UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

MODALIDAD PRESENCIAL

ELECTRÓNICA Y TELECOMUNICACIONES
SEGURIDAD DE REDES

Evaluación de riesgos y políticas de seguridad

Informe de evaluación de riesgos y políticas de seguridad

.

AUTOR: Bryan Eduardo Gonzalez Camacho– Carlos Armando Ortega Blacio

DOCENTE: Ing. Javier Francisco Martinez Curipoma

Centro Universitario UTPL

2018
Tabla de contenido
PARTE I............................................................................................................................3

I. Resumen Personal del Caso 
 .......................................................................... 3

II. Matriz de Riesgos 
 ......................................................................................... 4

III. Niveles de Calificación del Riesgo .................................................................. 6

IV. Resumen Matriz de Riesgo Inherente con Gráfica 
 ...................................... 8

V. Controles (existentes ó sugeridos) 
 ................................................................ 8

VI. Resumen Matriz de Riesgo Residual con Gráfica 
 ...................................... 10

VII. Conclusiones y Recomendaciones. 
 .......................................................... 12

VIII. Anexos – Hoja(s) de trabajo 
 .................................................................... 13

PARTE II......................................................................................................................... 13
PARTE I

I. Resumen Personal del Caso 


II. Matriz de Riesgos 


TIPIFICACIÓN
RIESGO EVALUADO OBSERVACIÓN
RIESGO

La comunicación entre las

Perdida de comunicación entre
R1 sucursales puede representar en
sectores
una pérdida de información.

Lo más importante en un negocio

es la información de sus clientes
R2 Perdida de datos en el cliente
para saber cuáles necesidades
son más urgentes en cubrir.

Un cambio de datos por externos

R3 Manipulación de datos por externos puede representar en pérdidas
para la empresa.

Los daños no pueden venir solo

R4 Manipulación de datos por internos del exterior sino también de los
propios empleados.

El robo de información es un eje

Robo de información por parte de importante ya que este puede ser
R5
personal interno destinado para nuestra
competencia.

Al realizar un cambio en el
Aceptación del sistema entre los sistema se corre con el riesgo que
R6
usuarios los clientes no les agrade y baje
su utilización.

Al momento de realizar un cambio

Problema al momento de ejecutar el de equipo se debe prever en un
R7
cambio de equipos lapso de tiempo donde no afecte
excesivamente al negocio.

Los empleados pueden

Robo de equipos por parte de los representar una amenaza con los
R8
empleados equipos, ya que pueden presentar
intenciones maliciosas.
Un daño en la base de datos
R9 Daño de la base de datos. puede desviar todo nuestro
negocio.
Robo de usuarios por la
R10
competencia
 La posibilidad de que el usuario no
se encuentre cómodo con nuestro
servicio afectaría a las ventas.
Al encontrarse diversos
Problema en los proveedores de las
R11 proveedores la posibilidad de que
plantillas
nos de problemas es alto.

Puede presentarse un exceso de

Problema del recurso humano con
R12 empleados o un sobrecargo del
respecto a su utilización
mismo.

El licenciamiento de un software
R13 Licenciamiento del software es importante para evitar demoras
y multas en el futuro.

Si el encargado no se puede
comunicar a los equipos afectados
Falta de comunicación entre el
R14 y depende de alguien más, hay la
encargado y los equipos
posibilidad de que brinde un buen
arreglo.
El exceso de los usuarios al
Cantidad de usuarios ingresando al sistema es dañino por que puede
R15
sistema brindar una mala experiencia al
cliente.
III. Niveles de Calificación del Riesgo
Calificación Calificación
Funcionario Funcionario
TIPIFICACIÓN
RIESGO EVALUADO VOTO / CARGOS Nro. 1 Nro. 2
RIESGO
(Gerente (Gerente de
General) TI)

Perdida de VOTO IMPACTO 4,0 3,0

R1 comunicación entre
VOTO PROBABILIDAD 2,0 2,0
sectores
Perdida de datos en el VOTO IMPACTO 5,0 4,0
R2
cliente VOTO PROBABILIDAD 3,0 4,0
VOTO IMPACTO 5,0 5,0
Manipulación de datos
R3
por externos VOTO PROBABILIDAD 3,5 2,5

Manipulación de datos
VOTO IMPACTO 5,0 4,0
R4
por internos VOTO PROBABILIDAD 3,0 2,5
Robo de información VOTO IMPACTO 5,0 4,0
R5 por parte de personal
interno VOTO PROBABILIDAD 3,0 3,0
VOTO IMPACTO 3,0 3,0
Aceptación del sistema
R6
entre los usuarios VOTO PROBABILIDAD 4,0 4,0

Problema al momento VOTO IMPACTO 2,5 2,5

R7 de ejecutar el cambio de
equipos VOTO PROBABILIDAD 4,0 4,0

VOTO IMPACTO 5,0 5,0

Robo de equipos por
R8
parte de los empleados VOTO PROBABILIDAD 2,5 3,0
VOTO IMPACTO 5,0 5,0
Daño de la base de
R9
datos. VOTO PROBABILIDAD 3,0 2,0

VOTO IMPACTO 3,5 4,0

Robo de usuarios por la
R10
competencia
VOTO PROBABILIDAD 4,0 5,0

Problema en los VOTO IMPACTO 2,0 2,0

R11 proveedores de las
plantillas VOTO PROBABILIDAD 2,0 2,0

R12 VOTO IMPACTO 2,0 2,0

 Problema del recurso
humano con respecto a VOTO PROBABILIDAD 2,0 2,0
su utilización
VOTO IMPACTO 3,0 4,0
Licenciamiento del
R13
software VOTO PROBABILIDAD 2,0 2,0

Falta de comunicación VOTO IMPACTO 3,0 4,0

R14 entre el encargado y los
equipos VOTO PROBABILIDAD 3,0 3,0

VOTO IMPACTO 4,0 3,5

Cantidad de usuarios
R15
ingresando al sistema VOTO PROBABILIDAD 3,0 3,0
IV. Resumen Matriz de Riesgo Inherente con Gráfica 


V. Controles (existentes ó sugeridos) 


TIPIFICACIÓN
RIESGO EVALUADO CONTROL
RIESGO

Perdida de comunicación entre Utilización de empresas de

R1
sectores Carrier.

Creación de bases de datos

R2 Perdida de datos en el cliente
cada cierro lapso de tiempo.

Crear cortafuegos en cada

R3 Manipulación de datos por externos sistema para evitar el acceso a
datos importantes.

Comparación entre los backups

R4 Manipulación de datos por internos realizados y ver si existe algún
cambio.

Crear un sistema que permita

Robo de información por parte de
R5 una identificación para cada
personal interno
usuario para evitar robos.

Realizar censos antes de

Aceptación del sistema entre los
R6 realizar un cambio para ver los
usuarios
gustos del cliente

Se debe de hacer un estudio

Problema al momento de ejecutar el
R7 para definir la época en la que
cambio de equipos
se va a realizar el cambio

Robo de equipos por parte de los Realizar vigilancia a los equipos

R8
empleados y un inventario mensualmente

Realizar backups
R9 Daño de la base de datos. momentáneamente en otro
sistema de base de apoyo

Crear un sistema que vaya

R10 Robo de usuarios por la competencia evolucionando con las
necesidades del cliente

Realizar un contrato para que el

Problema en los proveedores de las
R11 proveedor que se
plantillas
responsabilice por las demoras
 Realizar un inventario y definir
Problema del recurso humano con
R12 qué sector tiene exceso o
respecto a su utilización
deficiencia de personal.

Encargar a un personal
detallado para que se centre en
R13 Licenciamiento del software
este tema y evitar futuras
demandas.

Falta de comunicación entre el
R14
encargado y los equipos
Implementar un personal
especializad en cada sucursal
para que comunique con el
encargado.

Realizar un estudio
probabilístico de la cantidad de
Cantidad de usuarios ingresando al
R15 usuarios que ingresan a la vez
sistema
para ver la capacidad del
equipo.

VI. Resumen Matriz de Riesgo Residual con Gráfica 


VII. Conclusiones y Recomendaciones. 

VIII. Anexos – Hoja(s) de trabajo 


PARTE II
Revisar la RFC2196 y UIT-T X.800, construir una matriz con las siguientes características
sobre las políticas de seguridad:

Definición
Es una expresión formal de reglas que deben cumplir aquellas personas
que tienen acceso a información y tecnologías de una organización.
Además, su función principal es identificar los métodos políticos utilizados
y las mejoras que han de efectuarse en situaciones específicas.

Propósito
 Informar a los usuarios, el personal y gerentes de sus requisitos
obligatorios para proteger la tecnología y activos de información.
 Proporcionar una línea de base desde la cual adquirir, configurar
y auditar sistemas informáticos y redes para el cumplimiento de
la política.
 Detallar lo que los usuarios deben y no deben hacer en los varios
componentes del sistema, incluido el tipo de tráfico permitido en
las redes.

Involucrados
Una política de seguridad debe tener aceptación y el apoyo de todos los
niveles de empleados dentro de una organización. A continuación, se
muestra una lista representativa de muchas organizaciones:

1) Administrador de seguridad.
2) Personal técnico de tecnología de información.
3) Administradores de grandes grupos de usuarios dentro de la
organización.
4) Equipo de respuesta a incidentes de seguridad.
5) Gestión responsable.
6) Asesoría legal.
Buena política
de seguridad Una buena política de seguridad debe contar con las siguientes
características:

1) Debe ser implementable a través de la administración del

sistema procedimientos, publicación de pautas de uso aceptable
u otros métodos apropiados.
2) Debe ser obligatorio con las herramientas de seguridad, cuando
corresponda, y con sanciones, donde la prevención real no es
técnicamente factible.
3) Debe definir claramente las áreas de responsabilidad para el
usuarios, administradores y administración.