UNIVERSIDAD NACIONAL DE SAN MARTÍN

FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

TEMA: Análisis de Riesgos “Turismo Selva S.A.”

CURSO: AUDITORÍA Y SEGURIDAD EN SISTEMAS DE INFORMACIÓN

DOCENTE: Ing. M.B.A. Carlos Enrique López Rodríguez

ESTUDIANTE:
 Rut Magaly Cardozo Zorrilla
 Terly Tuanama Tuanama
 Daniel Oblitas Fernández

TARAPOTO PERÙ
2018

0
Contenido
PRESENTACIÓN ......................................................................................................................................... 2
I. DETERMINACIÓN DEL CONTEXTO ............................................................................................... 2
A. CONTEXTO ESTRATÉGICO ....................................................................................................................... 2
1.1. ANTECEDENTES DE LA ORGANIZACIÓN ............................................................................... 2
1.2. IDENTIFICACIÓN DE LA ORGANIZACIÓN ............................................................................... 4
1.2.1. RAZÓN SOCIAL......................................................................................................................... 4
1.2.2. RUC .......................................................................................................................................... 4
1.2.3. NOMBRE COMERCIAL ............................................................................................................. 4
1.2.4. ACTIVIDAD ECONÓMICA ......................................................................................................... 4
1.2.5. REPRESENTANTE LEGAL .......................................................................................................... 5
1.2.6. DOMICILIO FISCAL ................................................................................................................... 5
1.2.7. FECHA DE CONSTITUCIÓN ....................................................................................................... 5
1.2.8. AGENCIAS ................................................................................................................................ 5
1.2.9. CORREO ELECTRÓNICO ........................................................................................................... 6
1.2.10. PÁGINA DE FACEBOOK ............................................................................................................ 7
1.2.11. PÁGINA WEB ........................................................................................................................... 7
1.2.12. CAPITAL SOCIAL ....................................................................................................................... 7
B. CONTEXTO ORGANIZACIONAL ................................................................................................................ 7
I. ASPECTOS GENERALES ................................................................................................................. 7
1.1. NATURALEZA DEL NEGOCIO ........................................................................................................ 7
1.2. ÁMBITO ....................................................................................................................................... 7
1.3. VISIÓN ......................................................................................................................................... 8
1.4. MISIÓN ........................................................................................................................................ 8
1.5. VALORES ...................................................................................................................................... 8
1.6. PRINCIPIOS .................................................................................................................................. 9
1.7. ORGANIGRAMA ......................................................................................................................... 10
II. PLANIFICACIÓN ORGANIZACIONAL .......................................................................................... 10
2.1. OBJETIVOS ORGANIZACIONALES............................................................................................... 10
2.2. POLÍTICAS DE LA EMPRESA ....................................................................................................... 11
2.3. ESTRATEGIAS ............................................................................................................................. 12
C. CONTEXTO DE ADMINISTRACIÓN DE RIESGO ....................................................................................... 14
I. OBJETIVOS ......................................................................................................................................... 15
1.1. OBJETIVO GENERAL ................................................................................................................... 15
1.2. OBJETIVOS ESPECÍFICOS............................................................................................................ 15
II. MÉTODO DE ANÁLISIS DE RIESGOS ................................................................................................... 16

1
 1.1. IDENTIFICACIÓN DE LOS ACTIVOS .................................................................................................. 16
1.2. IDENTIFICACIÓN DE LAS AMENAZAS.............................................................................................. 17
1.3. IDENTIFICACIÓN DE RIESGOS ........................................................................................................... 0
1.4. DETERMINACIÓN DE SALVAGUARDAS ............................................................................................. 0
1.5. ESTIMAR EL IMPACTO ...................................................................................................................... 0
1.6. ESTIMAR EL RIESGO ......................................................................................................................... 0

PRESENTACIÓN

La empresa (“TURISMO SELVA S.A.”), es una persona Jurídica de derecho privado

organizado de acuerdo con la ley de la actividad empresarial del estado Ley N° 24948; y
la ley general de sociedades Ley N°26887, cuya actividad principal es brindar servicios de
transporte en tres regiones del Perú (San Martín, Loreto y Amazonas).

En la actualidad las personas buscan los mejores servicios que les garantice seguridad,
ahorro de tiempo y dinero, por lo que la empresa de transporte Turismo Selva cumple con
esos requisitos y estándares del consumidor. El presente trabajo tiene como finalidad
realizar el análisis de riesgos de la empresa para lo cual haremos uso de la metodología
MAGERIT, la cual nos permitirá hacer una buena gestión de los riesgos y proponer las
recomendaciones para mitigarlos en caso de ser necesarios.

I. DETERMINACIÓN DEL CONTEXTO

A. CONTEXTO ESTRATÉGICO
1.1. ANTECEDENTES DE LA ORGANIZACIÓN

(Fuente Pág. Web de la empresa)

Turismos Selva S.A. Surge por la necesidad de atender la demanda de

transporte terrestre entre las Provincias de Rioja, Moyobamba y Tarapoto y

2
es así que el 23 de agosto de 1992, nuestros fundadores, en una sesión

extraordinaria con un grupo de transportistas, se discutió la problemática que

existía en aquel entonces y es así como se dio inicio al servicio de transporte

terrestre, es histórico recordar y dar a conocer que en aquel entonces las

condiciones de las vías, las economías y otros factores eran muy precarias,

existían informalidades por doquier.

La empresa se inició con 12 accionistas de los cuales la mayoría eran

choferes y dueños de los vehículos, actualmente cuanta con 135 accionistas,

por lo que el precio para ingresar y tener una acción en la empresa es S/.

80,000.00, para toda ruta, las condiciones para ser parte de esta empresa

es contar con vehículos “00km y techo alto”.

Nuestros fundadores siempre buscaron la formalización y es una virtud que

hasta ahora predomina en todos nuestros accionistas, por lo que después

de haber llevado la sesión extraordinaria, se constituyó la “ASOCIACIÓN DE

TRANSPORTES Y TURISMO SELVA” la misma que funcionó hasta marzo

del 2003. En abril del 2003 adecuándonos a las nuevas normativas del MTC

se constituyó la EMPRESA DE TRANSPORTES Y SERVICIOS

TURÍSTICOS SELVA S.A. que lleva el nombre comercial “TURISMO SELVA

S.A”.

Desde sus inicios y por el mismo fin del cual se creó nuestra empresa,

brindamos el servicio de transporte público interprovincial de personas por

vías terrestres en el ámbito de la región san Martin, Amazonas y provincia

de alto Amazonas – Yurimaguas. Somos formadores de una organización

empresarial, con estrategias y amplia experiencia en la prestación de los

servicios de Transporte, siendo nuestra mejor carta de presentación, la

3
 calidad de nuestros servicios, la fidelidad y recomendación de nuestros

clientes.

Contamos con una flota vehicular de 250 Microbuses (Tipo combis), con

conductores profesionales, con una red de terminales terrestres propios

ubicados en las mejores zonas de Nueva Cajamarca, Rioja, Moyobamba,

Tarapoto, Juanjuí, Yurimaguas, Bagua, Chachapoyas y agencias anexas en

todas nuestras rutas. Por iniciativa propia, utilizamos estándares de control

estricto de todas nuestras unidades vehiculares por recorrido en kilometrajes

y nuestros conductores y personal administrativo son capacitados para

brindarles la mayor seguridad y confianza que cada usuario se merece. Es

así, que TURISMO SELVA S.A. es una empresa prestigiosa, gracias al

esfuerzo, perseverancia y visión de todos nuestros accionistas, líderes y

fundamentalmente a la confianza de nuestros usuarios, a quienes

expresamos nuestra gratitud imperecedera.

1.2. IDENTIFICACIÓN DE LA ORGANIZACIÓN

1.2.1. RAZÓN SOCIAL

 Empresa De Transportes Y Servicios Turísticos Selva S.A

1.2.2. RUC

 20531406614

1.2.3. NOMBRE COMERCIAL

 Turismo Selva S.A.

1.2.4. ACTIVIDAD ECONÓMICA

 Servicio de trasporte y encomiendas

4
1.2.5. REPRESENTANTE LEGAL

NOMBRE CARGO
JHONI RICHARD MARTÍNEZ CANSINO GERENTE GENERAL

1.2.6. DOMICILIO FISCAL

 Dirección: Jr. Alfonso Ugarte Cdra. 11

1.2.7. FECHA DE CONSTITUCIÓN

01 de junio del 2003

1.2.8. AGENCIAS

 AGENCIA 2DA JERUSALEN

- Dirección: AV. SAMARIA S/N
- Teléfono: 970053332
 AGENCIA AGUAS VERDES
- Dirección: JR. SAN MARTIN CDRA. 06 - RIOJA
- Teléfono: 945446324
 AGENCIA BAGUA CAPITAL
- Dirección: AV. HÉROES DEL CENEPA S/N
- Teléfono: . #945511296
 AGENCIA BAGUA GRANDE
- Dirección: AV. CHACHAPOYAS N° 1664
- Teléfono: #945509806
 AGENCIA CHACHAPOYAS
- Dirección: TERMINAL TERRESTRE MUNICIPAL A- 01
(JR. TRIUNFO CDRA. 02)
- Teléfono: 961659443
 AGENCIA JUANJUI
- Dirección: JR. ARICA N° 113
- Teléfono: 942400196
 AGENCIA MOYOBAMBA
- Dirección: JR. CALLAO CDRA. 04
- Cel: 942414215 - Fijo: 042562211

5
  AGENCIA NARANJILLOS
- Dirección: JR. SAN MARTIN CDRA 06 - RIOJA
- Teléfono: 975790400
 AGENCIA NARANJOS
- Dirección: JR. SAN MARTIN CDRA. 06 - RIOJA
- Teléfono: 943980163
 AGENCIA NVA CAJAMARCA
- Dirección: JR. TACNA N° 548
- Teléfono: 942400195
 AGENCIA PEDRO RUIZ
- Dirección: AV. MARGINAL N° 231
- Teléfono: #971910708
 AGENCIA POMACOCHAS
- Dirección: CAR. MARGINAL NRO. 500 BARRIO SAN
LUCAS
- Teléfono: #953980269
 AGENCIA RIOJA
- Dirección: JR. SAN MARTIN CDRA 06 - RIOJA
- Teléfono: 042559015
 AGENCIA TARAPOTO
- Dirección: JR. ALFONSO UGARTE CDRA. 11
- Teléfono: 942414214
 AGENCIA TOCACHE
- Dirección: JR. JORGE CHÁVEZ N° 343
- Telefono: #966175598
 AGENCIA YURIMAGUAS
- Dirección: ...........Pasaje Los Claveles N° 104
- Teléfono: 942400199
1.2.9. CORREO ELECTRÓNICO

 selva@turismoselva.com

6
 1.2.10. PÁGINA DE FACEBOOK

 https://www.facebook.com/empresaturismoselva/

1.2.11. PÁGINA WEB

 http://turismoselva.com

1.2.12. CAPITAL SOCIAL

 S/. 20 000 000.00

El capital social de Turismo Selva, S.A. es de S/. 20 000 000.00 y

está compuesto por 135 accionistas, siendo en total 250 acciones,
de S/. 80 000.00 de valor nominal cada una, hallándose totalmente
suscrito.

B. CONTEXTO ORGANIZACIONAL
I. ASPECTOS GENERALES

1.1. NATURALEZA DEL NEGOCIO

 Servicio postal: Encomiendas, sobres, paquetes entre otros.

 Transporte de pasajeros interprovincial, San Martin, Loreto y
Amazonas
 Servicio Movilidad a disposición Full Day.

1.2. ÁMBITO

 San Martin
 Loreto
 Amazonas

La empresa turismo Selva hace sus servicios con sus recorridos en el

departamento de San Martín a la mayoría de las provincias, en el
departamento de Loreto hace su ruta a Yurimaguas y por último en el
departamento de Amazonas hace servicios a Chachapoyas,
Pomacochas, Pedro Ruíz, Bagua chica y Bagua grande.

7
1.3. VISIÓN

(Fuente: página web de la empresa)

Ser una empresa líder, referente del transporte de personas por vía
terrestre garantizando a los clientes costos económicos y a la vez
seguridad y calidad; así como ampliar los servicios a nuevos
mercados.

1.4. MISIÓN

(Fuente: Página web de la empresa)

La Misión de TURISMO SELVA S.A. es prestar servicios de transporte

interprovincial de personas por vía terrestre en la Región San Martín
y Yurimaguas – Provincia de Alto Amazonas Región Loreto; y servicio
de transporte turístico a nivel nacional destinada a satisfacer la
demanda de los clientes empleando para ello recursos humanos
capacitados, identificados con la empresa y sus valores, así como
vehículos modernos que responden a las exigencias y realidad
regional complementando los servicios con una red de Terminales
Terrestres propios.

1.5. VALORES

(Fuente página web de la empresa)

 Responsabilidad: A la hora de entregar una encomienda,

paquete o sobre u otros, con la puntualidad y cuidando de cada
uno de los bienes de los usuarios”. (Fuente propia)
 Honradez: “Cualquier objeto que es olvidado dentro de las
instalaciones de la empresa se procede a su respectiva
devolución a sus dueños, comunicando a todas las agencias y
emitiendo comunicados. Demostrando de esta manera ser una
empresa con valores éticos y morales”. (Fuente propia)
 Respeto: “Existe un clima laboral adecuado entre todos los
colaboradores, directivos y clientes, manejando una

8
 comunicación de confianza, impartiendo humildad y honradez.”
(Fuente propia)
 Seguridad y calidad: Nuestro trabajo siempre debe realizarse
con seguridad obedeciendo a las normas y estándares
emitidos por el MTC, asimismo, perseguir sin descanso la
calidad de nuestro servicio, haciendo siempre nuestro mejor
esfuerzo para alcanzar los resultados.

1.6. PRINCIPIOS

(Fuente propia)
 DIVISIÓN DEL TRABAJO: La especialización incrementa la
producción al hacer más eficiente al empleado.
 AUTORIDAD: Los administradores deben de ser capaces de
dar órdenes. En donde se ejerce la autoridad, surge la
responsabilidad.
 DISCIPLINA: Los empleados deben de obedecer y respetar las
reglas que gobiernan la organización.
 UNIDAD DE DIRECCIÓN: Cada grupo de actividades
organizacionales que tienen el mismo objetivo deben de ser
dirigidas por un administrador que utiliza un solo plan.
 REMUNERACIÓN: Los colaboradores deben de recibir un
salario justo por sus servicios.
 ORDEN: Las personas y los materiales deben estar en el sitio
adecuado en el momento preciso.
 ESPÍRITU DE EQUIPO: El promover espíritu de equipo creará
armonía de unidad dentro de la organización.

9
 1.7. ORGANIGRAMA

II. PLANIFICACIÓN ORGANIZACIONAL

2.1. OBJETIVOS ORGANIZACIONALES

 Objetivo general
La Empresa de transporte y servicios turísticos TURISMO
SELVA S.A. tiene por objetivo principal el satisfacer las
necesidades de los clientes brindando un servicio de calidad,
seguridad, comodidad y puntualidad. (Fuente página de la
empresa)

 Objetivos Específicos
(Fuente propia)
 Colaboración y participación de toda nuestra plantilla en
la consecución de la satisfacción de nuestros clientes.

10
  Recibir, recolectar enviar y/o distribuir las encomiendas,
ejecutando procedimientos de lícito comercio, regidos
por las leyes nacionales e internacionales.
 Prestar atención telefónica y personalizada al cliente,
brindándole respuestas oportunas y precisas acerca de
las posibles eventualidades y siniestros que se puedan
presentar en la distribución de sus encomiendas.

2.2. POLÍTICAS DE LA EMPRESA

(Información proporcionada por la empresa)

Empresa de Transportes Turismo Selva S.A., es una empresa de

capital privado dedicado al transporte de personas, carga y
encomiendas por carretera y está comprometida a realizar una
gestión empresarial eficiente.
Nuestra política de calidad está orientada a satisfacer los
requerimientos de nuestros clientes asegurando la calidad con los
estándares establecidos, logrando así la excelencia empresarial y la
mejora continua en el desarrollo de nuestras actividades.
De acuerdo con lo anterior, el compromiso de la Empresa de
Transportes Turismo Selva S.A. es:
 Transportar personas, carga y encomiendas por carretera con
unidades modernas con la mayor seguridad, rapidez y calidad
en cada operación con el fin de satisfacer a consumidores y
clientes.
 Buscar permanentemente la mejora continua de los procesos,
a través de la participación, involucramiento, motivación y
capacitación del personal hacia el logro de la excelencia del
servicio que brindamos.
 Cumplir con las normas legales vigentes y otros requisitos que
suscriban nuestra organización con relación a la calidad.
 Hacer de conocimiento esta política de Calidad a todo el
personal de la empresa, así como de poner a disposición de
los interesados la presente política.

11
  Aplicar eficazmente nuestros estándares de calidad,
seguridad y salud ocupacional, medio ambiente y respeto de
las comunidades como parte integral del negocio, tanto en las
labores diarias como en las decisiones técnicas y comerciales
que permitan asegurar la mejora continua del desempeño del
Sistema Integrado de Gestión, así como la optimización de los
procesos que permitan incrementar la satisfacción de nuestros
clientes, reducir los incidentes tanto en seguridad y salud
ocupacional, proteger el ambiente, prevenir la contaminación
y promover el respeto de las comunidades.
 Proteger la seguridad y salud de todos los miembros de la
organización mediante la prevención de lesiones, dolencias,
enfermedades e incidentes ocupacionales; y la promoción de
la consulta y participación de los colaboradores y sus
representantes, clientes y proveedores, en la gestión de la
seguridad industrial y salud ocupacional.
 Promover el desarrollo profesional de los colaboradores
tomando acciones para mejorar sus competencias; así como,
asegurar la toma de conciencia en materia de calidad,
seguridad y salud ocupacional, medio ambiente y respeto de
las comunidades.
 Respetar la cultura, valores y costumbres de las diversas
comunidades regionales y nacionales en donde se realizan
nuestras operaciones.

2.3. ESTRATEGIAS

(Fuente Propia)

 Una red flexible: Se adapta a los requerimientos de pasajeros

según horas del día, días de la semana y temporadas del año. La
misma varía enormemente en agosto cuando está cerrado el
período escolar o a principios de año en los primeros días del mes
de enero, pero muy alta en la época decembrina.

12
 Fijar presupuestos y medir el progreso: “Si no lo puedes medir,
no lo puedes administrar ni controlar”. Hay que realizar y revisar
controles considerando aspectos tales como servicios, líneas,
tasas e incluso tomar en cuenta indicadores claves, con estas
medidas se garantiza el cobro justificado del servicio y los precios
más bajos sin comprometer la calidad de este.
 Mejorar las estrategias del proceso: Referido principalmente a
la mejora de las estrategias actuales, adaptación de experiencias
exitosas de otras ciudades y creación de nuevos modos.
 Optimizar el cumplimiento de entrada: Cuando se establece un
precio óptimo es a consecuencia de una programación de rutas
congruente, entre otras variables, es indispensable tener un
estricto control de rutas para evitar los costos derivados del
combustible o mantenimiento innecesarios, el precio a cobrar por
usuario debe reflejar estos costes asociados como la limpieza de
unidades, repuestos, salarios de choferes y turnos de trabajo de
estos.
 Mejorar la planeación del transporte: Cada viaje de cada unidad
representa una suma de costes asociados. No se pueden crear
líneas con unidades de alta capacidad para circuitos de baja
demanda, eso no implica desasistir este tipo de rutas, pero si exige
el estudio apropiado de cada una de ellas, los tiempos de rutas
según horas del día, la presencia, diseño y disposición de paradas,
son distintas las rutas y las velocidades de estas, del centro de
ciudad y de las afueras. Las que van al paradero o a ese lugar
turístico especial, las que circulan por vías expresas y las que van
en calles de tránsito lento a un carril. Todas ellas merecen un
estudio profundo a nivel individual y a nivel de sistema pues es
impensable estudiar cada caso en solitario sin tomar en cuenta sus
intersecciones.
 Perfeccionar la consolidación de salida: Asegurarse de llenar
las unidades a su máxima capacidad en cada parada, disminuir los
tiempos de entrada y salida de usuarios.

13
  Optimizar la visibilidad: Llevar una sala de monitorización del
sistema para así garantizar la seguridad y fiabilidad de este. Esta
sala dispondría de planes de contingencia en situaciones de
emergencia o de sucesos inesperados. Instalación de paneles con
el tiempo de espera en cada parada, de no poseer presupuesto
para eso, lograr que se respeten los intervalos de autobuses de
cada línea en cada parada, realización de una campaña
publicitaria explicando a la población los cambios que se realizan
y los proyectos que se tienen en mente, incluyendo sus opiniones
en la toma de decisiones.
 Corregir los procesos de ejecución: Referido a procesos
programados de auditoría para asegurar que la calidad del servicio
no decrece y si lo hace, establecer mecanismos de mejora
continua. Se recomienda la implantación de sistemas.
 Integrar: Quizás el punto más importante, podríamos leerlo como
“Sistematizar” el transporte. Proponer una estructura coherente
con el tejido urbano en donde se encuentra, esto es, asociar el
trazado de rutas y su funcionamiento con el lienzo de usos del
suelo, los espacios públicos de interés o de recreo, sitios históricos
o turísticos y finalmente espacios comerciales y de servicios.
Integrar, también es asociar distintos sistemas de transporte
público. Diseñar “intercambiadores” para los mismos, sitios donde
confluyen dos o más de estos sistemas, acompañar la política de
comunicación para que el usuario pueda navegar entre todas las
opciones de la forma más natural posible, en fin, asociar cada uno
de los puntos anteriormente mencionados como una sola
propuesta coherente y funcional.

C. CONTEXTO DE ADMINISTRACIÓN DE RIESGO

El desarrollo de este trabajo está definido para el área de sistemas de información
de la empresa Turismo Selva S.A.

 Riesgo: Es la posibilidad que un evento impacte negativamente sobre las

actividades y objetivos de la empresa

14
 Administración del riesgo: Es el término aplicado a un método lógico y
sistemático de establecer el contexto, identificar, analizar, evaluar, tratar,
monitorear y comunicar los riesgos asociados con una actividad, función o proceso
de una forma que a las organizaciones minimizar pérdidas y maximizar
oportunidades, es decir, es tanto identificar las oportunidades como también evitar
o mitigar las pérdidas.
 Análisis de riesgos informáticos: Es un proceso que comprende la identificación
de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos, así como su probabilidad de ocurrencia y el impacto de estas, a fin de
determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
 Activo: Es un objeto o recurso de valor empleado en una empresa u organización
 Activo informático: Son aquellos recursos (hardware y software) con los que
cuenta una empresa.
 Amenaza: Es un evento que puede causar un incidente de seguridad en una
empresa u organización produciendo pérdidas o daños potenciales en sus activos.
Causa potencial de un incidente que puede causar daños a un sistema de
información o a una organización. [UNE 71504:2008]
 Vulnerabilidad: Es una debilidad que puede ser explotada con la materialización
de una o varias amenazas a un activo.
 Impacto: Se denomina impacto a la medida del daño sobre el activo derivado de
la materialización de una amenaza.
 Control: Es un mecanismo de seguridad de prevención y corrección empleado
para disminuir las vulnerabilidades

I. OBJETIVOS
1.1. OBJETIVO GENERAL
Desarrollar el análisis y gestión de riesgo de la empresa de
transportes TURISMO SELVA S.A. – Tarapoto.

1.2. OBJETIVOS ESPECÍFICOS

 Evaluar la situación actual, con respecto a sus activos de
información de la empresa.
 Identificar y clasificar los riesgos existentes y posibles amenazas.
 Proponer medidas de mitigación frente a los riesgos encontrados.
15
II. MÉTODO DE ANÁLISIS DE RIESGOS
1.1. IDENTIFICACIÓN DE LOS ACTIVOS

a. Activos de Software
 Información
 Base de datos
 Factura electrónica
 App móvil
 Página web
 Correo electrónico
 Sistema operativo windows
b. Activos de Hardware
 Computadoras
 Impresoras matriciales (imprimir guías)
 Impresoras térmicas (imprimir boletas y facturas)
 Teléfonos
c. Activos de Información
d. Activos de personas
 Administradores
 Usuarios generales
 Desarrolladores
DIMENSIONES DE SEGURIDAD
 Confidencialidad: ¿qué daño causaría que los datos alguien ajeno a la
empresa?
 Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
 Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
 Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o
ha hecho cada cosa?
 Trazabilidad:
 Del uso del servicio: ¿qué daño causaría no saber a quién se le presta
tal servicio? O sea, ¿quién hace qué y cuándo?
 Del acceso a los datos: ¿qué daño causaría no saber quién accede a
qué datos y qué hace con ellos?

16
 VALORACIÓN DE LOS ACTIVOS

1.2. IDENTIFICACIÓN DE LAS AMENAZAS

ACTIVO AMENAZA

Ataques cibernéticos

Infección del Software

SOFTWARE
Software desactualizado

Mala administración de software

fallos de suministros del fluido eléctrico

Fallas naturales en los equipos informáticos y Recalentamiento

HARDWARE
Vida útil de equipos

Mantenimiento deficiente

Manipulación y mal uso de la información

INFORMACIÓN Poco espacio de almacenamiento

Accesos no autorizados

Mala manipulación de los equipos

PERSONAL Errores en la configuración

Acceso no autorizado a áreas restringidas y equipos

a) Valoración de la amenaza según su el impacto

Nivel Descripción
1 Muy baja
2 Baja
3 Media
4 Alta
5 Muy alta
b) Valoración de la amenaza según la probabilidad de ocurrencia

Nivel Descripción
1 Muy frecuente
2 Frecuente
3 Normal
4 Poco frecuente
5 Muy poco frecuente

17
 1.3. IDENTIFICACIÓN DE RIESGOS

Activo Software

ACTIVO AMENAZA RIESGO LOCALIZACIÓN DAÑO DESCRIPCIÓN DEL RIESGO DEL RIESGO

La información de la empresa se Riesgo de que el software sea vulnerable de estos

Manipulación y
Ataques Oficinas de la encuentra vulnerable ante atacantes, afectando sus sistemas de información,
perdida de
cibernéticos empresa cualquier atacante que intenta aplicación, a la base de datos, ocasionando serios
información
hacer algún daño problemas para la oficina.

Inestabilidad de los softwares que Riesgo de que se produzca un mal funcionamiento de

Inestabilidad y fallas
Infección del Oficinas de la salvaguardan la información y los sistemas informáticos, el cual generará retraso en la
continuas en los
software empresa fallas continuas en los procesos de ejecución de procesos que se establecen para el
procesos
la empresa. sistema
Software
Demora el proceso de los
problemas con Riesgo que se produzca lentitud en el funcionamiento
Software Oficinas de la sistemas, probabilidad
Software legal y de los sistemas, además no se podrá utilizar de manera
desactualizado empresa incremental de vulnerabilidades y
posibles ataques eficiente dichas aplicaciones
virus.

Incompatibilidad del
Mala Riesgo de atrasos o truncamientos der las laborales,
software, mal Oficinas de la Mal funcionamiento de
administración que no permiten el desarrollo de las tareas, actividades
funcionamiento de los empresa aplicaciones, retrasos en las
del software y procesos
sistemas labores cotidianas

0
Activo Hardware

ACTIVO AMENAZA RIESGO LOCALIZACIÓN DESCRIPCIÓN DEL RIESGO

Corto circuito e interrupciones

Fallos de suministro Oficina de la Deterioro de los equipos e interrupción de las
en el Funcionamiento de los
del fluido eléctrico empresa actividades de la Empresa.
equipos informáticos

Muchas veces los equipos cuentan con errores en su

Perdida de la información. funcionamiento, en estos casos muchos equipos sufren
muchas averías hasta perdida de información
Fallas naturales en
los equipos oficinas de la Al Tener un Recalentamiento de los equipos y fallas
informáticos y Daños en el Hardware. empresa Naturales hay un riesgo de Daños en el hardware
Recalentamiento (Averías, errores en su funcionamiento).
HARDWARE
Al Haber un retraso en las actividades de la empresa el
Retraso en las Actividades.
personal no acaba con las tareas programadas

Deterioro y Fallas Constantes Las actividades de la empresa se interrumpen por el

Oficinas de la
Vida útil de equipos de Equipos y Perdida de la deterioro del hardware lo cual conlleva a la perdida de
Empresa
Información. la información y valor.

Mal funcionamiento e El computador se cuelga o no funciona bien lo cual

Mantenimiento inestabilidad de los equipos. Oficinas de la conlleva a un atraso en las actividades de la empresa.
deficiente Interrupción de tareas de Empresa El computador se cuelga o no funcione bien; es decir no
usuario. se realiza el trabajo de manera eficiente.

1
Activo de Información

ACTIVO AMENAZA RIESGO LOCALIZACIÓN DESCRIPCIÓN DEL RIESGO

Por alguna mala gestión cometida o no se cumplió el

Destruir la reputación y el reglamento estipulado, conlleva a una Mala Reputación y
honor de la Empresa. honor de la Empresa lo cual sería perjudicial para la marcha del
Oficinas de la Negocio.
Manipulación y mal uso
empresa y fuera
de la información Por alguna mala gestión cometida o no se cumplió el
de ellas.
reglamento estipulado, conlleve a un problema legal que
Problemas Legales.
Información tendríamos que afrontar y esto generaría un gasto económico
para la empresa.

Poco espacio de Oficina de La Información tiende a estar desordenada y hasta puede

Perdida de la información.
almacenamiento Informática perderse.

Robos, sabotajes, Los Usuarios y personas ajenas a la empresa pueden robar,

Acceso no autorizado alteración y divulgación de Oficinas de la sabotear, extraer, modificar y divulgar la información de la
información. empresa empresa.

2
Activo de Personal

ACTIVO AMENAZA RIESGO LOCALIZACION DAÑO DESCRIPCIÓN DEL RIESGO

El personal no realiza bien su trabajo, y afecta al

Mala Perdida o daños en los sistemas desarrollo de las actividades y procesos que se
Oficinas de la Metas, tareas, procesos y
manipulación de de información y equipos realizan en cada oficina, aparte puede darse el
empresa actividades incompletas
los equipos informáticos abandono de cargo por falta de beneficios y de
motivación.

La información y datos son

Personal afectados, des
Errores en la Inestabilidad de los sistemas, Oficinas de la El personal demora en las tareas, y trata de
configuración de los
configuración retrasos de procesos. empresa manipular los equipos sin autorización
sistemas y procesos
atrasados

Acceso no
autorizado a Perdidas económicas, Riesgo de que el personal exponga información
Robo o pérdida de equipos e Oficinas de la
áreas información y de activos de privada y confidencial que solo le compete a
insumos, hurto de información empresa
restringidas y la empresa ciertas áreas de la empresa.
equipos

3
4
 1.4. DETERMINACIÓN DE SALVAGUARDAS

 Activo Software
Manipulación y pérdida de información
Inestabilidad y fallas continúas en los procesos
Problemas con Software legal y posibles ataques
Incompatibilidad del software, mal funcionamiento de los sistemas

 Activo Hardware
1. Corto circuito e interrupciones en el Funcionamiento de los equipos informáticos
2. Perdida de la información.
3. Daños en el Hardware.
4. Retraso en las Actividades.
5. Deterioro y Fallas Constantes de Equipos y Perdida de la Información.
6. Mal funcionamiento e inestabilidad de los equipos
7. Interrupción de tareas de usuario.

 Activo de Información
1. Cortó circuito e interrupciones en el Funcionamiento de los equipos informáticos.
2. Problemas Legales.
3. Perdida de la información.
4. Robos, sabotajes, alteración y divulgación de información.

 Activo de Personal
1. Perdida o daños en los sistemas de información y equipos informáticos
2. Inestabilidad de los sistemas, retrasos de procesos.
3. Robo o pérdida de equipos e insumos, hurto de información

0
1.5. ESTIMAR EL IMPACTO

1.6. ESTIMAR EL RIESGO

IDENTIFICACIÓN DE LOS RIESGOS

ANÁLISIS DE LOS RIESGOS

EVALUACIÓN DE LOS RIESGOS

TRATAMIENTO DE LOS RIESGOS

COMUNICACIÓN Y CONSULTA

SEGUIMIENTO Y REVISIÓN