Documente Academic
Documente Profesional
Documente Cultură
Abstract This article shows the result of computer risk III. RIESGO E IMPACTO
analysis carried out on three computer assets of the Gacela
transport company, finding the probability and impact generated
in the company when any of them materialize, likewise Para el anlisis que se realizara a la compaa se establecieron
establishing the treatment given to each risk and established las siguientes escalas de probabilidad e impacto.
controls. Teniendo en cuenta la probabilidad de ocurrencia de sucesos
ms su durabilidad (persistencia)
Index Terms Risk assessment, Information Security, Risk
analysis, threat, vulnerability, assets. ESCALA DE PROBABILIDAD
VALOR NIVEL PROBABILIDAD
I. INTRODUCCIN 5 CRITICO (5) Diaria
4 GRAVE (4) Semanal
ste documento expone el anlisis de riesgos realizado a la 3 PROBABLE (3) Mensual
Ecompaa de transportes Gacela, en el cual se seleccionaron
2 LEVE (2) Semestral
tres activos informticos y se establecieron 3 riesgos por cada
uno, hallando su probabilidad de materializarse y su impacto 1 RARO (1) Anual
sobre la compaa, se estableci su forma de tratamiento y
controles para los tres riesgos ms altos.
ESCALA DE IMPACTO
El anlisis de riesgo se realiz teniendo en cuenta en un primer NIVEL DE IMPACTO
VALOR
escenario el mtodo intuitivo de anlisis de riesgos y en un IMPACTO FINANCIERO
segundo escenario la metodologa ISO 27001
5 CATASTROFICO(5) Mayor a 100 millones
II. DESCRIPCION DE LA COMPAA Y DEL
Entre 50 millones y
CONTEXTO 4 MAYOR(4)
100 millones
Entre 20 millones y 50
La compaa gacela transportes es una empresa del sector 3 MEDIO (3)
millones
privado que presta sus servicios en diferentes regiones del pas
brindando un servicio de buena calidad y a conformidad con Entre 5 millones y 20
2 MENOR(2)
las necesidades de los usuarios. De acuerdo a la dimensin de millones
la empresa, a sus sedes a nivel nacional, clientes y rutas Menor a 5 millones de
enmarcadas dentro de su itinerario podemos decir que la 1 INSGINIFICANTE(1)
pesos
empresa maneja un gran volumen de informacin digital que
se constituye en uno de sus ejes centrales de gestin para
alcanzar sus metas trazadas A. INFORMACION EN BASE A IMPACTOS DE ORDEN
FINANCIERO
PROMEDIOS GENERALES
VALOR PROMEDIO DE TIQUETE $50.000 El sistema electrico que alimenta el servidor de
venta de tiquetes sufre una interrupcion haciendo
SERVIDOR DE APLICATIVO DE
PROMEDIO DE PASAJEROS DIARIOS R1 que el servidor se apague y la operacin de venta
20 VENTA DE TIQUETERIA EN LINEA
por sistema en linea se detenga, causando perdida
POR VEHICULO ABORDADOS monetaria
PROMEDIO DE VEHICULOS
DESPACHADOS POR HORA NIVEL 2 El servicio de internet dedicado para el servidor no
NACIONAL R2
SERVIDOR DE APLICATIVO DE responde debido a problemas del proveedor de
VENTA DE TIQUETERIA EN LINEA servicios en su infraestructura. Lo cual perjudica
PROMEDIO DE HORAS DE que la operacin de venta en linea se lleve a cabo
16
OPERACIN
puede representar la materializacin de un riesgo. El router que integra la VPN entre la sede principal
en Bogota y la Subsede en Medellin, sufre un
R7 ROUTER bloqueo causando la interrupcion en las
transaciones financieras de venta en punto de
IV. IDENTIFICACIN DE ACTIVOS atencion
Ubicacin de los resultados a nivel de riesgo metodologa R8 - El router de la sede principal, esta desactualizado en
intuitiva sin ejecucin de controles. cuanto su firmware, debido a que el fabricante dejo de brindar
actualizaciones de mismo, por lo cual se podria presentar
hurto de informacin. NIVEL DE RIESGO 15
CONTROLES EJECUTADOS
R4
Instalar un rack de telecomunicaciones con cerradura y llave,
Las imgenes, cuadros y graficos relacionados son adjunto fuera del alcance, acceso vista de cualquier individuo
directo del documento Taller 1, Anexo a este trabajo escrito
para validez de la informacion y la relacin de los datos R5
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 5
Instalar rack de telecomunicaciones, proteger por medio de 2. Vulnerabilidades y amenazas identificadas dentro de
contrasea o pin el DVR, bloquear los puertos usb y botn DVR cmaras de seguridad
reset, configurar un equipo gerencial para el acceso remoto al
DVR cifrando el acceso al computador y al aplicativo del EVALUACION
DVR por contrasea DEL RIESGO
VULNERABILIDAD AMENAZA
(Probabilidad *
Impacto)
R8 Falta organizar Y Robo del DVR P(3)*I(5)=15
Delegar personal capacitado para la revisin peridica de las asegurar
actualizaciones de firmware, al igual que acordar o seleccionar estratgicamente la
un proveedor que garantice y certifique que el router va a ubicacin del DVR
recibir las actualizaciones necesarias a tiempo No existe un contenedor Fuga de P(4)*I(5)=20
para guardar el DVR informacin
A nivel de escalas Mapa de calor del acceso de usuarios
Se evidencia una disminucin en el nivel de riesgo respecto a no autorizados y
la posicin original sin implementacin de controles conexiones de
dispositivos usb
El cableado no est Corto circuito a P(5)*I(2)=10
MAPA DE CALOR - RECALCULO + CONTROLES organizado y presenta raz de las malas
NIVEL DE IMPACTO RIESGO PURO bastante desgaste conexiones
CATASTROFICO (5) 5 - R4 & R5 15 -R4 & R8 20 -R5 elctricas visibles
en el DVR
MAYOR (4)
MEDIO (3) 8 - R8
MENOR (2)
INSIGNIFICANTE (1) 3. Vulnerabilidades y amenazas identificadas dentro de
Router
RARO(1) LEVE(2) PROBABLE (3) GRAVE(4) CRITICO(5)
PROBABILIDAD METODOLOGIA ISO 27001
XII. CONCLUSION
El anlisis de riesgos permite detectar Amenazas y
Se utiliz un anlisis cuantitativo, identificando los tres vulnerabilidades que lleven a la definicin misma de los
activos (Router, DV-R y Servidor de tiqueteria en lnea) riesgos en activos tecnolgicos que preservan la seguridad de
ubicndolos los mismos dentro de su clase de activo la informacin en las empresas. Por medio de metodologas,
catalogado por el software como se muestra a continuacin tcnicas, manuales y herramientas es posible realizar un
estudio de anlisis del riesgo. El profesional encargado de la
seguridad de la informacin y de plantear un plan de controles
y reduccin de vulnerabilidades debe desarrollar un plan de
anlisis de riesgos y controles que permitan dar seguridad y
fiabilidad de las operaciones. Durante el presente escrito se
observa claramente los riesgos y las altas vulnerabilidades a
los que estn expuestos los activos informticos de gacela
transportes, sin embargo, se consigui realizar un anlisis de
riesgos que da precisin de la probabilidad de materializacin
de riesgos y ejecucin de controles que mitiguen la
explotacin de una vulnerabilidad en los activos tecnolgicos
descritos a travs de la publicacin.
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 7
REFERENCIAS
AUTORES