Está en la página 1de 7

GESTIÓN DE LA SEGURIDAD INFORMATICA

Actividad 3.4 – Análisis de caso: Simón III

PRESENTADO POR:
Jonathan Javier Prieto - 1052395240

Luis Alberto Oñoro Gutiérrez


TUTOR

SERVICIO NACIONAL DE APRENDIZAJE - SENA


GESTIÓN DE LA SEGURIDAD INFORMATICA
2019
3.4 Actividades de transferencia del conocimiento.
Análisis de Caso: Simón III
Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los activos de información en la
semana 3, Simón desea saber cuál es la valoración del riesgo presente en cada uno de los activos de la empresa y de qué
manera puede aplicar las normas y metodologías de seguridad informática.
Elabore un documento en Word donde mencione y explique los riesgos presentes en cada uno de los activos de la empresa.

Solución

Para explicar los riesgos que pueden presentarse en cada uno de los activos de la empresa es importante relacionar
aquellos eventos que pueden afectar estos activos de información, así:

 Ataques informáticos externos.


 Errores u omisiones del personal de la empresa.
 Infecciones con malware.
 Sobrecargas en el flujo eléctrico.
 Terremotos.
 Tormentas eléctricas.

Ahora si es posible determinar estos riesgos como se muestra en la siguiente tabla.

IDENTIFICACION DE ACTIVOS

TIPO DEFINICION EJEMPLO


Servicios presentes para las
Servicios Función que se realiza para satisfacer necesidades del usuario.
necesidades de la colectividad.
Datos / Elementos de información que de alguna forma representan el
Bases de datos y reglamentos.
Información conocimiento que se tiene.
Software Elementos que nos permiten automatizar las tareas. Programas y aplicativos.
Equipos
Bienes materiales, físicos, destinados a soportar servicios. Computadores, video, etc.
Informáticos
Dispositivos temporales o permanentes de los datos, soporte de
Hardware Impresora, beam, switch, etc.
las aplicaciones, proceso de la transmisión de datos.
Instalaciones dedicadas como servicios de telecomunicaciones,
Redes de Red local, internet, red
centrándose en que son medios de transporte que llevan datos
Telecomunicación telefónica, redes inalámbricas.
de un lugar a otro.
Soportes de Dispositivos físicos que permiten almacenar información de
Memoria USB, discos duros.
Información forma permanente.
Lugar donde se hospedan los sistemas informáticos y
Instalaciones Edificios, oficinas.
comunicaciones.
Personal Personas relacionadas con los sistemas de información. Administradores, usuarios.

VALORACION DE LOS ACTIVOS

Escala de Valoración Valoración Descripción


MB: Muy Bajo 1 Irrelevante para efectos prácticos
B: Bajo 2 Importancia menor para el desarrollo del proyecto
M: Medio 3 Importancia para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy Alto 5 De vital importancia para los objetivos que se persigue
Escala de Valoración Valoración Descripción
MB: Muy Bajo 1 0 – 500.000
B: Bajo 2 500.001 – 1'500.000
M: Medio 3 1'500.001 – 3'000.000
A: Alto 4 3'000.001 – 5'000.000
MA: Muy Alto 5 5'000.001 o mas

IDENTIFICACION DEL RIESGO


Amenaza Descripción
Fuego Incendio. Posibilidad que un incendio acabe con los recursos del sistema.
Daños por agua Inundaciones. Posibilidad que el agua acabe con los recursos del sistema.
Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.
Contaminación electromagnética Interferencias de radio, campos magnéticos, luz ultravioleta.
Avería de origen físico o lógico Fallas en los equipos, programas.
Corte del suministro eléctrico Cese de alimentación de la potencia eléctrica
Fallos de servicios de comunicación Cese de la capacidad de transmitir datos de un lugar a otro
Degradación de los soportes de
Por paso del tiempo.
almacenamiento de la información
Errores de usuario Equivocación de las personas usando el servicio.
Errores de administración Equivocación de personas con responsabilidad de instalación y operación.
Difusión de software dañino Propagación inocente de virus, troyano, gusano, bombas lógicas.
La información llega accidentalmente al conocimiento de personas que no
Escapes de información
deberían tenerlo, generando alteración.
Alteración de la información Alteración accidental de la información
Esta amenaza solo se identifica sobre datos en general, pues cuando la
Degradación de la información
información está en algún soporte informático hay amenazas específicas.
Revelación por indiscreción, incontinencia verbal, medios electrónicos, soporte
Divulgación de la información
papel.
Suplantación de la identidad del Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta
usuario de los privilegios de este para sus fines propios.
El atacante consigue acceder a los recursos del sistema sin tener autorización
Acceso no autorizado para ello, típicamente aprovechando un fallo del sistema de identificación y
autorización.
Alteración intencional de la información, con ánimo de obtener un beneficio o
Modificación de la información
causar un perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Abuso de la buena fe de las personas para que realicen actividades que
Ingeniería Social
interesen a un tercero.

VALORACIÓN DEL RIESGO


Se debe realizar para que los directivos tomen las mejores decisiones, llegado el caso que se necesite actuar.
La valoración del impacto puede medirse en función de varios factores:
 La pérdida económica si es posible cuantificar la cantidad de dinero que se pierde.
 La reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o
de acuerdo al nivel de afectación por la pérdida o daño de la información.
Valor Descripción Probabilidad de la ocurrencia
MF: Muy Frecuente A diario 75% - 100%
F: Frecuente Una vez al mes 50% 75%
FN: Frecuencia Normal Una vez al año 25% - 50%
PF: Poco Frecuente Cada varios años 0% - 25%

MATRIZ CUALITATIVA
VULNERABILIDAD
RIESGO
PF FN F MF
MA A MA MA MA
A M A MA MA
IMPACTO M B M A MA
B MB B M A
MB MB MB B M

MATRIZ CUANTITATIVA
Clase Valoración Cualitativa Valoración Cuantitativa
Critico Muy Alto 10 – 20
Grave Alto 5–9
Moderado Medio 4–6
REDUCCION DE RIESGOS
Al implementar las medidas de protección es posible reducir los riesgos.

MEDIDAS DE PROTECCION
Son protocolos de autoprotección que permiten la prevención del riesgo, dichas
medidas se clasifican en:

 Alto riesgo
 Medio riesgo

CONTROL DE RIESGO
Es importante realizar estos controles ya que ayuda a mitigar o eliminar los
riesgos encontrados.
El objetivo es reducir el nivel de riesgo al que el sistema en estudio está expuesto,
llevándola un nivel aceptable, y constituye la base inicial para la actividad
siguiente de selección e implantación de controles.