Metodología de Análisis, Evaluación y Tratamiento de Riegos

ROL NOMBRE CARGO FECHA

Elaborado por: ● Castrejon estudiantes 13/11/2018

Pisco, Raul
● Cruzado
Abanto
Jhoel
● Garcia
Lopez,
wilmer
● Quispe
Sangay,
Ronal

1 METODOLOGÍA DE GESTIÓN DE RIESGOS

1.1 Inventario y valorización de activos de información

1.1.1 Inventarios de activos

Inventario de los activos de información que son obtenidos, utilizados, procesados y/o
entregados por los procesos que forman parte del alcance del sistema SGSI. Por cada
activo se deben definir:
● Nombre del Activo
● Proceso a que pertenece
● Clasificación (en el caso de información)
● Propietario del Activo
En forma opcional, se pueden definir algunas características adicionales: Código del
Activo, Descripción del Activo, Tipo de Activo, etc. Existe la posibilidad de agrupar activos
que comparten ciertas características, tales como ubicación física, similares amenazas y
vulnerabilidades, características tecnológicas, etc.

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C1 Servidores equipo físico Ventas Confidencial Administrador Hardware

que
aloja algún
programa o
aplicación,
administrado
 por el
personal de
infraestructur
a y sistemas.

C2 Computador Equipo de Ventas Confidencial Administrador Hardware

de escritorio computación
que utiliza el
personal
para trabajar

C3 Computador Equipos Venas Confidencial Administrador Hardware

portátil usador por la
alta gerencia

C4 equipos de Equipos que Ventas Confidencial Administrador Hardware

comunicació conforman
n la red de voz
y datos
ubicados en
el centro.

C5 memorias Dispositivo Ventas Confidencial Administrador Hardware

USB usados para
realizar
copias de
respaldo

C6 Dispositivos Se utilizar Ventas Restringida Promotor de Hardware

Móviles para anotar Ventas
el pedido del
cliente

C7 Impresora Permite Ventas Restringida Administrador Hardware

Multifuncion imprimir las
al boletas de
ventas y
picking

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C8 Sistema Sistema Contable Confidencial Administrador Software

contable diseñado
para el
control de los
recursos
financieros
de la
empresa.
C9 Sistema de Sistema que Ventas y Confidencial Administrador Software
Gestión se encarga Logística
de la
facturación,
control de
inventarios,
control de
pago a
proveedores,
control de
cuentas por
cobrar,
gestión de
pedidos a
proveedores
y gestión de
venta

C10 Almacenami Se considera Ventas Confidencial Administrador software

ento – a la
bases de información
datos almacenada
y respaldada
originada de
los datos.

C11 App de Usada por los Ventas Restringida Administrador Software

pedido vendedores
para registrar
los pedidos
de los
clientes

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C12 Internet Se considera Ventas Restringida Empresa Comunica

al servicio y Distribuidora ción
demás
elementos
necesarios
para lograr el
acceso hacia
el Internet

C13 Red Se considera Ventas Restringida Administrador Comunica

inalámbrica a la señal de ción
red emitida
por los
puntos de
acceso
C14 Red se considera Ventas Restringida Administrador Comunica
alámbrica a las ción
conexiones
alámbricas
de cable UTP

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C15 UPS Se Ventas Restringida Administrador Equipamie

consideran a nto auxiliar
las baterías
que protegen
a los
servidores y
equipos de
comunicación
de fallos
eléctricos

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C16 Centro de es el lugar Ventas, Confidencial Administrador Instalacion

datos donde se Logística es
concentran
alojado el
servidor y
algunos
equipos de
comunicación

CÓDIGO NOMBRE DESCRIPCIÓN PROCESO CLASIFICACIÓN PROPIETARIO TIPO DE

ACTIVO

C17 CAdministrad Persona Ventas, Confidencial Gerente Personal

or encargada de logística
asignar
permisos o
denegación
de acceso a
los sistemas

C18 Supervisor Persona con Ventas Restringida Administrador Personal

de venta acceso a
vistas de
reporte de
ventas que
realizan los
vendedores
C19 Jefe de Persona que Ventas Restringida Administrador Personal
almacén tiene acceso
a compras,
programación
de vehículos,
picking y
creación de
nuevos
productos

C20 Asistente Digitar Ventas Restringida Administrador Personal

pedidos,
visitar
pedidos de
clientes, ver
picking,
visitar reporte
de cobranzas
y modificar
datos de
clientes.

C21 Vendedores Ingresar, ver Ventas Restringida Supervisor de Personal

pedidos de venta
clientes

C22 Personal Personas Manteni Restringida Administrador Personal

técnico encargadas miento
de dar de
soporte a los equipos
activos de
hardware

1.1.2 Valorización de activos

NOMBRE DEL CLASIFICACIÓN TIPO PROPIETARIO IMPORTANCIA DE ACTIVO

ACTIVO

C I D TOTAL

Servidores Confidencial Hardware Administrador 5 5 5 5

Computador Confidencial Hardware Administrador 1 3 5 3

de escritorio

Computador Confidencial Hardware Administrador 3 4 5 4

portátil

equipos de Confidencial Hardware Administrador - 3 4 3

comunicación

memorias USB Confidencial Hardware Administrador 5 5 5 5

Dispositivos Restringida Hardware Promotor de 3 4 5 4
Móviles Ventas

Impresora Restringida Hardware Administrador - - 5 2

Multifuncional

Sistema Confidencial Software Administrador 5 5 5 5

contable

Sistema de Confidencial Software Administrador 5 5 5 5

Gestión

Almacenamien Confidencial software Administrador

to – bases de 5 5 5 5
datos

App de pedido Restringida Software Administrador 4 4 5 5

Internet Restringida Comunicación Empresa - - 5 2

Distribuidora

Red Restringida Comunicación Administrador 2 2 5 3

inalámbrica

Red alámbrica Restringida Comunicación Administrador 2 2 5 3

UPS Restringida Equipamiento Administrador - - 5 2

auxiliar

Centro de Confidencial Instalaciones Administrador

5 5 5 5
datos

Administrador Confidencial Personal Gerente

5 5 5 5

Supervisor de Restringida Personal Administrador

4 2 3 3
venta

Jefe de Restringida Personal Administrador

5 5 5 5
almacén

Asistente Restringida Personal Administrador

4 5 3 4

Vendedores Restringida Personal Supervisor de 3 3 5 4

venta

Personal Restringida Personal Administrador 3 4 5 4

técnico

1.2 Análisis de riesgos

1.2.1 Identificación de las amenazas vulnerabilidades y controles existentes

LISTADO DE AMENAZAS
NOMBRE ACTIVO AMENAZAS VULNERABILIDAD CONTROLES EXISTENTES

Servidores Incendio, Terremoto, Errores de  Uso de extintores

inundaciones, agotamiento configuración,  Cámaras de
de recursos, Spyware, puertos abiertos seguridad.
malware, robos,  Autenticación de
fluctuaciones eléctricas, usuarios.
desconexión física o lógica.  Copias de respaldo
 UPS

Computador Incendio, Terremoto, robos, Software ilegal  Uso de extintores

portátil malware, sobrecarga  Cámaras de
eléctrica. seguridad.

Memoria USB Incendio, Terremoto, robos. Falta de medida  Uso de extintores

se seguridad para  Cámaras de
el acceso seguridad

Dispositivos Robos, malware. Descargar de app  Autenticación de

móviles no confiables usuarios.

Sistema acceso no autorizado, Error de  Autenticación de

contable desconexión lógica programación, usuarios.
configuración  Capacitación del
inadecuando del personal para el
sistema, falta de uso del sistema
sensibilización de
los usuarios

Sistema de acceso no autorizado, Error de  Autenticación de

Gestión desconexión lógica programación, usuarios.
configuración  Capacitación del
inadecuando del personal para el
sistema, falta de uso del sistema
sensibilización de
los usuarios
Almacenamien acceso no autorizado, Error de  Autenticación de
to- Base de desconexión lógica, programación, usuarios.
datos alteración de datos. configuración
inadecuando del
sistema, falta de
sensibilización de
los usuarios

App de acceso no autorizado, Error de  Autenticación de

pedidos desconexión lógica, programación, usuarios.
alteración de datos. configuración
inadecuando de
la App

Centro de Incendio, Terremoto, Acceso rápido  Cámaras de

datos inundación, acceso de con insuficiente seguridad
personal no autorizado seguridad.  Extintores

Administrador Fuga de información, Falta de  Cámaras de

alteración de información, capacitación, falta seguridad
divulgación de la de ética
información. profesional

Jefe de Fuga de información, Falta de  Cámaras de

Almacén alteración de información, capacitación, falta seguridad
divulgación de la de ética
información. profesional

Asistente Fuga de información, Falta de  Cámaras de

alteración de información, capacitación, falta seguridad
divulgación de la de ética
información. profesional

Vendedores Fuga de información, Falta de  Cámaras de

alteración de información, capacitación, falta seguridad
divulgación de la de ética
información. profesional

Personal Fuga de información, Falta de  Cámaras de

técnico alteración de información, capacitación, falta seguridad
divulgación de la de ética
información. profesional
1.2.2 Determinación de valor de degradación

ESCALA VALOR DE
DEGRADACIÓN
5 MUY ALTO
4 ALTO
3 MEDIO
2 BAJO
1 MUY BAJO

1.2.3 Determinación de valor de impacto

 Activo: servidor
Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5
 Activo: Computador portátil

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5
  Activo: Memoria USB
Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Dispositivos móviles

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Sistema contable

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Sistema de Gestión

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Almacenamiento- Base de datos

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
 Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: App de pedidos

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Centro de datos

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Administrador
Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Jefe de Almacén

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Asistente
Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
 1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: vendedores
Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

 Activo: Personal técnico

Degradación máxima
Matriz de Impacto Muy bajo Bajo Medio Alto Muy
alto
1 2 3 4 5
Importancia Muy bajo 1 1 1 2 3 3
activo Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy alto 5 3 3 4 5 5

1.2.4 Determinación de la probabilidad

ESCALA VALOR DE
PROBABILIDAD
5 MUY ALTO
4 ALTO
3 MEDIO
2 BAJO
1 MUY BAJO

 Servidores (3)
 Computador portátil (4)
 Memoria USB (3)
 Dispositivos móviles (4)
 Sistema contable (4)
 Sistema de Gestión (4)
 Almacenamiento- Base de datos (4)
 App de pedidos (4)
 Centro de datos (4)
 Administrador (4)
  Jefe de Almacén (4)
 Asistente (4)
 Vendedores (5)
 Personal técnico (4)

1.2.5 Determinación de valor de riesgo

NOMBRE ACTIVO AMENAZAS VULNERABILIDAD CONTROLES DEGRADACION DEGRA. VALOR IMPACTO PROBA RIESGO
EXISTENTES MAX ACTIVO BILIDAD
C I D

Incendio Falta de equipos de Uso de 5 5 5 5 5 5 2 3

climatización extintores

Terremoto 5 5 5 5 5 5 1 3

inundaciones 5 5 5 5 5 5 3 4

agotamiento 5 5 5 5 5 5 2 3
de recursos

Spyware Errores de configuración, Autenticación de 5 5 5 5 5 5 3 4

puertos abiertos usuarios, Copias
de respaldo

Servidores malware Errores de configuración, Autenticación de 5 5 5 5 5 5 3 4

puertos abiertos usuarios, Copias
de respaldo

robos Cámaras de 5 5 5 5 5 5 2 3
seguridad

fluctuaciones ups 5 5 5 5 5 5 2 3
eléctricas
 desconexión Copias de 5 5 5 5 5 5 2 3
física o respaldo
lógica.

Incendio Uso de 3 4 5 4 4 5 2 3
extintores

Terremoto 3 4 5 4 4 5 1 3

Computador robos Cámaras de 3 4 5 4 4 5 2 3

portátil seguridad

malware Software ilegal 3 4 5 4 4 5 3 4

sobrecarga 3 4 5 4 4 5 2 3
eléctrica.

Incendio Uso de 5 5 5 5 5 5 2 3
extintores

Memoria USB Terremoto 5 5 5 5 5 5 1 3

Robos Cámaras de 5 5 5 5 5 5 2 3
seguridad

Robos 3 4 5 5 5 4 2
Dispositivos malware. Descarga de app no  Autenticació
móviles confiables n de
Error de programación usuarios.

Sistema acceso no  Autenticació

contable autorizado n de

desconexión configuración inadecuando  usuarios.

lógica del sistema, falta de  Capacitación
sensibilización de los del personal
usuarios para el uso
del sistema

Sistema de acceso no Error de programación,  Autenticació

Gestión autorizado configura ción n de
usuarios.
 Capacit
ación
 desconexión inadecuando del sistema,  del personal
lógica falta de sensibilización de para el uso
los usuarios del sistema

Almacenamie acceso no Error de programación,  Autenticació     

nto- Base de autorizado configura ción n de
datos usuarios

desconexión inadecuando del  .     

lógica

alteración de sistema, falta de      

datos. sensibilización de los
usuarios
App de acceso no Error de programación,  Autenticació     
pedidos autorizado configura ción n de
usuarios.

desconexión inadecuando de la      
lógica

alteración de App      
datos.

Centro de Incendio, Acceso rápido con  Cámaras de     

datos Terremoto, seguridad

inundación insuficiente seguridad.     

 Extintor es

acceso de     
personal no
autorizado
Administrador Fuga de Falta de capacitación, falta  Cámaras de     
información de ética profesional seguridad

alteración de      
información

divulgación      
de la
información.

Jefe de Fuga de Falta de capacitación, falta  Cámaras de     

Almacén información de ética profesional seguridad


alteración de      
información

divulgación     
de la
información.
Asistente Fuga de Falta de capacitación, falta  Cámaras de     
información de ética profesional seguridad

alteración de     
información

divulgación     
de la
información.

Vendedores Fuga de de ética profesional  Cámaras de     

información, seguridad

alteración de     
información

divulgación     
de la
información.
Personal Fuga de Falta de capacitación, falta  Cámaras de     
técnico información, de ética profesional seguridad

alteración de     
información,

divulgación     
de la
información.
1.3 Evaluación de riesgo

1.4 Tratamiento de riego

1.4.1 Determinación de la aceptabilidad del riesgo

1.4.2 Tratamiento del riesgo