos con base en la metodologa

MAGERIT.
4. Plan de Tratamiento de Riesgos. Se debe realizar el plan de tratamiento de

riesgos con base en la norma ISO 27001: 2013.
DESARROLLO DEL PLANTEAMIENTO
1.- La empresa que tomaremos como ejemplo para el desarrollo de la actividad se llama
Hablemos de Salud SAS. Es una empresa que se encuentra en la ciudad de Bogot.
Es una empresa que trabaja prestando servicios de salud inicialmente de oftalmologa,

y tiene aproximadamente 30 empleados. Esta empresa Cuenta con activos informticos
como datos, e informacin de los pacientes, cuenta con una infraestructura acorde con
el desarrollo de las actividades tales como equipos mdicos, estructura de red, planta
telefnica entre otras.
2.- LEVANTAMIENTO DE LOS ACTIVOS DE INFORMACIN QUE POSEE LA

EMPRESA.
TIPO ACTIVOS
La empresa Hablemos de salud presta
Servicios servicios de oftalmologa, exmenes
diagnsticos y servicio de parqueadero
Reglamento interno de trabajo, procesos,
formatos, Cdigo Fuente: pginas web de la
Datos/
empresa
Informacin
Cdigo Ejecutable: historias clnicas,
agenda
Programas, aplicativos, desarrollos:
Historia Clnica, Agenda, Pginas Web,
Aplicaciones (Software) firewall, sistemas operativos (Windows),
programa de control de acceso, Windows
server 8
Computadores, servidor, planta telefnica,
Equipos informticos
cmaras de seguridad, equipos mdicos
Hardware Impresoras, telfonos, datafonos, cito fonos
Red Local
Internet
Redes de Comunicaciones
Red telefnica
Red inalmbrica
Memorias
Soportes de Informacin USB
Discos duros
Instalaciones Edificio HDS
Administrador del sistema y
Personal
Desarrolladores de pginas web
INFORME DE EVALUACION DE RIESGOS

Anlisis de Riesgos Empresa Hablemos de Salud SAS.
Segn la metodologa Magerit el primer paso en el anlisis de riesgos

contempla el inventario de activos.
Recepcin
Edificio HDS
N Descripcin Finalidad Categora Criticidad

Recepcin de
2 computadores Dell Hw, Sw, SI Alto
Pacientes
Tomar foto de
Pacientes que
1 Cmara fotogrfica Hw Alto
ingresen al
edificio
Toma huella de
pacientes que
1 Lector de Huella Hw Alto
ingresen al
edificio
Proyectar
presentaciones
1 Pantalla Hw Alto
acerca de la
Salud
Comunicacin
1 Telfono Hw Alto
interna y externa
Comunicacin
1 Citfono Hw Alto
ascensor
Servicio de ACG
Uso de
2 computadores Hw, Sw, SI Alto
Enfermera
comunicacin
1 telfono Hw Medio
Externa e interna
Toma Presin
1 Tonmetro Hw, Sw, SI Alto
intraocular de ojo
Realzar examen
1 Campo Visual Hw, Sw, SI Alto
del campo visual
Servicio de
Parqueadero
uso del
1 computador Hw, Sw, SI Alto
acomodador
Transacciones es
1 datafono Hw, Sw, Si Alto
en lnea
1 impresora Imprimir recibos Hw Alto
Servicio Alta
Visin
Recepcin
3 Computadores Dell Servicio al cliente Hw, Sw, SI Alto
Impresiones de
1 impresora Hw medio
recibos
Comunicacin
3 telfonos Hw medio
externa o interna
Transacciones es
en lnea
Preconsulta
Realizacin de
7 computadores LG exmenes Hw, Sw, SI Alto
oftalmolgicos
Comunicacin
2 diademas Hw medio
externa
cmaras de Segmento Realiza examen
2 Hw, Sw, SI Alto
Anterior para pacientes
Realizar Examen
1 Topgrafo Hw Alto
de Cornea
Realizar Examen
1 Campimetro Hw Alto
de campo Visual
Realizar Examen
1 Optec 6500 Hw Alto
de agudeza visual
Evala el grado
del contraste que
1 Optec 5000 Hw Alto
puede ver un
paciente
1 Tonmetro de no Mide la presin HW Alto
contacto Intraocular
Realizar Examen
1 Cmara Retinal Hw Alto
de fondo de ojo
Educacin
Servicios de
2 computadores HP Educacin para Hw, Sw, SI Alto
pacientes
Presentacin de
2 mini computadores HP videos de Hw, Sw, SI Medio
educacin
Comunicacin
2 Telfonos Hw Medio
con Pacientes
Impresiones de
1 impresora Samsung Formulas Hw Alto
medicas
Oftalmologa
Servicios de
4 computadores HP HW,SW, SI Alto
Oftalmologa
Uso del Doctor
1 lmpara de Hendidura para revisar el ojo HW,SW, SI Alto
del paciente
Uso del Doctor
1 Tonmetro para revisar el ojo Hw Alto
del paciente
Evala el
1 oftalmoscopio indirecto segmento anterior Hw Medio
del ojo
1 pantalla visin Uso para paciente HW,SW, SI Medio
Servicio de
Procedimientos
menores
Uso del doctor
1 computador LG revisin de HW,SW, SI Alto
historia clnica
Realiza
1 Lmpara de hendidura procedimientos Hw Alto
menores
Realiza
1 Yag laser procedimientos Hw Alto
menores
Realiza
1 SLT laser procedimientos Hw Alto
menores
Administracin
Uso de
7 computadores Hw, Sw, Si Alto
administrativos
3 impresoras impresin varias Hw Medio
comunicacin
5 telfonos Hw Medio
externa e interna
Gerencia General
2 Computadores uso del gerente Hw, Sw, Si Alto
impresiones
1 impresora Hw, Sw, Si Medio
Varias
Comunicacin
1 telfono Hw Medio
Externa e interna
1 televisor reuniones Hw Medio
Tinking Room
uso de
4 computadores Hw, Sw, Si Alto
administrativos
Impresiones
2 impresoras Hw Alto
varias
1 televisor Capacitaciones Hw Medio
comunicacin
1 telfono Hw Medio
externa e interna
Edificio
Vigilar el edificio
60 cmaras de seguridad Hw, Sw, SI Alto
y sus alrededores
Seguridad de
alarmas de seguridad Hw, Sw, SI Alto
6 Edificio
Cuarto de
Servidores
Proyectar toda la
1 servidor informacin a la Hw, Sw, SI Alto
empresa
Proyectar la
1 Amplificador msica en todo el Hw Medio
Edificio
Comunicacin de
Red local Hw, SW, SI Alto
carpetas locales
Comunicacin
Internet Hw, SW, SI Alto
Externa
Comunicacin
Red Telefnica Hw, SW, SI Alto
externa
Soporte de
informacin
Memorias Guardar la
Hw Medio
informacin
Guardar la
Hw Medio
USB informacin
Guardar la
Hw Alto
Discos duros informacin
Personal
Administrador
1 Persona Persona Alto
del Sistema
Datos/
Informacin
Almacenar
Base de datos informacin Sw Alto
Pacientes
El reglamento
interno del
Leyes o reglamentos Sw Alto
trabajo de la
institucin
Cdigo Fuente Pginas Web Sw Alto
Historia Clnica,
Cdigo Ejecutable Sw Alto
Agenda
Servicio
Exmenes
Diagnsticos
uso de Enfermera
para realizar
7 computadores HW,SW, SI Alto
exmenes
mdicos
Imprimir
6 impresoras Exmenes Hw Medio
Mdicos
Comunicacin
1 Telfono Hw Medio
con pacientes
Transacciones es
en lnea
Realiza el
1 Campo visual examen de Hw, Sw, Si Alto
Campo visual
Realiza el
1 Pentacam examen de Hw, Sw, Si Alto
paquimetra
Realiza el
1 OCT Hw, Sw, Si Alto
examen de OCT
Realiza el
1 Tracey Hw, Sw, Si Alto
examen de
Realiza la toma
1 tonmetro Hw, Sw, Si Alto
de presin de ojo
Realiza la toma
1 BFA de presin Hw, Sw, Si Alto
sangunea del ojo
Comunicacin
desde recepcin
1 Citfono Hw Alto
hasta el
consultorio
3. ANLISIS DE RIESGOS: REALIZAR EL ANLISIS DE RIESGOS CON BASE EN

LA METODOLOGA MAGERIT.
El anlisis de riesgos se llev a cabo en la empresa Hablemos de Salud SAS, para esto
se utiliz la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin (MAGERIT) en su versin 3.0, que dispone de cinco fases y de la cual se
crey pertinente el uso de cuatro de ellas, las cuales son: establecer los activos para la
organizacin, determinar a qu amenazas estn expuestos los activos, apreciar el
impacto y el riesgo.
En la primera fase se establecieron los activos relevantes de la empresa Hablemos de

Salud SAS, logrando un inventario actualizado del hardware y el software, los procesos
de la empresa por rea, las dependencia que tienen los activos, el anlisis y el
levantamiento de la informacin.
En la segunda fase identificaremos las posibles amenazas que se pueden presentar en

los activos, como acontecimientos que pueden ocurrir causando daos y perjuicio para
los activos de la empresa.
IDENTIFICACIN DE AMENAZAS SOBRE CADA ACTIVO
Representan los diferentes riesgos a que estn expuestos los activos de informacin de
la empresa Hablemos de Salud SAS y el factor de dicho riesgo.
TIPO DE RIESGO FACTOR

Robo de hardware Alto
Robo de informacin Alto

Accesos no autorizados Alto
Alteracin de informacin Alto
Fallas en los equipos Medio
Virus Informticos Medio
Equivocaciones Medio
Fraude Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
Inundaciones Muy bajo
Vandalismo Muy bajo
Tabla No.1 Factor de riesgo
NIVELES DE RIESGOS
Para encontrar los niveles de riesgo en la empresa hablemos de Salud SAS, debemos
identificar el factor de probabilidad de materializacin de las amenazas.
PROBABILIDAD DE OCURRENCIA
Bajo 1
Medio 2
Alto 3
Tabla No.2. Probabilidad de ocurrencia de una amenaza
IMPORTANCIA DEL RIESGO.
Mide la importancia de riesgo para la empresa hablemos de Salud SAS, en caso de
llegarse a materializar.
IMPORTANCIA DEL RIESGO
Bajo 1
Normal 2
Alto 3
Crtico 4
Tabla No. 3. Factor de importancia del riesgo
NIVEL DE RIESGO = IMPORTANCIA DEL RIESGO * PROBABILIDAD DE RIESGO

Criticidad del riesgo
Se mide de acuerdo al factor de nivel de riesgo, sea este bajo, medio, alto o crtico,
entre unos rangos establecidos.
RANGO INFERIOR NIVEL DEL RIESGO RANGO SUPERIOR
0>= Bajo <=3

3>= Medio <=6
6>= Alto <=9
9>= Crtico <=12
Tabla No. 4. Criticidad del riesgo.
RIESGO ACTIVO AFECTADO PROBABILI IMPORTANCIA NIVEL DEL

DAD DEL RIESGO RIESGO
Aplicaciones 2 4 7
(Software)
Equipos informticos 1 6 10
Hurto Hardware 1 2 5
Redes de 1 2 8
Comunicaciones
Soportes de 2 4 5
Informacin
Datos/ 2 3 9
Informacin
Aplicaciones 2 3 12
(Software)
Acceso no Equipos informticos 2 3 11
autorizado Hardware 2 2 5
Redes de 2 3 8
Comunicaciones
Soportes de 2 3 4
Informacin
Instalaciones 2 3 5
Datos/ 2 4 9
Informacin
Aplicaciones 2 4 10
(Software)
Alteracin de Equipos informticos 2 4 12
informacin Redes de 2 4 8
Comunicaciones
Soportes de 2 4 5
Informacin
Fallas en los Aplicaciones 3 3 9
equipos (Software)
Hardware 3 2 5
Redes de 3 2 3
Comunicaciones
Soportes de 3 1 3
Informacin
Servicios 1 4 5
Datos/ 1 2 4
Informacin
Terremotos Aplicaciones 1 4
(Software)
Hardware 1 2 3
Redes de 1 2 4
Comunicaciones
Soportes de 1 2 2
Informacin
Instalaciones 1 2 4
Personal 1 3 5
Servicios 1 4 4
Datos/ 1 2 4
Informacin
Aplicaciones 1 3 3
(Software)
Hardware 1 4 4
Redes de 1 4 4
Inundaciones
Comunicaciones
Soportes de 1 2 3
Informacin
Instalaciones 1 3 4
Personal 1 3 4
Datos/ 1 4 4
Informacin
Aplicaciones 1 2 2
(Software)
Hardware 1 3 3
Redes de 1 3 3
Comunicaciones
Soportes de 1 3 3
Vandalismo Informacin
Datos/ 1 3 3
Informacin
Instalaciones 1 3 3
Tabla No. 5. Nivel de riesgo
ANLISIS Y EVALUACIN DE LOS RIESGOS
Los riesgos se clasifican por su nivel de importancia y por la severidad de su impacto:
Estimacin del riesgo de prdida del recurso (Ri)

Estimacin de la importancia del recurso (Ii)
Para la cuantificacin del riesgo de perder un recurso de la Hablemos de Salud

SAS, es posible conceder un valor numrico de 0 a 10, tanto a la importancia del
recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el
riesgo ms alto).
Para el anlisis de riego de prdida del recurso, utilizaremos las siguientes tablas:
ESTIMACIN DEL RIESGO DE

RECURSO PERDIDA DEL RECURSO (Ri)
Datos/ 8
Informacin
Aplicaciones (Software) 9
Equipos informticos 9
Hardware 2
Redes de Comunicaciones 5
Soportes de Informacin 2
Tabla No. 6. Estimacin del riesgo de prdida del Recurso.
ESTIMACIN DEL RIESGO DE

RECURSO ACCESO NO AUTORIZADO AL
RECURSO
Datos/ 9
Informacin
Hardware 6
Tabla No.7 Estimacin del riesgo de alteracin de los datos.
ESTIMACIN DE LA
RECURSO IMPORTANCIA DEL RECURSO
(li)
Datos/ 9
Informacin
Hardware 3
Soportes de Informacin 3
Instalaciones 7
Personal 8
Tabla No.8 Estimacin de la importancia del recurso.
NIVELES DE RIESGO DE PRDIDA DEL RECURSO

El riesgo de un recurso ser el producto de su importancia por el riesgo de perderlo. Para el
caso de la empresa Hablemos de Salud SAS, estudiaremos primero el riesgo de prdida del
recurso y usaremos la siguiente frmula:
WRi =Ri * Ii
RECURSO (WRi) Ri * Ii RIESGO DE PERDIDA

DEL RECURSO
Datos/ 8*9 72
Informacin
Aplicaciones (Software) 9*8 72
Equipos informticos 9*8 72
Hardware 2*3 6
Redes de 5*6 30
Comunicaciones
Soportes de Informacin 2*3 6
Instalaciones 8*9 72
Personal 7*8 56
Tabla No. 9 Riesgo de prdida del recurso
RIESGO DE ACCESO NO AUTORIZADO AL RECURSO
Para el anlisis del riesgo de acceso no autorizado al recurso aplicaremos la

misma frmula del riesgo de prdida.
WRi =Ri * Ii
RECURSO(WRi) RIESGO DE ACCESO NO

Ri*Ii AUTORIZADO
Datos/
Informacin 9*9 81
Hardware 6*3 18
Redes de Comunicaciones 6*7 42
Tabla No. 10 Riesgo de acceso no autorizado.
RIEGO DE ALTERACIN DE LA INFORMACIN
El riego de alteracin de la informacin lo obtenemos con la misma frmula de los

casos anteriores.
RECURSO(WRi) RIESGO DE ALTERACIN

Ri*Ii DE LA INFORMACIN
Datos/
Informacin 8*9 72
Tabla No. 11 Riesgo de alteracin de la informacin
RIEGO GENERAL DE LOS RECURSOS DEL SISTEMA
Utilizando la siguiente frmula es posible calcular el riesgo usual de los recursos del
sistema de la Hablemos de Salud SAS.
En este tema solo analizaremos tres tipos de riesgos: riesgo por prdida del recurso, riego
por acceso no autorizado al recurso y riesgo por alteracin de la informacin.
WR= (WR1 *I1 +WR2 *I2 +WRn +In)

I1 +I2 + In
CONCLUSIONES
MAGERIT se basa en analizar el impacto que puede tener para la empresa

Hablemos de Salud SAS, la violacin de la seguridad, buscando identificar las
amenazas que pueden llegar a afectar la entidad y las vulnerabilidades que pueden
ser manejadas por estas amenazas, consiguiendo as tener una identificacin clara
de las medidas preventivas y correctivas ms apropiadas.
Para lograr un trabajo ms eficiente en la etapa de Planificacin, se necesitar la

colaboracin y participacin de todo el personal implicado con los sistemas de
informacin.
Sin importar la metodologa o la herramienta informtica que se utilice para la

realizacin del anlisis de riesgos, el resultado debera ser una lista de los riesgos
correspondientes a los posibles impactos en caso de que se materialicen las
amenazas a las que estn expuestos los activos.
En donde el anlisis de los riesgos es un paso importante para implementar la

seguridad de la informacin.
Esta se realiza para descubrir los riesgos a los cuales estn sometidos los activos
en la empresa, y saber cul es la probabilidad de que una amenaza se concrete.
La correlacin que existe entre la amenaza y el valor del riesgo, es la estado

principal a tomar en cuenta en el momento de prevalecer acciones de seguridad
para la correccin de los activos que se desean proteger y deben ser siempre
tenidos en cuenta al realiza un anlisis de riesgos.
BIBLIOGRAFA
Gmez, F. L., & Andrs, . A. (2012). Gua de aplicacin de la Norma UNE-ISO/IEC

27001 sobre seguridad en sistemas de informacin para pymes. Espaa: AENOR -
Asociacin Espaola de Normalizacin y Certificacin. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
ppg=1&docID=10637105&tm=1456691803193
Nueva versin de Margerit, [Online]. Disponible: https://www.ccn-

cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-
de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es
Calder, A. (2005). Nine Steps to Success : An ISO 27001 Implementation Overview.

Ely, U.K.: IT Governance Publishing. Recuperado
dehttp://bibliotecavirtual.unad.edu.co:2048/login?
user=proveedor&pass=danue0a0&url=http://bibliotecavirtual.unad.edu.co:2051/login.
aspx?direct=true&db=nlebk&AN=391104&lang=es&site=ehost-
live&ebv=EB&ppid=pp_Cover
MAGERIT versin 3.0 Metodologa de Anlisis y Gestin de Riesgos de los

Sistemas de Informacin, [Online], Disponible: https://www.ccn-
cert.cni.es/publico/herramientas/pilar5/magerit/Libro_III_tecnicas.pdf
Sistema de Gestin de la Seguridad de la Informacin, [Online]. Disponible:

http://www.iso27000.es/download/doc_sgsi_all.pdf
Anlisis de riesgo informtico, [Online]. Disponible: http://es.wikipedia.org/wiki/An

%C3%A1lisis_de_riesgo_inform%C3%A1tico
Technical Guide to Information Security Testing and Assessment, [Online].

Disponible: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
Seguridad Informtica, [Online].

Disponible:
http://apps.poligran.edu.co/iformativa/Trabajo.aspx?ID=112

Aporte3 - Fase 2. Desarrollar El Analisis de Riesgos.

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Aporte3 - Fase 2. Desarrollar El Analisis de Riesgos.

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

ESPECIALIZACIN EN SEGURIDAD INFORMTICA

MODELOS Y ESTNDARES DE SEGURIDAD INFORMTICA

FASE 2. DESARROLLAR EL ANLISIS DE RIESGOS

RUTH YADIRA MOSQUERA PARRA

ING. SALOMN GONZLEZ

La seguridad informtica, en el trascurso de los aos, se ha convertido de mayor

Para ello es importante implementar los modelos y estndares de la informacin, ya que

Hoy en da las empresas a travs de modelos, estndares y normas pueden establecer

Por todo lo anterior y teniendo ms clara la perspectiva general de la materia, as

Este trabajo es realizado teniendo en cuenta la metodologa de MAGERIT, debido a

1. identificar una PYME (pequea o mediana empresa)

2. Realizar el anlisis de riesgos basado en La metodologa MAGERIT de

3. Reconocer de los diferentes mtodos para el Anlisis de Riesgos en

4. Realizar el levantamiento de los activos de informacin que posee la

5. Realizar el plan de tratamiento de los riesgos con base en la norma ISO

1. El grupo colaborativo identificar una PYME (pequea o mediana empresa) y

2. Levantamiento de Informacin: Realizar el levantamiento de los activos de

3. Anlisis de riesgos: Realizar el anlisis de riesgos con base en la metodologa

4. Plan de Tratamiento de Riesgos. Se debe realizar el plan de tratamiento de

DESARROLLO DEL PLANTEAMIENTO

Es una empresa que trabaja prestando servicios de salud inicialmente de oftalmologa,

2.- LEVANTAMIENTO DE LOS ACTIVOS DE INFORMACIN QUE POSEE LA

INFORME DE EVALUACION DE RIESGOS

Anlisis de Riesgos Empresa Hablemos de Salud SAS.

Segn la metodologa Magerit el primer paso en el anlisis de riesgos

N Descripcin Finalidad Categora Criticidad

3. ANLISIS DE RIESGOS: REALIZAR EL ANLISIS DE RIESGOS CON BASE EN

En la primera fase se establecieron los activos relevantes de la empresa Hablemos de

En la segunda fase identificaremos las posibles amenazas que se pueden presentar en

IDENTIFICACIN DE AMENAZAS SOBRE CADA ACTIVO

la empresa Hablemos de Salud SAS y el factor de dicho riesgo.

TIPO DE RIESGO FACTOR

Robo de informacin Alto

Fuego Muy Bajo

Terremotos Muy Bajo

Inundaciones Muy bajo

Vandalismo Muy bajo

Tabla No.1 Factor de riesgo

identificar el factor de probabilidad de materializacin de las amenazas.

Tabla No.2. Probabilidad de ocurrencia de una amenaza

IMPORTANCIA DEL RIESGO.

Mide la importancia de riesgo para la empresa hablemos de Salud SAS, en caso de

IMPORTANCIA DEL RIESGO

NIVEL DE RIESGO = IMPORTANCIA DEL RIESGO * PROBABILIDAD DE RIESGO

RANGO INFERIOR NIVEL DEL RIESGO RANGO SUPERIOR

0>= Bajo <=3

3>= Medio <=6

6>= Alto <=9

9>= Crtico <=12

Tabla No. 4. Criticidad del riesgo.

RIESGO ACTIVO AFECTADO PROBABILI IMPORTANCIA NIVEL DEL

ANLISIS Y EVALUACIN DE LOS RIESGOS

Los riesgos se clasifican por su nivel de importancia y por la severidad de su impacto:

Estimacin del riesgo de prdida del recurso (Ri)

Para la cuantificacin del riesgo de perder un recurso de la Hablemos de Salud

ESTIMACIN DEL RIESGO DE

ESTIMACIN DEL RIESGO DE

NIVELES DE RIESGO DE PRDIDA DEL RECURSO

RECURSO (WRi) Ri * Ii RIESGO DE PERDIDA

RIESGO DE ACCESO NO AUTORIZADO AL RECURSO

Para el anlisis del riesgo de acceso no autorizado al recurso aplicaremos la

WR= (WR1 I1 +WR2 I2 +WRn +In)