DESCRIPCIÓN BREVE

Al continuar el caso de Simón, analizamos la

forma de asesóralo en la empresa, obteniendo
e identificado los activos de información a
través de la semana 3, mostrándole a Simón
cuál es la valoración del riesgo presente en
cada uno de los activos de la empresa y de
qué manera puede aplicar las normas y
metodologías de seguridad informática; en
igual forma presento la forma descriptiva
CARLOS ZAMORA
Administración de la tecnología informática
GESTION DE LA
SEGURIDAD
INFORMATICA
CASO SIMON III
 CONTENIDO

1. Esquema #01

I. Identificación de activos.

II. Valoración de los activos.

III. Identificación del riesgo.

IV. Valoración del riesgo.

V. Matriz cualitativa.

VI. Matriz cuantitativa.

2. Esquema #02
 GLOSARIO

Normas

la normalización de una base de datos consiste en aplicar una serie de reglas a

las relaciones para evitar la redundancia y los problemas de actualización de los
datos protegiendo su integridad.

Impacto

La humanidad se encuentra en el inicio de una nueva época, en la que está

perdiendo importancia el trabajo físico que requirió la[[ revolución industrial] al
mismo tiempo que adquiere mayor importancia el trabajo mental que necesita la
nueva revolución informática, las computadoras actuales le proporcionan la
información que necesita para ampliar su potencial intelectual. Por primera vez, la
sociedad depende de un recurso que es la información la cual es renovable y nos
sirve para la toma de decisiones.

Amenaza

Mensajes que no incluyen dirección de e-mail en los campos Para: o CC: son formas
comunes de spam. Algunas veces el spam puede contener lenguaje ofensivo o
enlaces a páginas Webs con contenidos inapropiados. Además, algunas veces el
spam puede incluir texto oculto que sólo se hace visible si destacas el contenido –
un truco común que la gente que envía spams utiliza para que el E-mail pase a
través de los filtros sin ser detectado.

Riesgo

Incertidumbre existente por la posible realización de un suceso relacionado con la

amenaza de daño respecto a los bienes o servicios informáticos, como equipos
informáticos, periféricos, instalaciones, programas de computo, etc.
1. Al continuar el caso de Simón, y como asesóralo en la empresa, obteniendo e
identificado los activos de información en la semana 3, Simón desea saber cuál
es la valoración del riesgo presente en cada uno de los activos de la empresa y
de qué manera puede aplicar las normas y metodologías de seguridad
informática.

I. Identificación de activos.

Tipo Definición Ejemplo

Servicios Función que se realiza para satisfacer las Servicios que se presentan
necesidades de los usuarios. para las necesidades de la
colectividad
Datos/información Elementos de información que de alguna Base de datos, reglamentos,
forma, representan el conocimiento que se
tiene
Software Elementos que nos permiten automatizar Programas, aplicativos.
las tareas,
Equipos Bienes materiales, físicos, destinados a Computadores, video. Etc.
informáticos soportar servicios.
Hardware Dispositivos temporales o permanentes de Impresora, beam, switche, etc.
los datos, soporte de las aplicaciones,
proceso de la transmisión de datos.
Redes de Instalaciones dedicadas como servicios de Red local, internet, red
telecomunicacione telecomunicaciones, centrándose en que telefónica, redes inalámbricas.
s son medios de transporte que llevan datos
de un lugar a otro
Soportes de Dispositivos físicos que permiten Memorias USB, discos duros
información almacenar información de forma
permanente
Instalaciones Lugar donde se hospedan los sistemas Edificios, oficinas.
informáticos y comunicaciones
Personal Personas relacionadas con los sistemas Administradores, usuarios.
de información
II. Valoración de los activos.
Escala de valoración Valor Descripción
MB: muy bajo 1 Irrelevante para efectos prácticos
B: Bajo 2 Importancia menor para el desarrollo del
proyecto
M: Medio 3 Importante para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy alto. 5 De vital importancia para los objetivos que
se persigue.

Escala de valoración Valor Descripción

MB: muy bajo 1 0 a 500.00
B: Bajo 2 501.000 a 1.500.000
M: Medio 3 1.501.000 a 3.000.000
A: Alto 4 3.001.000 a 5.000.000
MA: Muy alto. 5 5.000.001 o mas
 III. Identificación del riesgo.
Amenaza
Fuego
Daños por agua
Desastres naturales
Contaminación electromagnética
Avería de origen físico o lógico
Corte del suministro electico
Fallos de servicios de comunicación
Degradación de los soportes de
almacenamiento de la información
Errores de usuario
Errores de administración
Difusión de software dañino
Escapes de información
Alteración de la información
Degradación de la información
Divulgación de información
Suplantación de la identidad
del usuario
Acceso no autorizado
Modificación de la
Información
Ataque destructivo
Ingeniería social
Descripción
Incendios. Posibilidad que un incendio acabe
con los recursos del sistema.
Inundaciones. . Posibilidad que el agua acabe
con los recursos del sistema
Rayos, tormenta eléctrica, terremoto, etc
Interferencias de radio, campos magnéticos,
luz ultravioleta.
Fallas en los equipos, programas.
Cese de alimentación de la potencia eléctrica
Cese de la capacidad de transmitir datos de
un sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con
responsabilidades de instalación y operación
Propagación inocente de virus, gusanos,
troyanos, bombas lógica.
La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración accidental de la información.
Esta amenaza sólo se identifica sobre datos en
general, pues cuando la información está en
algún soporte informático hay amenazas
específicas.
Revelación por indiscreción, Incontinencia
verbal, medios electrónicos, soporte papel.
Cuando un atacante consigue hacerse pasar
por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios
El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del sistema
de identificación y autorización.
Alteración intencional de la información, con
ánimo de obtener un beneficio o causar un
perjuicio.
Vandalismo, terrorismo.
Abuso de la buena fe de las personas para
que realicen actividades
que interesan a un tercero
IV. Valoración del riesgo.

Valor descripción Probabilidad de la ocurrencia

MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al mes 50% - 75%
FN: Frecuencia Una vez al año 25% - 50%
normal
PF: Poco frecuente Cada varios años 0-25%

V. Matriz cualitativa.

VULNERABILIDAD
RIESGO PF FN F MF
MA A MA MA MA
A M A MA MA
IMPACTO M B M A MA
B MB B M A
MB MB MB B M

VI. Matriz cuantitativa.

Clase Valoración Valoración

cualitativa cuantitativa
Critico Muy alto 10 a 20
Grave Alto 5a9
Moderado Medio 4a6
I. Valoración de Riesgo
La valoración del riesgo, debe identificar los activos de información de la
empresa, y determinar el valor de cada uno. Con estos elementos, se
procede a identificar el grado de exposición e impacto que puede generar
a la organización, si los activos son alterados de alguna forma.

Se debe realizar para que los directivos tomen las mejores decisiones,
llegado al caso que se necesite actuar. La valoración del impacto puede
medirse en función de varios factores:

1. Pérdida económica:

 Cuantificar la cantidad de dinero.

2. Reputación de la empresa

 Dependiendo el riesgo puede afectar la imagen de la misma en el

mercado o de acuerdo al nivel de afectación por la pérdida o daño
de la información.
 II. Dentro de las características de un riesgo se pueden mencionar:

1. Situacionales:
Son las variantes entre cada situación.

2. Interdependiente:
El trato de un riesgo puede provocar otro o aumentar su impacto

3. Magnitud:
Pérdida o daño posible

4. Tiempo:
Ocurrencia del hecho en ciertos periodos.

III. Los tipos de riesgos presentes en la empresa de Simón son:

1. Riesgos Internos:

Sus fuentes se dan dentro de la organización. En este caso se puede

evidenciar los trabajadores de la empresa.

2. Riesgos Externos:

Sus fuentes se dan fuera de la organización, cualquier intruso que

pueda ingresar al sistema y robar la información o personal que realice
mantenimiento a los equipos y se convierta en una potente amenaza.

3. Riesgo de Negocio:

Parte estratégica de los negocios de la empresa y de sus procesos

claves, en otras palabras, es un riesgo crítico de la empresa, en cuanto
a la competitividad en la actividad realizada y al servicio prestado.
 4. Riesgo Inherente:

Posibilidad de errores o irregularidades en la información financiera,

administrativa u operativa, antes de considerar la efectividad de los
controles internos diseñados y aplicados por la organización, debido
a que la principal actividad de la empresa de simón es contable y se
da en las micro empresas, este tipo de riesgo se ajusta en gran
manera, por lo cual la seguridad y la organización deben ser
prioritarias.

5. Riesgo Tecnológico:

Se asocia, capacidad empresarial con tecnología disponible,

buscando satisfacer necesidades actuales y futuras del conglomerado
y soporte del cumplimiento de la misión.

IV. Eventos que pueden afectar los activos de la información:

1. Ataques informáticos externos

2. Errores u omisiones del personal de la empresa
3. Infecciones con malware
4. Terremotos
5. Tormentas eléctricas
6. Sobre carga del fluido eléctrico

V. Reducción de riesgos
Se ejecutan a través de la implementación de medidas en protección, con
las cuales se pueden reducir los riesgos.
1. Medidas físicas y Técnicas

A. Medidas de Acuerdo al Grado de Riesgo (Fisicas)

Medio Riesgo:
 Son medidas parciales para mitigar el daño

Alto Riesgo:
 Exhaustivas para evitar el daño
 Esfuerzo adicional y costos – eficiencia
 Evita medidas pesadas o molestas

Verificacion Funcional:
 Respaldo por coordinacion
 Esfuerzo de costos - Eficencia
 Evitar medidas o molestias

Normas y reglas:
 Activadades – Frecuencia – Responsabilidades
 Publicacion
B. Medidas de Protección

 Construcción de Infraestructura
 Control de Acceso
 Planta Eléctrica
 Antivirus
 Datos Cifrados
 Contraseñas Inteligentes

C. Medidas de Acuerdo al Grado de Riesgo (Personales)

 Contratación
 Capacitación
 Sensibilización

D. Medidas de Acuerdo al Grado de Riesgo (Organizacionales)

 Normas y Reglas
 Control y Seguimiento
 Auditorias
 Alto riesgo:

Medidas deben evitar el impacto y daño.

 Medio riesgo:

Medidas que sólo mitigan la magnitud del daño, pero no evitan

el impacto.

 Control del Riesgo

Es importante realizar todos los controles necesarios, porque

des ellos dependen la ayudan amortiguar o eliminar los riesgos
encontrados.
 CONCLUSIONES

Al aplicar normas y metodologías podemos determinar las siguientes conclusiones:

1. la responsabilidad final en las empresas clientes recae casi siempre

en la parte del empresario y subsidiariamente en el CIO y hemos de
ser conscientes de ello.

Las principales amenazas para la seguridad informática de la empresa

pueden venir tanto del exterior como desde dentro, y para las
amenazas externas, casi siempre hay medidas de seguridad.
¿Soluciones para las amenazas internas? Auditorías periódicas,
alertas y la puesta en marcha de sistemas para control, sobre todo en
el área económica y financiera para evitar casos de duplicidades de
pagos o transferencias no deseadas.

2. Decía Julio César que, si quieres la paz, prepárate para la guerra. Eso es
lo que tenemos que hacer desde el punto de vista de la seguridad de la
información. Hacer comprender a los usuarios y a gerencia que este es un
tema estratégico y hay que trabajar mucho en la concienciación. Nuestra
tarea como CIO es poner las herramientas, pero el conjunto de la
organización debe comprender que la seguridad de la información no es solo
un tema de tecnología.

3. Si hablamos de seguridad, no nos ceguemos con lo virtual, con la

nube; la seguridad hay que aplicarla en el ámbito físico y en el virtual
y siempre va a ser así. Y tiene que haber seguridad dentro de los
dispositivos de comunicación y respecto al contenido de la
información, porque necesitamos transmitir información para poder
compartirla.
4. La seguridad de la información debemos basarla en dos pilares
fundamentales: las barreras técnicas y la formación y concienciación
de los usuarios, tanto internos como externos. La gerencia debe
comprender que si quiere seguridad hay que invertir en barreras
técnicas. Esa inversión, probablemente no se traducirá en un mayor
ingreso, pero sí minimizará el riesgo de sanción o de pérdida de
reputación.
 BIBLIOGRAFIA

Deficiones .de (definiciones del glosario)

Gestión de Riesgo en la Seguridad Informática | Gestión de Riesgo ...

https://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/

Los 10 principales riesgos informáticos | Las Provincias

https://www.lasprovincias.es/economia/empresas/201409/30/principales-riesgos-informaticos-
20140930

Material de formación 4
Material de formación actividad 4. Valoración de riesgos.

Documento variado de Internet