Seguridad

UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA DE FORMACIÓN PROFESIONAL DE INGENIERÍA DE SISTEMAS
PLANIFICACION DEL SGSI PARA LA IMPLEMENTACION EN EL NEGOCIO

“NOVEDADES ROJAS”
CURSO : LABORATORIO DE SEGURIDAD INFORMATICA
PROFESOR : Ing. LAGOS BARZOLA, Manuel A.
INTEGRANTES :
 AUQUI BAUTISTA, Andy
 CURO ZAMORANO, Elizabeth
 ROJAS HUARHUACHI, Amorhin
AYACUCHO – PERÚ
2017
UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA
FACULTAD INGENIERIA DE MINAS GEOLOGIA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
__________________________________________________________________________________________
DEDICATORIA:
Agradecemos al docente del curso a

incentivarnos aprender más del área, a
nuestros padres que nos brindan su
apoyo incondicional y amigos quienes
nos brindan ánimos a lo largo de
nuestra formación.
2
__________________________________________________________________________________________
3
__________________________________________________________________________________________
Contenido
INTRODUCCIÓN ............................................................................................................................. 6
CAPITULO I: DESCRIPCIÓN GENERAL DEL NEGOCIO ..................................................................... 7
1.1 DESCRIPCIÓN DEL NEGOCIO ......................................................................................... 7
1.2 MISIÓN ................................................................................................................................ 8
1.2 VISIÓN ........................................................................................................................... 8
1.3 OBJETIVOS ..................................................................................................................... 8
1.4 ORGANIGRAMA ............................................................................................................. 8
1.5 ESTUDIO DE LA SITUACIÓN DE LA ORGANIZACIÓN CON CID .............................................. 8
CAPITULO II: MARCO TEORICO ................................................................................................... 10
2.1 SEGURIDAD INFORMÁTICA ............................................................................................... 10
2.2 PILARES DE LA SEGURIDAD INFORMÁTICA ....................................................................... 10
2.3 METODOLOGÍA OCTAVE ALLEGRO.................................................................................... 11
2.4 NORMAS Y PROTOCOLOS DE LA SEGURIDAD INFORMÁTICA ........................................... 13
2.5 AMENAZAS ........................................................................................................................ 13
2.6 VULNERABILIDADES .......................................................................................................... 14
2.7 RIESGOS ............................................................................................................................. 14
2.8 ACTIVOS DE LA INFORMACIÓN ......................................................................................... 14
CAPITULO III: METODOLOGÍA ..................................................................................................... 15
3.1 DESCRIPCIÓN DE SARI: ...................................................................................................... 15
3.2 COMPONENTES DE SARI: .................................................................................................. 15
3.3 LINEAMIENTOS PLANTEADOS POR SARI: .......................................................................... 16
CAPITULO IV: DESCRIPCIÓN DE LA METODOLOGÍA .................................................................... 19
4.1 METODOLOGIA SARI ......................................................................................................... 19
4.2 CICLO DE APLICACIÓN DE SARI .......................................................................................... 20
4.3 PASO 1: DEFINICIÓN DE CRITERIOS DE MEDIDA DE RIESGO ............................................. 20
4.4 PASO 2: IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ................................................ 22
4.5 PASO 3: IDENTIFICAR LOS CONTENEDORES DE LA INFORMACIÓN DE ACTIVOS .............. 23
4.5.1 IDENTIFICACION DE ESTACIONES DE TRABAJO ....................................... 24
4.5.2 CRITICIDAD DE LOA ACTIVOS DE INFORMACION...................................... 25
4.5.3 VALORACION DE ACTIVOS DE INFORMACION ........................................... 25
4.6 PASO 4: IDENTIFICAR MOTIVOS DE PREOCUPACIÓN ........................................................ 26
4.7 PASO 5: IDENTIFICAR SITUACIONES DE AMENAZA ........................................................... 26
4.8 PASO 6: IDENTIFICAR RIESGOS .......................................................................................... 27
4.9 PASO 7: ANALIZAR LOS RIESGOS ....................................................................................... 31
4
__________________________________________________________________________________________
4.10 PASO 8: SELECCIONAR EL ENFOQUE DE MITIGACIÓN .................................................... 34

CONCLUSIÓN ............................................................................................................................... 37
BIBLIOGRAFIA .............................................................................................................................. 38
5
__________________________________________________________________________________________
INTRODUCCIÓN
En la actualidad grandes y pequeñas empresas mantienen la seguridad de su

información, mediante estrategias que crean conveniente para su continuidad en el
mercado, en tal caso muchas empresas hacen uso de documentos y registros físicos o
algún software que ayude a llevar el control de los diferentes procesos de la empresa,
aunque se haya tomado la decisión de tener alguna herramienta que facilite el trabajo
arduo que generan estos procesos, no permanece de esa manera siempre, ya que
están expuestos a mayor riesgo y amenazas de perdida de información por diversos
factores. Como se sabe la información es necesaria y fundamental en la empresa para
el seguimiento y control de sus procesos, por ello se debe reducir los riesgos
existentes y dar mayor seguridad a toda la empresa.
En el presente trabajo para el análisis de gestión de riesgo de la empresa “Novedades

Rojas” se tomará en cuenta la Metodología “OCTAVE Allegro” y SARI, siguiendo los
pasos de acuerdo a los datos brindado por la empresa evaluaremos los procesos, las
actividades realizadas y principalmente nos centraremos en los activos de información,
para así realizar la valoración y el planteamiento de soluciones en base a lo analizado.
6
__________________________________________________________________________________________
CAPITULO I: DESCRIPCIÓN GENERAL DEL NEGOCIO
1.1 DESCRIPCIÓN DEL NEGOCIO
La empresa “NOVEDADES ROJAS” es especialista en repartir lencería al por mayor y

menor a crédito en la localidad de Ayacucho, se encarga de repartir todos los pedidos
de los clientes y hacer el cobro diario en cuotas pequeñas de $ 1.00 o $ 2.00,
asimismo brindar la mejor calidad en los productos y garantizar el próximo crédito con
la puntualidad del pago. El negocio ya tiene una experiencia de 15 años, al inicio
empezó con 30 clientes conocidos, en el transcurso del tiempo fue incrementando el
número de clientes, hoy en día cuenta con 600 clientes en toda la localidad de
Ayacucho (Mercado Nery, Mercado Mariscal Cáceres, Mercado Magdalena, F.
Vivanco, Mercado 12 de abril, así como clientes individuales), las cobranzas de
realizan en centro de trabajo de los clientes. La empresa “NOVEDADES ROJAS” está
ubicado: AV 29 de marzo Mz J Lte 02 Asoc. Los Artesanos y también tiene una
referencia de tienda en Mercado 12 de abril Pto. 8 del pasaje 5 – Ayacucho. El Stock
de productos de la empresa más solicitada es: brasieres, medias, ropas interiores para
damas, caballeros y niños.
¿Cómo mejora la productividad y ventas la empresa “Novedades Rojas”?
 Stock.
Buena logística y abastecimiento adecuado de los productos.
Análisis de los gustos del cliente, ya que se expende al por mayor y menor.
 Gestión de vendedor.
Las ventas fuera de la tienda constituyen un 80% de los ingresos y es considerado

como un campo activo, mientras el resto es receptivo o pasivo con compras en la
tienda.
 Sistemas de información.
Conocimiento del cliente.
 Infraestructura.
En este caso como actúa de intermediario no es necesario mejoras de infraestructura,

solo poseer un almacén amplio, ya que para ventas al por menor hace uso de una
tienda en el Mercado 12 de Abril.
 Marketing
Enfocarse en temas de servicio con rapidez y responsabilidad, hace la diferencia.
 Orientado al crédito.
La venta realizada es al crédito, mediante pequeños cobros diarios.
7
__________________________________________________________________________________________
Debemos tener en cuenta que todas las informaciones de la empresa están

registradas en papel (cuaderno) al igual que los productos.
1.2 MISIÓN
Novedades “ROJAS” es una empresa dedicada a la comercialización de lencería de

excelente calidad, brindando amplias alternativas en cuanto a comodidad, moda y
elegancia a cada una de nuestros clientes; con el fin de generar satisfacción a las
necesidades y preferencias del consumidor.
1.2 VISIÓN
Ser una empresa reconocida por su prestigio, compromiso, participación y crecimiento

en el mercado, guardando y fortaleciendo los valores que son nuestra herramienta
para lograrlo.
1.3 OBJETIVOS
Desarrollar la fase de planificación
Identificar activos de información a resguardar
Disminuir el riesgo de los activos de información críticos
1.4 ORGANIGRAMA
1.5 ESTUDIO DE LA SITUACIÓN DE LA ORGANIZACIÓN CON CID
Según el estudio de la situación se observa que la empresa hace uso de sus

actividades como una MYPE, por lo que el análisis del sistema de gestión de riesgo se
evaluara en los activos físicos usados por la empresa, ya que no cuenta con áreas
dentro de la misma, por lo tanto, la empresa indirectamente hace uso del CID.
Confidencialidad: Acceso de información por el personal autorizado, en este caso es

el dueño del negocio, algunos empleados autorizados a estos activos de información.
Integridad: Los datos pueden ser modificados solo por personas autorizadas como el
gerente y personal de cobranza.
8
__________________________________________________________________________________________
Disponibilidad: La información debe estar disponible todo el tiempo, solo para las
personas autorizado.
9
__________________________________________________________________________________________
CAPITULO II: MARCO TEORICO
2.1 SEGURIDAD INFORMÁTICA
La ingeniería informática debe ofrecer una plataforma de acceso a los servicios

diseñados por los sistemas de información, un proceso que comprende la
identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se
encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las
mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir
o evitar la ocurrencia de riesgo.
La seguridad es permitir que una organización cumpla con todos sus objetivos de
negocio o misión. Por lo tanto, con el contexto debe brindar u respaldo adecuado
dentro de la organización, con el fin de lograr que esta se enfoque en las tareas para
las cuales fue creada.
2.2 PILARES DE LA SEGURIDAD INFORMÁTICA
Los principales objetivos de la seguridad informática que generan la base de la rama

de la ingeniería informática son la disponibilidad, confidencialidad e integridad de la
información, las cuales constituyen los tres pilares fundamentales de la seguridad de la
información.
 La Disponibilidad. Este término hace referencia al método de precaución

contra posibles daños, tanto en la información como en el acceso a la misma:
ataques accidentes o, simplemente, descuidos pueden ser los factores que
obligan a diseñar métodos para posibles bloques. Para garantizar la
disponibilidad y disminuir los riesgos existen todo tipo de medidas como centro
de datos con plantas de energía independientes, replicación de datos, redes de
almacenamiento, enlaces redundantes, etc. dependiendo de los costos de una
organización está dispuesta a asumir y la importancia que la disponibilidad
suponga para la misma.
 La Confidencialidad. La información puede ser accedida únicamente por las

personas que tienen autorización para hacerlo. La información puede
permanecer inalterada y ser accesible a quien necesite, pero si al mismo
tiempo alguien sin los permisos adecuados puede acceder de forma
clandestina a la información esta propiedad si pierde.
 La integridad. Implica que debe salvaguardarse la totalidad y la exactitud de la

información que se gestiona. Queremos decir que estamos totalmente seguros
de que la información no ha sido borrada, copiada o alterada, no solo en su
trayecto, sino también en su origen.
10
__________________________________________________________________________________________
2.3 METODOLOGÍA OCTAVE ALLEGRO
Hay cuatro áreas de actividad que se lleva a cabo a través de ocho pasos de la
Metodología de Octava Allegro. Las áreas de actividad son:
 Establecer los controladores, donde la organización desarrolla los criterios de

medición de riesgos que son consistentes con los conductores de la
organización.
 Los activos perfil, donde los bienes que son el foco de la evaluación de riesgos
se identifican y se perfila y los contenedores de los activos se identifican.
 Identificar las amenazas, donde las amenazas a los activos-en el contexto de

sus envases se identifican y documentado a través de un proceso estructurado.
 Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan

sobre la base de información sobre amenazas, y estrategias de mitigación que
hagan frente a esos riesgos.
Los resultados de cada paso en el proceso son capturados en una serie de hojas de
trabajo que luego se utilizan como insumos para el siguiente paso en el proceso. Los
distintos pasos de la metodología se describen con más detalle a continuación.
1. Establecer criterios de medición de riesgo.
Se establecen los controladores de la organización que evalúan los afectos de un

riesgo de la misión de una organización y los objetivos de negocio. Estos
conductores se reflejan en un conjunto de criterios de medición de riesgo que se
crea y se registra.
El método OCTAVE Allegro proporciona un conjunto estándar de plantillas de hoja

de trabajo para crear estos criterios en varias áreas de impacto y establecer
prioridades. Las áreas de impacto que se consideran son:
 Confidencialidad, reputación/cliente
 Financiero
11
__________________________________________________________________________________________
 Productividad
 Seguridad
 Penalidades Legales
 Definición de área de impacto de usuario
Es este primer paso de debe priorizar las áreas de impacto de la más importante a
la menos importante.
2. Desarrollo un perfil de activos de información
La metodología OCTAVE Allegro se centra en los activos de información de la

organización para lo cual se realiza el proceso de creación de un perfil de esos
activos. Un perfil es una representación de una información de los activos que
describe sus características únicas, cualidades, características y valor. Para
desarrollar el perfil se debe tener en cuenta las siguientes actividades:
 Identificar el grupo de activos de información al cual se le va a realizar el

perfil
 Enfocarse en los activos de información más críticos
 Obtener información necesaria para empezar a estructurar el proceso de

análisis de riesgos del activo
3. Identificar los contenedores de los activos de la información
Los contenedores describen los lugares en los que la información es almacenada,

transportada y procesada. Los activos de información residen no sólo en los
contenedores dentro de los límites de una organización, sino también a menudo en
envases que no están bajo el control directo de la organización. Los diferentes
tipos de contenedores se describen a continuación:
 Contenedores técnicos: Están bajo el control directo de la organización o

los que son administrados fuera de la organización.
 Contenedores físicos: La información pues estar de dentro o fuera de la

empresa.
 Contenedor persona: Persona interna o externa de la organización que

tiene el conocimiento detallado del activo.
4. Identificar las áreas de interés
En este paso se realiza el proceso de identificación de riesgos con lluvia de ideas

acerca de las condiciones o situaciones que pueden poner en peligro los activos
de información de la organización. Estos escenarios del mundo real se refieren a
las áreas de preocupación y pueden representar amenazas y sus correspondientes
resultados no deseados.
5. Identificar las situaciones de amenaza
12
__________________________________________________________________________________________
En la primera mitad de la etapa 5, las áreas de interés identificadas en el paso

anterior se expanden en escenarios de amenaza. Una serie de escenarios de
amenaza pueden ser representados visualmente en una estructura de árbol
comúnmente conocido como un árbol de amenaza.
6. Identificar los riesgos
En el anterior paso se identificaron las amenazas, y en este se identificarán las

consecuencias en una organización. Una amenaza puede tener múltiples impactos
potenciales sobre una organización. Por ejemplo, la vulnerabilidad del cuaderno de
la empresa puede afectar la reputación de la organización con sus clientes, así
como su posición financiera.
7. Analizar los riesgos
Se calcula una medida cuantitativa en que la organización se ve afectada por una

amenaza. Esto se realiza teniendo en cuenta el escenario de amenaza y su
consecuencia. Luego se determinar un valor de impacto (bajo, medio, moderado)
para cada área de impacto. Por último, se computa los valores de impacto de cada
área para analizar el riesgo y así ayudar a la organización a determinar la mejor
estrategia para manejar ese riesgo.
8. Seleccione enfoque de mitigación
La organización determina cuál de los riesgos que han identificado requieren

mitigación desarrollando una estrategia para esto.
La organización debe ordenar cada uno de los riesgos que ha identificado por su
calificación ayudándole de manera ordenada a tomar decisiones sobre su estado
de mitigación. A continuación, se debe asignar un enfoque de mitigación para cada
uno de esos riesgos y por último desarrollar la estrategia de mitigación que se
decida para mitigar el riesgo.
2.4 NORMAS Y PROTOCOLOS DE LA SEGURIDAD INFORMÁTICA
La seguridad informática es el área de la informática que se enfoca en la protección de

la infraestructura computacional y todo lo relacionado con esta. Para ello existen una
serie de estándares, protocolos, métodos y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información. La seguridad informática
comprende software, archivos y todo lo que la organización valore (activo) y signifique
un riesgo si esta llega a manos de otras personas.
Protocolos. Es un conjunto de reglas usadas por computadoras para comunicarse

unas con otras a través de una red, un protocolo puede ser definido como las reglas
que denominan las sintaxis, semántica y sincronización de la comunicación. Los
protocolos pueden ser implementados por hardware, software o una combinación de
ambas.
2.5 AMENAZAS
Una amenaza a un sistema informático es una circunstancia que tiene el potencial de

causar un daño o una pérdida. Es decir, las amenazas pueden materializarse dando
lugar a un ataque en el equipo.
13
__________________________________________________________________________________________
La amenaza están los ataques por parte de personas, al igual que los desastres
naturales (incendio, robo, inundaciones, etc.) que puedan afectar a cuaderno de
apuntes. También se pueden considerar amenazas los fallos cometidos por los
usuarios al utilizar el cuaderno.
2.6 VULNERABILIDADES
Vulnerabilidad se asocia a la posibilidad de que personas o familias resulten afectadas

o dañadas por procesos o acontecimientos de orden externo, se parte del supuesto de
que existen situaciones de riesgo que potencializan los factores adversos o
incrementan la vulnerabilidad ante la exposición a situaciones cambiantes del entorno
social.
2.7 RIESGOS
El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque

al equipo. Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte
de la amenaza.
Esté riesgo permite tomar decisiones para proteger mejor los cuadernos de aponte. Se
puede comparar con el riesgo límite que acepte para su equipo de trabajo, de tal forma
que, si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.
2.8 ACTIVOS DE LA INFORMACIÓN
Es todo aquello que las entidades consideran importante o de alta validez para la
misma ya que puede contener importante información como lo puede ser registros de
operaciones, número de clientes, ventas, etc.
Seria critico que a una entidad que maneja información confidencial, los intrusos
pudieran acceder a ella afectando así la confidencialidad, la disponibilidad y la
integridad de dicha información por eso algunas de tantas entidades adoptan un plan
de seguridad para los activos de información y así no tener la desgracia de que los
datos sean modificados, se modifiquen o se pierdan, puesto que de esto depende la
continuidad de la empresa.
14
__________________________________________________________________________________________
CAPITULO III: METODOLOGÍA
3.1 DESCRIPCIÓN DE SARI:
La División de Tecnologías enfoca todo su potencial en la creación de planes que

logren la protección de la información sensible con la ayuda de estándares y
metodologías para brindar un manejo adecuado de la información.
Uno de estos planes liderado por la Coordinación de Seguridad Informática de la

División de Tecnologías es el Sistema de Administración de Riesgos Integral – SARI,
cuyo objetivo principal es proveer un marco de gestión con el cual garantizar que todas
las actividades que se adelanten con el respecto a la seguridad de la información
institucional, minimizan o se mitigan riesgos reales con la implantación de controles
acordes a las necesidades de la empresa novedades “Rojas”.
Según la propuesta del Sistema de Administración de Riesgos Integral presentada por

el señor Rojas, para dar cumplimento al objetivo principal de SARI es necesarios
desarrollar las siguientes actividades:
 Diseñar, implementar y establecer lineamientos que mejoren los procesos

actuales de gestión de riesgos en la empresa novedades “Rojas”.
 La empresa novedades “Rojas” con una estrategia de gestión de riesgos

acorde a las necesidades de la misma con respecto a la seguridad de la
información.
 Permitir la implantación de controles a los activos de la empresa teniendo en

cuenta los riesgos a que estos se encuentran expuestos y los niveles de
aceptación del riesgo definidos para los mismos.
De acuerdo con la propuesta, SARI se encuentra desarrollado en total cumplimiento

de lo establecido en las normas ISO 31000:2009, ISO 27001:2005, ISO 27002:2005 y
OCTAVE Allegro, los que se constituyen en sus componentes metodológicos.
3.2 COMPONENTES DE SARI:
SARI se planteó con un marco de referencia y una metodología que le indica la guía
de trabajo y a su vez le da cumplimento total de lo establecido en el mismo sistema de
administración de riesgos integral, los componentes vitales de SARI son las normas
ISO 31000:2009, ISO 27001:2005, ISO 27002:2005 y OCTAVE Allegro, los que se
constituyen en sus componentes metodológicos.
15
__________________________________________________________________________________________
En el diseño de SARI se pensó en crear un sistema que gestione y administre de

manera adecuada los riesgos a los que está expuesta los activos de una organización
, fundamentándolo en los estándares internacionales ISO 31000, los cuales brindan
unas directrices para la identificación de riesgos; ISO 27000 (27001 y 27002) los
cuales establecen los lineamientos para la creación de un SGSI y los controles que se
deben implementar y la metodología OCTAVE Allegro que le proporciona una
secuencia de pasos válida y coherente para la identificación de oportunidades de
mejora basa en al análisis y mitigación de riesgos enfocándose principalmente en los
activos de información de la organización.
3.3 LINEAMIENTOS PLANTEADOS POR SARI:
Los lineamientos planteados por SARI en la propuesta presentada para el sistema de

administración de riesgos integral se fundamentan en que cada uno de los pilares de
seguridad se trata con igual criticidad respecto a la confidencialidad, integridad y
disponibilidad. Es decir que cada pilar representa el 33,33% de la seguridad necesaria
para el activo de información
3.3.1 VALORACION DE LOS ACTIVOS DE INFORMACION:
La valoración de cada activo de información deberá ser realizada de acuerdo con la

siguiente escala:
 Valor de 1 para la necesidad Mínima de presencia del correspondiente pilar
 Valor de 2 para la necesidad Baja de presencia del correspondiente pilar
 Valor de 3 para la necesidad Media de presencia del correspondiente pilar
 Valor de 4 para la necesidad Moderada de presencia del correspondiente pilar
 Valor de 5 para la necesidad Alta de presencia del correspondiente pilar.
16
__________________________________________________________________________________________
3.3.2 NIVEL DE VALORACION DEL ACTIVO DE INFORMACION:
La evaluación de los activos de información es de carácter institucional y se debe

realizar con base en la valoración de los pilares de seguridad para el mismo. Los
valores dados en cada pilar deberán ser promediados para dar la evaluación final al
activo, constituyendo el nivel de valoración del activo de información, que servirán para
medir el impacto.
3.3.3 ACTIVOS QUE SE CONSIDERAN EN EL SARI:
Los activos de información que deberán ser contemplados en el SARI serán aquellos
que, como resultado de la evaluación, obtengan un valor igual o superior a 3, los
cuales posteriormente serán sujeto de análisis y valoración de riesgos.
3.3.4 VALORACION DE RIESGOS:
Según SARI, los riesgos deberán ser calculados según la siguiente fórmula:
Donde:
R: Riesgo
I: Impacto
O.A. : Valoracion de la ocurrencia de la amenaza
O.V. : Valoracion de la ocurrencia de la vulneravilidad.
3.3.4.1 VALOR DEL IMPACTO: La Valoración del Impacto (I) será la misma obtenida
en el nivel de valoración del activo de información, según el promedio de la valoración
de los tres pilares de la seguridad.
3.3.4.2 VALOR DE LA OCURRENCIA DE LA AMENAZA:
La evaluación de la amenaza deberá ser realizada de acuerdo con la siguiente escala:
 Valor de 1 cuando la materialización de la amenaza sea rara.
 Valor de 2 cuando la materialización de la amenaza sea poco probable.
 Valor de 3 cuando la materialización de la amenaza sea probable.
 Valor de 4 cuando la materialización de la amenaza sea muy probable.
 Valor de 5 cuando la materialización de la amenaza sea casi cierta.
3.3.4.3 VALOR DE LA OCURRENCIA DE LA VULNERABILIDAD:
La valoración de la vulnerabilidad deberá ser realizada de acuerdo con la siguiente

escala:
 Valor de 1 cuando la vulnerabilidad pueda ser aprovechada por la amenaza,

sea rara.
17
__________________________________________________________________________________________

sea poco probable.

sea probable.

sea muy probable.

sea casi cierta.
3.3.5 NIVEL DE CRITICIDAD:
Según la propuesta el nivel de criticidad neta es resultado de evaluar el riesgo según

los siguientes valores:
 Riesgo con valor entre 1 y 6 toma un valor neto y residual de bajo.
 Riesgo con valor entre 7 y 12 toma un valor neto y residual de medio.
 Riesgo con valor entre 13 y 18 toma un valor neto y residual de alto.
 Riesgo con valor entre 19 y 25 toma un valor neto y residual de crítico.
El nivel de criticidad residual se calcula con el riesgo residual que se obtiene de dividir
el riesgo neto entre la calificación de la gestión de los controles existentes, donde
estos últimos son evaluados a criterio del responsable de los activos de información,
aplicándosele los mismos criterios del riesgo.
3.3.6 NIVEL DE ACEPTACION DEL RIESGO:
La aceptación del riesgo está determinada por el nivel que la alta dirección de la
organización está dispuesta a asumir y que no tenga ningún efecto adverso en la
operación del negocio o proceso. Dicho criterio se fundamenta en la aplicación de
controles a los riesgos netos con lo que se genera los riesgos residuales. El riesgo
neto es la oportunidad de que suceda algo que tendrá impacto en los objetivos
institucionales, mientras que el riesgo residual es el remanente después de la
implementación del tratamiento del riesgo (aplicación de controles). A nivel de
aceptación del riesgo, SARI hace relación a los valores de los riesgos tomados de
acuerdo con su criticidad neta y residual. Este nivel es el establecido por la dirección
de la organización para adelantar actividades de mitigación de riesgos, donde su nivel
de aceptación será dado con base en la siguiente escala:
 Riesgo con valor entre 1 y 5, no se adelantará ninguna actividad al respecto y

será ubicado en la línea de Riesgo Aceptable.
 Riesgo con valor entre 6 y 14, no se adelantará ninguna actividad al respecto,

pero de ser posible se monitoreará y será ubicado en la línea de Riesgo de
Evaluación.
 Riesgo con valor entre 15 y 25, se adelantará actividades las cuales aporten en
su mitigación y será ubicado en la línea de Riesgo Inaceptable.
18
__________________________________________________________________________________________
CAPITULO IV: DESCRIPCIÓN DE LA METODOLOGÍA
4.1 METODOLOGIA SARI
SARI se basa en una metodología llamada OCTAVE Allegro, necesaria para la

ejecución y aplicación de todos criterios planteados en él. La metodología consta de
ocho pasos que se describen a continuación.
Paso 1 - Se deben establecer los criterios de la medida del riesgo para definir el
sistema cualitativo de las medidas (criterios de la medida de riesgo) contra las cuales
se podrán evaluar los efectos de un riesgo sobre la misión de la organización y los
objetivos del negocio.
Paso 2 – Consiste en desarrollar el perfil para cada activo de la información, que

servirá como base en la identificación de amenazas y de riesgos que se realizará en
pasos siguientes. El perfil del activo de la información es importante para asegurar que
un activo está descrito clara y consistentemente, que hay una definición de los límites
del activo y que los requisitos de seguridad para éste están definidos adecuadamente.
Paso 3 – En este paso se identifican los sitios donde la información es almacenada,

transportada o donde se procesan los activos de la información, llamados
contenedores de la información. Estos contenedores incluyen generalmente hardware,
software, servidores, y redes, aunque también pueden incluir artículos tales como
carpetas de archivo (donde la información se almacena en forma escrita) o gente.
Paso 4 – Consiste en identificar los motivos de preocupación que pueden llegar a

representar las amenazas y sus resultados indeseables.
Paso 5 – Se identifican los panoramas de amenazas, desarrollando perfiles de riesgo

del activo de la información, donde el riesgo es la combinación de una amenaza
(condición) y del impacto resultante de la amenaza si está actuado sobre una
vulnerabilidad (consecuencia).
Paso 6 – Consiste en identificar los riesgos mediante la aplicación de una ecuación, en

donde se realiza la sumatoria de dos factores, el primero de ellos es la amenaza y el
segundo es el impacto. La sumatoria de estos factores da como resultado el riesgo al
que se expone el activo de información.
Paso 7 – Se analizan los riesgos para medir cualitativamente el grado al cual la

organización puede verse afectada por una amenaza, evaluando cada riesgo que
afecte a cada activo de la información. Esta información se utiliza para determinar qué
riesgos necesitan ser atenuados inmediatamente y así dar la prioridad a las acciones
de mitigación.
Paso 8 – Finalmente se desarrolla una estrategia de mitigación del riesgo que sea
eficaz y eficiente y según la priorización dada en el paso anterior.
Con el desarrollo de esta metodología de ocho pasos se obtiene un plan estratégico

de mitigación del riesgo que debe ser aplicado para asegurar la protección de los
activos de información analizados. Sin embargo, este procedimiento debe ser aplicado
19
__________________________________________________________________________________________
en forma periódica, según el periodo determinado por la organización, que en el caso

de la universidad se planteó que fuera anualmente
4.2 CICLO DE APLICACIÓN DE SARI
Con el rápido ritmo de evolución y surgimiento de nuevas tecnologías se aumenta el

número de riesgos a los que se expone un sistema de información, lo que
desencadena un proceso de revisión periódica de evaluación de los controles
implantados en él.
Por esta razón SARI debe ser revisado y aplicado periódicamente para cumplir con el
objetivo principal de garantizar que todas las actividades que se propone en el
contexto de la seguridad de la información institucional, logren minimizan o mitigar los
riesgos. Es decir, SARI es una metodología que se debe aplicar en forma cíclica según
el periodo determinado por la División de Tecnología, en este caso la propuesta
plantea hacerla en forma anual.
4.3 PASO 1: DEFINICIÓN DE CRITERIOS DE MEDIDA DE RIESGO
DEFINICIÓN DE CRITERIO DE VALORACIÓN DE ACTIVOS:
En el siguiente cuadro se muestran los criterios de valoración que se deben aplicar

para considerar los activos de información que son tenidos en cuenta por SARI
Para considerar la aplicación de un activo de información en SARI se promedia el valor

dado en cada pilar de seguridad y se selecciona para su análisis si este valor es igual
o superior a tres.
DEFINICIÓN DE CRITERIO DE VALORACIÓN DE RIESGOS:
La valoración del riesgo responde a la fórmula dad anteriormente:
20
__________________________________________________________________________________________
DEFINICIÓN DEL NIVEL DE CRITICIDAD DEL RIESGO:
Como se mencionó en el capítulo anterior el riesgo neto es la oportunidad de que

suceda algo que tendrá impacto en los objetivos institucionales, mientras que el riesgo
residual es el remanente después de la implementación del tratamiento del riesgo
(aplicación de controles).
 Criticidad del riesgo neto: se calcula con el promedio de la valoración de la

ocurrencia de una amenaza y una vulnerabilidad, multiplicada por el impacto,
según la siguiente fórmula:
Una vez obtenido el riesgo neto, los criterios definidos para la evaluación de la
criticidad de éste, según lo planteado en el capítulo anterior (Descripción de SARI),
se resume en el siguiente cuadro:
DEFINICIÓN DEL NIVEL DE ACEPTACIÓN DE RIESGO: El nivel de aceptación del

riesgo está dado por el análisis que se realiza sobre los riesgos residuales, toda vez
que éstos implican designar nuevos controles. Los criterios definidos para la
aceptación del riesgo residuales o criterio de exposición, según lo planteado en el
capítulo anterior (Descripción de SARI). En el siguiente cuadro mostraremos el nivel
de aceptación del riesgo residual:
21
__________________________________________________________________________________________
En resumen el nivel de aceptacion del riesgo se tendra que medir de la siguiente

manera:
4.4 PASO 2: IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
El segundo paso consiste en el desarrollo de los activos de Información, según la

metodología OCTAVE Allegro con los criterios o lineamientos establecidos por SARI.
En este punto se identificarán los activos que están envueltos en cada proceso
descrito anteriormente. Según el estándar ISO 27005:2008, se pueden identificar dos
tipos de activos: los primarios y los de soporte. Los primarios, según este estándar,
son los procesos e información más sensibles para la organización. Los activos de
soporte, son los activos que dan el debido soporte a estos activos primarios. Dentro de
estas dos agrupaciones, se definieron siete distintos tipos específicos de activos:
1. Dato: Es toda aquella información que se genera, envía, recibe y gestionan

dentro de la organización. Dentro de este tipo, podemos encontrar distintos
documentos que la institución gestiona dentro de sus procesos.
2. Aplicación: Todo aquel software que se utilice como soporte en los procesos.
3. Personal: Son todos los actores que se ven involucrados en el acceso y el

manejo de una u otra manera a los activos de información de la organización.
4. Servicio: Son los servicios que alguna área de la organización suministra a

otra área o entidades externas a la misma.
5. Tecnología: Es todo el hardware donde se maneje la información y las

comunicaciones.
22
__________________________________________________________________________________________
6. Instalación: Es cualquier lugar donde se alojan los activos de información.

Este lugar o ambiente puede estar ubicado dentro de la organización tanto
como fuera de la misma.
7. Equipamiento auxiliar: Son los activos que no se hallan definidos en ninguno

de los anteriores tipos.
A continuación, se muestra el inventario de todos los activos que se pudieron

identificar dentro de los procesos de la organización que se encuentran en el alcance
del presente proyecto.
ID ACTIVOS IDENTIFICADOS TIPO DE ACTIVO
1 CUADERNO DE CLIENTES DATO
2 CUADERNO DE PROVEEDOR DATO
3 CUADERNO DE VENTAS DATO
4 HOJA DE INVENTARIO DATO
5 NOTA DE PEDIDOS DATO
6 BOLETA DATOS
7 VENDEDOR PERSONAL
8 COBRADOR PERSONAL
9 JEFE DE ALMACEN PERSONAL
10 ALMACEN INSTALACION
11 TRANSPORTE SERVICIO
12 ESCRITORIO INSTALACION
13 REGISTRO DE GANANCIAS DATO
14 TELEFONO CELULAR TECNOLOGIA
15 EXHIBIDOR INSTALACION
4.5 PASO 3: IDENTIFICAR LOS CONTENEDORES DE LA INFORMACIÓN DE

ACTIVOS
En este paso se describe las áreas, departamentos o lugares donde se puede ubicar
un activo de información, ciertos activos residen en contenedores donde la
organización no tiene control directo sobre ellos, como los proveedores, el transporte,
etc. Estos pueden constituirse en puntos de vulnerabilidad y amenaza.
23
__________________________________________________________________________________________
Los contenedores normalmente son identificados como activos técnicos como

hardware, software o sistema, o puede ser una hoja de papel, una persona, el lugar,
es decir, los lugares donde se debe aplicar los controles de seguridad, además, esta
información puede ser almacenada, procesada o transmitida de diferente manera.
ID CONTENEDORES DE
ACTIVOS DE INFORMACION
1 CUADERNO DE CLIENTES
2 CUADERNO DE PROVEEDOR
3 CUADERNO DE VENTAS
4 HOJA DE INVENTARIO
5 NOTA DE PEDIDOS
6 BOLETA
7 VENDEDOR
8 COBRADOR
9 JEFE DE ALMACEN
10 ALMACEN
11 TRANSPORTE
12 ESCRITORIO
13 REGISTRO DE GANANCIAS
14 TELEFONO CELULAR
15 EXHIBIDOR
4.5.1 IDENTIFICACION DE ESTACIONES DE TRABAJO
Los procesos que se cumplen en cada área, tienen un responsable y las

correspondientes actividades que deben cumplir, estas constituyen los activos de
información. Para ello se va realizar una evaluación con respecto a sus necesidades
de aplicación de los pilares de la seguridad (confidencialidad, integridad, disponibilidad
y el no repudio), mediante el cual se determina los aspectos críticos que deben ser
objeto de un análisis más profundo.
ACTIVO DE CARGO DE RESPONSABLE CUSTODIO

INFORMACION USUARIO
Estación de trabajo Jefe de almacén Gerente Jefe del área de
24
__________________________________________________________________________________________
#1 gerencia
Estación de trabajo Jefe de Cobranza Gerente Jefe del área de
#2 gerencia
Estación de trabajo Jefe de ventas Gerente Jefe del área de
#3 gerencia
4.5.2 CRITICIDAD DE LOA ACTIVOS DE INFORMACION
Analizaremos según los criterios para la valoración de los pilares de la seguridad

informática, definido por SARI, donde muestra el valor de criticidad y que es utilizado
también como valor de impacto.
4.5.3 VALORACION DE ACTIVOS DE INFORMACION
Analizaremos según los criterios para la valoración de los pilares de la seguridad

informática, definido por SARI.
CRITERIOS DE VALORACIÓN VALOR

ID ACTIVO TOTAL CRITICID
AD
INTEGRID DISPONIBILI CONFIDENCIA
AD DAD LIDAD
1 Cuadernos de 5 5 5 5
clientes
2 Cuaderno de 5 5 5 5
proveedor
3 Cuaderno de 5 5 5 5
ventas
4 Hoja de 5 3 4 4
inventario
5 Nota de pedidos 4 3 5 4
6 Boleta 4 4 3 4
25
__________________________________________________________________________________________
7 Vendedor 4 5 5 5
8 Cobrador 4 5 5 5
9 Jefe de almacén 5 5 4 5
10 Almacén 5 4 2 4
11 Transporte 4 3 2 3
12 Escritorio 4 3 0 2
13 Registro de 5 5 5 5
ganancias
14 Teléfono celular 5 5 5 5
15 Exhibidor 4 3 0 2
4.6 PASO 4: IDENTIFICAR MOTIVOS DE PREOCUPACIÓN
En este paso se crea un panorama real de acciones internas y externas que preocupa
al responsable del activo crítico que es el gerente del negocio, el cual debe estar
basado en acciones que enfrenta día a día en el cumplimiento de su objetivo.
De acuerdo al análisis se determinó los motivos siguientes de preocupación en dichas

estaciones críticas:
 Riesgos sociales
 Percepciones equivocadas de la sociedad
 Enemigo interno
 Enemigo externo
 Uso de tecnologías
 Eventos naturales
 Fuga de información
 Agresión a algún valor del negocio
 Falta de credibilidad de la gestión
 Administración inadecuada de la información
 Error humano
4.7 PASO 5: IDENTIFICAR SITUACIONES DE AMENAZA
Este paso se basa en el panorama expuesto de las preocupaciones del responsable,

el cual es de importante puesto que puede interferir en la administración de los
procesos de la organización y afectando en la continuidad del negocio.
El panorama de amenazas expuestas es el siguiente:
26
__________________________________________________________________________________________
Amenazas de origen Externo:
 Acceso a espacios restringidos

 Acceso a información critica
 Obstáculo en el servicio
 Robo o daño de activos de información
 Eventos naturales
Amenazas de origen Interno:
 Filtración de información
 Encubrimiento de identidad del personal de apoyo
 Error operacional
 Intento de acceso a información del gerente
 Perdida de una estación de trabajo critica
 Fuga de información
 Pérdida de imagen del negocio
 Al determinar las amenazas internas y externas las asociamos a las
vulnerabilidades.
4.8 PASO 6: IDENTIFICAR RIESGOS
En este paso identificarnos el riesgo de los activos de información en base a la

valoración de las amenazas y vulnerabilidades, para ello definiremos los criterios de
estos.
Criterio de valoración para la evaluación de la vulnerabilidad
Criterio de valoración para la evaluación de la amenaza
27
__________________________________________________________________________________________
Criterio del impacto
Esta dado por el promedio de los valores asignados en cada pilar de seguridad, y se
selecciona en caso sea mayor o igual a 3.
Apartir de los criterior mencionados analizaremos el riesgo para cada activo de

informacion:
MATRIZ DE RIESGOS
RIESG
ID ACTIVO VULNERABILI VALOR AMENAZA VALOR IMPACTO O
DAD NETO
1 Cuadernos Falta de 5 Robo o 5 5 25
de clientes control lógico manipulaci
ón
Deterioro del 5 Obstáculo 5 5 25

material en la
prestación
del servicio
Tipo del 5 Eventos 5 5 25
material naturales
2 Falta de 5 Robo o 5 5 25
Cuadernos control lógico manipulaci
de ón
proveedor Deterioro del 5 Obstáculo 5 5 25
material en la
prestación
del servicio
material naturales
control lógico manipulaci
Cuaderno ón
de ventas Deterioro del 5 Obstáculo 5 5 25
28
__________________________________________________________________________________________
material en la
prestación
del servicio
material naturales
Hoja de ón
inventario
material en la
prestación
del servicio
material naturales
Nota de ón
pedidos Deterioro del 5 Obstáculo 5 4 20
material en la
prestación
del servicio
material naturales
Boleta ón
material en la
prestación
del servicio
material naturales
7 Transporte Negligencia 4 Error 4 3 12
del chofer operacional
Falla mecánica 4 4 3 12
8 Falta de 5 Acceso a 5 4 20
Almacén seguridad información
critica
Perdida de 5 Acceso a 5 4 20
llave espacios
restringidos
Negligencia 5 Error 5 4 20
del personal operacional
9 Escritorio Falta de 3 Robo o 2 2 5
ón
29
__________________________________________________________________________________________

material en la
prestación
del servicio
material naturales
10 Registro de Falta de 5 Robo o 5 5 25
ganancias control lógico manipulaci
ón
material en la
prestación
del servicio
material naturales
11 Teléfono Falta de 5 Robo o 5 5 25
celular control lógico manipulaci
ón
material naturales
Falla de 4 Acceso a 3 5 18
gestión de información
autenticación critica
12 Exhibidor Falta de 3 Robo o 2 2 5
ón
material en la
prestación
del servicio
Tipo de 2 Eventos 2 2 4
material naturales
13 Falta de 5 Filtración 5 5 25
Vendedor conciencia de de
los integrantes información
del negocio
Falta de 5 Error 5 5 25
capacitación operacional
Falta de 5 Robo o 5 5 25
conciencia de daño de
los integrantes activos de
del negocio información
14 Cobrador Falta de 5 Filtración 5 5 25

conciencia de de
los integrantes información
del negocio
30
__________________________________________________________________________________________
Falta de 5 Error 5 5 25
15 Jefe de Falta de 5 Error 5 5 25

almacén capacitación operacional
Falta de 4 Acceso a 3 5 18
políticas en la información
emisión de la critica
información
4.9 PASO 7: ANALIZAR LOS RIESGOS
En este paso definimos el nivel de aceptación del riesgo valorados de acuerdo al

siguiente criterio:
Criterio de enfoque de mitigacion:
NIVEL DE ENFOQUE DE
IMPACTO MITIGACION
ALTO MITIGAR
MODERADO MITIGAR O TRANSFERIR
MEDIO TRANSFERIR O ACEPTAR
BAJO ACEPTAR
MINIMO ACEPTAR
Evaluando en nuestro matriz de analissi de riesgo tenemos:
31
__________________________________________________________________________________________
MATRIZ DE RIESGO
ENFOQUE
RIESGO DE
ID ACTIVO VULNERABILIDAD AMENAZA NETO MITIGACION
1 Cuadernos Falta de control Robo o MITIGAR

de clientes lógico manipulación
Deterioro del Obstáculo en MITIGAR

material la prestación
del servicio
Tipo del material Eventos MITIGAR
naturales
2 Falta de control Robo o MITIGAR
Cuadernos lógico manipulación
de Deterioro del Obstáculo en MITIGAR
proveedor material la prestación
del servicio
naturales

lógico manipulación
Cuaderno Deterioro del Obstáculo en MITIGAR
de ventas material la prestación
del servicio
naturales
Hoja de
inventario
Deterioro del Obstáculo en MITIGAR
del servicio
naturales
Nota de Deterioro del Obstáculo en MITIGAR
pedidos material la prestación
del servicio
naturales
6 Falta de control Robo o MITIGAR O
lógico manipulación TRANSFERIR
Boleta Deterioro del Obstáculo en MITIGAR O
32
__________________________________________________________________________________________
material la prestación TRANSFERIR

del servicio
Tipo del material Eventos MITIGAR O
naturales TRANSFERIR
7 Transporte Negligencia del Error ACEPTAR
chofer operacional
Falla mecánica ACEPTAR
8 Falta de seguridad Acceso a MITIGAR
Almacén información
critica
Perdida de llave Acceso a MITIGAR
espacios
restringidos
Negligencia del Error MITIGAR
personal operacional
9 Escritorio Falta de control Robo o ACEPTAR
Deterioro del Obstáculo en ACEPTAR
del servicio
Tipo del material Eventos ACEPTAR
naturales
10 Registro Falta de control Robo o MITIGAR
de lógico manipulación
ganancias Deterioro del Obstáculo en MITIGAR
del servicio
naturales
11 Teléfono Falta de control Robo o MITIGAR
celular lógico manipulación
naturales
Falla de gestión de Acceso a MITIGAR O
autenticación información TRANSFERIR
critica
12 Exhibidor Falta de control Robo o ACEPTAR
Deterioro del Obstáculo en ACEPTAR
del servicio
Tipo de material Eventos ACEPTAR
naturales
13 Falta de conciencia Filtración de MITIGAR
Vendedor de los integrantes información
del negocio
Falta de Error MITIGAR
33
__________________________________________________________________________________________
Falta de conciencia Robo o daño MITIGAR
de los integrantes de activos de
14 Cobrador Falta de conciencia Filtración de MITIGAR

de los integrantes información
del negocio
Falta de Error MITIGAR
Falta de conciencia Robo o daño MITIGAR
de los integrantes de activos de
15 Jefe de Falta de Error MITIGAR

almacén capacitación operacional
Falta de políticas Acceso a MITIGAR O
en la emisión de la información TRANSFERIR
información critica
Falta de conciencia Robo o daño MITIGAR O
de los integrantes de activos de TRANSFERIR
4.10 PASO 8: SELECCIONAR EL ENFOQUE DE MITIGACIÓN
En este paso se plantea las propuestas de mejora en cuanto a los activos de

información de la empresa, de acuerdo al análisis anterior realizado.
Para la selección del enfoque de mitigación se tomaron las vulnerabilidades de los

riesgos inaceptables y los controles para mitigar este riesgo, a cada control se le
determina un objetivo y la actividad necesaria para su implementación, obteniendo así
la oportunidad de mejora del esquema de seguridad informática.
Como la metodología Octave Allegro no maneja controles propios se usó como guía la
norma ISO 27000 del Anexo a
A continuación, se plantea las oportunidades de mejora frente a las debilidades o

vulnerabilidades encontradas:
FALTA DE CONTROL LÓGICO
 Control en el acceso al personal autorizado para cada activo de información.

 Instalar cámaras de seguridad para resguardar el almacén.
DETERIORO DEL MATERIAL
 Cambiar los cuadernos cada fin de mes para evitar el deterioro del material.
 Usar vitrinas o estantes de fierro, para guardar los cuadernos y evitar
accidentes naturales.
34
__________________________________________________________________________________________
TIPO DEL MATERIAL
 Cambiar los cuadernos cada fin de mes para evitar riesgos por el tipo de
material.
 Evitar poner en lugares inadecuados o expuestos a accidentes naturales.
FALTA DE SEGURIDAD
 Adecuar el almacén con equipo contra incendios ubicado adecuadamente y

hacer uso de señalización.
 Los materiales de que pueden provocar accidentes deben estar almacenados
en zona segura y distante.
 Crear políticas de seguridad, en cuanto al personal, infraestructura, ventas y
cobranza.
 Realizar mantenimiento del local.
PERDIDA DE LLAVE
 Uso solo por el gerente del negocio o personal autorizado.

 Cambiar cada cierto tiempo la seguridad de la puerta.
 Hacer uso de candado adicional para el cierre del almacén manejado solo por
el gerente.
NEGLIGENCIA DEL PERSONAL
 Se debe realizar un instructivo sobre la plataforma de cobranza.
FALLA DE GESTIÓN DE AUTENTICACIÓN
 Hacer uso de patrones en el celular como parte de la identificación.

 Realizar copias constantes de la información necesaria del teléfono.
 Enviar registro de intento de ingreso al correo.
FALTA DE CONCIENCIA DE LOS INTEGRANTES
 Realizar el reclutamiento del personal con características idóneas para el

puesto.
 Generar confianza con el personal y brindar el ambiente adecuado.
 Reforzar la práctica de valores, la moral y la ética del personal.
FALTA DE CAPACITACIÓN
 Realizar una capacitación y verificaciones cumplimiento, al personal durante la

etapa de prueba de ingreso.
 Realizar instructivos cada fin de semana y dar conocimiento de nuevas ventas
o puestos de cobranza.
 Facilitar un canal de comunicación con el gerente en caso de problemas
suscitados.
FALTA DE POLÍTICAS EN LA EMISIÓN DE LA INFORMACION
 Tener un canal de contingencia de la información brindada, que permita

continuar con la operación del negocio.
35
__________________________________________________________________________________________
 No exponer la los activos críticos (cuadernos) en ningún lugar.

 Crear políticas para el personal en cuanto a la fuga de información durante o
después que se retire del trabajo.
36
__________________________________________________________________________________________
CONCLUSIÓN
Al realizar este trabajo se logró identificar las fortalezas y debilidades que se pueden
presentar en el negocio “Novedades Rojas” en cuanto al análisis de riego haciendo
uso de la metodología OCTAVE Allegro. Durante el análisis se encontraron
debilidades, éstas tuvieron un manejo especial con controles y procedimientos que
permitieron que los eventos de riesgo se materialicen cada vez menos, hasta llegar al
riesgo residual o eliminar el riesgo definitivamente.
La metodología Octave Allegro, permitió identificar las falencias que existían en
algunos procesos internos y políticas de la organización, a partir de estas se tomaron
decisiones y se implementaron mejoras. Esta metodología fue de gran utilidad, ya que
permite enfocarse en los activos de información, contemplando varios escenarios de
amenazas y así tener un mayor alcance en la identificación de los riesgos, como los
controles que se deben implementar, para evitar que el riesgo se materialice, mediante
la implementación de un prototipo en la que se encuentran los ocho pasos, que facilita
y ordenada la información de los activos, controles, áreas de preocupación entre otras.
Al realizar las pruebas se logró identificar que la empresa solo hace uso de material
físico (papel) que está expuesta a muchos riesgos, para ello hemos planteado algunas
formas de mitigar este aspecto y reducir el riesgo lo máximo posible, ya que de esto
depende la continuidad de la empresa.
37
__________________________________________________________________________________________
BIBLIOGRAFIA
 ICONTEC, "Estándar Internacional ISO/IEC 27001:2005 Information

Technology -- Securitytechniques --Specification for an Information Security
Management System," ed, 2005.
 P. D. A. A. G., "Análisis y Evaluacion del Riesgo de Información: Un
Caso en la Banca," 2006
 M. d. C. C. Rin, "El Análisis de Riesgos dentro de una Auditoría
Informática: pasos y posibles metodologías," Departamento de Informática,
Universidad Carlos III de Madrid, 2013
 https://prezi.com/rorze5zzdhe5/untitled-prezi/ - Organigrama
https://prezi.com/n0qfzetz7h5g/carsa/ - Entrevista organizacional
 http://bibdigital.epn.edu.ec/bitstream/15000/8499/3/CD-5741.pdf
 http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoral
esSandraMilena2017.pdf
38

Seguridad

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL DE HUAMANGA

FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL

ESCUELA DE FORMACIÓN PROFESIONAL DE INGENIERÍA DE SISTEMAS

PLANIFICACION DEL SGSI PARA LA IMPLEMENTACION EN EL NEGOCIO

CURSO : LABORATORIO DE SEGURIDAD INFORMATICA

PROFESOR : Ing. LAGOS BARZOLA, Manuel A.

 AUQUI BAUTISTA, Andy

 CURO ZAMORANO, Elizabeth

 ROJAS HUARHUACHI, Amorhin

Agradecemos al docente del curso a

4.10 PASO 8: SELECCIONAR EL ENFOQUE DE MITIGACIÓN .................................................... 34

En la actualidad grandes y pequeñas empresas mantienen la seguridad de su

En el presente trabajo para el análisis de gestión de riesgo de la empresa “Novedades

CAPITULO I: DESCRIPCIÓN GENERAL DEL NEGOCIO

1.1 DESCRIPCIÓN DEL NEGOCIO

La empresa “NOVEDADES ROJAS” es especialista en repartir lencería al por mayor y

¿Cómo mejora la productividad y ventas la empresa “Novedades Rojas”?

Buena logística y abastecimiento adecuado de los productos.

Las ventas fuera de la tienda constituyen un 80% de los ingresos y es considerado

Conocimiento del cliente.

En este caso como actúa de intermediario no es necesario mejoras de infraestructura,

Enfocarse en temas de servicio con rapidez y responsabilidad, hace la diferencia.

La venta realizada es al crédito, mediante pequeños cobros diarios.

Debemos tener en cuenta que todas las informaciones de la empresa están

Novedades “ROJAS” es una empresa dedicada a la comercialización de lencería de

Ser una empresa reconocida por su prestigio, compromiso, participación y crecimiento

Desarrollar la fase de planificación

Identificar activos de información a resguardar

Disminuir el riesgo de los activos de información críticos

1.5 ESTUDIO DE LA SITUACIÓN DE LA ORGANIZACIÓN CON CID

Según el estudio de la situación se observa que la empresa hace uso de sus

Confidencialidad: Acceso de información por el personal autorizado, en este caso es

CAPITULO II: MARCO TEORICO

2.1 SEGURIDAD INFORMÁTICA

La ingeniería informática debe ofrecer una plataforma de acceso a los servicios

2.2 PILARES DE LA SEGURIDAD INFORMÁTICA

Los principales objetivos de la seguridad informática que generan la base de la rama

 La Disponibilidad. Este término hace referencia al método de precaución

 La Confidencialidad. La información puede ser accedida únicamente por las

 La integridad. Implica que debe salvaguardarse la totalidad y la exactitud de la

2.3 METODOLOGÍA OCTAVE ALLEGRO

 Establecer los controladores, donde la organización desarrolla los criterios de

 Identificar las amenazas, donde las amenazas a los activos-en el contexto de

 Identificar y mitigar los riesgos, donde los riesgos se identifican y analizan

1. Establecer criterios de medición de riesgo.

Se establecen los controladores de la organización que evalúan los afectos de un

El método OCTAVE Allegro proporciona un conjunto estándar de plantillas de hoja

 Definición de área de impacto de usuario

2. Desarrollo un perfil de activos de información

La metodología OCTAVE Allegro se centra en los activos de información de la

 Identificar el grupo de activos de información al cual se le va a realizar el

 Enfocarse en los activos de información más críticos

 Obtener información necesaria para empezar a estructurar el proceso de

3. Identificar los contenedores de los activos de la información

Los contenedores describen los lugares en los que la información es almacenada,

 Contenedores técnicos: Están bajo el control directo de la organización o

 Contenedores físicos: La información pues estar de dentro o fuera de la

 Contenedor persona: Persona interna o externa de la organización que

4. Identificar las áreas de interés

En este paso se realiza el proceso de identificación de riesgos con lluvia de ideas

5. Identificar las situaciones de amenaza

En la primera mitad de la etapa 5, las áreas de interés identificadas en el paso

6. Identificar los riesgos