Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tabla de Contenido
Introducción ........................................................................................................................................ 3
Objetivos ............................................................................................................................................. 4
General ............................................................................................................................................ 4
Específicos ...................................................................................................................................... 4
Informe Análisis de Riesgos ............................................................................................................... 5
Análisis de los Activos .................................................................................................................... 5
Identificación de Amenazas ............................................................................................................ 8
Evaluación Impacto Potencial ....................................................................................................... 11
Conclusiones ..................................................................................................................................... 13
Bibliografía ....................................................................................................................................... 14
ACTIVIDAD SUMATIVA 2 UNIDAD I 3
Introducción
Objetivos
General
Específicos
A continuación se presenta una imagen con los activos identificados para el sistema de información
para la gestión de salas (reuniones, videoconferencias) de una empresa de tecnología, en la
herramienta PILAR:
Identificación de Amenazas
Según la configuración por defecto que ofrece PILAR, cuando se realiza la asociación del activo a
una Clase de Activos definidos por la misma herramienta, ésta enlaza un conjunto de amenazas al
activo, en las siguientes imágenes se evidencia por cada activo, las amenazas a las que se
encuentran expuestas los activos con su ponderación por cada criterio (Disponibilidad, Integridad y
Confidencialidad):
En las anteriores imágenes se encuentran las posibles amenazas identificadas para cada activo, y un
porcentaje de impacto y frecuencia de probabilidad de que se materialice la amenaza. Se reitera que
esta clasificación es acorde a la Clase de Activos que se definición, en la identificación de activos,
además también se coloca un porcentaje por cada uno de los criterios de Disponibilidad, Integridad
y confidencialidad. Dentro de la versión de PILAR con Licencia de Evaluación, se identificaron
amenazas relacionadas con Fuga de Información a los activos ACT006 y ACT009, relacionados con
documentación, sin embargo la herramienta no permitió definir un porcentaje para estos activos en
caso que se presente la amenaza.
ACTIVIDAD SUMATIVA 2 UNIDAD I 11
A continuación se presenta un mapa da calor que PILAR permite visualizar según el impacto
potencial sobre los activos asociados a los criterios de Disponibilidad, Integridad y
Confidencialidad:
mientras se realiza la recuperación total o parcial del sistema. Este tipo de mecanismos, se
convierten en controles que mitigan o transfieren este tipo de riesgos asociados.
ACTIVIDAD SUMATIVA 2 UNIDAD I 13
Conclusiones
Con el desarrollo del presente trabajo se logra identificar lo prácticas y útiles que son las
herramientas tecnológicas para análisis de riesgos que se pueden encontrar en el mercado, esto no se
limita a solo PILAR. Con la licencia (limitada) con la cual se desarrolló el trabajo, se consiguió:
Además, con el fin de dar más comprensión al trabajo realizado, se presenta documentación del
proceso realizado, de forma manual (Sin la herramienta), de la identificación y valoración de
activos, que por lo general se encuentra entre los primeros pasos de un análisis de riesgos, en la
mayoría de las metodologías diseñadas para esta tarea (por no decir todas).
Se sugiere, como proyecto de grado de alguna ingeniería asociada a tecnología de la información,
con la dirección de un estudiante de post-grado de seguridad, el desarrollo de una herramienta (free)
para el análisis de riesgos, basándose el algún estándar, ya sea NIST SP 800-37 o ISO 27035,
estándares para implementar procesos de gestión de riesgos tecnológicos en las empresas.
ACTIVIDAD SUMATIVA 2 UNIDAD I 14
Bibliografía
Betarte, G., Corti, M., & De la fuente, R. (23 de Enero de 2011). Red Temática de Criptografía y
Seguridad de la Información. Obtenido de
http://www.criptored.upm.es/cibsi/cibsi2005/presentaciones/sesion11/HaciaUnaImplementa
cionExitosaDeUnSGSI.pdf