Академический Документы
Профессиональный Документы
Культура Документы
ANÁLISIS DE RIESGO DE LA
MUNICIPALIDAD DISTRITAL DE MORALES
Tarapoto - Perú
2015-I
1
ANÁLISIS DE RIESGO PARA LA
MUNICIPALIDAD
DISTRITAL DE MORALES
Contenido
I. RESUMEN ................................................................................................... 4
II. MARCO TEÓRICO ...................................................................................... 6
2.1 Riesgo. .................................................................................................. 6
2.2 Administración de riesgo. ...................................................................... 6
2
2.3 Análisis de riesgos informáticos. ........................................................... 7
III. CONTEXTO.............................................................................................. 9
3.1 Contexto Interno. ................................................................................... 9
3.1.1 Identificación “MUNICIPALIDAD DISTRITAL DE MORALES” ........ 9
3.1.2 Organigrama ................................................................................. 11
3.1.3 Objetivos ....................................................................................... 12
3.2 Contexto de administración de riesgos. .............................................. 12
3.2.1 Estrategia. .................................................................................... 12
3.2.2 Meta.............................................................................................. 12
3.2.3 Objetivos. ...................................................................................... 12
3.2.4 Alcance. ........................................................................................ 13
IV. IDENTIFICAR RIESGOS. ....................................................................... 14
4.1 ANALIZAR RIESGOS ......................................................................... 15
4.1.1 Análisis cualitativo ........................................................................ 16
4.1.2 Matriz de la Municipalidad de Morales para los riesgos ............... 17
4.1.3 Valoración de riesgos de Servidores de datos y Aplicaciones ...... 18
4.1.4 Valoración de riesgos de Equipos de Cómputo para el Personal. 21
4.1.5 Valoración de riesgos de Software a medida de la Empresa ....... 23
4.1.6 Valoración de riesgos de Transmisión de Datos (Comunicación). 25
4.1.7 Valoración de riesgos de Recursos Humanos de la Empresa. ..... 27
4.2 EVALUAR RIESGOS .......................................................................... 29
4.2.1 Posibles consecuencias y medidas existentes. ............................ 29
4.3 TRATAR EL RIESGO.......................................................................... 30
3
I. RESUMEN
4
INTRODUCCIÓN
Hoy en día las empresas se están dando cuenta que tienen mucha
infraestructura tecnológica que les agiliza sus procesos internos pero que a su
vez son un peligro por la vulnerabilidad que presentan ante un entorno totalmente
globalizado. Es necesario tener implementado una cultura de seguridad que
permita proteger la información de posibles ataques. Para ello se tiene políticas
de seguridad, normas, estándares y equipamiento que permiten construir
soluciones de seguridad muy robustas.
5
II. MARCO TEÓRICO
2.1 Riesgo.
6
2.3 Análisis de riesgos informáticos.
7
Gráfico 1. Etapas de la metodología australiana.
ESTABLECER EL CONTEXTO
Contexto Estratégico.
Contexto Organizacional.
Contexto de Administración de Riesgo.
Establecer criterios de evaluación del riesgo.
Definir la estructura de análisis.
IDENTIFICAR RIESGOS
¿Qué puede suceder?
¿Cómo puede suceder?
Comunicar y consultar
ANALIZAR RIESGOS
Monitorear y Revisar
Determinar la probabilidad de Determinar las
ocurrencia consecuencias
EVALUAR RIESGOS
Comparar
Establecer prioridades
NO
Aceptar el riesgo
SI
8
III. CONTEXTO
Nombre Comercial:
RUC:
20148157325
Tipo de Empresa:
Vigencia de la Empresa:
ACTIVO
Actividad Económica:
9
Domicilio Fiscal:
10
3.1.2 Organigrama
11
3.1.3 Objetivos
3.2.1 Estrategia.
Aplicación del Estándar Australiano de Administración del riesgo AS/NZS
4360:1999 en la MUNICIPALIDAD DISTRITAL DE MORALES.
3.2.2 Meta.
3.2.3 Objetivos.
12
Identificar las competencias necesarias para la cobertura del cargo.
Servir de fuentes para tomar conocimiento de la organización formal, y
para la elaboración del manual de procedimientos administrativos.
Servir de fuente para la determinación de responsabilidades por el
ejercicio de las funciones del cargo.
Establecer un vínculo legal entre las funciones previstas para el cargo y
la responsabilidad por el ejercicio de las funciones.
Determinar los límites funcionales del servidor público durante el ejercicio
del cargo.
Establecer las relaciones de coordinación e interrelación entre los órganos
y unidades orgánicas de la Entidad.
Establecer factores de interrelación y coordinación con otras entidades y
organismos públicos, o instituciones privadas.
Determinar las funciones específicas, responsabilidades, y los límites del
ejercicio de cada cargo.
Promover la implantación de los procesos de rediseño de procesos y
procedimientos, y de simplificación administrativa en el marco de la
modernización de la gestión del Estado.
Servir de base para el desarrollo sistemas y métodos de trabajo que
permitan cumplir con las metas institucionales de modo eficiente y eficaz.
Delimitar actividades, funciones y responsabilidades, además de ayudar
a la coordinación de esfuerzos.
3.2.4 Alcance.
13
IV. IDENTIFICAR RIESGOS.
14
Software a medida
Mala administración del control de acceso
Falta de confidencialidad
Perdida de datos
Multas y problemas de software legal
Mal funcionamiento de los sistemas
Probabilidad incremental de vulnerabilidad y virus
Inestabilidad y mal funcionamiento del sistema
Recursos humanos
Robo de información por personas ajenas a la Organización
Robo de información por parte del personal
Resentimiento y rivalidad personal
Robo de equipos, divulgación de datos
Falta de instrucciones del uso hardware y software
Mala utilización de los equipos y sistemas informáticos
15
4.1.1 Análisis cualitativo
NIVEL DESCRIPCIÓN
Ocasionalmente puede presentarse una vez cada 8 o
1 Remoto
más años.
Ocasionalmente puede presentarse una vez entre 3 y 5
2 Improbable
años.
3 Moderado Puede presentarse una vez entre uno y tres años
4 Probable Puede presentarse una vez en un año
Es probable que ocurra entre una o varias veces por 6
5 Casi cierto
meses
16
4.1.1.2 Medidas Cualitativas de Magnitud de Impacto
NIVEL DESCRIPCIÓN
El impacto no afecta de manera significativa y puede ser
1 Bajo asumido por el giro normal de las operaciones Las pérdidas
financieras son pequeñas.
El impacto afecta de manera significativa pero puede ser
2 Moderado asumido por el giro normal de las. Las pérdidas financieras son
medias.
Se puede ver afectada la eficiencia de los procesos necesarios
3 Intermedio
para la institución. Las pérdidas financieras son altas.
El impacto afecta de manera importante y se generan pérdidas
4 Alto
financieras son importantes.
Afectan la continuidad del total del servicio. Las pérdidas
5 Crítico
financieras son enormes.
5 Casi cierto 5 10 15 20 25
PROBALIDAD DE
OCURRENCIA
4 Probable 4 8 12 16 20
3 Moderado 3 6 9 12 15
2 Improbable 2 4 6 8 10
Nivel de
1 Remoto 1 2 3 4 5 tolerancia
MAGNITUD DE IMPACTO
Riesgos importantes
17
Las calificaciones de cada uno de los riesgos son:
Los riesgos más críticos y los riesgos importantes son aquellos que la
Institución debe enfocar sus esfuerzos para buscar minimizar su impacto
de nivel de riesgos. Los riesgos de importancia media y baja, deben ser
tratados por la Organización pero su grado de importancia en el largo
plazo, pero su mayor esfuerzo debe estar enfocado hacia los riesgos más
críticos e importantes.
19
DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Pérdida total del Un extintor para
Se recomienda
servidor y la toda la institución,
Incendio Medio si Improbable (2) Critico (5) 10 tener dos
información que y un depósito de
extintores.
esta posee. agua.
CORTO Implementar un
Interrupción del
CIRCUITO controlador
funcionamiento del El servidor y las
Corte del fluido inteligente para
equipo; averías en máquinas cuentan Medio Si Improbable (2) Critico (5) 10
eléctrico garantizar el
SERVIDOR DE DATOS Y APLICATIVOS
20
4.1.4 Valoración de riesgos de Equipos de Cómputo para el Personal.
21
MEDIDA
DESCRIPCIÓN MEDIDA DE DOCUMEN- RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD PROBABILIDAD IMPACTO MITIGACIÓN
DEL RIESGO MITIGACIÓN TACIÓN S/N RESIDUAL
PROPUSTA
Pérdida de Extintores en Sistema de
Incendio hardware y/o puntos Medio Si probable(4) moderado(2) 8 alerta para
software. estratégicos incendios
Interrupción del
CORTO Implementar
funcionamiento
CIRCUITO No hay con UPS a
Corte del fluido del equipo.
eléctrico Averías en
medida de Bajo No Probable(4) Crítico(5) 20 todas las
mitigación máquinas de
hardware y/o
la Institución
software.
No poder
Mantenimiento
Fallo y/o perdida garantizar la Mantenimiento
FALLA DE y actualización
de sistema disponibilidad, del software
Medio No Moderado(3) intermedio(3) 9 del software
EQUIPOS DE CÓMPUTO
22
4.1.5 Valoración de riesgos de Software a medida de la Empresa
23
MEDIDA
DESCRIPCIÓN MEDIDA DE DOCUMEN- RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD PROBABILIDAD IMPACTO MITIGACIÓN
DEL RIESGO MITIGACIÓN TACIÓN S/N RESIDUAL
PROPUSTA
Mala Los sistemas no Implementar un Cambio
administración poseen un usuario usuario y periódico de
Alto Si Remoto(1) Intermedio(3) 3
de control de definido para cada contraseña a cada claves de
acceso personal trabajador usuario.
Las operaciones
Implementar un Cambio
que realizan los
Falta de usuario y periódico de
ACCESO NO usuarios son Alto Si Improbable (2) bajo(1) 2
confidencialidad contraseña a cada claves de
vistas por los
AUTORIZADO trabajador usuario.
demás.
No contar con
más usuarios por Implementar un Cambio
SOFTWARE A MEDIDA
24
4.1.6 Valoración de riesgos de Transmisión de Datos (Comunicación).
25
DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Guardián de
Proporcionar un
TRANSMISIÓN DE DATOS (COMUNICACIÓN)
26
4.1.7 Valoración de riesgos de Recursos Humanos de la Empresa.
27
DOCUMEN- MEDIDA
DESCRIPCIÓN DEL MEDIDA DE RIESGO
ACTIVO AMENAZAS RIESGOS EFECTIVIDAD TACIÓN PROBABILIDAD IMPACTO MITIGACIÓN
RIESGO MITIGACIÓN RESIDUAL
S/N PROPUSTA
Hurto de la
Robo de Se realiza una
información Reforzamiento del
información auditoría del
concerniente a las firewall y revisión
por personas propio sistema. Alto Si remoto(1) Intermedio(3) 3
actividades que la diaria del sistema
externas a la Cámaras de
Organización de uso diario
Organización seguridad
realiza
ATAQUE
Reforzamiento del
DELIBERADOS
firewall, revisión
RECURSOS HUMANOS
28
4.2 EVALUAR RIESGOS
4.2.1 Posibles consecuencias y medidas existentes.
Una vez identificado los activos y los riesgos a los que están expuestos,
es necesario identificar qué consecuencias puede ocurrir de concretarse
estos factores. Esta sección de la investigación profundiza más estos
aspectos y agrega información referida a las medidas que ha tomado la
institución para mitigar estas consecuencias.
Las medidas han sido evaluadas teniendo en cuenta las referencias
metodológicas, se categorizan como bajas, media y alta. Veremos
también si se protegen (Si) o no se protegen (No).
LEYENDA:
EVALUACIÓN DESCRIPCIÓN
29
4.3 TRATAR EL RIESGO
(1) NIVEL BAJO: El impacto del riesgo efectuado se constituye por un tiempo
menor y con menores pérdidas económicas.
(2) NIVEL MEDIO: El riesgo concretado representa una pérdida financiera
moderada o en un tiempo mayor al nivel bajo.
(3) NIVEL ALTO: Las pérdidas económicas por el impacto del riesgo o amenaza
son mayores o en tiempos prolongados.
(4) NIVEL CATASTRÓFICO: La organización sufre una pérdida irreparable
internamente por los efectos de la concretización del riesgo o amenaza y se
tiene que pasar a cubrir los daños mediante la empresa aseguradora.
30