Documente Academic
Documente Profesional
Documente Cultură
CAPTULO I
INTRODUCCIN
1.1 GENERALIDADES
1.1.1 La sociedad de la informacin
La masificacin del uso de ordenadores en las dos ltimas
dcadas provoc un nuevo cambio en la sociedad; vivimos en la
sociedad de la informacin. En la actualidad es difcil concebir
nuestra vida sin la asistencia de un ordenador para realizar
nuestro
trabajo,
compartir
informacin
con
entidades
de
manera
muy
eficiente
el
trnsito
las
tecnologas
almacenamiento de la informacin
1.1.2 Amenazas informticas
Si
bien
es
cierto
que
el
desarrollo
de
Amenazas
humanas:
eventos
que
son
causados
principal
administradora
de
fondos
fideicomisos
financiero Arseval
Fideval se independiza de Grupos financieros
200
5
200
titularizacin
Fideval inicia
9
201
2
201
Pichincha
Fideval se especializa en fondos de inversin
3
201
su
modelo
de
gestin
en
4
Nota: Tomado de (Fideval, 2014)
Fideval se ha caracterizado por sus esfuerzos en gestionar de
manera eficiente la informacin de todos sus clientes para lo
cual cuenta con un equipo completo de profesionales dedicados
a desarrollar soluciones informticas que le permita a los
clientes disponer de su informacin en cualquier lugar del
mundo (Fideval, 2014).
1.2.2 Gestin de riesgos informticos en Fideval
A pesar de los grandes esfuerzos de la empresa en el rea
tecnolgica, existe una observacin importante: debido a que
se encuentra en proceso de fusin con Fondos Pichincha, la
empresa no cuenta con un sistema de gestin de riesgos
informticos integral ya que en la actualidad cada empresa
realiza su propio anlisis de riesgos y toma medidas preventivas
cada una por su cuenta.
Algunos de los problemas que pueden identificarse dentro de la
empresa se mencionan a continuacin:
1.3 JUSTIFICACIN
Con el creciente uso de tecnologas informticas en empresas
que manejan informacin delicada como es el caso de Fideval,
lamentablemente tambin crece el nmero de antisociales que
pretenden apoderarse de manera ilcita de esta informacin con
el fin de sacar provecho propio y perjudicar a la empresa y sus
clientes. La piratera informtica debe ser combatida por los
especialistas en esta rea de cada empresa.
Este proyecto pretende utilizar los conocimientos impartidos en
la Carrera de Ingeniera en Sistemas para proveer a la empresa
Fideval de un Sistema de Gestin de Riesgos Informticos tal que
le permita a la empresa salvaguardar la informacin delicada que
maneja tanto propia como de sus clientes, mantener el flujo de
dicha informacin a travs de un canal seguro de comunicacin y
defenderse de ataques malintencionados oportunamente.
1.4 OBJETIVOS
1.4.1 Objetivo General
Realizar un anlisis de riesgos informticos para disminuir el
impacto y el riesgo, mediante el uso de la metodologa MAGERIT
v3 en la empresa Fideval
1.4.2 Objetivos Especficos
de la empresa Fideval
Utilizar las tcnicas de valoracin para el clculo del
impacto y riesgo
impacto y el riego
Utilizar la herramienta PILAR para la obtencin de
reportes
1.5 ALCANCE
Este proyecto tiene como objetivo implementar un Sistema de
Gestin de Seguridad Informtica para los sistemas informticos
de la empresa Fideval para asegurar la integridad, disponibilidad,
confidencialidad y control de la informacin de la empresa y sus
clientes.
Dentro del desarrollo del proyecto se pretende desarrollar las
siguientes actividades:
CAPTULO 2
FUNDAMENTOS TERICOS
Generalidades
La gestin de riesgos es una herramienta gerencial que permite
evaluar los costos de proteger los bienes de la empresa de posibles
amenazas; en el caso de las tecnologas de la informacin la gestin
de riesgos permite determinar el costo-beneficio de integrar al
sistema informtico polticas de seguridad a fin de preservar la
integridad y confidencialidad de la informacin de la empresa.
La gestin de riesgos trata sobre el anlisis de eventos virtuales
inciertos por lo que el nivel de proteccin que genere en los sistemas
no siempre ser total; en la prctica, lo el nivel de seguridad debe
llevarse a un nivel aceptable donde la informacin sea resguardada
de acuerdo a su importancia.
La gestin de riesgos se compone de cuatro distintos procesos:
anlisis de riesgos, valoracin de riesgos, mitigacin del riesgo y
valoracin y evaluacin de controles de la vulnerabilidad (Peltier,
2005, p. 7).
Anlisis de riesgos
El anlisis de riesgos comprende la identificacin y valoracin de
amenazas, vulnerabilidades y eventos que tienen el potencial de
daar los activos de una organizacin (Kouns, 2010, p. 7).
El anlisis de riesgos permite a los administradores y encargados de
los sistemas informticos de una organizacin conocer las amenazas
Valoracin de riesgos
Es el proceso de calcular cuantitativamente el dao potencial y costo
monetario causado por una amenaza que tiene impacto sobre un
activo informtico de la organizacin (Kouns, 2010, p. 7).
Es el computo del riesgo. El riesgo es una amenaza que explota una
vulnerabilidad para causar dao sobre un activo. El algoritmo del
riesgo computa el riesgo como funcin de los activos, amenazas y
vulnerabilidades (Peltier, 2005, p. 8).
De los conceptos anteriores se destaca que la valoracin de riesgos
arroja datos numricos de los riesgos que indican la cantidad de dao
que
pueden
causar
as
como
su
impacto
econmico
en
la
Mitigacin de riesgos
Mediante este proceso una organizacin implementa controles y
salvaguardas para prevenir la ocurrencia de los riesgos identificados.
Al mismo tiempo comprende la implementacin de recursos para
recuperar los sistemas en caso que los riesgos se materialicen
(Peltier, 2005, p. 8).
La mitigacin de riesgos incluye el anlisis costo-beneficio, seleccin,
implementacin,
pruebas
evaluacin
de
seguridad
de
las
si
las
medidas
de
seguridad
implementadas
son
de
evaluacin
de
las
protecciones
salvaguardas
que
realiza
organizacin
antes
de
ejecutar
los
valoracin
de
riesgos
comprende
el
primer
conjunto
de
desarrollados
permitirn
determinar
Definicin de activos
Recomendacin de controles
Documentacin
identificacin
de
amenazas
comprende
el
estudio
de
las
Amenazas naturales
Amenazas humanas
Amenazas naturales
Se producen por efecto de la madre naturaleza. Por ejemplo
tormentas
elctricas,
terremotos,
erupciones
volcnicas,
inundaciones, etc.
Amenazas humanas
Se deben a la accin del ser humano; la ocurrencia de estos
acontecimientos se puede producir por la omisin del personal y
usuarios del sistema informtico de la empresa al no tener en cuenta
las polticas de seguridad o bien por ataques deliberados como
una
determinada
magnitud depender
de la
2.1.3.6 Documentacin
Una
vez
terminado
documentados
en
un
el
estudio,
formato
los
estndar
resultados
y
deben
presentados
ser
a
la
ha
sido
desarrollada
por
el
Consejo
Superior
de
metodologa
Magerit
desarrolla
principalmente:
las
siguientes
tareas
2.3.1.2 Dependencia
El concepto de dependencia nace al estudiar la estructura jerrquica
de los bienes; existen bienes que dependen de otros para su
funcionamiento y en consecuencia, las amenazas de los que se
encuentran abajo tambin afectaran al que se encuentra arriba de la
estructura jerrquica
2.3.1.3 Valoracin
En Magerit existen dos formas de valoracin de los activos: cualitativa
y cuantitativa (Ministerio de Hacienda y Administraciones Pblicas,
2012, pg. 26); la valoracin cualitativa es ms fcil de realizar y
entender; la valoracin cuantitativa de los activos requiere ms
esfuerzo pero permite realizar un anlisis de riesgos ms concreto.
cualitativa
cuantitativamente
dependiendo
de
la
del
impacto
potencial
permitir
representar
son
aquellos
procedimientos
mecanismos
Proteccin general
sin
salvaguardas
el
impacto
calculado
con
las
Modelo de valor
Documento que contiene la informacin referente a los activos
Mapa de riesgos
Documento que contiene informacin referente a las amenazas
Declaracin de aplicabilidad
Documento que recoge informacin referente a la naturaleza de
las salvaguardas seleccionadas
Evaluacin de salvaguardas
Documento que recoge informacin referente a la eficacia de
las de las salvaguardas seleccionadas
Estado de riesgo
Documento que muestra informacin del impacto y riesgo que
afectan a cada activo por cada amenaza
Objetivos directos
Objetivos indirectos
Soportes
de
informacin
que
son
dispositivos
de
almacenamiento de datos.
Equipamiento
auxiliar
que
complementa
el
material
informtico.
Instalaciones
que
acogen
equipos
informticos
de
comunicaciones.
Personas
que
explotan
operan
todos
los
elementos
anteriormente citados.
2.5.2 Amenazas
Son
eventos
que
perjudican
de
alguna
manera
el
correcto
De origen natural
Son las provocados por las fuerzas de la naturaleza; en nuestro
medio son probables inundaciones, terremotos y erupciones
volcnicas
De origen industrial
Aquellas que provocan deterioro fsico sobre los activos;
algunos de los ms comunes son: sobre-voltaje, oxidacin,
temperaturas ambientales extremas, humedad excesiva, etc.
2.5.3 Salvaguardas
Una salvaguarda es todo aquello que permite proteger un bien
de la materializacin de una amenaza; la naturaleza de las
salvaguardas depende de los activos que resguarde; una
clasificacin propuesta por Magerit agrupa las salvaguardas en
los siguientes conjuntos:
Proteccin general
2.5.5 Documentacin
La presentacin del anlisis de riesgos debe contener los siguientes
informes:
Modelo de valor
Documento que contiene la informacin referente a los activos
Mapa de riesgos
Documento que contiene informacin referente a las amenazas
Declaracin de aplicabilidad
Documento que recoge informacin referente a la naturaleza de
las salvaguardas seleccionadas
Evaluacin de salvaguardas
Documento que recoge informacin referente a la eficacia de
las de las salvaguardas seleccionadas
Estado de riesgo
Documento que muestra informacin del impacto y riesgo que
afectan a cada activo por cada amenaza
se
realiza
la
identificacin
las
amenazas
ms
o Insuficiencias
(o
vulnerabilidades
del
sistema
de
proteccin)
que
incluye
activos,
amenazas,
dimensiones
de
Anlisis de riesgos
Identificacin de activos
Valoracin de activos
Identificacin de amenazas
Valoracin de amenazas
Valoracin de salvaguardas
Activo
Ficheros
Copias de respaldo
Datos
Credenciales
Servicios
Pblicos
Observacin
Archivos
que
contiene toda la
informacin de la
empresa
Copias de respaldo
de la informacin
de la empresa
Incluye tarjetas de
identificacin
y
passwords
que
permiten el acceso
a instalaciones y
secciones virtuales
Servicios para los
que no se requiere
identificacin; por
ejemplo,
la
Internos
Clientes
Equipamie
nto
Desarrollo propio
A medida
Software
Estndar
Equipos
Equipos grandes
Equipos medianos
empresa
ofrece
simuladores
de
fondos de inversin
Procesos
que
utilizan
los
integrantes de la
empresa para su
desempeo
Bsicamente son la
razn de ser la
empresa ya que la
empresa se dedica
a
administrar
fondos
y
fideicomisos
La empresa cuenta
con
software
desarrollado
puertas
adentro
para
manejar
algunos
de
sus
servicios
Adems
de
software propio, la
empresa
cuenta
con
software
especializado que
le permite agilitar
las
tareas
que
realiza as como los
servicios
que
presta
Como
en
toda
empresa de este
sector, tambin se
cuenta
con
software estndar
tal como antivirus,
navegador, editor
de texto, visor de
archivos PDF, etc.
Equipos de gran
valor
y
pocas
existencias; entre
ellos
se
puede
nombrar
a
los
servidores
De menor valor y
ms
existencias
Equipos personales
Internet
Comunicac
LAN
in
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Encargado de la
implementacin,
mantenimiento,
monitorear
y
asegurar
el
funcionamiento del
sistema
informtico
El
objetivo
de
la administracin
de
seguridad es
lograr la exactitud,
integridad
y
proteccin
de
todos los procesos
y recursos de los
sistemas
de
informacin
3.1.2.2 Valoracin
En la Tabla 3-3 se muestra la valoracin de los activos identificados en
el apartado 3.1.1; el procedimiento anlogo en PILAR se ilustra en la
Figura 3.3
Activo
Ficheros
Copias de respaldo
Credenciales
Pblicos
Servicios
Internos
Clientes
Desarrollo propio
Software A medida
Estndar
Equipos grandes
Equipos Equipos medianos
Equipamie
Equipos personales
nto
Internet
Comunica
LAN
cin
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Datos
Valoracin
Disponibi Integri Confidenci Autentic Trazabili
lidad
dad
alidad
idad
dad
10
10
7
10
10
10
2
5
2
9
9
8
10
10
9
9
10
9
8
9
7
5
2
10
8
10
8
8
10
8
8
8
10
9
10
10
8
7
10
10
10
10
7
Activo
Ficheros
Datos
Copias de respaldo
Credenciales
Amenazas
Uso indebido
Difusin de software daino
Modificacin de la informacin
Destruccin de la informacin
Revelacin de la informacin
Vulnerabilidad de los programas
Pblicos
Servicios
Internos
Errores de mantenimiento /
actualizacin
Errores del administrador del
sistema
Revelacin de la informacin
Fuga de informacin
Clientes
Equipamie
nto
Desarrollo propio
Software
A medida
Estndar
Errores de configuracin
Difusin de software daino
Equipos
Equipos grandes
Robo de equipo
Equipos medianos
Equipos personales
Internet
Comunicac
in
LAN
Telefona
UPS
Auxiliares
Generador elctrico
Instalaciones
Edificio
Administradores del
sistema
Personal
Administradores de
seguridad
Clientes
Proveedores
Servicios
Pblicos
Internos
5
10
0
20
0
0,05
0,1 0,3 0,9
5
0,11
0,8 0,9 0,7
0
0,11
1
0
0,01
1
4
0,27
1
4
0,54
0,5 0,6 0,8
8
80
0,21
0,8 0,7
9
70
0,19
0,8 0,4 0,8
2
20 0,54
0
8
0,3
Trazabilidad
Credenciales
40
Autenticida
d
Confidencial
idad
Copias de respaldo
40
Integridad
Datos
Uso indebido
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Errores de
mantenimiento /
actualizacin
Errores del
administrador del
sistema
Revelacin de la
informacin
20
Disponibilid
ad
Ficheros
Amenazas
Activo
ao
Capa
Desarrollo propio
Fuga de informacin
Cada del sistema por
agotamiento de recursos
Errores del
administrador del
sistema
A medida
Errores de configuracin
Errores del
administrador del
sistema
Clientes
Equipamien
to
Software
Errores de configuracin
Estndar
Equipos
Equipos grandes
Equipos medianos
Equipos personales
0,21
9
20 0,54
0,9
0
8
80
30
0,08
0,7 0,8
2
50
0,13
0,3 0,4 0,6
7
70
0,19
0,7 0,8
2
40
90
36
0
40
10
80
10
30
0
15
0,11
0
0,24
7
0,98
6
0,11
0
0,02
7
0,21
9
0,02
7
0,82
2
0,41
0,2
0,7
0,9
0,6
0,8
0,9
0,3
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
Avera de origen fsico o
lgico
Robo de equipo
Avera de origen fsico o
lgico
Robo de equipo
Instalaciones
Edificio
Fuego
Ataque destructivo
0
1
20 0,54
0,6
0
8
80
0,21
0,5 0,6 0,8
9
12 0,32
0,8
0
9
40
0,11
0,9 0,7
0
20
0,05
0,4
5
60
0,16
0,4 0,6 0,7
4
40
10
10
5
10
10
0,11
0
0,02
7
0,02
7
0,01
4
0,02
7
0,02
7
0,9
1
0,9
0,9
0,2
0,3
Administradores del
sistema
Personal
Administradores de
seguridad
Errores del
administrador del
sistema
Indisponibilidad del
personal
Extorsin
Indisponibilidad del
personal
80
0,21
0,7
9
0,16
0,9
4
0,16
60
0,7
4
0,13
50
0,6 0,3 0,5
7
60
Impacto
Administradores de seguridad
Administradores del sistema
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Integridad
Equipos medianos
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
10
12
Riesgo
Administradores de seguridad
Administradores del sistema
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Integridad
Equipos medianos
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
0.1
0.2
0.3
0.4
0.5
0.6
Activo
Amenazas
Uso indebido
Ficheros
Datos
Copias de respaldo
Credenciales
Servicios
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Pblicos
Internos
Clientes
Errores de
mantenimiento /
actualizacin
Salvaguardas
Claves de acceso ms
seguras
Actualizacin de
antivirus
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
fuente de aplicaciones
pblicas
Mantenimiento ms
frecuente
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Revelacin de la
Revisin de privilegios de
informacin
usuarios internos
Fuga de informacin
Revisin de privilegios de
los clientes
Eficaci
a
0,6
0,8
0,5
0,6
0,4
0,7
0,8
0,7
0,6
0,8
Desarrollo propio
Software
A medida
Equipamient
o
Estndar
Equipos grandes
Equipos
Equipos medianos
Mejoramiento de
Cada del sistema por
tecnologa de equipos
agotamiento de recursos
grandes
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Mantenimiento cdigo
Errores de configuracin fuente de aplicaciones
de desarrollo propio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Mantenimiento cdigo
Errores de configuracin fuente de aplicaciones
de desarrollo a medida
Capacitacin del
Errores de los usuarios
administrador del
sistema
Mantenimiento cdigo
Difusin de software
fuente de aplicaciones
daino
estndar
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
0,9
0,7
0,6
0,7
0,6
0,7
0,6
0,8
0,4
0,8
0,4
Equipos personales
Internet
Comunicaci
LAN
n
Telefona
UPS
Auxiliares
Generador elctrico
Mantenimiento de
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
0,7
0, 4
0,8
0,7
0,8
0,7
0,8
0,7
0,6
0,8
0,6
0,4
Mejoramiento seguridad
de las instalaciones
Mejoramiento seguridad
Ataque destructivo
de las instalaciones
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Indisponibilidad del
Motivacin al personal
personal
Capacitacin del
Extorsin
personal de seguridad
Indisponibilidad del
Motivacin al personal
personal
Fuego
Instalaciones
Personal
Edificio
Administradores del
sistema
Administradores de
seguridad
0,6
0,6
0,4
0,3
0,3
0,3
Impacto residual
Administradores de seguridad
Administradores del sistema
Edificio
Generador elctrico
UPS
Telefona
LAN
Disponibilidad
Integridad
Internet
Confidencialidad
Equipos personales
Equipos medianos
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
Riesgo residual
Administradores de seguridad
Administradores del sistema
Edificio
Generador elctrico
UPS
Telefona
LAN
Internet
Equipos personales
Disponibilidad
Equipos medianos
Integridad
Confidencialidad
Equipos grandes
Estndar
A medida
Desarrollo propio
Clientes
Internos
Pblicos
Credenciales
Copias de respaldo
Ficheros
0
Gestin de riesgos
Copias de respaldo
Credenciales
Servicios a clientes
Equipos grandes
UPS
Tabla 4-7. Anlisis del impacto actual y riesgo actual
Impacto
9
1
0
Confidencial
idad
Integridad
Disponibilid
ad
Copias de respaldo
Uso indebido
Difusin de
software daino
Modificacin de la
informacin
Destruccin de la
Confidencial
idad
Integridad
Ficheros
Amenazas
Disponibilid
ad
Activo
Riesgo
Credenciales
Servicios pblicos
Servicios internos
Servicios a clientes
Software de
desarrollo propio
Software a medida
Software estndar
Equipos grandes
Equipos medianos
Equipos personales
Internet
informacin
Revelacin de la
informacin
Vulnerabilidad de
los programas
Errores de
mantenimiento /
actualizacin
Errores del
administrador del
sistema
Revelacin de la
informacin
Fuga de
informacin
Cada del sistema
por agotamiento de
recursos
Errores del
administrador del
sistema
Errores de
configuracin
Errores del
administrador del
sistema
Errores de
configuracin
Errores de los
usuarios
Difusin de
software daino
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
1
0,54
0
8
1, 0,05 0,16 0,08
6
5
4
8
1, 3,
6 5
0,08 0,19
8
2
0,13
2
0,54
8
0,49
3
9
6, 7,
3 2
2, 3,
7 6
6, 6,
3 4
LAN
Telefona
UPS
Generador elctrico
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
Fallo en servicio de
comunicaciones
Errores del
administrador del
sistema
Avera de origen
fsico o lgico
Robo de equipo
Avera de origen
fsico o lgico
Robo de equipo
Fuego
Edificio
Ataque destructivo
Errores del
administrador del
Administradores del
sistema
sistema
Indisponibilidad del
personal
Administradores de
seguridad
Extorsin
Indisponibilidad del
personal
0,43
8
8
9
6,
3
0,21
9
4
4
9
1
0
9
9
2
3
7
9
4,
9
4, 2,
2 7
0,49
3
0,54
8
0,49
3
0,49
3
0,11
0,16
4
0,38
4
0,49
3
0,26
8
4 0,23
0,14 0,21
8
9
Amenazas
Uso indebido
Ficheros
Copias de respaldo
Credenciales
Difusin de software
daino
Modificacin de la
informacin
Destruccin de la
informacin
Revelacin de la
informacin
Vulnerabilidad de los
programas
Servicios pblicos
Servicios internos
Servicios a clientes
Errores de
mantenimiento /
actualizacin
Salvaguardas
Claves de acceso ms
seguras
Actualizacin de
antivirus
Claves de acceso ms
seguras
Creacin de copias
redundantes
Reseteo de claves ms
frecuente
Mantenimiento cdigo
fuente de aplicaciones
pblicas
Mantenimiento ms
frecuente
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Revelacin de la
Revisin de privilegios de
informacin
usuarios internos
Revisin de privilegios de
Fuga de informacin
los clientes
Cada del sistema por
Mejoramiento de
agotamiento de recursos tecnologa de equipos
Prioridad
Normal
Normal
Crtica
Crtica
Crtica
Normal
Normal
Normal
Normal
Crtica
Crtica
grandes
Software de desarrollo
propio
Software a medida
Software estndar
Equipos grandes
Equipos medianos
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Mantenimiento cdigo
Errores de configuracin fuente de aplicaciones
de desarrollo propio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Mantenimiento cdigo
Errores de configuracin fuente de aplicaciones
de desarrollo a medida
Capacitacin del
Errores de los usuarios
administrador del
sistema
Mantenimiento cdigo
Difusin de software
fuente de aplicaciones
daino
estandar
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Crtica
Crtica
Normal
Normal
Normal
Normal
Crtica
Crtica
Normal
Normal
Equipos personales
Internet
LAN
Telefona
UPS
Generador elctrico
Mantenimiento de
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Fallo en servicio de
Contratacin de un mejor
comunicaciones
servicio
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Avera de origen fsico o Mantenimiento de
lgico
equipos ms frecuente
Mejoramiento seguridad
Robo de equipo
de las instalaciones
Normal
Normal
Normal
Normal
Normal
Normal
Normal
Normal
Crtica
Crtica
Normal
Normal
Mejoramiento seguridad
de las instalaciones
Mejoramiento seguridad
Ataque destructivo
de las instalaciones
Capacitacin del
Errores del administrador
administrador del
del sistema
sistema
Indisponibilidad del
Motivacin al personal
personal
Capacitacin del
Extorsin
personal de seguridad
Indisponibilidad del
Motivacin al personal
personal
Fuego
Edificio
Administradores del
sistema
Administradores de
seguridad
Normal
Normal
Normal
Normal
Normal
Normal
Prioridad
Responsable
Plazo de ejecucin
Crtica
Departamento
de sistemas
Crtica
Departamento
de sistemas
Dos semanas
Crtica
Departamento
de sistemas
Dos meses
Crtica
Departamento
de logstica
Dos meses
Crtica
Departamento
de recursos
humanos
Seis meses
Capacitacin de los
desarrolladores de software
Crtica
Departamento
de recursos
humanos
Seis meses
Crtica
Departamento
de sistemas
Dos semanas
Crtica
Departamento
de logstica
Un mes
Normal
Departamento
de sistemas
Un mes
Aumento en la frecuencia de
mantenimiento a equipos
grandes
Mejoramiento de la
seguridad de las
instalaciones
Actualizacin de los antivirus
Observaciones
Un mes
En la actualidad el tiempo en el
que las claves se resetean es 1
mes
Mantenimiento de software
de desarrollo propio,
desarrollado a medida y
estndar
Revisin y actualizacin de
los privilegios de los usuarios
internos
Normal
Departamento
de sistemas
Tres meses
Normal
Departamento
de sistemas
Un mes
Realizacin de actividades de
motivacin al personal
Opcional
Departamento
de recursos
humanos
Contratacin de un mejor
servicio de internet y
telefona
Opcional
Administracin
Conclusiones y recomendaciones
5.1 Conclusiones
5.2 Recomendaciones
Bibliography