Actividad 3

Valoracin de Riesgos

LUIS MAURICIO ARDILA VARGAS

CURSO: GESTIN DE LA SEGURIDAD INFORMTICA -1075564
INSTRUCTOR: FRANCKLIN MIGUEL ROJAS PINZON

SERVICIO NACIONAL DE APRENDIZAJE

GESTIN DE LA SEGURIDAD INFORMTICA -1075564
BUCARAMANGA
2015
VALORACIN DE RIESGOS

Contenido
Identificacin de activos..................................................................................... 3
Valoracin de los activos..................................................................................... 4
Valoracin del riesgo........................................................................................... 6
Matriz cualitativa................................................................................................ 6
Matriz cuantitativa.............................................................................................. 6

Como asesor de la empresa y habiendo identificado los activos de

informacin, Simn desea saber cul es la valoracin del riesgo
presente en cada uno de los activos de la empresa y de qu
manera aplica las normas y metodologas de seguridad informtica.

Identificacin de activos.
Tipo
Servicios

Definicin
Funcin que se realiza para satisfacer
las necesidades de los usuarios.

Datos/informaci
n

Elementos de informacin que de

alguna
forma, representan el
conocimiento que se tiene
Elementos
que
nos
permiten
automatizar las tareas,
Bienes materiales, fsicos, destinados
a soportar servicios.
Dispositivos
temporales
o
permanentes de los datos, soporte
de las aplicaciones, proceso de la
transmisin de datos.
Instalaciones
dedicadas
como
servicios
de
telecomunicaciones,
centrndose en que son medios de
transporte que llevan datos de un
lugar a otro
Dispositivos fsicos que permiten
almacenar informacin de forma
permanente
Lugar donde se hospedan los
sistemas
informticos
y
comunicaciones
Personas
relacionadas
con
los
sistemas de informacin

Software
Equipos
informticos
Hardware

Redes
de
telecomunicacio
nes.
Soportes
informacin
Instalaciones
Personal

de

Ejemplo
Servicios
que
se
presentan
para
las
necesidades
de
la
colectividad
Base
de
datos,
reglamentos,
Programas, aplicativos.
Computadores, video. Etc.
Impresora, beam, switche,
etc.
Red local, internet, red
telefnica,
redes
inalmbricas.
Memorias
duros

USB,

discos

Edificios, oficinas.
Administradores, usuarios.

Valoracin de los activos.

Escala de valoracin

Valor

Descripcin

MB: muy bajo

B: Bajo

1
2

Irrelevante para efectos prcticos

Importancia menor para el desarrollo del proyecto

M: Medio
A: Alto
MA: Muy alto.

3
4
5

Importante para el proyecto

Altamente importante para el proyecto
De vital importancia para los objetivos que se persigue.

Escala de
valoracin

Valor

Descripcin

MB: muy bajo

B: Bajo
M: Medio
A: Alto
MA: Muy alto.

1
2
3
4
5

0 a 500.00
501.000 a 1.500.000
1.501.000 a 3.000.000
3.001.000 a 5.000.000
5.000.001 o mas

Identificacin del riesgo.

AMENAZA
Fuego

DESCRIPCIN
Incendios. Posibilidad que un incendio acabe
con los recursos del sistema.

Daos por agua

Desastres naturales
Contaminacin electromagntica
Avera de origen fsico o lgico
Corte del suministro electico
Fallos de servicios de comunicacin
Degradacin de los soportes de
almacenamiento de la informacin
Errores de usuario
Errores de administracin
Difusin de software daino
Escapes de informacin

Alteracin de la informacin
Degradacin de la informacin

Divulgacin de informacin
Suplantacin de la identidad
del usuario
Acceso no autorizado

Modificacin de la
informacin
Ataque destructivo
Ingeniera social

Inundaciones. . Posibilidad que el agua

acabe con los recursos del sistema
Rayos, tormenta elctrica, terremoto, etc
Interferencias de radio, campos magnticos,
luz ultravioleta.
Fallas en los equipos, programas.
Cese de alimentacin de la potencia
elctrica
Cese de la capacidad de transmitir datos de
un sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con
responsabilidades de instalacin y operacin
Propagacin inocente de virus, gusanos,
troyanos, bombas lgica.
La informacin llega accidentalmente al
conocimiento de personas que no deberan
tener conocimiento de ella, sin que la
informacin en s misma se vea alterada
Alteracin accidental de la informacin.
Esta amenaza slo se identifica sobre datos
en general, pues cuando la informacin est
en algn soporte informtico hay amenazas
especficas.
Revelacin por indiscrecin, Incontinencia
verbal, medios electrnicos, soporte papel.
Cuando un atacante consigue hacerse pasar
por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios
El atacante consigue acceder a los recursos
del sistema sin tener autorizacin para ello,
tpicamente aprovechando un fallo del
sistema
de identificacin y autorizacin.
Alteracin intencional de la informacin, con
nimo de obtener un beneficio o causar un
perjuicio.
Vandalismo, terrorismo.
Abuso de la buena fe de las personas para
que realicen actividades
que interesan a un tercero

Valoracin del riesgo.

Valor

descripci
n
A diario
Una vez al
mes

Probabilidad de la ocurrencia

FN: Frecuencia
normal

Una vez al
ao

25% - 50%

PF: Poco
frecuente

Cada
varios aos

0-25%

MF: Muy frecuente

F: Frecuente

75-100%
50% - 75%

Matriz cualitativa.
VULNERABILIDAD
RIESGO

IMPACTO

MA

PF
A

FN
MA

F
MA

MF
MA

A
M
B
MB

M
B
MB
MB

A
M
B
MB

MA
A
M
B

MA
MA
A
M

Matriz cuantitativa.
Clase

Valoracin cualitativa

Valoracin cuantitativa

Critico

Muy alto

10 a 20

Grave

Alto

5a9

Moderado

Medio

4a6