UNIVERSIDAD NACIONAL DE SAN MARTÍN - T

FACULTAD DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

AUDITORIA Y SEGURIDAD INFORMÁTICA

ANÁLISIS DE RIESGO DE LA
MUNICIPALIDAD DISTRITAL DE MORALES

Presentado por los Estudiantes:

Tarapoto - Perú

2015-I

1
 ANÁLISIS DE RIESGO PARA LA
MUNICIPALIDAD
DISTRITAL DE MORALES

Contenido
I. RESUMEN ................................................................................................... 4
II. MARCO TEÓRICO ...................................................................................... 6
2.1 Riesgo. .................................................................................................. 6
2.2 Administración de riesgo. ...................................................................... 6

2
 2.3 Análisis de riesgos informáticos. ........................................................... 7
III. CONTEXTO.............................................................................................. 9
3.1 Contexto Interno. ................................................................................... 9
3.1.1 Identificación “MUNICIPALIDAD DISTRITAL DE MORALES” ........ 9
3.1.2 Organigrama ................................................................................. 11
3.1.3 Objetivos ....................................................................................... 12
3.2 Contexto de administración de riesgos. .............................................. 12
3.2.1 Estrategia. .................................................................................... 12
3.2.2 Meta.............................................................................................. 12
3.2.3 Objetivos. ...................................................................................... 12
3.2.4 Alcance. ........................................................................................ 13
IV. IDENTIFICAR RIESGOS. ....................................................................... 14
4.1 ANALIZAR RIESGOS ......................................................................... 15
4.1.1 Análisis cualitativo ........................................................................ 16
4.1.2 Matriz de la Municipalidad de Morales para los riesgos ............... 17
4.1.3 Valoración de riesgos de Servidores de datos y Aplicaciones ...... 18
4.1.4 Valoración de riesgos de Equipos de Cómputo para el Personal. 21
4.1.5 Valoración de riesgos de Software a medida de la Empresa ....... 23
4.1.6 Valoración de riesgos de Transmisión de Datos (Comunicación). 25
4.1.7 Valoración de riesgos de Recursos Humanos de la Empresa. ..... 27
4.2 EVALUAR RIESGOS .......................................................................... 29
4.2.1 Posibles consecuencias y medidas existentes. ............................ 29
4.3 TRATAR EL RIESGO.......................................................................... 30

3
 I. RESUMEN

El presente informe recopila información para elaborar la administración del

riesgo en las organizaciones, tomando como base metodológica el Estándar
Australiano, para ello se realizaron la identificación, medición y contingencia de
los riesgos de la Municipalidad distrital de Morales, para recopilar la información
realizamos visitas a la institución, obteniendo información digital, comentarios y
visualización de los ambientes donde se utiliza tecnologías de información.

El informe tiene como objetivo de servir de fuente para el apoyo a la organización

en la gestión de riesgos con respecto al uso de tecnologías de información, con
esto conocer la magnitud del impacto de los riesgos y brindar posibles medidas
de mitigación; con esto se salvaguarde los activos y patrimonios de la
organización.

4
 INTRODUCCIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas

de las organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener la confidencialidad,
la disponibilidad e integridad de la misma. Para el hombre como individuo, la
seguridad de la información tiene un efecto significativo respecto a su privacidad,
la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

Hoy en día las empresas se están dando cuenta que tienen mucha
infraestructura tecnológica que les agiliza sus procesos internos pero que a su
vez son un peligro por la vulnerabilidad que presentan ante un entorno totalmente
globalizado. Es necesario tener implementado una cultura de seguridad que
permita proteger la información de posibles ataques. Para ello se tiene políticas
de seguridad, normas, estándares y equipamiento que permiten construir
soluciones de seguridad muy robustas.

La Seguridad de la Información tiene como fin la protección de la información y

de los sistemas de la información del acceso, uso, divulgación, interrupción o
destrucción no autorizada. Conviene aclarar que la seguridad absoluta no es
posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo
está siempre presente, independiente de las medidas que tomemos, por lo que
se debe hablar de niveles de seguridad.

A ello, le sumamos el creciente desarrollo económico de nuestra región San

Martín, en especial de las ciudades de Tarapoto y Moyobamba, nos damos
cuenta que la calidad de vida de los pobladores ha mejorado y por ende su
capacidad de consumo es mayor, lo que genera que las empresas deban estar
a la vanguardia de la tecnología informática, ofreciendo a los consumidores
mejores servicios. Todo esto ocasiona, que las empresas manejen gran cantidad
de información y es donde las amenazas que las vulneran aparecen, por lo que
es necesario aplicar planes de seguridad.

5
 II. MARCO TEÓRICO

2.1 Riesgo.

Es la probabilidad de que una amenaza se convierta en un desastre. La

vulnerabilidad o las amenazas, por separado, no representan un peligro.
Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de
que ocurra un desastre. Sin embargo los riesgos pueden reducirse o
manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y si
estamos conscientes de nuestras debilidades y vulnerabilidades frente a
las amenazas existentes, podemos tomar medidas para asegurarnos de
que las amenazas no se conviertan en desastres.

Todas las definiciones de riesgo llevan a pensar que en una situación

riesgosa existen muchos elementos que es necesario analizar para poder
llegar a controlarlo (objetivos, probabilidad, incertidumbre, efectos), y si
bien los riesgos pueden traer consecuencias negativas, no tomarlos en
algunas ocasiones puede ser un riesgo en sí mismo, pues se pueden
perder oportunidades que podrían traer mayores beneficios. Por ultimo
cabe indicar que el riesgo también es una oportunidad para que la empresa
mejore y se desarrolle.

2.2 Administración de riesgo.

Se centra en la identificación y el tratamiento de esos riesgos para aumentar la

probabilidad de éxito y reducir tanto la probabilidad de fracaso como la
incertidumbre de lograr los objetivos y metas generales de la organización.El
objetivo de la gestión de riesgos es reducir diferentes riesgos relativos a un
ámbito preseleccionado a un nivel aceptado por la sociedad. Puede
referirse a numerosos tipos de amenazas causadas por el medio ambiente,
la tecnología, los seres humanos, las organizaciones y la política. Por otro
lado, involucra todos los recursos disponibles por los seres humanos o, en
particular, por una entidad de manejo de riesgos (persona, staff,
organización).

6
2.3 Análisis de riesgos informáticos.

Es un proceso que comprende la identificación de activos informáticos, sus

vulnerabilidades y amenazas a los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del
riesgo.

El proceso de análisis de riesgo genera habitualmente un documento al cual se le

conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, la manera en que se relacionan y los cálculos realizados. Este
análisis de riesgo es indispensable para lograr una correcta administración del
riesgo. La administración del riesgo hace referencia a la gestión de los recursos
de la organización. Existen diferentes tipos de riesgos como el riesgo residual y
riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y
gestión del riesgo entre otras.

La Imagen 01 presenta las etapas que siguen al proceso de gestión de riesgos de

cualquier naturaleza, basada en el Estándar Australiano de Administración del
Riesgo AS/NZS 4360:1999.

7
 Gráfico 1. Etapas de la metodología australiana.

ESTABLECER EL CONTEXTO
 Contexto Estratégico.
 Contexto Organizacional.
 Contexto de Administración de Riesgo.
 Establecer criterios de evaluación del riesgo.
 Definir la estructura de análisis.

IDENTIFICAR RIESGOS
 ¿Qué puede suceder?
 ¿Cómo puede suceder?
Comunicar y consultar

ANALIZAR RIESGOS

Monitorear y Revisar
Determinar la probabilidad de Determinar las
ocurrencia consecuencias

Calcular el nivel de riesgo

EVALUAR RIESGOS

 Comparar
 Establecer prioridades

NO
Aceptar el riesgo

SI

TRATAR LOS RIESGOS

 Identificar opciones para tratamiento de riesgos.
 Evaluar opciones de tratamiento.
 Preparar planes de tratamiento.
 Implementar planes de tratamiento.

8
 III. CONTEXTO

El proceso de administración de riesgos ocurre dentro de la estructura del

contexto estratégico, organizacional y de administración de riesgos de una
organización. El contexto incluye los aspectos financieros, operativos,
competitivos, políticos, sociales, de clientes, culturales, legales, etc. En este
caso, éste estuvo enfocado hacia la identificación, medición y control de los
riesgos financieros, estratégicos y de entorno de la Municipalidad Distrital de
Morales.

3.1 Contexto Interno.

3.1.1 Identificación “MUNICIPALIDAD DISTRITAL DE MORALES”

Nombre o Razón Social:

CONSEJO DISTRITAL DE MORALES

Nombre Comercial:

- MUNICIPALIDAD DISTRITAL DE MORALES

RUC:

20148157325

Tipo de Empresa:

GOBIERNO REGIONAL, LOCAL

Vigencia de la Empresa:

ACTIVO

Actividad Económica:

ACTIVIDADES DE LA ADMINISTRACIÓN PÚBLICA EN

GENERAL

9
Domicilio Fiscal:

Departamento : SAN MARTÍN

Provincia : SAN MARTIN
Distrito : MORALES
Dirección : JR. TARAPOTO NRO. 136

10
3.1.2 Organigrama

11
3.1.3 Objetivos

 Planificar integralmente el desarrollo local sostenible en el ámbito de su

jurisdicción.
 Fortaleciendo el Desarrollo Humano y Participación Ciudadana y las
actividades productivas.
 Consolidar la democracia participativa a través de la promoción de la
participación vecinal en la gestión municipal de manera organizada
mediante el ejercicio del derecho de iniciativa y el derecho de petición.
 Atender con eficiencia los servicios públicos locales a cargo de la
Municipalidad Distrital de Morales, a fin de satisfacer las demandas de la
población.
 Mejorar la competitividad local y la calidad del medio ambiente con obras
de infraestructura productiva, social, vial, tanto urbana como rural,
promoviendo el respeto a los límites permisibles de contaminación.

3.2 Contexto de administración de riesgos.

3.2.1 Estrategia.
Aplicación del Estándar Australiano de Administración del riesgo AS/NZS
4360:1999 en la MUNICIPALIDAD DISTRITAL DE MORALES.

3.2.2 Meta.

Identificar los posibles riesgos, analizarlos y clasificarlos según el grado

de magnitud, para así establecer las medidas de mitigación correspondientes.

3.2.3 Objetivos.

 Proporcionar la información básica de la organización y funcionamiento

de los órganos y unidades orgánicas.
 Actuar como referencia obligada para el personal en el cumplimiento de
las funciones asignadas al cargo.
 Proporcionar información sobre de las funciones, requisitos,
responsabilidades, y exigencias para desempeñar el cargo de modo
eficiente, y facilitar la comunicación entre los órganos y el personal
promoviendo la uniformidad de criterios administrativos.

12
  Identificar las competencias necesarias para la cobertura del cargo.
 Servir de fuentes para tomar conocimiento de la organización formal, y
para la elaboración del manual de procedimientos administrativos.
 Servir de fuente para la determinación de responsabilidades por el
ejercicio de las funciones del cargo.
 Establecer un vínculo legal entre las funciones previstas para el cargo y
la responsabilidad por el ejercicio de las funciones.
 Determinar los límites funcionales del servidor público durante el ejercicio
del cargo.
 Establecer las relaciones de coordinación e interrelación entre los órganos
y unidades orgánicas de la Entidad.
 Establecer factores de interrelación y coordinación con otras entidades y
organismos públicos, o instituciones privadas.
 Determinar las funciones específicas, responsabilidades, y los límites del
ejercicio de cada cargo.
 Promover la implantación de los procesos de rediseño de procesos y
procedimientos, y de simplificación administrativa en el marco de la
modernización de la gestión del Estado.
 Servir de base para el desarrollo sistemas y métodos de trabajo que
permitan cumplir con las metas institucionales de modo eficiente y eficaz.
 Delimitar actividades, funciones y responsabilidades, además de ayudar
a la coordinación de esfuerzos.

3.2.4 Alcance.

 El Manual de Organización y Funciones, es de cumplimiento estricto

en todas las unidades orgánicas de la Municipalidad Distrital de
Morales.
 Como norma de carácter interno, su cumplimiento es obligatorio e
imperativo, bajo responsabilidad directa de los jefes de las unidades
orgánicas.

13
 IV. IDENTIFICAR RIESGOS.

El proyecto está orientado a identificar los posibles riesgos y

vulnerabilidades que amenazan la continuidad de las operaciones de la
institución buscando integrar e involucrar la participación de todas las áreas
activas de la “MUNICIPALIDAD DISTRITIAL DE MORALES”

Los factores de riesgos están agrupados de acuerdo a los activos de la

Organización como se muestra a continuación:

 Servidor de datos y aplicativos

 Incendio
 Corto de fluido eléctrico
 Falla del aire acondicionado
 Falla o pérdida del sistema operativo y aplicativo
 Caída temporal del servidor
 Mal funcionamiento del servidor
 Robo del servidor
 Ataque de virus informático
 Falla y desuso de hardware y software
 Avería en el ordenador

 Equipos de Cómputo para el Personal

 Incendio
 Corto de fluido eléctrico
 Falla o pérdida del sistema operativo y aplicativo
 Mal funcionamiento del servidor
 Ataque de virus informático
 Robo de los equipos
 Falla y desuso de hardware - software
 Avería en el ordenador
 Calentamiento del hardware
 Consumo de alimentos cerca de los equipos informáticos
 Problemas en el cableado eléctrico de las estaciones de trabajo

14
  Software a medida
 Mala administración del control de acceso
 Falta de confidencialidad
 Perdida de datos
 Multas y problemas de software legal
 Mal funcionamiento de los sistemas
 Probabilidad incremental de vulnerabilidad y virus
 Inestabilidad y mal funcionamiento del sistema

 Transmisión de datos (comunicación)

 Robo de materiales
 Virus informático
 Calentamiento de los equipos de red y deterioro
 Mala configuración de equipo para la red
 Avería en el cableado

 Recursos humanos
 Robo de información por personas ajenas a la Organización
 Robo de información por parte del personal
 Resentimiento y rivalidad personal
 Robo de equipos, divulgación de datos
 Falta de instrucciones del uso hardware y software
 Mala utilización de los equipos y sistemas informáticos

4.1 ANALIZAR RIESGOS

El objetivo de ésta etapa es separar cada uno de los riesgos identificados

en riesgos aceptables o mayores.

Este análisis involucra las causas, probabilidades de ocurrencia, impacto

del riesgo y los controles existentes del riesgo.

El análisis de riesgos involucra prestar atención a las consecuencias,

probabilidades, impactos, etc.

15
4.1.1 Análisis cualitativo

En ésta etapa se realizó la identificación de los riesgos de acuerdo a su

probabilidad de ocurrencia y con el impacto que pudieran obtener sobre
el cumplimiento de los objetivos de la Organización.

En muchos casos es necesario identificar el riesgo puro, es decir, aquel

que no ha tenido ningún tipo de intervención, y el riesgo actual, dada la
gestión que la empresa esté realizando para su control.

Para la valoración de los riesgos de la Municipalidad De Morales se realizó

una medición semi-cuantitativa, en el cual se valora la probabilidad de
ocurrencia y el impacto de cada riesgo de acuerdo a la siguiente escala
descriptiva.

La calificación para la probabilidad y para el impacto de la Municipalidad

de Morarles se estableció en cinco (5) niveles:

4.1.1.1 Medidas Cualitativas de Probabilidad

NIVEL DESCRIPCIÓN
Ocasionalmente puede presentarse una vez cada 8 o
1 Remoto
más años.
Ocasionalmente puede presentarse una vez entre 3 y 5
2 Improbable
años.
3 Moderado Puede presentarse una vez entre uno y tres años
4 Probable Puede presentarse una vez en un año
Es probable que ocurra entre una o varias veces por 6
5 Casi cierto
meses

16
4.1.1.2 Medidas Cualitativas de Magnitud de Impacto

NIVEL
1 Bajo
2 Moderado
3 Intermedio
4 Alto
5 Crítico
DESCRIPCIÓN
El impacto no afecta de manera significativa y puede ser
asumido por el giro normal de las operaciones Las pérdidas
financieras son pequeñas.
El impacto afecta de manera significativa pero puede ser
asumido por el giro normal de las. Las pérdidas financieras son
medias.
Se puede ver afectada la eficiencia de los procesos necesarios
para la institución. Las pérdidas financieras son altas.
El impacto afecta de manera importante y se generan pérdidas
financieras son importantes.
Afectan la continuidad del total del servicio. Las pérdidas
financieras son enormes.

4.1.2 Matriz de la Municipalidad de Morales para los riesgos

La multiplicación de probabilidad de ocurrencia por magnitud del impacto para

cada uno de los riesgos identificados permite establecer la siguiente matriz:

5 Casi cierto 5 10 15 20 25
PROBALIDAD DE
OCURRENCIA

4 Probable 4 8 12 16 20
3 Moderado 3 6 9 12 15
2 Improbable 2 4 6 8 10
Nivel de
1 Remoto 1 2 3 4 5 tolerancia

1 Bajo 2 Moderado 3 Intermedio 4 Alto 5 Crítico

MAGNITUD DE IMPACTO

El resultado de la multiplicación de probabilidad de ocurrencia por impacto

es la siguiente:

Riesgos más críticos

Riesgos importantes

Riesgos de importancia media

Riesgos de importancia baja

17
 Las calificaciones de cada uno de los riesgos son:

 Riesgos más críticos: 20 y 25

 Riesgos importantes: 10, 12, 15, 16
 Riesgos de importancia media: 5, 4, 8, 6, 9
 Riesgos de importancia baja: 1, 2, 3

Los riesgos más críticos y los riesgos importantes son aquellos que la
Institución debe enfocar sus esfuerzos para buscar minimizar su impacto
de nivel de riesgos. Los riesgos de importancia media y baja, deben ser
tratados por la Organización pero su grado de importancia en el largo
plazo, pero su mayor esfuerzo debe estar enfocado hacia los riesgos más
críticos e importantes.

4.1.3 Valoración de riesgos de Servidores de datos y Aplicaciones

Para ésta categoría de riesgos se encontraron 6 riesgos en los Servidores

de Datos y Aplicativos, de los cuales 3 riesgos se encuentran por encima
de la línea de tolerancia al riesgo.

De los 6 riesgos encontrados, 3 fueron valorados como riesgos

importantes, 2 fueron valorados como riesgos de importancia media y 1
fue valorado como riesgo de baja importancia.

De acuerdo a la valoración realizada a los riesgos de entorno, se obtuvo

que los riesgos más importantes para ésta categoría corresponden a:
Pérdida total del servidor y la información que esta posee, Interrupción del
funcionamiento del equipo; averías en hardware y/o software y no poder
garantizar la disponibilidad, integridad y confidencialidad de los datos. El
ordenador no puede conectarse a la red; El ordenador se cuelga o no
funciona bien.

Para estos casos se obtuvo 10, 10 y 10 puntos respectivamente de la

multiplicación de probabilidad de ocurrencia y el impacto que este tuviese
al ocurrir.

Mientras tanto los riesgos de importancia media corresponden a: Perdida

del servidor y la información que esta posee, Dañar archivos y programas
de gran importancia para la Organización ambos riesgos obtuvieron un
18
puntaje de 4 y 5 respectivamente de la multiplicación de probabilidad por
impacto.

A continuación se presenta un cuadro de riesgo del servidor de aplicativos

y la valoración de los mismos:

19
 DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Pérdida total del Un extintor para
Se recomienda
servidor y la toda la institución,
Incendio Medio si Improbable (2) Critico (5) 10 tener dos
información que y un depósito de
extintores.
esta posee. agua.
CORTO Implementar un
Interrupción del
CIRCUITO controlador
funcionamiento del El servidor y las
Corte del fluido inteligente para
equipo; averías en máquinas cuentan Medio Si Improbable (2) Critico (5) 10
eléctrico garantizar el
SERVIDOR DE DATOS Y APLICATIVOS

hardware y/o con UPS

suministro
software.
eléctrico
Caída del
No poder garantizar
servidor por Cuentan con
FALLA DE la disponibilidad, Se recomienda
Fallo sistema disco virtual y un
integridad y Medio No Improbable (2) Critico (5) 10 implementar un
SOFTWARE operativo o clon del sistema
confidencialidad de servidor espejo.
algún Operativo.
los datos.
aplicativo.
El ordenador no Cuentan con dos Implementar un
FALLA DE Mal puede conectarse a tarjetas de red, sistema que
funcionamient la red; El ordenador dos salidas que Alto No Remoto (1) Intermedio (3) 3 notifique cuando
HARDWARE
o del servidor se cuelga o no están integradas exista la caída de
funciona bien. al switch especial. una tarjeta de red
Aumentar el
Cuentan con
Perdida del servidor número de
cámaras de
Robo y la información que Alto Si Remoto (1) Alto (4) 4 cámaras dentro
vigilancia y sensor
ATAQUES esta posee de la oficina del
de movimientos.
servidor
DELIBERADOS
Dañar archivos y Poseen clones del
Guardar toda la
programas de gran Sistema Operativo
Virus Medio No Remoto (1) Critico (5) 5 información en la
importancia para la y cuentan con
nube
Organización. Backups.

20
4.1.4 Valoración de riesgos de Equipos de Cómputo para el Personal.

Para ésta categoría se encontraron 7 riesgos en los Equipos de Cómputo

para el Personal, de los cuales 1 riesgo se encuentran por encima de la
línea de tolerancia al riesgo.
De los 7 riesgos encontrados, 1 fue valorado como riesgo más crítico y los
6 restantes fueron valorados como riesgos de importancia media.
De acuerdo a la valoración realizada a los riesgos de entorno, se obtuvo
que el riesgo más crítico para ésta categoría corresponde a: Corte de
fluido eléctrico. Para este caso se obtuvo 20 puntos de la multiplicación
de probabilidad de ocurrencia y el impacto que este tuviese al ocurrir.
Mientras tanto los riesgos importantes corresponden a: Incendio, Fallo y/o
pérdida de sistemas operativos y aplicativos base, Mal funcionamiento del
ordenador, Robo, Virus y Fallas o desuso de hardware y/o software.
Para estos casos se obtuvo 8, 9, 8, 4, 6 y 6 puntos respectivamente de la
multiplicación de probabilidad de ocurrencia y el impacto que este tuviese
al ocurrir.

A continuación se presenta un cuadro de riesgo de Computadoras para el

personal y la valoración de los mismos:

21
 MEDIDA
DESCRIPCIÓN MEDIDA DE DOCUMEN- RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD PROBABILIDAD IMPACTO MITIGACIÓN
DEL RIESGO MITIGACIÓN TACIÓN S/N RESIDUAL
PROPUSTA
Pérdida de Extintores en Sistema de
Incendio hardware y/o puntos Medio Si probable(4) moderado(2) 8 alerta para
software. estratégicos incendios
Interrupción del
CORTO Implementar
funcionamiento
CIRCUITO No hay con UPS a
Corte del fluido del equipo.
eléctrico Averías en
medida de Bajo No Probable(4) Crítico(5) 20 todas las
mitigación máquinas de
hardware y/o
la Institución
software.
No poder
Mantenimiento
Fallo y/o perdida garantizar la Mantenimiento
FALLA DE y actualización
de sistema disponibilidad, del software
Medio No Moderado(3) intermedio(3) 9 del software
EQUIPOS DE CÓMPUTO

SOFTWARE operativo y integridad y cada cierto

cada cierto
aplicativos base confidencialidad tiempo
tiempo
de los datos.
El ordenador no
Mantenimiento
puede conectarse Mantenimiento
FALLA DE Mal y actualización
a la red; del hardware
HARDWARE
funcionamiento
El ordenador se cada cierto
Medio No probable(4) moderado(2) 8 del hardware
del ordenador cada cierto
cuelga o no tiempo
tiempo
funcione bien.
Pérdida del Cámaras de Proporcionar
hardware y la video un filtro de
Robo
información que vigilancia y
Alto Si Remoto(1) Alto(4) 4 seguridad para
ATAQUES esta posee. sensores la oficina.
DELIBERADOS Dañar archivos y Antivirus con
Mejora del
programas de gran licencias
Virus
importancia para la pagadas
Medio Si Moderado(3) Moderado(2) 6 antivirus con
smart antivirus.
Organización. eternas
El hardware Repotenciación Mantenimiento
LIMITE DE VIDA
Devaluación del pierden su valor de máquinas trimestral de
ÚTIL hardware por el pasar de los que están
Medio Si Moderado(3) moderado(2) 6 estas
años. obsoletas máquinas.

22
4.1.5 Valoración de riesgos de Software a medida de la Empresa

Para ésta categoría de riesgos se encontraron 6 riesgos en los Software a

medida, de los cuales no hay ningún riesgo que se encuentre por encima de la
línea de tolerancia al riesgo.
De los 6 riesgos encontrados, 3 fueron valorados como riesgo de importancia
media y 3 fueron valorados como riesgo de importancia baja.
Se obtuvo que los riesgos de importancia baja corresponden a: Mala
administración de control de acceso lo cual los sistemas no poseen un usuario
definido para cada personal. Falta de confidencialidad donde se ve que las
operaciones que realizan los usuarios son vistas por los demás. Pérdida de datos
por no contar con un usuario y contraseña por cada personal. De estos módulos
se obtuvieron 3, 2 y 2 puntos respectivamente de la multiplicación de
probabilidad de ocurrencia y el impacto que este pudiese llegar a originar.
Mientras tanto en los riesgos de importancia media, tenemos: Multas y
problemas con software ilegal, puesto que no todos los sistemas cuentan con su
respectiva licencia. Probabilidad incremental de vulnerabilidades y virus, esto se
produce porque el software a medida no permite integrar nuevos módulos.
Inestabilidad y mal funcionamiento de los sistemas tienen como probabilidades
a que los virus dañen el software y produzcan fallas como también pérdida de
datos. De estos módulos se obtuvieron 4, 4 y 6 puntos respectivamente de la
multiplicación de probabilidad de ocurrencia y el impacto que este pudiese llegar
a originar.
A continuación se presenta un cuadro de riesgo de Software a Medida y la
valoración de los mismos:

23
 MEDIDA
DESCRIPCIÓN MEDIDA DE DOCUMEN- RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD PROBABILIDAD IMPACTO MITIGACIÓN
DEL RIESGO MITIGACIÓN TACIÓN S/N RESIDUAL
PROPUSTA
Mala Los sistemas no Implementar un Cambio
administración poseen un usuario usuario y periódico de
Alto Si Remoto(1) Intermedio(3) 3
de control de definido para cada contraseña a cada claves de
acceso personal trabajador usuario.
Las operaciones
Implementar un Cambio
que realizan los
Falta de usuario y periódico de
ACCESO NO usuarios son Alto Si Improbable (2) bajo(1) 2
confidencialidad contraseña a cada claves de
vistas por los
AUTORIZADO trabajador usuario.
demás.
No contar con
más usuarios por Implementar un Cambio
SOFTWARE A MEDIDA

Pérdida de cada personal, usuario y periódico de

Alto Si Improbable(2) Bajo(1) 2
datos facilitando el contraseña a cada claves de
hurtar de los trabajador usuario.
datos.
Renovación del
Multas y contrato de Continuar con
APLICACIONES Licencias
problemas con licencia del Alto Si Remoto(1) alto(4) 4 el uso de
SIN LICENCIA originales
Software Ilegal. software a software legal.
medida.
Renovación del
Probabilidad
SOFTWARE contrato de Continuar con
incremental de Software de paga
DESACTUALIZ licencia del Alto Si Improbable(2) moderado(2) 4 el uso del
vulnerabilidades a medida
ADO software a sistema actual
y virus
medida.
Los virus producen
Inestabilidad y
fallas en el
mal Antivirus con Adquisición de
VIRUS software y Medio Si Improbable(2) Intermedio(3) 6
funcionamiento licencias. Smart antivirus.
producen perdida
de sistemas.
de datos.

24
4.1.6 Valoración de riesgos de Transmisión de Datos (Comunicación).

Para esta categoría de riesgos se encontraron 5 riesgos de comunicación de

datos, de los cuales ningún riesgo se encuentra por encima de la línea de la
tolerancia de riesgos.
De los 5 riesgos encontrados, 1 fue valorado como riesgo de baja importancia y
4 fueron valorados como riesgo de importancia media.
Para la categoría de riesgo de importancia baja se encuentra: El robo lo cual
produce la pérdida de hardware de red. Para este caso de riesgo de importancia
baja se obtuvo 3 puntos de la multiplicación de probabilidad de ocurrencia y el
impacto que este tuviese al ocurrir.
Mientras tanto los demás riesgos de importancia media corresponden: Los virus
son una amenaza lo cual produce una infección de virus de toda la red. El
Calentamiento de los equipos de red y deterioro produce Falla de la conectividad
de la red. Mala configuración de equipo para la red que permite tener un
deficiente rendimiento de la red y problemas de envío y recepción de archivos y
Avería en el cableado que es uno de los riesgos que se da y produce
inoperatividad del equipo a la red. Para estos casos de riesgos de importancia
media se obtuvieron 4, 9, 8 y 9 puntos de la multiplicación de probabilidad de
ocurrencia y el impacto que este tuviese al ocurrir.

A continuación se presenta un cuadro de riesgo de Transmisión de datos y la

valoración de los mismos:

25
 DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Guardián de
Proporcionar un
TRANSMISIÓN DE DATOS (COMUNICACIÓN)

Perdida de seguridad y cámara

Robo Alto Si Remoto(1) Intermedio(3) 3 filtro de seguridad
ATAQUES hardware de red de seguridad con
para la oficina.
DELIBERADOS sensor de movimiento
Infección de virus Implementación de
Virus Alto Si Improbable(2) Moderado(2) 4
de toda la red firewalls y antivirus
Mantenimiento
Calentamiento Falla de la
diario de los
FALLAS DE de los equipos conectividad de la Revisiones diarias y
Medio No Moderado(3) intermedio(3) 9 equipos de red y
HARDWARE de red y red y calentamiento aire acondicionado
del aire
deterioro. de los equipos
acondicionado
Deficiente
Mala Revisión diaria de
rendimiento de la Revisiones
configuración la configuración
red y problemas de constantes de la Medio No Improbable(2) Alto(4) 8
de equipo de red y de
ERROR DEL envío y recepción configuración.
para la red posibles ataques
PERSONAL de archivos
Revisión diaria del
Avería en el Inoperatividad del Revisión y cambio de
Medio No Moderado(3) Intermedio(3) 9 cableado
cableado equipo a la red. cables
estructurado.

26
4.1.7 Valoración de riesgos de Recursos Humanos de la Empresa.

Para esta categoría se encontraron 4 riesgos acerca de recursos los humanos,

de los cuales 2 riesgos se encuentran por encima de la línea de tolerancia al
riesgo.
De los 4 riesgos encontrados, 2 fueron valorados como riesgos importantes y 2
de importancia baja.
Mientras tanto los demás riesgos de importancia baja corresponden: Robo de
información por personas ajenas a la Organización ya perdiendo estos datos se
tiene Sustracción de la información de concerniente a las actividades que la
Organización realiza. Robo de información por parte del personal se obtiene la
Sustracción de la información personal de los trabajadores. Para este caso se
obtuvo 3 y 3 puntos de la multiplicación de probabilidad de ocurrencia y el
impacto que este tuviese al ocurrir.
Para los riesgos importantes se obtuvo: Resentimiento y rivalidad del personal
se ve que el personal puede producir pérdidas económicas y prestigio y Robo de
equipos o insumos, divulgación de datos produce que el personal entre a
diferentes oficinas sin autorización del responsable. Para este caso se obtuvo
16 y 16 puntos de la multiplicación de probabilidad de ocurrencia y el impacto
que este tuviese al ocurrir.

27
 DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Hurto de la
Robo de Se realiza una
información Reforzamiento del
información auditoría del
concerniente a las firewall y revisión
por personas propio sistema. Alto Si remoto(1) Intermedio(3) 3
actividades que la diaria del sistema
externas a la Cámaras de
Organización de uso diario
Organización seguridad
realiza
ATAQUE
Reforzamiento del
DELIBERADOS
firewall, revisión
RECURSOS HUMANOS

Robo de hurto de la Auditoría del

diaria del sistema
información información por propio sistema.
Alto Si Remoto(1) Intermedio(3) 3 de uso diario y
por el personal personal interno a Cámaras de
filtro de seguridad
interno la organización seguridad
al entrar a los
ambientes
Personal que puede Charlas de
Resentimiento Se organizan
MAL CLIMA producir perdidas confraternidad y
y rivalidad del Campeonatos de Bajo No Probable(4) Alto(4) 16
LABORAL económicas y sesiones con
personal confraternidad
prestigio psicólogos
Filtro de
Robo de seguridad al
El personal entra a Notificaciones al
ENTRADA SIN equipos o entrar a los
diferentes oficinas personal sobre el
AUTORIZACIÓ insumos, Medio No Probable(4) Alto(4) 16 ambientes,
sin autorización del acceso indebido a
N A OFICINAS divulgación de letreros de solo
responsable ciertas oficinas
datos. personal
autorizado.

28
4.2 EVALUAR RIESGOS
4.2.1 Posibles consecuencias y medidas existentes.

Una vez identificado los activos y los riesgos a los que están expuestos,
es necesario identificar qué consecuencias puede ocurrir de concretarse
estos factores. Esta sección de la investigación profundiza más estos
aspectos y agrega información referida a las medidas que ha tomado la
institución para mitigar estas consecuencias.
Las medidas han sido evaluadas teniendo en cuenta las referencias
metodológicas, se categorizan como bajas, media y alta. Veremos
también si se protegen (Si) o no se protegen (No).

LEYENDA:

EVALUACIÓN DESCRIPCIÓN

Los riesgos están completamente controlados y existe

Alta una pequeña posibilidad o no hay posibilidad de que la
amenaza se materialice.

La administración del riesgo puede ser mejorada y

Media
existe algún riesgo de que la amenaza se materialice.

Existe un riesgo significativo que la amenaza se

Baja materialice (o ya está materializado) por la ineficacia o
inexistencia de las medidas de mitigación.

29
4.3 TRATAR EL RIESGO

Para la correcta administración de las acciones a realizar para la mitigación

del riesgo se consideran los siguientes niveles en función del tiempo y de
la tolerancia al riesgo:

(1) NIVEL BAJO: El impacto del riesgo efectuado se constituye por un tiempo
menor y con menores pérdidas económicas.
(2) NIVEL MEDIO: El riesgo concretado representa una pérdida financiera
moderada o en un tiempo mayor al nivel bajo.
(3) NIVEL ALTO: Las pérdidas económicas por el impacto del riesgo o amenaza
son mayores o en tiempos prolongados.
(4) NIVEL CATASTRÓFICO: La organización sufre una pérdida irreparable
internamente por los efectos de la concretización del riesgo o amenaza y se
tiene que pasar a cubrir los daños mediante la empresa aseguradora.

30