INFORME: “ANÁLISIS DE CASO: SIMÓN III”

Presentado por:
Julio Burbano Herrera

Tutor:
MARYURIS ESTHER OLIVEROS

Curso Virtual
Gestión en la Seguridad Informática

Servicio Nacional de Aprendizaje

SENA
 TABLA DE CONTENIDO

INTRODUCCIÓN.......................................................................................1
EVENTOS QUE PUEDEN AFECTAR LOS ACTIVOS DE INFORMACION…………2
IDENTIFICACION DE ACTIVOS…………………………………………………………………3
VALORACION DE LOS ACTIVOS.................................................................4
IDENTIFICACION DEL RIESGO………………………………………………………………….5
VALORACION DEL RIESGO……..……………………………………………………………….6
MATRIZ CUALITATIVA…………………………………………………………………………….7
MATRIZ CUANTITATIVA………………………………………………………………………….8
REDUCCION DE RIESGOS..........................................................................9
MEDIDAS DE PROTECCION.......................................................................10
ALTO RIESGO..........................................................................................10.1
MEDIO RIESGO………………….....................................................................10.2
CONTROL DE RIESGO ...............................................................................11
INTRODUCCION

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los
activos de información de la semana 3, Simón desea saber cuál es la valoración del riesgo
presente de cada uno de los activos de la empresa y de qué manera puede aplicar las
normas y metodologías de seguridad informática.
2. Eventos que pueden afectar los activos de información:
- Ataques informáticos externos.
- Errores u omisiones del personal de la empresa.
- Infecciones con malware.
- Terremotos.
- Tormentas eléctricas.
- Sobrecargas en el fluido eléctrico.

3. Identificación de activos.
Tipo Definición Ejemplo
Servicios Función que se realiza para satisfacer las Servicios que se presentan para
necesidades de los usuarios. las necesidades de la colectividad
Datos/información Elementos de información que de alguna Base de datos, reglamentos,
forma, representan el conocimiento que se
tiene
Software Elementos que nos permiten automatizar las Programas, aplicativos.
tareas,
Equipos informáticos Bienes materiales, físicos, destinados a Computadores, video. Etc.
soportar servicios.
Hardware Dispositivos temporales o permanentes de los Impresora, beam, switche, etc.
datos, soporte de las aplicaciones, proceso de
la transmisión de datos.
Redes de Instalaciones dedicadas como servicios de Red local, internet, red telefónica,
telecomunicaciones. telecomunicaciones, centrándose en que son redes inalámbricas.
medios de transporte que llevan datos de un
lugar a otro
Soportes de Dispositivos físicos que permiten almacenar Memorias USB, discos duros
información información de forma permanente
Instalaciones Lugar donde se hospedan los sistemas Edificios, oficinas.
informáticos y comunicaciones
Personal Personas relacionadas con los sistemas de Administradores, usuarios.
información
4. Valoración de los activos.
Escala de valoración
MB: muy bajo
B: Bajo
M: Medio
A: Alto
MA: Muy alto.
Escala de valoración
MB: muy bajo
B: Bajo
M: Medio
A: Alto
MA: Muy alto.
5. Identificación del riesgo.
amenaza
Fuego
Daños por agua
Desastres naturales
Contaminación electromagnética
Avería de origen físico o lógico
Corte del suministro electico
Fallos de servicios de comunicación
Degradación de los soportes de
almacenamiento de la información
Errores de usuario
Errores de administración
Difusión de software dañino
Escapes de información
Alteración de la información
Degradación de la información
Valor Descripción
1 Irrelevante para efectos prácticos
2 Importancia menor para el desarrollo del proyecto
3 Importante para el proyecto
4 Altamente importante para el proyecto
5 De vital importancia para los objetivos que se
persigue.
Valor Descripción
1 0 a 500.00
2 501.000 a 1.500.000
3 1.501.000 a 3.000.000
4 3.001.000 a 5.000.000
5 5.000.001 o mas
Descripción
Incendios. Posibilidad que un incendio acabe con
los recursos del sistema.
Inundaciones. . Posibilidad que el agua acabe con
los recursos del sistema
Rayos, tormenta eléctrica, terremoto, etc
Interferencias de radio, campos magnéticos, luz
ultravioleta.
Fallas en los equipos, programas.
Cese de alimentación de la potencia eléctrica
Cese de la capacidad de transmitir datos de un
sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con responsabilidades
de instalación y operación
Propagación inocente de virus, gusanos, troyanos,
bombas lógica.
La información llega accidentalmente al
conocimiento de personas que no deberían tener
conocimiento de ella, sin que la información en sí
misma se vea alterada
Alteración accidental de la información.
Esta amenaza sólo se identifica sobre datos en
general, pues cuando la información está en algún
soporte informático hay amenazas específicas.
 Divulgación de información Revelación por indiscreción, Incontinencia verbal,
medios electrónicos, soporte papel.
Suplantación de la identidad Cuando un atacante consigue hacerse pasar por un
del usuario usuario autorizado, disfruta de los privilegios de
este para sus fines propios
Acceso no autorizado El atacante consigue acceder a los recursos del
sistema sin tener autorización para ello,
típicamente aprovechando un fallo del sistema de
identificación y autorización.
Modificación de la Alteración intencional de la información, con ánimo
información de obtener un beneficio o causar un perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Ingeniería social Abuso de la buena fe de las personas para que
realicen actividades
que interesan a un tercero

6. Valoración del riesgo:

Se debe realizar para que los directivos tomen las mejores decisiones, llegado el caso que
se necesite actuar.
La valoración del impacto puede medirse en función de varios factores:
La pérdida económica si es posible cuantificar la cantidad de dinero que se pierde.
La reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa
en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

Valoración del riesgo.

Valor descripción Probabilidad de la ocurrencia

MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al 50% - 75%
mes
FN: Frecuencia Una vez al 25% - 50%
normal año
PF: Poco frecuente Cada 0-25%
varios años
7. Matriz cualitativa.
VULNERABILIDAD
RIESGO
PF FN F MF

MA A MA MA MA

IMPACTO A M A MA MA

M B M A MA

B MB B M A

MB MB MB B M

8. Matriz cuantitativa.

Clase Valoración cualitativa Valoración cuantitativa

Critico Muy alto 10 a 20

Grave Alto 5a9

Moderado Medio 4a6

9. Reducción de riesgos:
A través de implementar medidas de protección se pueden reducir los riesgos.

10. Medidas de protección:

10.1. Alto riesgo: Medidas deben evitar el impacto y daño.

10.2. Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el
impacto.

11. Control de riesgo:

Es importante realizar estos controles ya que ayuda a mitigar o eliminar los riesgos
encontrados.
El objetivo es reducir el nivel de riesgo al que el sistema en estudio está expuesto, llevándolo
a un nivel aceptable, y constituye la base inicial para la actividad siguiente de selección e
implantación de controles.