InformeFinal LabSeg

UNIVERSIDAD NACIONAL DE SAN CRISTOBAL DE HUAMANGA
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
“IMPLANTACIÓN DE UN SGSI EN LA EMPRESA CAIDES SRL

CONSULTORES Y CONTRATISTAS”
CURSO : SEGURIDAD INFORMÁTICA
SIGLA : IS – 444
DOCENTE : Ing. LAGOS BARZOLA, Manuel
INTEGRANTES :
 PALOMINO CHIPANA, Félix del Omar

 PARIONA PAREDES, Abel
 TINCO INCA, Xristian
AYACUCHO - PERÚ
2017
INTRODUCCIÓN
La informática ha pasado a formar parte de la actividad cotidiana de empresas y

particulares. Los computadores almacenan información, la procesan y la
transmiten a través de redes. Cuanto mayor es el valor de la información
gestionada, más importante es asegurarla.
La información es hoy en día uno de los activos más importantes de las

organizaciones y como tal requiere de una protección adecuada. La seguridad
de información protege a ésta de un amplio espectro de amenazas, a efectos de
asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de inversiones y las oportunidades del negocio.
La información puede existir de muchas formas, puede ser impresa o escrita en

papel, almacenada electrónicamente, transmitida por correo o electrónicamente,
o hablada en conversaciones. En el ambiente competitivo de hoy en los
negocios, esa información está constantemente bajo la amenaza de muchas
fuentes, que pueden ser internas o externas, accidentales o maliciosas. Con el
incremento del uso de nuevas tecnologías para almacenar, transmitir y recobrar
información, se abre a un mayor número y tipos de amenazas.
Los Sistemas de Gestión de la Seguridad de la Información (SGSI) son una

manera sistemática de manejar la información sensible de una compañía para
que permanezca protegida. Esto abarca a personas, procesos y tecnologías de
la información.
CONTENIDO
CAPÍTULO I ...................................................................................................... 5
DESCRIPCIÓN Y ANTECEDENTES ................................................................ 5
1.1.- OBJETIVOS DE LA INVESTIGACIÓN .............................................. 5
1.1.1.- Objetivo General ........................................................................ 5
1.1.2.- Objetivos Especificos ................................................................. 5
1.2.- Alcance ............................................................................................. 5
1.3.- Controles .......................................................................................... 5
1.4.- Pensamiento Estratégico .................................................................. 6
1.4.1 - Misión ......................................................................................... 6
1.4.2 - Visión ......................................................................................... 6
1.4.3 - Objetivos Estratégicos ................................................................ 6
1.4.4 - Políticas...................................................................................... 7
1.4.5 - Servicios Generales ................................................................... 7
1.4.6 - Estructura Orgánica ................................................................. 10
CAPÍTULO II ................................................................................................... 11
MARCO TEÓRICO ......................................................................................... 11
2.1. Situación Actual de la Seguridad ........................................................ 11
2.2. Métodos y Procedimientos ................................................................. 11
2.3. Estableciendo criterios de medición de riesgos .................................. 14
2.4. Desarrollar un perfil de activos de información ................................... 16
2.5. Identificar los Contenedores de los Activos Informáticos .................... 16
CAPÍTULO III .................................................................................................. 21
ANÁLISIS DE RIESGOS ................................................................................. 21
3.1.- Activos de Información de la empresa ............................................ 21
3.1.1.- Datos o información ................................................................. 22
3.1.2.- Servicios Internos ..................................................................... 22

3.1.3.- Software – Aplicaciones informáticas ....................................... 22
3.1.4.- Hardware .................................................................................. 22
3.1.5.- Redes de comunicaciones ....................................................... 22
3.1.6.- Soporte de Información ............................................................ 23
3.1.7.- Equipamiento auxiliar ............................................................... 23
3.1.8.- Instalaciones ............................................................................ 23
3.1.9.- Personal ................................................................................... 23
3.2.- Valoración de los Activos ................................................................ 23
3.3.- Identificación y Valoración de Activos ............................................. 25
3.4.- Identificación de las Amenazas ....................................................... 29
3.5.- Valoración de las Amenazas ........................................................... 37
CAPÍTULO IV.................................................................................................. 47
GESTIÓN DE RIESGOS ................................................................................. 47
4.1. Identificación de los Riesgos Críticos ................................................. 47
Formulario para Autodiagnóstico.........................¡Error! Marcador no definido.
(ISO 17799) ........................................................¡Error! Marcador no definido.
ANEXOS ......................................................................................................... 49
ANEXO A ........................................................¡Error! Marcador no definido.

CAPÍTULO I
DESCRIPCIÓN Y ANTECEDENTES
1.1.- OBJETIVOS DE LA INVESTIGACIÓN
1.1.1.- Objetivo General
Implantar un Sistema de Gestión de Seguridad de la Información (SGSI) en la
para la empresa CAIDES SRL Consultores y Contratistas, basado en la ISO
27001.
1.1.2.- Objetivos Especificos

 Establecer el documento como una guía práctica para el usuario y/o
interesado en la que se puede mostrar la importancia de la seguridad de
información.
 Generar una cultura de seguridad de la información, permitiendo que los
miembros de la organización tomen conciencia de la importancia de
proteger y resguardar la información.
 Conocer los problemas de seguridad de la información en la organización.
 Proponer mecanismos y servicios que salvaguarden la información de la
empresa.
1.2.- Alcance
La implantación de la metodología de SGSI se aplicará específicamente al
departamento de proyectos, siendo está considerada como la más importante
para el correcto funcionamiento de la organización.
1.3.- Controles
Son las políticas, procedimientos, prácticas y estructuras organizacionales que
sirven para reducir riesgos y además proporcionan cierto grado de seguridad de
que se alcanzarán los objetivos del negocio detectando e indicando errores de
planeación, organización o dirección. Los controles deben ser definidos por la
Alta Gerencia, formar parte de la cultura organizacional del control, lo que implica
un proceso de capacitación, y determinar sus objetivos de forma clara y precisa
[Tupia 2009].
Los tipos de controles son [Tupia 2009]:
 Disuasivos: Su presencia quita la voluntad de realizar una acción en

contra de alguna política o procedimiento establecido y considerado
correcto. Por ejemplo: cámaras de seguridad, señalética.
 Preventivos: Previenen errores antes de que se manifiesten por medio
de monitoreo constante. Por ejemplo: política de contratación y
segregación de funciones.
 Detectivos: Detectan que ha ocurrido un error, una omisión o un acto
malicioso y lo reportan. Por ejemplo: auditoria de accesos, mensajes de
error, doble verificación de cálculos.
 Correctivos: Solucionan los problemas detectados por los controles
detectivos, minimizando el impacto de una amenaza, corrigiendo los
errores y modificar el sistema para minimizar los problemas futuros. Por
ejemplo: planes de contingencia y restauración, copias de seguridad.
 Propios de cada área administrativa y operativa de las organizaciones,
como financieros, contables, de Sistema de Información, entre otros.
1.4.- Pensamiento Estratégico

1.4.1 - Misión
Brindar servicios multidisciplinarios a instituciones y organizaciones del sector
público y privado en gestión integral para el desarrollo económico y social.
1.4.2 - Visión
Ser la empresa consultora y contratista de Clase Nacional más destacada a
nivel Regional, realizando arquitectura social y desarrollo económico a través
de sus profesionales y uso de tecnología adecuada, impulsando el bienestar
del ser humano con base en los valores universales.
1.4.3 - Objetivos Estratégicos

a) Mejorar la capacidad organizativa y/o administrativa de las organizaciones
de naturaleza pública y/o privada.
b) Apoyar y consolidar el desarrollo de los sistemas organizativos
empresariales.
c) Contribuir en el desarrollo social de la población, a través de la
participación con la optimización y adecuado uso de los recursos públicos.
d) Facilitar la consolidación de organizaciones en la etapa de introducción.
e) Proporcionar información adecuada y asesorar a organizaciones, en las
tendencias del mercado actual, enfocada de acuerdo al tipo de persona
jurídica.
1.4.4 - Políticas
a) Garantizar la plena satisfacción de los clientes con el servicio brindado.
b) Proveer de adecuados instrumentos de gestión a las Instituciones
públicas y privadas que lo requieran.
c) Fomentar el desarrollo de las Micro y Pequeñas empresas.
1.4.5 - Servicios Generales
Servicio en desarrollo
económico productivo: proveer
de capacitación y asistencia
técnica a pequeños productores
organizados, desde el enfoque del
desarrollo económico rural.
Servicios de desarrollo
empresarial que constituye
brindar servicio de desarrollo
empresarial, proveyendo
capacitación y asistencia técnica
a micro y pequeñas empresas
en gestión empresarial.
Servicio en gestión pública y

desarrollo local que involucra
brindar servicio en gestión pública y
desarrollo institucional, con soporte
técnico a gobiernos locales en
procesos concertados y
participativos; así como, el
desarrollo de capacidades para la
transferencia de tecnologías. de
igual manera asistir a jóvenes
organizados, en el marco de
proyectos de desarrollo, a mejorar su
posicionamiento social y político en el nivel local, regional y nacional.
Servicio en planificación,
seguimiento y evaluación:
planificación y formulación de
proyectos en el marco del sistema
nacional de inversión pública y
seguimiento en todo el ciclo de la
gestión de los proyectos de
desarrollo; asimismo,
proporcionar apoyo a las
organizaciones sociales e
instituciones en procesos de
planeamiento estratégico.
En la actualidad se están consolidando esfuerzos, para el desarrollo integral de

las otras funciones y del ejercicio de actividades de los otros departamentos,
(DPTO. DE DESARROLLO ECONÓMICO, GESTIÓN PÚBLICA Y
DESARROLLO LOCAL y DE DESARROLLO EMPRESARIAL), además se
amplían los fines y objetivos de la empresa con la adhesión de la función de
ejecución de obras.
La actividad, en la que actualmente se ciñen mayores esfuerzos, es la
elaboración de proyectos, tanto perfiles como expedientes técnicos, actividades
que forman parte de las funciones del Departamento de Proyectos de la empresa
CAIDES SRL.
SERVICIOS ESPECÍFICOS:
 Elaboración y formulación de perfiles y expedientes técnicos.

 Ejecución y liquidación de obras públicas y privadas.
 Asesoramiento y diseño de modelos de Perfiles y Expedientes Técnicos.
 Levantamientos topográficos.
 Elaboración de planos.
1.4.6 - Estructura Orgánica
CAPÍTULO II
MARCO TEÓRICO
ESTADO INICIAL DE LA SEGURIDAD DE INFORMACION DE LA EMPRESA
2.1. Situación Actual de la Seguridad

Según la norma ISO 27001, cuyo objetivo principal es proteger la
confidencialidad, integridad y disponibilidad de la información de la organización,
por lo que su filosofía principal es investigar dónde se encuentran los riesgos.
Para realizar este análisis se debe tomar previamente las medidas de seguridad
o controles.
Los siguientes son las convenciones utilizadas para la evaluación de los

controles.
CÓDIGO SIGNIFICADO
D El control se documentó e implementó.
El control se lleva a cabo y el proceso debe ser documentado

MD
ara asegurar la repetitividad del proceso y mitigar los riesgos.
El control no cumple las normas y debe ser rediseñado para

RD
cumplir con las normas.
El proceso no está en su lugar / no implementado (control

PNP
requerido ni documentado ni implementado)
NA El control no es aplicable para la empresa ni el para el negocio.
2.2. Métodos y Procedimientos

2.2.1. PDCA
Para este proyecto se utilizó esta metodología con la finalidad de plantear una
estrategia de mejora continua de calidad de dicho proyecto.
Los cuatro pasos de esta metodología son:

 Plan (Planificar): Se planifico con anticipación los entregables y las
tareas a realizar para cumplir con todos los objetivos de ducho
entregables.
 Do (Hacer): Se elaboró todos los capítulos del proyecto teniendo como
producto final el procesode auditoria de la información y comunicación.
 Check (Verificar): este paso se desarrollará cuando e producto final haya
sido terminado y se procederá a corroborar que cumpla con el objetivo
general y los objetivos específicos definidos en el paso de planificación.
 Act (Actuar): en este proyecto no está incluido en el alcance el
mejoramiento continuo del producto.
2.2.2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation)
Es una colección de herramientas, técnicas y métodos utilizados para el

aseguramiento de riesgos de activos de información. Desarrollada por el
Software Engineering Institute, las herramientas que pone a disposición para
el análisis de riesgos presentan una complejidad muy alta, por lo que suele ser
aplicada en entornos de gran escala. (TALABIS & Martin, 2012)
La metodología OCTAVE presenta 3 versiones diferentes:

1. OCTAVE
Su uso se recomienda en el caso de realizar un análisis de riesgos a una

organización de más de 300 empleados, además de requerir una gran capacidad
para realizar evaluaciones de seguridad a nivel de toda la organización.
2. OCTAVE-S
Es una versión desarrollada para organizaciones con menos de 100 empleados,

su implementación requiere de un equipo de entre 3 a 5 personas que deben
tener conocimientos sobre a los procesos operativos de la compañía, sus activos
de información, requisitos de seguridad, riesgos y amenazas.
3. OCTAVE-Allegro
Desarrollado de manera similar que la versión anterior, para empresas

pequeñas, sin embargo, ésta no requiere una participación organizacional muy
amplia. Para su aplicación plantea los siguientes pasos:
 Establecer criterios de valoración del riesgo

 Establecer un perfil de activo de información
 Identificar los contenedores de los activos de información
 Identificar las áreas de interés
 Identificar los escenarios de amenazas
 Identificar los riesgos
 Analizar los riesgos
 Seleccionar un enfoque de mitigación
2.2.3. Magerit Versión 3
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

nace como una iniciativa por parte del Consejo Superior de Informática, entidad
perteneciente al gobierno Español como respuesta a la regulación establecida
en el Real Decreto 3/2010 – el cual regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica. Esta metodología de gestión de
riesgos tiene los siguientes objetivos:
1. Concientizar a los responsables de las organizaciones sobre la presencia
de riesgos y la necesidad e importancia de gestionarlos.
2. Ofrecer un método para analizar los riesgos a los que estén expuestos los
activos de información.
3. Descubrir y planificar los controles a implementar para mitigar y controlar
los riesgos.
4. Preparar a la organización para los futuros procesos de evaluación,
auditoría o certificación que pueda requerir.
El esquema de trabajo que sigue la presente metodología permite cubrir todos

los resultados referentes al análisis, documentación y control de los riesgos a los
que se encuentra expuesta la información de la organización. Esto se puede ver
en los pasos que la metodología establece para realizar el análisis de riesgos:
 Determinar los activos relevantes para la organización, su interrelación y su

valor (entendido como el costo de que éstos se vean afectados como
consecuencia de algún riesgo).
 Determinar las amenazas a las que se encuentran expuestos los activos
identificados.
 Determinar las medidas de protección actuales y la eficacia de las mismas
frente al riesgo.
 Estimar el impacto, es decir el daño que ocasionaría al activo de
información la materialización de una amenaza.
 Estimar el nivel de riesgo, el cual se calcula utilizando el impacto ponderado
con la tasa de ocurrencia que se espera de la amenaza.
2.3. Estableciendo criterios de medición de riesgos

Como primer paso se definirá criterios que permitan conocer la postura de la
organización en cuanto a su propensión a los riesgos. Los criterios de medición
del riesgo son un conjunto de medidas cualitativas para evaluar los efectos de
un riesgo realizado y constituir la base de una evaluación del riesgo de los activos
de la información.
El método establece la creación de un conjunto de criterios cualitativos con las
cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
 Reputación/confianza del cliente

 Financiera
 Productividad
 Seguridad/salud
 Multas/penas legales
Para el desarrollo de este primer paso se establecieron los criterios definidos en

la siguiente tabla:
AREA DE CRITERIO DE MEDICION DE RIESGO

IMPACTO BAJO MODERADO ALTO
Reclamaciones Incrementos de Incrementos de las
esporádicas por parte las reclamaciones reclamaciones por parte
Consumidor / de los interesados en por parte de los de los clientes hasta en
Financiero la realización de un interesados hasta más de un 50% de un
perfil de proyecto. en un 50% de un semestre a otro.
semestre a otro.
Comentarios Campaña de Impacto que afecte la
injuriosos o desprestigio de la imagen de la fiduciaria en
Reputación
malintencionados entidad en redes el mercado relacionado
aislados sociales. con el servicio al cliente
No genere sanciones Llamado de Sanciones económicas
o pérdidas atención por parte para la empresa por parte
económicas de los entes de de autoridades legales o
Legal
significativas para le supervisión en la entes reguladores.
empresa. formulación de
expedientes.
incapacidad menor a incapacidad entre incapacidad entre 181 y
Seguridad/Salud
3 días 3 y 180 días 540 días
interrupción de las interrupción de las Destrucción parcial de las
actividades de la actividades de la instalaciones físicas.
empresa por menos empresa entre 12 Interrupción de las
de 12 horas y 20 horas actividades de la
Productividad empresa entre 20 y 30
horas.
No hay acceso a las
instalaciones de la
empresa
AREA DE IMPACTO PRIORIDAD

PRODUCTIVIDAD 5
REPUTACION 4
FINANCIERA 3
LEGAL 2
SALUD 1
2.4. Desarrollar un perfil de activos de información

 Perfiles de Proyectos Elaborados
 Expedientes Técnicos Elaborados
 Documentos de Gestión Elaborados
 Conexión a internet
 Documentos de la empresa
 Contratos Firmados
 Computadoras y Ordenadores
 Software office
 Software de ingeniería
 Correo electrónico
Ver Anexo A
2.5. Identificar los Contenedores de los Activos Informáticos

Se enfoca en identificar los contenedores de los activos informáticos. Un
contenedor es el lugar donde estos activos son guardados, procesados y
transportados. Pueden residir dentro o fuera de la organización, pero todo
aquello que los amenace, incide directamente sobre ellos. La metodología
OCTAVE Allegro define así este concepto: “Un contenedor de información es
cualquier lugar donde la información ‘vive’; es decir, allí donde la información es
procesada, almacenada o transportada”.
Contenedor interno
Activo Propietario
Perfiles de Proyectos Elaborados Departamento de Proyectos
Contenedor interno
Activo Propietario
Expedientes Técnicos Elaborados Departamento de Proyectos
Contenedor interno
Activo Descripción
Documentos de Gestión Elaborados Departamento de Gestión Pública y
desarrollo local
Contenedor interno
Activo Propietario
Conexión a internet CAIDES
Contenedor interno
Activo Propietario
Documentos de la empresa CAIDES
Contenedor interno
Activo Propietario
Contratos Firmados Departamento de Proyectos
Contenedor interno
Activo Propietario
Computadoras y Ordenadores CAIDES
Contenedor interno
Activo Propietario
Software office CAIDES
Contenedor interno
Activo Propietario
Software de ingeniería CAIDES
Contenedor interno
Activo Propietario
Correo electrónico CAIDES
PUNTOS DEFICIENTES
RED E INTERNET
 Existe el uso de internet de modem de telefónica.

 No existe una configuración adecuada de la red de internet.
 No existe una configuración de red de área local.
 No existe una confinación adecuada para los dispositivos a conexión a
internet.
 El modem de conexión inalámbrica a internet no presenta una
configuración adecuada referente a la seguridad en la clave de conexión.
 La conexión a internet por cable presente deficiencias en la organización
y uso adecuado en las oficinas de la empresa.
Equipos de ingeniería y de oficina con las que cuenta la empresa
CANT. DESCRIPCION SERIE/MODELO

1 Impreso tinta hp d1560 VN94B52116
3 Poncho plástico
2 Estación total Gowin TCS-202
1 GPS navegador Garmin MAP 60CSX
1 Prisma y porta prisma marca cts
1 Trípode de madera south ATS-2
1 Bastón c/seguro palanca 2.5 mt 4602R
2 Bastón telescópica south NLS11
1 Juego de comedor con 8 sillas con tablero de vidrio
1 Impresora hp deskjet d2460 1135
1 Botiquín
1 Extintor 2 kls
1 Impresora láser hp 1005 VNC3Y81017
4 Equipo de cómputo i5, memoria ddr 6 Gb, disco duro 600 Gb

Equipo de cómputo dual core,memoria ddr2 2 gb,disco duro
1 320 gb,procesador intel dual core 3.0 ghz, pantalla plana lcd
17" samsum
1 Camara fs3 lumix de panasonic, 8.1 megapixels DMC-FS3
1 Swicht 8 puertos avantec
1 Computo estante de madera laminada de 1 mt x 190 cmts
1 Computo estante de madera laminada de 1 mt x 190 cmts
Equipo de computopentium iv,memoria ddr 256,disco duro 40
1
gb,procesador 2.8 intel, monitor de 15" samsum
Equipo de computopentium iv,memoria ddr 256,disco duro
1
120 gb,procesador 2.8 intel, monitor de 15" lg
Teodolito electrónico topcon, bateria a pilas db-35 para teo dt-
1 2009, mira telescópica de alum. 5 mtrs 06-805m, trípode alum
pesado d/s arise min-qr2 DT-209
2 Prisma y porta prisma marca cts
1 Impresora kyocera multifuncional fs-1016mfp XQT9204574
1 Cafetera oster 3303
1 Camara sony 14 megapixels
1 Juego de sillones de madera con forro y acolchado
4 Sillas giratorias con suedas
1 Mueble de computo color plomo de milamine de dos niveles
1 Escritorio gerencial de melamine con gavetas
1 Teléfono intermedio cid negro 7611773036137
1 Telefono fijo inalámbrico EC9KAB37B1523551
1 Access zyxel S080Y46036007
1 Proyector multimedia benq
1 Stand de libros
1 Impresora hp deskjet 3920 CN65K1POPO
1 Impresora hp deskjet 3550 TH43I130W4
2 Fluxómetros de 5 mts
1 Cinta métrica de 100 mts color naranja
1 Cinta métrica de 50 mts color amarillo
1 Cinta métrica de 30 mts color verde
1 Mesa pequeña con tablero de vidrio
1 Usb sony con grabador de voz, radio y mp3
Estrategia a seguir:
Para conseguir dotar a la empresa de un nivel de seguridad de su información

aceptable se van a seguir los siguientes pasos:
Obtención de una fotografía del estado actual de la seguridad de la información

dentro de la empresa, poniendo especial atención a la información más delicada
para el negocio.
Evaluación de material Hardware y Software con que cuenta la empresa para

proteger la información de su negocio.
Evaluación de los riesgos que pueden afectar a la empresa. Midiendo en qué

grado pueden afectar cada uno de esos riesgos, cuál sería su impacto, que
probabilidades reales existen de que ese riesgo se materialice y cómo evitar que
el riesgo llegue a producirse o cómo minimizar su impacto.
Elaboración de recomendaciones de cara a mantener la seguridad de la

información dentro de la empresa.
CAPÍTULO III
ANÁLISIS DE RIESGOS
El análisis de riesgos es utilizado a partir de la necesidad de organizar e
interpretar datos científicos, facilitando decisiones para llegar a acuerdos en la
organización.
Octave como metodología cumple a cabalidad la función de analizar a CAIDES,

ya que brinda la rigidez y solidez necesarias para el cumplimiento del análisis de
gestión de riesgos. Siguiendo el método, se podrán identificar los activos que
posee la empresa, establecerá las amenazas a las que están expuestos estos
activos, y permitirá determinar las salvaguardas apropiadas para los activos y
así podrá ser estimado el nivel de impacto en caso de que se materializa alguna
amenaza.
Esta tarea se ejecuta por medio de encuestas y entrevistas a cada uno de los
miembros del personal que interviene en los sistemas de información y
telecomunicaciones, además de las inspecciones físicas que se realizan en las
instalaciones físicas. Mediante el análisis de riesgos se puede saber cuánto vale
y como están protegidos los activos evaluándolos por medio del método lo cual
arrojara resultados que permitirán dar una conclusión.
3.1.- Activos de Información de la empresa

Los activos de la empresa como los ordenadores portátiles no presentan un buen
resguardo físico, expuestos a cualquier ataque como robo y desastres.
Activos de ingeniería presentan mala organización y ubicación sin poseer de

medidas de seguridad o protección a efectos de robo o desastres.
 Perfiles de Proyectos Elaborados.

 Expedientes Técnicos Elaborados.
 Documentos de Gestión Elaborados (Planes de desarrollo concertado,
EO, ROF, MOF, CAP, PAP, RIT y TUPA)
 Conexión a internet.
 Documentos de la empresa.
 Contratos Firmados.
 Computadoras y Ordenadores.
 Software office.
 Software de ingeniería.
 Correo electrónico.
3.1.1.- Datos o información

 Perfiles de Proyectos Elaborados.
 Expedientes Técnicos Elaborados.
 Documentos de Gestión Elaborados.
 Documentos de la empresa.
 Contratos Firmados.
3.1.2.- Servicios Internos

 Servicio de internet.
 Servicio de telefonía.
 Servicio de mantenimiento.
3.1.3.- Software – Aplicaciones informáticas

 Portal web de la organización.
 Sistema operativo.
 Ofimática.
 Otros softwares.
3.1.4.- Hardware
 Equipos de cómputo.
 Impresoras.
 Escáner.
 Access point.
 Seguridad perimetral.
 Sistema de aire acondicionado.
 Sistema de almacenamiento.
 Switch.
 Router.
3.1.5.- Redes de comunicaciones

 Red telefónica.
 Red digital.
 Wi-fi.
 Red LAN.
 Internet.
3.1.6.- Soporte de Información

 CD.
 DVD.
 Memorias USB.
 Discos duros externos.
3.1.7.- Equipamiento auxiliar

Activos de información suplementarios
 Cableado.
 Mobiliario.
 Fuentes de alimentación.
 Otros equipos auxiliares.
3.1.8.- Instalaciones
 Edificio.
 Sede.
 Vehículo.
3.1.9.- Personal
 Gerente general.
 Jefe del departamento de desarrollo económico.
 Jefe del departamento de desarrollo empresarial.
 Jefe del departamento de gestión pública y desarrollo local.
 Jefe del departamento de proyectos.
3.2.- Valoración de los Activos

Permite evaluar el nivel de protección que debe tener un activo dependiendo del
nivel de importancia y valor dentro de la organización. Para lo cual se debe dar
criterios de valoración de la siguiente manera:
VALOR CRITERIO
5 Muy alto MA Daño muy grave a la organización.
4 Alto A Daño grave a la organización
3 Medio M Daño importante a la organización
2 Bajo B Daño menor a la organización
1 Despreciable D Irrelevante a efectos prácticos.
Criterios de Impacto
MA 5 Muy frecuente A diario
A 4 Frecuente Mensualmente
M 3 Normal Una vez al año
B 2 Poco frecuente Cada varios años
MB 1 Muy poco frecuente Siglos
Criterios de Probabilidad
Nivel de Impacto
Probabilidad
de Muy Bajo Bajo Medio Alto Muy Alto
materialización
1 2 3 4 5
Muy Alto 5 Moderado Alto Alto Extremo Extremo
Alto 4 Bajo Moderado Alto Alto Extremo
Medio 3 Bajo Moderado Moderado Alto Alto
Bajo 2 Bajo Bajo Moderado Moderado Moderado
Muy
1 Bajo Bajo Bajo Bajo Moderado
Bajo
Matriz de calor utilizado para la valoración de riesgos identificados

DIMENSIONES
o DISPONIBILIDAD [D]
o INTEGRIDAD [I]
o CONFIDENCIALIDAD [C]
3.3.- Identificación y Valoración de Activos
Dimensiones Valoración
Nombre del Activo
[D] [I] [C]
Datos o información
Perfiles de Proyectos
4 3 3 3
Elaborados
Expedientes
4 4 3 3
Técnicos Elaborados
Documentos de
4 1
Gestión Elaborados
Documentos de la
3 3 2
empresa
Contratos Firmados 3 1
Servicios Internos
Servicio de internet 4 3 2
Servicio de telefonía 4 4 2
Servicio de
2 1
mantenimiento
Software – Aplicaciones informáticas
Portal web de la
3 3 3 3
organización
Sistema operativo 3 1
Ofimática 4 4 2
Otros softwares 3 2 3 3
Hardware
Equipos de cómputo 3 3
Impresoras 3 2
Escáner 2 3
Access point 3 3
Seguridad perimetral 3 2
Sistema de aire
4 4
acondicionado
Sistema de
4 5
almacenamiento
Switch 4 4
Router 4 3
Redes de comunicaciones
Red telefónica 3 2 1
Red digital 3 2 1
Wi-fi 4 4 3
Red LAN 4 4 3
Internet 5 5 3
Soporte de Información
CD 2 2 1
DVD 2 2 1
Memorias USB 4 4 3
Discos duros externos 4 4 3
Equipamiento auxiliar
Cableado 4 4 2
Mobiliario 4 3 2
Fuentes de alimentación 4 3 2
Otros equipos auxiliares 3 3 2
Instalaciones
Edificio 3 3 2
Sede 3 3 2
Vehículo 4 3
Personal
Gerente general 4 1
Jefe del departamento

4 1
de desarrollo económico

de desarrollo 4 1
empresarial

de gestión pública y 4 1
desarrollo local

4 1
de proyectos
3.4.- Identificación de las Amenazas
ACTIVO AMENAZA
Perfiles de Proyectos Elaborados Vulnerabilidad de los programas
Deficiencias en la organización
Suplantación de la identidad del

usuario
Acceso no autorizado
Errores del administrador
Expedientes Técnicos Elaborados Vulnerabilidad de los programas
Deficiencias en la organización

usuario
Documentos de Gestión Elaborados Errores de mantenimiento

usuario
Documentos de la empresa Suplantación de la identidad del

usuario
Contratos Firmados Suplantación de la identidad del

usuario
Servicios Internos
Servicio de internet Corte del suministro eléctrico
Fallo de servicios de comunicaciones
Interrupción de otros servicios y

suministros esenciales
Uso no previsto
Servicio de telefonía Errores de los usuarios
Fallo de servicios de comunicaciones
Interrupción de otros servicios y

suministros esenciales
Servicio de mantenimiento Deficiencias en la organización
Errores de mantenimiento /
actualización de programas (software)
actualización de equipos (hardware)
Indisponibilidad del personal
Software – Aplicaciones informáticas
Portal web de la organización Avería de origen físico o lógico
Alteración accidental de la
información
usuario
Denegación de servicio
Sistema operativo Errores de los usuarios
Difusión de software dañino
Vulnerabilidades de los programas

(software)
Ofimática Errores de mantenimiento /

Errores de los usuarios
Otros softwares Fallo de servicios de comunicaciones
Hardware
Equipos de cómputo Fuego
Daños por agua
Desastres industriales
Avería de origen físico o lógico
Impresoras Fuego
Daños por agua

Escáner Fuego
Daños por agua
Access point Fuego
Daños por agua
Errores de configuración
Seguridad perimetral Fuego
Daños por agua
Sistema de aire acondicionado Fuego
Daños por agua
Sistema de almacenamiento Fuego
Daños por agua
Switch Fuego
Daños por agua
Manipulación de la configuración
Router Fuego
Daños por agua
Red telefónica Fuego
Daños por agua

Red digital Fuego
Daños por agua
Wi-fi Fuego
Daños por agua
Red LAN Fuego
Daños por agua
Internet. Fuego
Daños por agua
CD Alteración accidental de la
información
Destrucción de información
Fugas de información
Divulgación de información
DVD Alteración accidental de la
información
Memorias USB Alteración accidental de la

información
Discos duros externos Alteración accidental de la

información
Cableado Emanaciones electromagnéticas
Fuego
Daños por agua
Condiciones inadecuadas de
temperatura o humedad
Robo
Mobiliario Fuego
Daños por agua
Robo
Fuentes de alimentación Fuego
Daños por agua
Robo
Otros equipos auxiliares Fuego
Daños por agua
Robo
Instalaciones
Edificio Fuego
Daños por agua
Ocupación enemiga
Sede Fuego
Daños por agua
Ocupación enemiga
Vehículo Fuego
Daños por agua
Personal
Gerente general Abuso de privilegios de acceso
Jefe del departamento de desarrollo Abuso de privilegios de acceso

económico
Jefe del departamento de desarrollo Abuso de privilegios de acceso

empresarial
Jefe del departamento de gestión Abuso de privilegios de acceso

pública y desarrollo local
Jefe del departamento de proyectos Abuso de privilegios de acceso
3.5.- Valoración de las Amenazas

Al determinar las amenazas es necesario valorar las amenazas de dos formas:
Degradación ¿Cuan perjudicado saldría el activo? (valor)
Probabilidad ¿Cuál es la probabilidad que se materialice la amenaza sobre el

activo?
Se determina el nivel de degradación de un activo el cual puede ser intencionado

o no intencionado. Cuando es no intencionado se determina como una pequeña
parte de daño causado al activo, pero cuando en intencionado calcularlo se
convierte en un inconveniente debido a que no es posible saber que tanto daño
puede causar un atacante
MA Muy alta Casi seguro Fácil
A Alta Muy alto Medio
M Media Posible Difícil
B Baja Poco probable Muy difícil
MB Muy baja Muy raro Extremadamente difícil
Criterios de degradación
Por otro lado, medir la probabilidad se puede medir de la siguiente manera:
MA 100 Muy frecuente A diario
A 10 Frecuente Mensualmente
M 1 Normal Una vez al año
B 1/10 Poco frecuente Cada varios años
MB 1/100 Muy poco frecuente Siglos
Criterios de probabilidad
VALORACIÓN DE AMENAZAS DEGRADACIÓN
PROBA-
ACTIVO AMENAZA [D] [I] [C]
BILIDAD
Vulnerabilidad de los programas A A A
Perfiles de Deficiencias en la organización M M

Proyectos
Elaborados Suplantación de la identidad del usuario M MA M
Acceso no autorizado A A
Errores del administrador A A
Expedientes Vulnerabilidad de los programas A A

Técnicos
Deficiencias en la organización A MA
Elaborados
Suplantación de la identidad del usuario M A
Acceso no autorizado A MA
Errores del administrador M A
Errores de mantenimiento A M
Documentos de
Gestión Acceso no autorizado M MA
Elaborados
Suplantación de la identidad del usuario A A A
Documentos de Suplantación de la identidad del usuario A A
la empresa Acceso no autorizado A M A
Contratos Suplantación de la identidad del usuario A A MA
Firmados Acceso no autorizado A A
Servicios Internos
Corte del suministro eléctrico M M M
Fallo de servicios de comunicaciones M M M

Servicio de
internet. Interrupción de otros servicios y suministros B B B
esenciales
Uso no previsto M A
Errores de los usuarios A A A

Servicio de
Errores del administrador A A A
telefonía.
Fallo de servicios de comunicaciones M A
Interrupción de otros servicios y suministros A A
esenciales
Deficiencias en la organización M M M
Errores de mantenimiento / actualización de M A M

Servicio de programas (software)
mantenimiento. Errores de mantenimiento / actualización de M M B

equipos (hardware)
Indisponibilidad del personal M A
Avería de origen físico o lógico B MA A A
Alteración accidental de la información B A
Portal web de la Errores de mantenimiento / actualización de B A

organización. programas (software)
Suplantación de la identidad del usuario B MA A A
Denegación de servicio B M
Errores de los usuarios B M
Errores de los usuarios M MA A A

Sistema
operativo. Vulnerabilidades de los programas (software) B A A
Errores de mantenimiento / actualización de B A

programas (software)
Errores de mantenimiento / actualización de B A A

Ofimática.
Errores de mantenimiento / actualización de B A
Fallo de servicios de comunicaciones B A A
Otros softwares. Errores de mantenimiento / actualización de

B A
Hardware
Fuego MB A A
Daños por agua MB A MA

Equipos de
cómputo. Desastres industriales MB M M
Avería de origen físico o lógico MB MA MA
Fuego MB A M
Daños por agua MB MA M

Impresoras.
Desastres industriales MB M B
Avería de origen físico o lógico MB M M
Fuego MB A A
Daños por agua MB M M

Escáner.
Desastres industriales MB M M
Avería de origen físico o lógico MB A A
Fuego MB M M
Daños por agua B M M
Access point. Desastres industriales B M B
Avería de origen físico o lógico B M M
Errores de configuración B A A
Fuego MB MA M
Daños por agua MB M B

Seguridad
perimetral Desastres industriales MB MA M
Avería de origen físico o lógico MB A A

Errores de configuración M M MA
Fuego B M B
Daños por agua B M M

Sistema de aire
Desastres industriales B A A
acondicionado
Avería de origen físico o lógico B MA MA
Errores de configuración B M M
Fuego MB MA MA
Daños por agua MB A A
Sistema de
almacenamiento Avería de origen físico o lógico MB M M
Errores de configuración M A A
Acceso no autorizado M M M
Fuego MB M M
Daños por agua B M B
Switch Avería de origen físico o lógico MB M M
Errores de configuración B M M
Acceso no autorizado M A M
Manipulación de la configuración M M M
Fuego MB M M
Router Daños por agua B M B
Avería de origen físico o lógico B A A
Errores de configuración M MA MA
Acceso no autorizado M M M
Fuego MB M M

Red telefónica
Avería de origen físico o lógico MB MA A
Fuego MB MA MA
Daños por agua B MA MA

Red digital
Fuego MB M M

Wi-fi
Fuego MB MA A
Daños por agua MB MA MA

Red LAN
Desastres industriales MB MA MA
Fuego MB M M
Internet.
Alteración accidental de la información B B M
Destrucción de información M B MB
CD
Fugas de información A MB MB
Divulgación de información M B M
Alteración accidental de la información B B MB
Destrucción de información M B MB
DVD
Fugas de información A MB MB
Divulgación de información M B M
Alteración accidental de la información M B MB
Destrucción de información A B MB
Memorias USB
Fugas de información M MB MB
Divulgación de información A B M
Alteración accidental de la información M B MB
Destrucción de información A B MB
Discos duros
externos Fugas de información M MB MB
Divulgación de información A B M
Emanaciones electromagnéticas B A A
Cableado
Fuego B M A
Daños por agua B MB MB
Condiciones inadecuadas de temperatura o B MA MA

humedad
Desastres industriales MB A A
Robo MB A A
Fuego MB A A
Daños por agua MB M A

Fuentes de
alimentación Desastres industriales MB A A
Robo MB M A
Fuego MB M M
Daños por agua MB A A

Otros equipos
auxiliares Desastres industriales MB A A
Robo MB MB MB
Instalaciones
Fuego B MB B
Daños por agua B B MB

Edificio
Desastres industriales B MB MB
Ocupación enemiga B MB B
Fuego B B MB
Daños por agua B MB MB

Sede
Desastres industriales B MB B
Ocupación enemiga B B MB
Fuego B MB B
Vehículo Daños por agua B B MB
Desastres industriales B MB MB
Personal
Gerente general Abuso de privilegios de acceso MB A
Destrucción de información MB A
Jefe del Abuso de privilegios de acceso MB A

departamento
de desarrollo
económico
Jefe del Abuso de privilegios de acceso MB M

departamento
de desarrollo
empresarial
Jefe del Abuso de privilegios de acceso MB M

departamento
de gestión
pública y
desarrollo local
Jefe del Abuso de privilegios de acceso MB A

departamento
de proyectos
CAPÍTULO IV
GESTIÓN DE RIESGOS
Después de haber realizado el Análisis de Riesgos, queda a la vista los impactos
y los riesgos a los que está expuesto CAIDES, y estos son una medida del estado
presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas
adecuadas que reducen impacto y riesgo a valores despreciables. Esto conlleva
a la calificación de cada riesgo significativo, determinándose si:
 Es critico en el sentido de que requiere atención urgente

 Es grave en el sentido de que requiere atención
 Es apreciable en el sentido de que pueda ser objeto de estudio para su
tratamiento.
 Es asumible en el sentido de que no se van a tomar decisiones para
atajarlo.
Por lo tanto, podemos llevar los controles necesarios para la toma de

decisiones, conociendo lo que se debe proteger. Todo ello sintetizado en el
impacto.
4.1. Identificación de los Riesgos Críticos

Una vez realizado el análisis de cada uno de los activos de CAIDES con respecto
al análisis de cuáles de ellos tienen un nivel de riesgo considerable. Es
importante centrar la atención en estos activos con el fin de realizar la
implementación de los controles o salvaguardas necesarios, esto con el fin de
mitigar la amenaza o posibles amenazas.
RIESGOS CRÍTICOS CRITICIDAD RIESGO
ACTIVO AMENAZA [D] [I] [C]
Vulnerabilidad de los programas MA
Deficiencias en la organización A
Suplantación de la identidad del usuario A
Perfiles de
Proyectos Acceso no autorizado MA MA
Elaborados
Errores del administrador MA
Vulnerabilidad de los programas MA
Deficiencias en la organización A
Expedientes
Técnicos Suplantación de la identidad del usuario A
Elaborados
Acceso no autorizado A A
Errores del administrador MA
Servicios Internos
Corte del suministro eléctrico A MA
Fallo de servicios de comunicaciones A MA

Servicio de
internet. Interrupción de otros servicios y suministros MA B
esenciales
Uso no previsto A
Errores de los usuarios
Errores del administrador MA MA
Fallo de servicios de comunicaciones MA MA
Interrupción de otros servicios y suministros A

Servicio de esenciales
telefonía.
Daños por agua
CONCLUSIONES
Con la ayuda de la metodología se ha tratado de identificar en primer lugar el

estado inicial de seguridad de la empresa, se ha detectado demasiados puntos
débiles y la vez se ha identificado los puntos a favor, en los cuales se ha
trabajado en reconocer las vulnerabilidades y las amenazas midiendo el grado
de estas mismas y el nivel de criticidad.
Se ha identificado los activos de mayor importancia el sus principales procesos

de la empresa los cuales se ha dado un perfilamiento de cada uno con sus
contendedores para luego evaluarlos, los cuales en su mayoría presentan
dificultades en aspectos de seguridad..
La metodología Octave Allegro resulta ser de mucha utilidad para aquellas

empresas que inicien con la gestión de la seguridad de la información, pues
permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos
para una empresa como el caso de la empresa CAIDES SRL que
específicamente no pertenece al rubro de sistemas de información pero que
siincluye en sus procesos, los sistemas de información. Lo interesante al usar
esta metodología es que al estar alineado con los estándares de ISO es que su
implementación se convierte en el punto de partida para una certificación o para
mejorar los sistemas de gestión.
BIBLIOGRAFIA
 ISO/IEC 27005. Tecnologías de la información – Técnicas de seguridad –

Gestión de riesgo de seguridad de la información.
 ICONTEC, "Estándar Internacional ISO/IEC 27001:2005 Information Technology

-- Securitytechniques --Specification for an Information Security Management
System," ed, 2005.
 MAGERIT V2. Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información.
 Introducción a OCTAVE Allegro: Mejora del proceso de evaluación de los

riesgos de la seguridad de la información. Alberts, Christopher J. &
Dorofee, Audrey J. OCTAVE Criteria V2.0 (CMU/SEI- 2001-TR-016,
ADA3399229). Pittsburgh, PA: Software Engineering Institute, Carnegie
Mellon University, 2001.
http://www.sei.cmu.edu/publications/documents/01.reports/01tr016.html.
 http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-
riesgos-con-octave-allegro/
 Análisis de Riesgos Estándares para la administración de riesgos. Johana

Sosa.2012
ANEXOS
ANEXO A
Perfilamiento del activo Perfiles de Proyectos Elaborados
Hoja de trabajo Metodología Octave Allegro

Perfil de activos de información
Activo Critico: Perfiles de Proyectos Elaborados
Descripción: Los perfiles de proyectos son una herramienta que utiliza
diferentes entidades públicas o privadas para que sus inversiones produzcan
cambios que mejoren la calidad de vida de la población y/o clientes a través de la
generación, ampliación e incremento de la cantidad y/o calidad de los servicios
que brinda.
Fecha de creación: 14/01/2008
Titular del activo: Gerente General
Contenedores para los activos de información
Hardware: Computador
Requerimientos de seguridad
Confidencialidad: El perfil de las personas autorizadas para tener acceder a estos
documentos son el gerente general y el área de proyectos.
Integridad: Se puede acceder a la información con autorización de los
responsables del activo con finalidad de ver el documento tipo de autorización en
forma digital, de igual manera en forma física.
Disponibilidad: Los proyectos siempre deben estar disponibles para las
necesidades que pueda requerir como es caso de obtener información variada en
la formulación de cualquier otro proyecto.
Valoración:
Confidencialidad: X Integridad: Disponibilidad:
Los perfiles de proyectos elaborados deben tener cierta confidencialidad y no
estar disponible para todo el personal que labora, siendo el caso excepcional de
poseerlo con debida autorización del responsable.
Perfilamiento de Expedientes Técnicos Elaborados

Activo Critico: Expedientes Técnicos Elaborados
Descripción: Es el conjunto de documentos que comprende: memoria
descriptiva, especificaciones técnicas, planos de ejecución de obra, metrados,
presupuesto,Valor Referencial, análisis de precios y fórmulas polinómicas y, si el
caso lorequiere, estudio de suelos, estudio geológico, de impacto ambiental u
otros complementarios.
Titular del activo: Gerente General
Hardware Computador
documentos son el gerente general y el área de proyectos y responsables de
ingeniería de acuerdo a la necesidad requerida de la información.
Integridad: Se puede acceder de manera directa a la información sin necesidad
de algún tipo de autorización en forma digital, de igual manera en forma física.
Disponibilidad: Los expedientes técnicos siempre deben estar disponibles para
las necesidades que pueda la parte de ingeniería en el desarrollo de otro
expediente.
Valoración:
Al igual que los perfiles se debe tener confidencialidad debido a que es un
documento que posee cierto valor para empresa y debe tener acceso solo personas
autorizadas.
Perfilamiento del activo de Documentos de Gestión Elaborados

Activo Critico: Documentos de Gestión Elaborados
Descripción: Representa a los diferentes documentos que se realizado para
diferentes entidades ya sea públicas o privadas en este caso se encuentran como
ROF, MOF, PDC, CAP.
Titular del activo: Área de Proyectos
Hardware: Computador
documentos son el gerente general y el área de proyectos.
Integridad: Se puede acceder de manera directa a la información sin necesidad
de algún tipo de autorización en forma digital.
Disponibilidad: Los documentos de gestión siempre deben estar disponibles
para las necesidades que pueda requerir el área de proyectos en el desarrollo de
otros documentos similares.
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Los documentos de Gestión elaborados solo deben ser accedidos por personal de
área de proyectos y personal autorizada porque es un documento que contiene
informacion de entidades públicas y privadas.
Perfilamiento del activo de Conexión a internet

Activo Critico: Conexión a internet
Descripción: la conexión a internet es un activo importante en las actividades
que realiza la empresa de acuerdo a su mediana necesidad en la elaboración de
proyectos y expedientes y demás usos cotidianos de interés.
Titular del activo: Encargado de área de Planeamiento y Gestión.
Ambiente Compañia
Confidencialidad: La conexión a internet está determinada con un usuario y
clave de acceso para realizar las respectivas modificaciones en el caso de una
configuración nueva.
Integridad: La conexión a internet está determinada por un nombre de usuario
y contraseña para poder conectarse de diferentes dispositivos que puedan soportar
a conexión a internet.
Disponibilidad: La conexión a internet debe estar siempre disponible para
realizar las actividades sin ningún tipo de percance.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La conexión a internet debe estar siempre disponible para todo el personal que
labora en la empresa ya que se requiere para la mayoría de las actividades en la
elaboración de os proyectos.
Perfilamiento del activo Documentos de la empresa

Activo Critico: Documentos de la empresa
Descripción: Los documentos de la empresa constituyen un activo importante
conteniendo documentos de que la empresa esta cumpliendo las normativas que
se requiere en su ámbito de repercusión.
Titular del activo: Encargado del area de Administración
Hardware Archivadores
Confidencialidad: Los documentos de la empresa se consideran muy
confidenciales de manera que solo pueden acceder las personas autorizadas o
encargadas en la administración de las mismas.
Integridad: el acceso a los documentos de la empresa no presenta algún tipo de
perfil solo se tiene en conocimiento del área encargada para la administración de
la misma.
Disponibilidad: Los documentos de la empresa deben estar siempre disponibles
para los casos en los que la empresa realice algún tipo de trámite u otro de interés
de la empresa.
Valoración:
Los documentos de la empresa poseen confidencialidad alta, porque representan
la formalidad en las que trabajan la empresa y solo debe ser administrado por
personal autorizado de la empresa.
Perfilamiento del activo de Contratos Firmados

Activo Critico: Contratos Firmados
Descripción: Los contratos firmados son de mucha importancia ya que es
documento que avala para cualquier gestión en temas financieros, legales en
beneficio de la empresa.
Titular del activo: Encargado del área de Administración
Confidencialidad: los contratos firmados son de mucha confidencialidad de la
empresa ya que en ella se encuentra informaciones muy importantes.
Integridad: toda la información descrita en los contratos firmados son verídicos
y confiables
Disponibilidad: se encargan de ello solo el encargado de la empresa
Valoración:
Confidencialidad: Integridad: X Disponibilidad:
Los contratos firmados deben poseer cierta integridad debido a que solo el área
de administración puede tener la administración de la misma.
Perfilamiento del activo de Computadoras y ordenadores personales

Activo Critico: Computadoras y ordenadores personales
Descripción: Son activos de mucha importancia ya que sin ellos no se podría
realizar ningún tipo de trabajo, porque las actividades diarias se realizan en las
computadoras a excepción de trabajos de campo.
Titular del activo: Encargado de área de Planeamiento y Gestion.
Confidencialidad: solo pueden acceder personal autorizados
Integridad: las computadoras y/u ordenadores cuentan con un usuarios y
contraseñas para acceder a sus información y aplicaciones
Disponibilidad: solo está disponible para los encargados de la empresa
Valoración:
Las computadoras debe estar disponible para todos los usuarios de la empresa
para realizar consultas de los documentos
Perfilamiento del activo de Software office

Activo Critico: Software office
Descripción: Los programas del paquete Office que incluyen Word, Excel,
Power Point, Access entro otros son de uso cotidiano para la realización del
proceso más importante que es la elaboración de perfiles y expedientes a la vez
entre otros documentos.
Confidencialidad: el software es libre
Integridad: todos pueden acceder a este software ya que es de uso publico
Disponibilidad: todos los empleados pueden realizar modificaciones en este
software
Valoración:
La disponibilidad y accesibilidad de este software es de las 24 horas para todos
los empleados
Perfilamiento del activo de Software de Ingeniería

Activo Critico: Software de Ingeniería
Descripción: los programas de ingenieria se usan en la elboracion de diferentes
planos, metrados, para la elboracion del expediente técnico de cualquier proyecto.
Confidencialidad: los software para la realización de los diferentes expedientes
están protegidos por una contraseña, que solo los encargados pueden acceder a
ello
Integridad: todo los archivos realizados en dichos softwares son confiables ya
que cuentan con garantías de uso y protección
Disponibilidad: este software está disponible para personales autorizados las 24
horas
Valoración:
El software siempre tiene que estar disponible para los personales autorizados
Perfilamiento del activo de Correo Electronico

Activo Critico: Correo Electrónico
Descripción: es un activo de uso diario por la necesidad de compartir
información con diferentes profesionales y entidades de interés en el proceso de
elaboración de los proyectos.
Titular del activo: Encargado de área de Planeamiento y Gestión.
Confidencialidad: Todos los correos electrónicos o PQR recibidos por parte de
los clientes se consideran como información de alta confidencialidad.
Integridad: Toda la información recibida o enviada por correo electrónico debe

ser exacta y correcta.
Disponibilidad: La información que se encuentra en el correo electrónico de

debe estar disponible siempre y cuando sea necesaria tanto para el usuario como
para los administradores de la compañía.
Valoración:
El correo electrónico debe estar siempre accesible a cualquier hora para los
empleados de la compañía.

InformeFinal LabSeg

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

InformeFinal LabSeg

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL DE SAN CRISTOBAL DE HUAMANGA

FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

“IMPLANTACIÓN DE UN SGSI EN LA EMPRESA CAIDES SRL

CURSO : SEGURIDAD INFORMÁTICA

DOCENTE : Ing. LAGOS BARZOLA, Manuel

 PALOMINO CHIPANA, Félix del Omar

La informática ha pasado a formar parte de la actividad cotidiana de empresas y

La información es hoy en día uno de los activos más importantes de las

La información puede existir de muchas formas, puede ser impresa o escrita en

Los Sistemas de Gestión de la Seguridad de la Información (SGSI) son una

DESCRIPCIÓN Y ANTECEDENTES ................................................................ 5

1.1.- OBJETIVOS DE LA INVESTIGACIÓN .............................................. 5

1.1.1.- Objetivo General ........................................................................ 5

1.1.2.- Objetivos Especificos ................................................................. 5

1.2.- Alcance ............................................................................................. 5

1.3.- Controles .......................................................................................... 5

1.4.- Pensamiento Estratégico .................................................................. 6

1.4.1 - Misión ......................................................................................... 6

1.4.2 - Visión ......................................................................................... 6

1.4.3 - Objetivos Estratégicos ................................................................ 6

1.4.5 - Servicios Generales ................................................................... 7

1.4.6 - Estructura Orgánica ................................................................. 10

MARCO TEÓRICO ......................................................................................... 11

2.1. Situación Actual de la Seguridad ........................................................ 11

2.2. Métodos y Procedimientos ................................................................. 11

2.3. Estableciendo criterios de medición de riesgos .................................. 14

2.4. Desarrollar un perfil de activos de información ................................... 16

2.5. Identificar los Contenedores de los Activos Informáticos .................... 16

CAPÍTULO III .................................................................................................. 21

ANÁLISIS DE RIESGOS ................................................................................. 21

3.1.- Activos de Información de la empresa ............................................ 21

3.1.1.- Datos o información ................................................................. 22

3.1.2.- Servicios Internos ..................................................................... 22

3.1.4.- Hardware .................................................................................. 22

3.1.5.- Redes de comunicaciones ....................................................... 22

3.1.6.- Soporte de Información ............................................................ 23

3.1.7.- Equipamiento auxiliar ............................................................... 23

3.1.8.- Instalaciones ............................................................................ 23

3.1.9.- Personal ................................................................................... 23

3.2.- Valoración de los Activos ................................................................ 23

3.3.- Identificación y Valoración de Activos ............................................. 25

3.4.- Identificación de las Amenazas ....................................................... 29

3.5.- Valoración de las Amenazas ........................................................... 37

GESTIÓN DE RIESGOS ................................................................................. 47

4.1. Identificación de los Riesgos Críticos ................................................. 47

Formulario para Autodiagnóstico.........................¡Error! Marcador no definido.

(ISO 17799) ........................................................¡Error! Marcador no definido.

ANEXO A ........................................................¡Error! Marcador no definido.

1.1.2.- Objetivos Especificos

 Disuasivos: Su presencia quita la voluntad de realizar una acción en

1.4.- Pensamiento Estratégico

1.4.3 - Objetivos Estratégicos

1.4.5 - Servicios Generales

Servicio en gestión pública y

En la actualidad se están consolidando esfuerzos, para el desarrollo integral de

 Elaboración y formulación de perfiles y expedientes técnicos.

2.1. Situación Actual de la Seguridad

Los siguientes son las convenciones utilizadas para la evaluación de los

D El control se documentó e implementó.

El control se lleva a cabo y el proceso debe ser documentado

El control no cumple las normas y debe ser rediseñado para

El proceso no está en su lugar / no implementado (control