EVIDENCIA INFORME

“Análisis de caso: Simón III”

Estudiante
CARLOS ALIRIO DUARTE DUARTE

Docente
Ingeniera de Sistemas YANETH ACEVEDO LEGUIZAMÓN
Gestión de la Seguridad Informática
Centro Industrial de Mantenimiento y Manufactura
SENA Regional Boyacá - Sogamoso

SERVICIO NACIONAL DE APRENDIZAJE

Villavicencio (Meta), 27 de septiembre de 2017

Análisis de caso: Simón III

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo
identificado los activos de información en la semana 3, Simón desea saber cuál
es la valoración del riesgo presente en cada uno de los activos de la empresa y
de qué manera puede aplicar las normas y metodologías de seguridad
informática.

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada

por una amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrínseco: cálculo del daño probable a un activo si se

encontrara desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a disminuir

el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de

salvaguardas

Identificación de los activos

Tipo Definición Ejemplo

Función que se realiza para satisfacer las Servicios que se presentan para
Servicios
necesidades de los usuarios. las necesidades de la colectividad
Elementos de información que de alguna
Datos/información forma, representan el conocimiento que se Base de datos, reglamentos,
tiene
Elementos que nos permiten automatizar las
Software Programas, aplicativos.
tareas,
Equipos Bienes materiales, físicos, destinados a
Computadores, video. Etc.
informáticos soportar servicios.
Dispositivos temporales o permanentes de los
Hardware datos, soporte de las aplicaciones, proceso de Impresora, beam, switche, etc.
la transmisión de datos.
Instalaciones dedicadas como servicios de
Redes de
telecomunicaciones, centrándose en que son Red local, internet, red telefónica,
telecomunicaciones
medios de transporte que llevan datos de un redes inalámbricas.
.
lugar a otro
Soportes de Dispositivos físicos que permiten almacenar
Memorias USB, discos duros
información información de forma permanente
Lugar donde se hospedan los sistemas
Instalaciones Edificios, oficinas.
informáticos y comunicaciones
Personas relacionadas con los sistemas de
Personal Administradores, usuarios.
información

Los tipos de riesgos presentes en la empresa de Simón son:

Riesgos internos: Sus fuentes se dan dentro de la organización. En este caso

se puede evidenciar los trabajadores de la empresa.
Riesgos externos: Sus fuentes se dan fuera de la organización. Cualquier
intruso que pueda ingresar al sistema y robar la información o personal que
realice mantenimiento a los equipos y se convierta en una potente amenaza.

Riesgo de Negocios: Es el riego de los negocios estratégicos de la empresa y

de sus procesos claves. En otras palabras es un riesgo crítico de la empresa.
Riesgo en cuanto a la competitividad en la actividad realizada y al servicio
prestado.

Riesgo Inherente: Es la posibilidad de errores o irregularidades en la

información financiera, administrativa u operativa, antes de considerar la
efectividad de los controles internos diseñados y aplicados por la organización.
Debido a que la principal actividad de la empresa de Simón es de llevar la
contabilidad de microempresas este tipo de riesgos se ajusta en gran manera,
por lo cual la seguridad y la organización deben ser prioritarias.

Riesgo de Tecnología: Se asocia con la capacidad de la empresa en que la

tecnología disponible satisfaga las necesidades actuales y futuras de la
empresa y soporten el cumplimiento de la misión.

Identificación de Riesgo

Amenaza
Fuego
Daños por agua
Desastres naturales
Contaminación electromagnética
Avería de origen físico o lógico
Corte del suministro electico
Fallos de servicios de comunicación
Degradación de los soportes de almacenamiento
de la información
Errores de usuario
Errores de administración
Difusión de software dañino
Escapes de información
Alteración de la información
Degradación de la información
Divulgación de información
Suplantación de la identidad
del usuario
Descripción
Incendios. Posibilidad que un incendio acabe con
los recursos del sistema.
Inundaciones. . Posibilidad que el agua acabe con
los recursos del sistema
Rayos, tormenta eléctrica, terremoto, etc
Interferencias de radio, campos magnéticos, luz
ultravioleta.
Fallas en los equipos, programas.
Cese de alimentación de la potencia eléctrica
Cese de la capacidad de transmitir datos de un
sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con responsabilidades
de instalación y operación
Propagación inocente de virus, gusanos, troyanos,
bombas lógica.
La información llega accidentalmente al
conocimiento de personas que no deberían tener
conocimiento de ella, sin que la información en sí
misma se vea alterada
Alteración accidental de la información.
Esta amenaza sólo se identifica sobre datos en
general, pues cuando la información está en algún
soporte informático hay amenazas específicas.
Revelación por indiscreción, Incontinencia verbal,
medios electrónicos, soporte papel.
Cuando un atacante consigue hacerse pasar por un
usuario autorizado, disfruta de los privilegios de
este para sus fines propios
 El atacante consigue acceder a los recursos del
sistema sin tener autorización para ello, típicamente
Acceso no autorizado
aprovechando un fallo del sistema de identificación
y autorización.
Modificación de la Alteración intencional de la información, con ánimo
información de obtener un beneficio o causar un perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Abuso de la buena fe de las personas para que
Ingeniería social
realicen actividades que interesan a un tercero

Valoración del riesgo

Le daremos la valoración correspondiente de los activos, teniendo en cuenta su

importancia y el daño que pueden causar a la estructura, mirando su
disponibilidad, integridad y confidencialidad.

El tipo de daño probable, puede ser:

Pérdidas económicas: Por cuentas y datos de clientes.

Trastornos en el negocio: No operar de forma adecuada en cuanto al control

de los activos de los clientes y sus finanzas.

Efecto negativo en la reputación: Pérdida de credibilidad ante clientes y el

mercado.

La disponibilidad de la información debe ser siempre visible a usuarios y

administradores, para que puedan realizar control de las procesos contables,
en caso de no ser visible sería fatal y ocasionaría colapso.

La integridad de la información debe ser evaluada constantemente para evitar

intrusiones y pueda ser alterada, por accesos no legítimos.

La confidencialidad debe ser permanente, obligando a firmar acuerdos de no

promulgación de información tanto de clientes como compañía.

Reducción de riesgos

Implementación de medidas de protección con el objetivo de reducir el riesgo.

Datos e Información: son los datos e informaciones en sí mismo

(Finanzas, RRHH, llamadas telefónicas, correos electrónicos base de
datos, chat…)

Sistemas e Infraestructura: son los componentes donde se

mantienen o guardan los datos e informaciones (Edificio, equipo de red,
computadoras, portátiles, memorias portátiles, celulares…)

Personal: son todos los individuos que manejan o tienen acceso a los
datos e informaciones y son los activos más difíciles de proteger, porque
son móviles, pueden cambiar su afiliación y son impredecibles (Junta
directiva, coordinación, administración, personal técnico)
 Valor Descripción Probabilidad de la ocurrencia
MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al mes 50% - 75%
FN: Frecuencia normal Una vez al año 25% - 50%
PF: Poco frecuente Cada varios años 0-25%
Matriz cualitativa.

VULNERABILIDAD
RIESGO
PF FN F MF

MA A MA MA MA

A M A MA MA

M B M A MA
Impacto
B MB B M A

MB MB MB B M

Matriz cuantitativa.

Clase Valoración cualitativa Valoración cuantitativa

Critico Muy alto 10 a 20

Grave Alto 5a9

Moderado Medio 4a6

Medidas de protección.

Medidas dependiendo el grado de riesgo

Muy Alto: Medidas inaceptables, necesitan la implementación de controles

inmediatamente con el objetivo de impedir un impacto mayor y daño a la
empresa

Alto riesgo: Medidas deben evitar el impacto y daño.

Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el

impacto.

Control de riesgo

Es importante realizar controles porque ayudan de una u otra forma a la

mitigación y/o eliminación de los riesgos detectados.
El objetivo es reducir y/o eliminar el nivel de riesgo al que el sistema
está expuesto, llevándolo a un nivel aceptable, y constituye la base
inicial para la actividad siguiente de selección e implantación de
controles.