Documente Academic
Documente Profesional
Documente Cultură
INTEGRANTES :
AYACUCHO – PERÚ
2017
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
DEDICATORIA:
2
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
3
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Contenido
INTRODUCCIÓN ............................................................................................................................. 6
CAPITULO I: DESCRIPCIÓN GENERAL DEL NEGOCIO ..................................................................... 7
1.1 DESCRIPCIÓN DEL NEGOCIO ......................................................................................... 7
1.2 MISIÓN ................................................................................................................................ 8
1.2 VISIÓN ........................................................................................................................... 8
1.3 OBJETIVOS ..................................................................................................................... 8
1.4 ORGANIGRAMA ............................................................................................................. 8
1.5 ESTUDIO DE LA SITUACIÓN DE LA ORGANIZACIÓN CON CID .............................................. 8
CAPITULO II: MARCO TEORICO ................................................................................................... 10
2.1 SEGURIDAD INFORMÁTICA ............................................................................................... 10
2.2 PILARES DE LA SEGURIDAD INFORMÁTICA ....................................................................... 10
2.3 METODOLOGÍA OCTAVE ALLEGRO.................................................................................... 11
2.4 NORMAS Y PROTOCOLOS DE LA SEGURIDAD INFORMÁTICA ........................................... 13
2.5 AMENAZAS ........................................................................................................................ 13
2.6 VULNERABILIDADES .......................................................................................................... 14
2.7 RIESGOS ............................................................................................................................. 14
2.8 ACTIVOS DE LA INFORMACIÓN ......................................................................................... 14
CAPITULO III: METODOLOGÍA ..................................................................................................... 15
3.1 DESCRIPCIÓN DE SARI: ...................................................................................................... 15
3.2 COMPONENTES DE SARI: .................................................................................................. 15
3.3 LINEAMIENTOS PLANTEADOS POR SARI: .......................................................................... 16
CAPITULO IV: DESCRIPCIÓN DE LA METODOLOGÍA .................................................................... 19
4.1 METODOLOGIA SARI ......................................................................................................... 19
4.2 CICLO DE APLICACIÓN DE SARI .......................................................................................... 20
4.3 PASO 1: DEFINICIÓN DE CRITERIOS DE MEDIDA DE RIESGO ............................................. 20
4.4 PASO 2: IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ................................................ 22
4.5 PASO 3: IDENTIFICAR LOS CONTENEDORES DE LA INFORMACIÓN DE ACTIVOS .............. 23
4.5.1 IDENTIFICACION DE ESTACIONES DE TRABAJO ....................................... 24
4.5.2 CRITICIDAD DE LOA ACTIVOS DE INFORMACION...................................... 25
4.5.3 VALORACION DE ACTIVOS DE INFORMACION ........................................... 25
4.6 PASO 4: IDENTIFICAR MOTIVOS DE PREOCUPACIÓN ........................................................ 26
4.7 PASO 5: IDENTIFICAR SITUACIONES DE AMENAZA ........................................................... 26
4.8 PASO 6: IDENTIFICAR RIESGOS .......................................................................................... 27
4.9 PASO 7: ANALIZAR LOS RIESGOS ....................................................................................... 31
4
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
5
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
INTRODUCCIÓN
6
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Stock.
Análisis de los gustos del cliente, ya que se expende al por mayor y menor.
Gestión de vendedor.
Sistemas de información.
Infraestructura.
Marketing
Orientado al crédito.
7
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
1.2 MISIÓN
1.2 VISIÓN
1.3 OBJETIVOS
1.4 ORGANIGRAMA
Integridad: Los datos pueden ser modificados solo por personas autorizadas como el
gerente y personal de cobranza.
8
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Disponibilidad: La información debe estar disponible todo el tiempo, solo para las
personas autorizado.
9
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
La seguridad es permitir que una organización cumpla con todos sus objetivos de
negocio o misión. Por lo tanto, con el contexto debe brindar u respaldo adecuado
dentro de la organización, con el fin de lograr que esta se enfoque en las tareas para
las cuales fue creada.
10
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Hay cuatro áreas de actividad que se lleva a cabo a través de ocho pasos de la
Metodología de Octava Allegro. Las áreas de actividad son:
Los activos perfil, donde los bienes que son el foco de la evaluación de riesgos
se identifican y se perfila y los contenedores de los activos se identifican.
Los resultados de cada paso en el proceso son capturados en una serie de hojas de
trabajo que luego se utilizan como insumos para el siguiente paso en el proceso. Los
distintos pasos de la metodología se describen con más detalle a continuación.
Confidencialidad, reputación/cliente
Financiero
11
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Productividad
Seguridad
Penalidades Legales
Es este primer paso de debe priorizar las áreas de impacto de la más importante a
la menos importante.
12
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
La organización debe ordenar cada uno de los riesgos que ha identificado por su
calificación ayudándole de manera ordenada a tomar decisiones sobre su estado
de mitigación. A continuación, se debe asignar un enfoque de mitigación para cada
uno de esos riesgos y por último desarrollar la estrategia de mitigación que se
decida para mitigar el riesgo.
2.5 AMENAZAS
13
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
La amenaza están los ataques por parte de personas, al igual que los desastres
naturales (incendio, robo, inundaciones, etc.) que puedan afectar a cuaderno de
apuntes. También se pueden considerar amenazas los fallos cometidos por los
usuarios al utilizar el cuaderno.
2.6 VULNERABILIDADES
2.7 RIESGOS
Esté riesgo permite tomar decisiones para proteger mejor los cuadernos de aponte. Se
puede comparar con el riesgo límite que acepte para su equipo de trabajo, de tal forma
que, si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.
Es todo aquello que las entidades consideran importante o de alta validez para la
misma ya que puede contener importante información como lo puede ser registros de
operaciones, número de clientes, ventas, etc.
Seria critico que a una entidad que maneja información confidencial, los intrusos
pudieran acceder a ella afectando así la confidencialidad, la disponibilidad y la
integridad de dicha información por eso algunas de tantas entidades adoptan un plan
de seguridad para los activos de información y así no tener la desgracia de que los
datos sean modificados, se modifiquen o se pierdan, puesto que de esto depende la
continuidad de la empresa.
14
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
SARI se planteó con un marco de referencia y una metodología que le indica la guía
de trabajo y a su vez le da cumplimento total de lo establecido en el mismo sistema de
administración de riesgos integral, los componentes vitales de SARI son las normas
ISO 31000:2009, ISO 27001:2005, ISO 27002:2005 y OCTAVE Allegro, los que se
constituyen en sus componentes metodológicos.
15
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
16
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Los activos de información que deberán ser contemplados en el SARI serán aquellos
que, como resultado de la evaluación, obtengan un valor igual o superior a 3, los
cuales posteriormente serán sujeto de análisis y valoración de riesgos.
Según SARI, los riesgos deberán ser calculados según la siguiente fórmula:
Donde:
R: Riesgo
I: Impacto
3.3.4.1 VALOR DEL IMPACTO: La Valoración del Impacto (I) será la misma obtenida
en el nivel de valoración del activo de información, según el promedio de la valoración
de los tres pilares de la seguridad.
17
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
El nivel de criticidad residual se calcula con el riesgo residual que se obtiene de dividir
el riesgo neto entre la calificación de la gestión de los controles existentes, donde
estos últimos son evaluados a criterio del responsable de los activos de información,
aplicándosele los mismos criterios del riesgo.
La aceptación del riesgo está determinada por el nivel que la alta dirección de la
organización está dispuesta a asumir y que no tenga ningún efecto adverso en la
operación del negocio o proceso. Dicho criterio se fundamenta en la aplicación de
controles a los riesgos netos con lo que se genera los riesgos residuales. El riesgo
neto es la oportunidad de que suceda algo que tendrá impacto en los objetivos
institucionales, mientras que el riesgo residual es el remanente después de la
implementación del tratamiento del riesgo (aplicación de controles). A nivel de
aceptación del riesgo, SARI hace relación a los valores de los riesgos tomados de
acuerdo con su criticidad neta y residual. Este nivel es el establecido por la dirección
de la organización para adelantar actividades de mitigación de riesgos, donde su nivel
de aceptación será dado con base en la siguiente escala:
Riesgo con valor entre 15 y 25, se adelantará actividades las cuales aporten en
su mitigación y será ubicado en la línea de Riesgo Inaceptable.
18
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Paso 1 - Se deben establecer los criterios de la medida del riesgo para definir el
sistema cualitativo de las medidas (criterios de la medida de riesgo) contra las cuales
se podrán evaluar los efectos de un riesgo sobre la misión de la organización y los
objetivos del negocio.
Paso 8 – Finalmente se desarrolla una estrategia de mitigación del riesgo que sea
eficaz y eficiente y según la priorización dada en el paso anterior.
19
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Por esta razón SARI debe ser revisado y aplicado periódicamente para cumplir con el
objetivo principal de garantizar que todas las actividades que se propone en el
contexto de la seguridad de la información institucional, logren minimizan o mitigar los
riesgos. Es decir, SARI es una metodología que se debe aplicar en forma cíclica según
el periodo determinado por la División de Tecnología, en este caso la propuesta
plantea hacerla en forma anual.
20
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Una vez obtenido el riesgo neto, los criterios definidos para la evaluación de la
criticidad de éste, según lo planteado en el capítulo anterior (Descripción de SARI),
se resume en el siguiente cuadro:
21
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
En este punto se identificarán los activos que están envueltos en cada proceso
descrito anteriormente. Según el estándar ISO 27005:2008, se pueden identificar dos
tipos de activos: los primarios y los de soporte. Los primarios, según este estándar,
son los procesos e información más sensibles para la organización. Los activos de
soporte, son los activos que dan el debido soporte a estos activos primarios. Dentro de
estas dos agrupaciones, se definieron siete distintos tipos específicos de activos:
2. Aplicación: Todo aquel software que se utilice como soporte en los procesos.
22
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
6 BOLETA DATOS
7 VENDEDOR PERSONAL
8 COBRADOR PERSONAL
10 ALMACEN INSTALACION
11 TRANSPORTE SERVICIO
12 ESCRITORIO INSTALACION
15 EXHIBIDOR INSTALACION
En este paso se describe las áreas, departamentos o lugares donde se puede ubicar
un activo de información, ciertos activos residen en contenedores donde la
organización no tiene control directo sobre ellos, como los proveedores, el transporte,
etc. Estos pueden constituirse en puntos de vulnerabilidad y amenaza.
23
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
ID CONTENEDORES DE
ACTIVOS DE INFORMACION
1 CUADERNO DE CLIENTES
2 CUADERNO DE PROVEEDOR
3 CUADERNO DE VENTAS
4 HOJA DE INVENTARIO
5 NOTA DE PEDIDOS
6 BOLETA
7 VENDEDOR
8 COBRADOR
9 JEFE DE ALMACEN
10 ALMACEN
11 TRANSPORTE
12 ESCRITORIO
13 REGISTRO DE GANANCIAS
14 TELEFONO CELULAR
15 EXHIBIDOR
24
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
#1 gerencia
Estación de trabajo Jefe de Cobranza Gerente Jefe del área de
#2 gerencia
Estación de trabajo Jefe de ventas Gerente Jefe del área de
#3 gerencia
25
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
7 Vendedor 4 5 5 5
8 Cobrador 4 5 5 5
9 Jefe de almacén 5 5 4 5
10 Almacén 5 4 2 4
11 Transporte 4 3 2 3
12 Escritorio 4 3 0 2
13 Registro de 5 5 5 5
ganancias
14 Teléfono celular 5 5 5 5
15 Exhibidor 4 3 0 2
En este paso se crea un panorama real de acciones internas y externas que preocupa
al responsable del activo crítico que es el gerente del negocio, el cual debe estar
basado en acciones que enfrenta día a día en el cumplimiento de su objetivo.
Riesgos sociales
Enemigo interno
Enemigo externo
Uso de tecnologías
Eventos naturales
Fuga de información
Error humano
4.7 PASO 5: IDENTIFICAR SITUACIONES DE AMENAZA
26
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Filtración de información
Encubrimiento de identidad del personal de apoyo
Error operacional
Intento de acceso a información del gerente
Perdida de una estación de trabajo critica
Fuga de información
Pérdida de imagen del negocio
Al determinar las amenazas internas y externas las asociamos a las
vulnerabilidades.
27
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Esta dado por el promedio de los valores asignados en cada pilar de seguridad, y se
selecciona en caso sea mayor o igual a 3.
MATRIZ DE RIESGOS
RIESG
ID ACTIVO VULNERABILI VALOR AMENAZA VALOR IMPACTO O
DAD NETO
1 Cuadernos Falta de 5 Robo o 5 5 25
de clientes control lógico manipulaci
ón
3 Falta de 5 Robo o 5 5 25
control lógico manipulaci
Cuaderno ón
de ventas Deterioro del 5 Obstáculo 5 5 25
28
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
material en la
prestación
del servicio
Tipo del 5 Eventos 5 5 25
material naturales
4 Falta de 5 Robo o 5 4 20
control lógico manipulaci
Hoja de ón
inventario
Deterioro del 5 Obstáculo 5 4 20
material en la
prestación
del servicio
Tipo del 5 Eventos 5 4 20
material naturales
5 Falta de 5 Robo o 5 4 20
control lógico manipulaci
Nota de ón
pedidos Deterioro del 5 Obstáculo 5 4 20
material en la
prestación
del servicio
Tipo del 5 Eventos 5 4 20
material naturales
6 Falta de 4 Robo o 5 4 18
control lógico manipulaci
Boleta ón
Deterioro del 4 Obstáculo 4 4 16
material en la
prestación
del servicio
Tipo del 4 Eventos 4 4 16
material naturales
7 Transporte Negligencia 4 Error 4 3 12
del chofer operacional
Falla mecánica 4 4 3 12
8 Falta de 5 Acceso a 5 4 20
Almacén seguridad información
critica
Perdida de 5 Acceso a 5 4 20
llave espacios
restringidos
Negligencia 5 Error 5 4 20
del personal operacional
9 Escritorio Falta de 3 Robo o 2 2 5
control lógico manipulaci
ón
29
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
30
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Falta de 5 Error 5 5 25
capacitación operacional
Falta de 5 Robo o 5 5 25
conciencia de daño de
los integrantes activos de
del negocio información
NIVEL DE ENFOQUE DE
IMPACTO MITIGACION
ALTO MITIGAR
MODERADO MITIGAR O TRANSFERIR
MEDIO TRANSFERIR O ACEPTAR
BAJO ACEPTAR
MINIMO ACEPTAR
31
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
MATRIZ DE RIESGO
ENFOQUE
RIESGO DE
ID ACTIVO VULNERABILIDAD AMENAZA NETO MITIGACION
32
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
33
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
capacitación operacional
Falta de conciencia Robo o daño MITIGAR
de los integrantes de activos de
del negocio información
Como la metodología Octave Allegro no maneja controles propios se usó como guía la
norma ISO 27000 del Anexo a
Cambiar los cuadernos cada fin de mes para evitar el deterioro del material.
Usar vitrinas o estantes de fierro, para guardar los cuadernos y evitar
accidentes naturales.
34
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
Cambiar los cuadernos cada fin de mes para evitar riesgos por el tipo de
material.
Evitar poner en lugares inadecuados o expuestos a accidentes naturales.
FALTA DE SEGURIDAD
PERDIDA DE LLAVE
FALTA DE CAPACITACIÓN
35
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
36
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
CONCLUSIÓN
Al realizar este trabajo se logró identificar las fortalezas y debilidades que se pueden
presentar en el negocio “Novedades Rojas” en cuanto al análisis de riego haciendo
uso de la metodología OCTAVE Allegro. Durante el análisis se encontraron
debilidades, éstas tuvieron un manejo especial con controles y procedimientos que
permitieron que los eventos de riesgo se materialicen cada vez menos, hasta llegar al
riesgo residual o eliminar el riesgo definitivamente.
La metodología Octave Allegro, permitió identificar las falencias que existían en
algunos procesos internos y políticas de la organización, a partir de estas se tomaron
decisiones y se implementaron mejoras. Esta metodología fue de gran utilidad, ya que
permite enfocarse en los activos de información, contemplando varios escenarios de
amenazas y así tener un mayor alcance en la identificación de los riesgos, como los
controles que se deben implementar, para evitar que el riesgo se materialice, mediante
la implementación de un prototipo en la que se encuentran los ocho pasos, que facilita
y ordenada la información de los activos, controles, áreas de preocupación entre otras.
Al realizar las pruebas se logró identificar que la empresa solo hace uso de material
físico (papel) que está expuesta a muchos riesgos, para ello hemos planteado algunas
formas de mitigar este aspecto y reducir el riesgo lo máximo posible, ya que de esto
depende la continuidad de la empresa.
37
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
BIBLIOGRAFIA
38