Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LA COMPUTACIÓN
SÉPTIMO SEMESTRE
OCTAVE ALLEGRO
PROYECTO FINAL
SEBASTIAN REAL
SANTIAGO RODRIGUEZ
RONALDO ROSALES
RESUMEN EJECUTIVO
Siendo una empresa líder en desarrollo de aplicaciones y páginas web para cualquier
tipo de área, nos comprometemos a cumplir con todos los requerimientos necesarios
dando soluciones para poder satisfacer al cliente en su requerimiento, llevando a cabo
un seguimiento personalizado dependiendo sus necesidades con un asesoramiento
profesional para cada ámbito.
Contamos con personal especializado en todas las áreas laborales dispuestos a resolver
problemas e inconvenientes con soluciones flexibles y directas que aportaran a toma de
decisiones importantes para su crecimiento empresarial, se debe destacar que contamos
con equipos nuevos de última generación y herramientas actualizadas que permiten un
desarrollo limpio, ordenado y eficaz.
Hoy en día todas las empresas buscan automatizar procesos que son de mucha
importancia, por eso hemos decidido crear una empresa que ayude a las compañías a
realizar procesos automáticos guardando datos directamente a la nube, evitando perdida
de información que podría llevar al fracaso, este proceso cumpliría altos estándares de
calidad, todo ese proceso de cambio aunque es algo costoso, a largo plazo su compañía
tendrá un funcionamiento eficiente sin mucho papeleo y ayudando al medio ambiente.
ACTIVIDAD 1
La materialización de la
amenaza a la reputación La reputación es La reputación se ve
es mínima, las acciones afectada las acciones a seriamente dañada y de
Reputación a tomarse para una tomarse para una manera irreversible, el
recuperación no recuperación requieren incidente es de
requieren mayor de un esfuerzo mínimo. conocimiento público.
esfuerzo.
Menos de 3% de
De 3 a 10% de pérdida Más del 10% de pérdida
Pérdida de Ingresos pérdida anual de
anual de ingresos. anual de ingresos.
ingresos.
Las horas laborales del Las horas laborales del Las horas laborales del
Horas laborales del personal incrementan en personal incrementan personal incrementan
Personal menos del 5% de 2 a 3 entre 5 y 10% de 4 a 5 más del 10% de 5 a 10
días. días. días.
CRITERIOS DE MEDICIÓN DE RIESGOS – SALUD Y SEGURIDAD
Hoja de trabajo 4
Deterioro mínimo y
tratable de manera Deterioro permanente
Deterioro temporal y
inmediata en la salud de en aspectos
recuperable en la salud
clientes o funcionarios significativos en la
Salud de clientes o
de la organización, con salud de clientes o
funcionarios de la
una recuperación funcionarios de la
organización.
estimada en un lapso de organización.
4 días.
Seguridad en
Seguridad Seguridad afectada. Seguridad violada.
cuestionamiento.
CRITERIOS DE MEDICIÓN DE RIESGOS – MULTAS Y SANCIONES
Hoja de trabajo 5 LEGALES
El gobierno u otra
El gobierno u otra organización de
No hay consultas por
organización de investigación inician
parte del gobierno o de
Investigaciones investigación solicitan una investigación de
otras organizaciones de
información o registros alto perfil, de forma
investigación.
(bajo perfil). exhaustiva sobre las
prácticas organizativas.
ACTIVIDAD 2
5 FINANCIERO
3 PRODUCTIVIDAD
2 SEGURIDAD Y SALUD
(4) Responsable(s)
Este activo debe estar disponible para el personal El servidor de base de datos
debe estar disponible para su
pertinente.
debida configuración de ser
necesaria para el
Administrador de la base de
datos, así como para el
personal encargado del
monitoreo del mismo.
Este activo debe estar disponible 24 horas del día, El activo crítico contiene
7 días de la semana, 365 días del año. información que puede ser
Disponibilidad
requerida en cualquier
momento del día por los
sistemas a los cuales se
encuentra vinculado, razón
por la cual es indispensable su
completo funcionamiento las
24 horas del día, 7 días a la
semana y 365 días al año.
Este activo tiene requisitos especiales de Debido a que el activo crítico
protección de Cumplimiento Normativo, de la contiene información de suma
siguiente manera: confidencialidad y de
Otros tratamiento especial por lo
cual están sujetos a
regulaciones de carácter
internacional ISO.
(4) Responsable(s)
Administrador de Redes
Este activo debe estar disponible para el siguiente El activo debe estar disponible
para el administrador de redes
personal para hacer su trabajo.
y a su vez para todo el
personal de la empresa para
sus respectivas labores.
Disponibilidad Este activo debe estar disponible 24 horas del día, La seguridad de la red debe
7 días de la semana, 365 días del año. estar disponible 24x7 para
intervenir en cualquier
autenticación falsa.
Este activo tiene requisitos especiales de Debido a que por la red pasa
protección de Cumplimiento Normativo, de la toda la información, tendrán
Otros siguiente manera: que desarrollar medidas
eficaces para mantener
seguras las redes.
Administrado por el
2. La red interna de la organización, todas las transacciones que se
departamento de
realizan mediante interacciones entre los sistemas y el servidor de
Tecnología.
base de datos se realizan por medio de esta red.
Administrado por el
3. Estaciones de trabajo, las estaciones de trabajo del departamento
departamento de
financiero son las encargadas de generar la información que será
Tecnología.
almacenada en el servidor de base de datos.
EXTERNO
Desconocido.
1. Filtración de información a través de la estaciones de trabajo.
Personal de soporte e
4. Instalar software en las estaciones de trabajo infraestructura
encargado de instalar
software, drivers, etc.
MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
Hoja de trabajo 9b.1
IFORMACIÓN (FÍSICO)
INTERNO
Administrado por el
2. Reportes generados por el servidor de base de datos. departamento de
Tecnología.
Administrado por el
3. Dispositivos de almacenamiento masivo utilizados como respaldo. departamento de
Tecnología.
EXTERNO
Personas ajenas a la
1. Intervenciones humanas no autorizadas (Acceso a espacios
organización.
restringidos), acceso de personal no autorizado al área de servidores.
PERSONAL INTERNO
DEPARTAMENTO O
NOMBRE O ROL / RESPONSABILIDAD
UNIDAD
3. Personal de servicios
Departamento
Pablo Juez.
Comercial
Jaime Cañar.
Viviana Montalvo.
PERSONAL EXTERNO
Innova.
1. Proveedores externos de servicios de mantenimiento de
servidores. Blue It.
DESCRIPCIÓN DEL
DESCRIPCIÓN DE CONTENEDORES
CONTENEDOR
EXTERNO
Departamento de
3. Perdida de información seguridad de la
información.
Hoja de trabajo 9b.2 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
IFORMACIÓN (FÍSICO)
INTERNO
DESCRIPCIÓN DEL
DESCRIPCIÓN DE CONTENEDORES
CONTENEDOR
3. Existe un monitoreo por el administrador de redes ya que tiene que Encargado del área de
supervisar que ninguna conexión se encuentre defectuosa. Redes
EXTERNO
2. Seguridad del área en el que se encuentran los equipos (acceso único Área Informática y
con identificación autorizada). Personal Seguridad
Hoja de trabajo 9c.2 MAPA DE ENTORNO DE RIESGO PARA ACTIVO DE
IFORMACIÓN (PERSONAL)
PERSONAL INTERNO
NOMBRE O ROL /
NOMBRE O PAPEL / RESPONSABILIDAD
RESPONSABILIDAD
PERSONAL EXTERNO
Activo de
Servidor de base de datos (software)
información
El servidor de base de datos puede ser atacado mediante vulnerabilidades
Área de propias de los sistemas operativos o del propio programa, con lo cual se podría
preocupación acceder a permisos administrativos que facultan al atacante para obtener toda la
información existente.
Divulgación Destrucción
Riesgo de activo de información
(4) Resultado
¿Cuál sería el efecto sobre el activo de
Modificación Interrupción
información?
Área de
Valor Puntaje
Impacto
Si la información de los clientes es divulgada, puede Reputación y
Confianza del Alta 12
ser empleada en el cometimiento de actos ilícitos, lo Cliente
cual en primera instancia significaría una pérdida
masiva de clientes y por ende de dinero para la
Financiero Alta 15
organización.
Si los SGBD son atacados, se tendrían que abrir los Productividad Media 6
archivos en editores de texto y eso disminuiría la
productividad además que no se pueden ejecutar Seguridad y
Baja 2
consultas que facilitan la gestión de la data. Salud
La información utilizada para cometer actos ilícitos, Multas y
con lo cual la organización se vería involucrada en Demandas
serias demandas y sanciones inclusive de carácter legales Alta 3
penal.
Puntaje relativo del riesgo 38
Activo de
Servidor de base de datos (hardware)
información
Riesgo de activo de información
Área de
Valor Puntaje
Impacto
El conocimiento de la información contenida puede Reputación y
Confianza del Alta 12
ser una herramienta de uso ilícito para terceros lo Cliente
cual provocaría una disminución de la cartera de
clientes y por lo tanto un problema financiero severo. Financiero Alta 12
Seguridad y
Baja 2
Salud
Extraer información sin consentimiento es multado. Multas y
Demandas Baja 1
legales
Puntaje relativo del riesgo 33
Área de
Valor Puntaje
Impacto
Si esta persona elimina la información de la empresa Reputación y
Confianza del Media 8
se perdería toda la estructura del negocio ya que la Cliente
información es el pilar de una organización.
Financiero Media 10
Multas y
Demandas Baja 1
legales
Puntaje relativo del riesgo 24
(9) Mitigación del riesgo
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?
Base de datos Establecer claves robustas para el ingreso a las bases de datos.
Tener respaldos por si se llega a detectar alguna modificación
y que posteriormente se pueda validar.
Activo de
Seguridad de Redes
información
(6) Probabilidad
Alta Media Baja
¿Cuál es la probabilidad de que
esta amenaza se presente?
Área de
Valor Puntuación
Impacto
Si el personal no mantiene los datos seguros a través Reputación y
Bajo 3
de la red la empresa sufrirá repercusiones de datos. confianza del
cliente
Alto 9
Se requiere acceder a los respaldos para recuperar los Productividad
datos perdidos. Bajo 6
Seguridad
(9)
Mitigación De Riesgos
Basado en el puntaje total del riesgo, ¿Qué acciones tomaría?
Para los riesgos que usted decida para mitigar, realice lo siguiente:
¿En qué contenedor aplicaría ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles
controles? administrativos, técnicos y físicos, aplicaría a este contenedor?
Curiosidad.
(3) Motivo
¿Cuál es la razón del actor para
hacerlo?
información?
Sólo personal autorizado del área de informática y el gestor
(5) Requisitos de seguridad
de la red pueden ver el activo de información.
¿Cómo se incumplirían los
requerimientos de seguridad del activo
de información?
(6) Probabilidad
Alta Media Baja
¿Cuál es la probabilidad de que esta
amenaza se presente?
Reputación y
La violación de acceso a información privada, para juicios Baja 4
Confianza del
y multas por incumplimiento de derechos.
Cliente
Financiero Baja 2
Productividad Baja 3
La calidad de empresa podría verse afectado negativamente
si la información privada se dispone para todo el público. Seguridad y Baja 4
Salud
Red
Los datos son regularmente revisados para que sean confiables y seguros. Esto
reducirá la probabilidad de actividad privilegiada.
Hoja de trabajo 10.2 HOJA DE RIESGOS DE ACTIVOS DE INFORMACIÓN
nuestra organización.
¿Cuál es la razón del actor para
hacerlo?
de información?
(6) Probabilidad
Alta Media Baja
¿Cuál es la probabilidad de que esta
amenaza se presente?
Área de
Valor Puntaje
Impacto
La confianza del cliente disminuirá y se planteará en elegir a otra
Reputación y Baja 2
empresa que le ofrezca una alta seguridad.
Confianza del
Cliente
Pérdidas financieras ya que la información es muy importante para la
competencia. Alta 6
Financiero
Para los riesgos que usted decida para mitigar, realice lo siguiente:
¿En qué contenedor ¿Qué riesgo residual podría ser aceptado por la organización, ¿Qué controles administrativos, técnicos y
aplicaría controles? físicos, aplicaría a este contenedor?