Академический Документы
Профессиональный Документы
Культура Документы
ANALISIS DE RIEGOS
CONTENIDO
Resumen Ejecutivo
1. Objetivo y alcance del trabajo
2. Metodología
3. Procedimientos Utilizados
4. Análisis de Riesgos
4.1. Importancia de la Información y su seguridad de la MUNICIPALIDAD
DE SAYAN
4.2. Elementos del modelo de Análisis de Riegos
4.3. Desarrollo del Análisis de Riegos
4.3.1. Activos y Amenazas
4.3.2. Posibles consecuencias y medidas existentes
4.3.3. Calculo de niveles de vulnerabilidad y de riesgo
4.3.4. Conclusiones
Lima, xx de octubre del xxxx
Señor xxxxxxxxxxxxxxxxxx
Jefe del Área de Informática
MUNICIPALIDAD DE SAYAN
Presente.-
Estimado Señor xxxx:
Resumen Ejecutivo
- Metodología
- Procedimientos utilizados
- Análisis de Riesgos
-------------------------------------------
Ing.
MUNICIPALIDAD DE SAYÁN
ANALISIS DE RIESGOS
2. METODOLOGÍA
Durante la ejecución del proyecto se utilizó una metodología específica para la
realización del Análisis de Riesgo. La relación de metodología utilizada y el
alcance de la misma se resumen a continuación:
Nombre Alcance
MAGERIT Metodología para el desarrollo de un análisis de
riesgo, identificación de activos, amenazas y cálculos
de vulnerabilidad.
Metodología MAGERIT
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
de las Administraciones Públicas, MAGERIT, es un método formal para investigar
los riesgos que soportan los Sistemas de Información, y para recomendar las
medidas apropiadas que deberían adoptarse para controlar estos riesgos.
****Ing. Marin
4. ANALISIS DE RIESGOS
4.1. Importancia de la Información y su seguridad de la MUNICIPALIDAD
DE SAYÁN
Es innegable la importancia considerable y creciente del tratamiento de la
información para el funcionamiento e incluso para la supervivencia de la
MUNICIPALIDAD DE SAYÁN. Como la información es inmaterial, necesita
soportes que adoptan muchas formas:
La seguridad siempre es barata a largo plazo (y lo es también cada vez más a corto
plazo). El ahorro y la eficacia que proporciona son relativos, pues dependen de su
coste propio y su implantación inteligente; pero siempre son muy superiores si los
requerimientos y especificaciones de seguridad se incorporan en el propio
desarrollo de los sistemas y los servicios de información. Cuanto más temprano se
actúe para dar seguridad a los sistemas de información, más sencilla y económica
resultará ésta a la Organización.
Activos
Los Activos del Dominio, “recursos del sistema de información o relacionados con
éste, necesarios para que la organización funcione correctamente y alcance los
objetivos propuestos por su dirección” se pueden así estructurar en 5 categorías:
3) La propia información.
Amenazas
Vulnerabilidad
Impacto
1. Identificación de Activos
Se evaluarán los distintos activos físicos y de software de la
MUNICIPALIDAD DE SAYÁN, generando un inventario de aquellos que
son considerados como vitales para su desenvolvimiento seguro.
3. Identificación de amenazas
Acto seguido se listarán los factores de riesgo relevantes a los pueden verse
sometidos cada uno de los activos arriba nombrados.
7. Conclusiones
8. Consecuencias
A continuación, se listan las amenazas que pueden afectar a dichos activos, indicando
la probabilidad de que estas contingencias ocurran, en una escala del 1 al 3. Esta
probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la
organización.
¿Se ¿Cómo se
Activos Riesgos Consecuencias Efectividad
protege? protege?
Corte imprevisto
Transferencia
del servicio de No
de datos
internet
Uso no
Acceso a Implementando
autorizado de SI E
páginas libres un firewall
internet
Capacitaciones o
Falta de Ineficiencia en
Si contratar nuevo M
experiencia los trabajos
personal
malestar en el
Servicio
trabajo y fallas Dando descanso
mantenimiento Enfermedades SI M
de por enfermedad
maquinaria
manipulación
Implementación
Accidentes Gastos en
SI normas de M
Laborales seguros
seguridad
Destrucción de
los equipos,
Terremoto materiales, SI Zonas seguras M
Servicios de documentos,et
agua y c
electricidad
Denegación de
Fallas eléctricas No
servicios
Corte de Maquinas
No
electricidad inutilizables
Eliminación o
Datos de pérdida Información
SI Backup E
proveedores intencional de perdida
información
Robo de
Capacitaciones
información
Hacker SI en Seguridad E
con fines de
informática
lucro
Eliminación o
Datos de pérdida Información
Si Backup E
trabajadores intencional de perdida
información
Robo de
Capacitaciones
información
Hacker Si en Seguridad E
con fines de
informática
lucro
Robo de
Capacitaciones
información
Datos de cliente Hacker con fines de
Si en Seguridad E
informática
lucro
Eliminación o
pérdida Información
Si Backup E
intencional de perdida
información
Robo de
Capacitaciones
información
Hacker SI en Seguridad E
con fines de
Sistema de informática
lucro
información
Implementación
actual Foxpro Error de
Filtraciones de de privilegios
privilegio de SI E
información para el personal
acceso
de la empresa
utilizando
acceder al
SI políticas de E
sistema
robo de claves seguridad
Capacitaciones
Ataques de virus Control del
si en Seguridad E
informáticos sistema
informática
Accesos a
Sistema Obtener
Manipulación de personal
operativo información del si E
la configuración correspondiente
Windows xp/w7 sistema
del sistema del área
uso de
Errores del compra de
aplicaciones sin si M
sistema licencias
licencia
acceso a la Políticas de
Sistema de BD robo de claves si M
base de datos Seguridad
Deterioro de gasto de
Laptops NO
maquinas recursos
Destrucción de
los equipos,
Incendios materiales, NO
documentos,et
c
Cámaras de
vigilancia Deterioro de Maquinas soporte de
SI D
maquinas malogradas cámaras
Perdida de Retraso en lo
SI Remuneraciones M
personal clave objetivos
Implementación
Trabajadores Accidentes Gastos en
SI normas de M
internos Laborales seguros
seguridad
Baje la Realizando
Huelga SI M
producción acuerdos
insatisfacción
productos
de los
defectuosos
productos
Realizando un
Incumplimiento
Proveedores Desconfianza SI mejor detalle de M
de contrato
los contratos
Fraude Problemas No
Convenios con la
mal manejo de PNP para la
hurto SI D
recurso seguridad del
personal
Gerencia pagos de
General Crisis económica clientes No
retrasados
mala toma de
Enfermedades No
decisiones
Implementación
Accidentes Gastos en
SI normas de M
Laborales seguros
seguridad
Cableado
Estructurado Daños y
pérdidas
Incendios No
materiales para
la empresa
Implementando
Distorsiones en
Fallas en la antenas para
la SI D
comunicación mejor la
comunicación
comunicación
desgaste de la
polvo SI mantenimiento E
maquina
Falta de
Deterioro del SI M
mantenimiento
equipo mantenimiento
Acceso de Privilegios en los
Accesos libres cualquier SI accesos a E
usuarios equipos
robo de inventario de
Disco duros hurto no
información equipos
Mala
La señal es SI D
Comunicación
irregular Colocar antenas
emanación de
Radios electromagnetis SI Adquisición de M
mo interferencia atenas
Intercepten
comunicacione
interceptación No
s privadas de la
empresa
No tener
lugares Ambientes
Oficinas Infraestructura SI M
adecuados para sofisticados para
el trabajo el ámbito laboral
Fallas del aire Generar estrés Implementación
en el lugar de SI de aire M
acondicionado
trabajo acondicionado
Personal no Capacitaciones o
SI contratar nuevo M
calificado
Un mal trabajo personal
Desarrollando un
Robo de La información plan para
SI E
información de la empresa salvaguardar los
se divulgue datos
Ambiente no es Aplicaciones las
Datacenter Exceso de calor SI E
apto para un normativas
datacenter SISCO
Prob.
de
ID Activos Impacto ID Riesgo Riesgos Vulnerabilidad Riesgo
ocurr
en.
Corte
imprevisto del
42 1 33,33 233,33
servicio de
internet
Ruptura de
Servicio de 41 2 66,67 466,67
1 7 cables de red
internet
Uso no
28 autorizado de 3 100,00 700,00
internet
ACTIVO RIESGO R%
Sistema de BD 2333,33 6,01
Gerencia General 2100,00 5,41
Sistema de información actual Foxpro 2000,00 5,15
Datos de cliente 2000,00 5,15
Sistema operativo Windows xp/w7 1866,67 4,81
Tecnologias WIFI 1866,67 4,81
Servicios de agua y electricidad 1800,00 4,64
Servidor 1666,67 4,29
Disco duros 1666,67 4,29
Laptops 1633,33 4,21
tarjeta de memoria 1633,33 4,21
Datos de proveedores 1600,00 4,12
Servidor 1600,00 4,12
Trabajadores internos 1500,00 3,86
Servicio de internet 1400,00 3,61
Datos de trabajadores 1400,00 3,61
Proveedores 1400,00 3,61
Computadoras 1400,00 3,61
Cableado Estructurado 1333,33 3,43
Oficinas 1333,33 3,43
Datacenter 1333,33 3,43
servicio de mantenimiento maquinaria 1200,00 3,09
Cámaras de vigilancia 1000,00 2,58
Radios 666,67 1,72
Teléfonos 600,00 1,55
Impresoras 500,00 1,29
TOTAL 38833,33 100,00
ACTIVOS VULNERABILIDAD V%
Tecnologias WIFI 266,67 5,23
Sistema operativo Windows xp/w7 233,33 4,58
Sistema de BD 233,33 4,58
Laptops 233,33 4,58
Gerencia General 233,33 4,58
tarjeta de memoria 233,33 4,58
Servicio de internet 200,00 3,92
Sistema de información actual Foxpro 200,00 3,92
Teléfonos 200,00 3,92
servicio de mantenimiento maquinaria 200,00 3,92
Servicios de agua y electricidad 200,00 3,92
Datos de proveedores 200,00 3,92
Datos de trabajadores 200,00 3,92
Datos de cliente 200,00 3,92
Cámaras de vigilancia 200,00 3,92
Servidor 200,00 3,92
Proveedores 200,00 3,92
Computadoras 200,00 3,92
Cableado Estructurado 166,67 3,27
Trabajadores internos 166,67 3,27
Servidor 166,67 3,27
Disco duros 166,67 3,27
Impresoras 166,67 3,27
Oficinas 166,67 3,27
Radios 133,33 2,61
Datacenter 133,33 2,61
TOTAL 5100,00 100,00
Análisis de Importancias
Importancia. x Dif. de %
Este resultado no está en escala de 1 a 10, por lo que con una regla
de tres simple, se centran los valores:
IMPORTANCIA
N ACTIVO
IDEAL
9 Sistema de BD 11,11
15 Gerencia General 10,51
7 Sistema de información actual Foxpro 10,25
6 Datos de cliente 10,25
17 Servidor 9,39
21 Disco duros 9,39
19 tarjeta de memoria 9,30
12 Servidor 9,22
8 Sistema operativo Windows xp/w7 8,71
3 Servicios de agua y electricidad 8,57
26 Datacenter 8,53
13 Trabajadores internos 8,51
10 Laptops 8,23
16 Cableado Estructurado 8,12
18 Tecnologias WIFI 7,96
20 Computadoras 7,75
25 Oficinas 7,61
4 Datos de proveedores 7,48
1 Servicio de internet 7,12
5 Datos de trabajadores 7,12
14 Proveedores 7,12
2 Servicio de mantenimiento 6,09
11 Cámaras de vigilancia 5,06
24 Radios 3,90
23 Teléfonos 3,02
22 Impresoras 2,95
TOTAL 203,26
Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los
activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es
necesario para compararlos con los valores relevados que figuran en la tercera
columna. Estos cálculos se realizan sin tener en cuenta la influencia de la importancia,
es decir se representan exclusivamente las debilidades de cada activo, con las medidas
de seguridad que actualmente existen en la institución.