Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Desarrollo Parcial Primer Corte
Desarrollo Parcial Primer Corte
Ingeniero:
Oscar J. Hernández Castillo.
2020
Justificación/evidencias
1 portería/Caseta de vigilancia Consta de dos puertas para el control de
Activos de soporte o infraestructura
Sitio e- Amenaza 1: No existe Mal manejo del Permite gestionar Activo de grado Remoto Esto casi nunca
commerce de inserción de control administrador. todo el contenido bajo, ya que, si se ocurre ya que las
KWX programa existente para en la empresa, presentara un personas que
maligno o este activo para llevar un problema en la tienen el cargo de
virus de un Amenazas: en control más plataforma de administrador
cliente al la amenaza 1: organizado y comunicación tienen
servidor de la resguardar las adecuado de los entre los usuarios conocimientos
organización. bases de datos servicios, y la empresa, se previos y se
Amenaza 2: y software con negocios, puede remediar encuentran
Manipulación sistemas de brindando en poco tiempo, preparados para
con hardware alta seguridad, escalabilidad en restableciendo la asumir esta labor.
encriptar las cada proceso. normalidad en
redes de este sitio.
conexión del
servidor al
cliente. Para la
amenaza 2:
solo el
personal
autorizado
debe tener
acceso a los
equipos de
cómputo.
Sistemas de Amenaza 1: Activo: Mal Se integran todas Este activo se Ocasional En ocasiones, las
producción Falta de trabajan de mantenimiento de las actividades considera de personas
compromiso manera equipos para la grado alto ya que encargadas de
de un área conjunta e elaboración de los se atrasarían realizar el
específica en la integrada, productos, se muchos proyectos mantenimiento de
organización contiene solo transforman los importantes en la los computadores
Amenaza 2: un control para insumos empresa, debido a no están
Divulgación de este activo. necesarios para esto la empresa especializados en
procesos de un Amenazas: que le empresa puede tener una esto y les realizan
área de la para la siga creciendo en limitante en el un mal
organización a amenaza 1: su capital, futuro para seguir mantenimiento a
terceros. desde un ingresos, entre produciendo. los equipos.
principio, otras actividades
aclararle a los más.
trabajadores
las
obligaciones
que deben
cumplir dentro
de su área
específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero.
Para la
amenaza 2:
proteger la
información
dentro de cada
área específica
de forma
segura,
vigilando de
forma
constante a
cada uno de
sus
trabajadores.
Sistemas de Amenaza 1: Activo: Robo de equipos Para los servicios Grado alto, Ocasional Los sistemas de
acceso Falla en el Registros de de la organización porque se debe acceso tienen una
sistema las puertas y este activo resulta velar siempre por muy buena
Amenaza 2: salas de muy importante la seguridad de seguridad, pero en
Destrucción seguridad, porque se los trabajadores y ocasiones estas
del equipo presencia del garantiza que equipos de seguridades
reconocimient estos sean importancia en la quedan mal
o facial de la confiables para empresa. instaladas, lo que
persona que los trabajadores ocasione que se
vaya a de la empresa y roben los equipos
ingresar, para sus clientes. de la empresa.
lectores
autónomos.
Amenazas:
para la
amenaza 1:
verificar
constantement
e que el
sistema esté
funcionando
de forma
correcta,
contratar a
personas
especializadas.
Para la
amenaza 2:
brindar
recomendacion
es que deben
seguir las
personas que
utilicen el
equipo, para
que lo empleen
de forma
correcta.
Procesos Amenaza 1: Activo: se Interrupción en la Los procesos Se presenta un Frecuente Muchas empresas
financieros Espionaje emplean conexión de las financieros deben grado elevado de competencia
remoto sistemas y máquinas de la ser totalmente para este activo, envían a terceros
Amenaza 2: aplicaciones organización con parciales para porque a través para sabotear la
Explotación para garantizar el servidor de la producir negocios del dinero, la conectividad de
económica la seguridad, parte contable estables y empresa adquiere otras,
asegurar la duraderos, por lo equipos de perjudicando
confianza con tanto, deben estar cómputos principalmente a
los protegidos en confiables, la parte contable
proveedores, servidores de alta eficientes. Sino se de la empresa,
llevar un calidad. generan ingresos, generando
registro y la empresa no perdidas
control de los podrá seguir monetarias. Esto
números y operando, por se realiza
cuentas de ende, se debe frecuentemente.
planes de proteger de forma
cuentas segura este
presentadas activo.
Amenazas: en
la amenaza 1:
monitorear de
forma
permanente las
redes y
servidores,
encargar a una
persona
especializada
para que
siempre este
atenta a los
movimientos
que se hacen
en la
organización,
de forma
externa e
interna. En la
amenaza 2:
llevar de forma
equilibrada
cada uno de
los procesos
económicos de
la empresa,
lograr un
equilibrio entre
la empresa, sus
proveedores y
el mercado.
Intranet Amenaza 1: Activo: No Se ha producido Por medio de este Activo de grado Frecuente Debido a la
Robo de existe control inestabilidad en la activo, se logra alto, ya que a interferencia entre
servidores existente para conexión de red. una perfecta través de este se los servidores y
donde se este activo comunicación logra una equipos de red, la
almacena la Amenazas: entre la empresa, conexión remota conexión puede
información. para la el cliente y el entre los presentar
Amenaza 2: amenaza 1: servidor. servidores de la inestabilidad y si
Recuperación seguridad de empresa (ya sea en una empresa
de medios forma de un área a otra) hay muchos
desechados o permanente y con los clientes servidores, esto
reciclados. confiable, que pertenecen a puede ocurrir
asegurar la red la empresa, frecuentemente.
con equipos de generando
alto calibre. servidores de alta
Para la calidad y
amenaza 2: confiables para el
verificar que se usuario.
haya eliminado
de forma
permanente la
información
importante,
guardar esta
información,
en espacios de
confianza y
que estén
protegidos.
Central Amenaza 1: Activo: trabajo Contraseñas Este activo es Para este activo, Probable Es probable que
privado Desvinculació de expuestas importante el grado es medio muchos
automático n de fábricas levantamiento porque permite la porque si algunas trabajadores dejen
importantes de la situación vinculación de la empresas o su PC descubierto
Amenaza 2: actual de la empresa con sucursales se en horas de
Uso de organización fabricas y desvinculan de la descanso y
software falso en términos de sucursales que le empresa, la terceros
o copiado seguridad de la pueden servir a la empresa puede aprovechan para
información, la empresa para tomar medidas robar sus datos de
comprensión crecer en un correctivas usuario.
de los futuro, tanto en su inmediatamente
procesos, producción, como para no perder
análisis de en el mercado. mas proveedores
riesgo, en sus negocios y
propuestas de contratar a
mejoría. personal más
Amenazas: especializado
para la para que eviten
amenaza 1: con anterioridad
garantizar la calidad en el
desde un software de los
principio la equipos.
estadía de las
fábricas.
Firmar con un
contrato l
vinculación
permanente de
las fábricas o
sucursales.
Para la
amenaza 2:
verificar de
forma
inmediata el
estado de los
programas,
datos y
archivos de los
equipos de
cómputo, tener
siempre los
datos o
información de
la empresa a la
cual se le hace
el pedido de
los equipos de
cómputo.
Portería / Amenaza 1: Activo: dos Dispositivos Este activo Se considera un Ocasional Ocasionalmente
caseta de Robo del puertas para el materiales asegura que las activo de grado los encargados de
vigilancia equipo de control de (cámaras de herramientas de alto debido a que, ubicar los
vigilancia acceso (sin seguridad,) red, equipos de si faltan equipos dispositivos de
Amenaza 2: operación), 5 ubicados en cómputo, de vigilancia, la seguridad, los
Error en el uso guardias lugares seguridad empresa estará dejan en sitios
contratados de inapropiados permanezcan desprotegida en que no son
la resguardadas en todos los sentidos seguros,
organización, sitios seguros (redes, exponiéndolos a
lecturas de para evitar el producción, parte su hurto.
reconocimient hurto, encargando financiera).
o facial. a personas
Amenazas: especializadas
asegurar los para la vigilancia.
equipos en un
lugar apto para
evitar el robo,
optar por la
obtención
acciones
preventivas,
como: cámaras
de alta calidad,
cercas
electrificadas,
entre otros.
Soporte del Amenaza 1: Activo: Falta de seguridad Este activo es Se considera un Remoto Esto no pasa muy
ambiente del Mal uso del Suministrar un los servidores de importante activo de grado seguido ya que
comercio sistema de soporte seguro correo porque permite la bajo porque los correos
electrónico, soporte a y confiable comunicación cualquier electrónicos,
servidor de usuarios para el cliente, segura y estable malentendido que reciben su
correo Amenaza 2: ofrecer entre el cliente se tenga entre configuración de
electrónico Ingreso de servidores de con los servidores algún usuario con seguridad con
Windows datos falsos o alta calidad de la empresa. Si la empresa por los anterioridad.
exchange corruptos para la buena se presenta algún servicios que se
comunicación inconveniente, se ofrecen para el
con el cliente. tiene un área soporte del
Amenazas: en especializada que correo, se puede
la amenaza 1: se encarga de dar solucionar
ofrecer charlas solución al brindando las
a los usuarios inconveniente. ventajas que se
para el buen tendría al utilizar
uso de la estos medios.
plataforma. Tomaría poco
Para la tiempo en
amenaza 2: solucionarse.
verificación de
los datos que
se vayan a
ingresar en la
plataforma,
llevar un
control
constante de
las actividades
que realicen
los usuarios.
Redes Amenaza 1: Activo: Mal Permite software Activo de grado Ocasional En ocasiones, no
Windows, Código Comprobar de mantenimiento de especializados alto porque si no se les hace el
Linux malicioso forma las salas de para cada equipo se trabajan con mantenimiento a
como virus, constante el computo de cómputo que equipos de las salas de
troyano buen se tenga en la cómputos que cómputo de forma
Amenaza 2: funcionamient empresa, que este garanticen que su correcta. Esto
Interceptación o de los presto para la software es perjudica a los
equipos de seguridad en caso confiable y de ordenadores que
cómputo con de la inserción de alta calidad, los se encuentran en
estos sistemas algún virus. procesos de las mismas.
operativos con administración de
este tipo datos,
Amenazas: comunicación
para la entre servidores,
amenaza1: tomara mas
contar con tiempo en llevarse
software y a cabo.
hardware aptos
para recibir
antivirus
potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en
la red. En la
amenaza 2:
proteger los
datos de
información de
forma segura,
sin dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de seguridad Se crean cuentas Se presenta un Probable Esto tiene la
eliminación de Procesamiento dos de en área de donde los activo de grado probabilidad de
cuentas ilegal de datos profesionales trabajo usuarios se insignificante ya ocurrir ya que en
Amenaza 2: para estas pueden que los algunas ocasiones
Ingreso de funciones, comunicar con la acontecimientos no se les capacita
datos falsos subordina al empresa, que se presenten de forma
director esperando una en la creación y adecuada a los
administrativo respuesta eliminación de trabajadores,
financiero. inmediata para cuentas no como deben de
Amenazas: en cada solicitud afectarán de mantener los
la amenaza 1: dada. forma directa a la equipos, que sus
asignar a una empresa. datos estén
persona guardados en
especializada bases de datos
para vigilar el confiables.
paso de datos
de forma
interna y
externa. Para
la amenaza 2:
encriptar los
datos de
usuario y
contraseñas de
forma segura.
sistema de Amenaza 1: Activo: Falta de cuidado Si este activo no Activo de grado Ocasional En horarios de
circuito Falla en los garantizar con los estuviese presente alto, ya que, si no receso, algunos
cerrado de tv equipos de equipos de alta dispositivos en en la empresa, no se garantiza el trabajadores no
computo calidad, horas de descanso se contará con la perfecto estado y cuidan sus
Amenaza 2: tecnologías seguridad funcionamiento equipos, lo que
Uso no adaptadas para adecuada, por lo de os equipos, la trae consigo la
autorizado del la seguridad. tanto, es de suma empresa no falla de estos en
equipo Amenazas: en importancia para evolucionará en un futuro.
la amenaza 1: la empresa, se sus procesos.
asegurar que mejora la
los equipos confidencialidad
estén aptos para cada uno de
para trabajar los servidores, de
de forma los sistemas.
segura y
estable,
realizando un
análisis de
estos de forma
temporal. Para
la amenaza 2:
colocar de
forma segura
el usuario y
contraseña del
equipo para
evitar el robo
de
información,
evitar dejar el
equipo de
cómputo en
espacios donde
es vulnerable
su utilización.
Roteadores Amenaza 1: Activo: Un atacante Se permite la Activo de grado Ocasional En ocasiones,
para acceso a Sabotaje en la Contiene una puede adivinar los conectividad bajo, debido a que personas ajenas a
internet calidad de los cantidad paquetes TCP entre los si llega a faltar la empresa,
routers considerable diferentes por ejemplo un intentan adivinar
Amenaza 2: de routers (3) dispositivos de la router en un los protocolos de
Perturbación por si en algún red, de una red punto especifico, los puertos de los
debido a la momento falla local a internet. la conectividad routers y esto
radiación uno, están los puede funcionar puede conllevar a
otros para su perfectamente que en un futuro
reemplazo, hay con otros routers se presenten fallos
uno en cada que están en otro en la red.
sed. punto.
Amenazas:
para la
amenaza 1:
tener a una
persona
encargada de
la verificación
de los
productos. En
la amenaza 2:
determinar el
espacio
correcto donde
se instalarán
los routers.
computadoras Amenaza 1: Activo: Visible los cables Sin ellas no se Activo de grado Probable Resulta probable
portátiles Inserción de Contiene una de los equipos podría trabajar en alto, sino se que ocurra que, al
virus cantidad procesos de red, cuenta con realizar el
Amenaza 2: considerable en procesos de computadores montaje de los
Fuego de portátiles comunicación con portátiles, los equipos en las
(10) para la los proveedores o procesos de datos, salas, queden
dirección, sucursales. de redes tomarían varios cables
están más tiempo en sueltos y esto
totalmente completarse. perjudicaría por
liberados para ejemplo la
su comodidad en el
funcionamient puesto de trabajo,
o se confundirían
Amenazas: en algunos cables.
la amenaza 1:
proteger de
forma segura
el equipo de
cómputo con
antivirus
especializados.
En la amenaza
2: alejar a los
equipos de
cómputo
donde son más
propensos a
dañarse por
efecto del
fuego, tener en
la organización
mecanismos de
protección
contra
incendios.
servidor de Amenaza 1: Activo: Poca Se mantienen los Se considera un Ocasional Ocasionalmente
correo/antiviru Defecto de Sistema responsabilidad equipos activo de grado los proveedores o
s software operativo libre por los protegidos contra alto, ya que si los contratistas que
Amenaza 2: (Linux contratistas amenazas servidores y proveen los
Falsificación Debian), externas, equipos, no programas como
de derechos contiene solo protegiendo las cuentan con los antivirus, no
un control para cuentas de correo protección de lo realizan de
este activo. y los servidores antivirus, se forma adecuada y
Amenazas: en de la empresa. pueden infectar confiable o le
la primera Alejándolos de por terceros en quedan mal a la
amenaza: softwares cualquier empresa,
contar con maliciosos. momento. presentando
herramientas programas de baja
inteligentes calidad.
que ayuden a
identificar este
defecto,
evaluar en
primera
instancia a los
proveedores
que
proporcionan
el software.
Para la
segunda
amenaza, se
emplean
mecanismos y
métodos para
evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores y
los clientes en
la empresa.
punto de Amenaza 1: Activo: la Instalación por A través de este Activo de grado Frecuente Lo anterior ocurre
acceso Interferencia organización personal sin activo, se logra alto, ya que, si no frecuentemente
inalámbrico Amenaza 2: cuenta con un conocimiento o que la está funcionando porque muchas
Radiación proveedor aprobación conectividad a de forma correcta, empresas envían a
electromagnéti global para la internet sea mas se pierde la personas que no
ca solución de fluida y estable, conexión cuando están en
redes y para obtener se esté realizando capacidad para
comunicacione procesos de datos cualquier proceso instalar el acceso
s, contiene más eficientes. importante en la inalámbrico.
solo un control empresa, Después de varias
para este perjudicando de pruebas, la
activo. esta manera el empresa se da
Amenazas: cierre en los cuenta que este
para la negocios de la servicio no quedó
amenaza 1: empresa. instalado
proteger los correctamente
cables de red,
asegurar el
sistema
electrónico.
Amenaza 2:
asegurar de
forma
adecuada los
lugares de
instalación del
punto
inalámbrico
para evitar
interferencias.
salas de Amenaza 1: Activo: la El sistema de Se brindan Activo de grado Ocasional Esto depende del
reuniones con fallos en los organización vigilancia y la espacios en la alto, sino se tiempo que se
conexión equipos de cuenta con un puerta de empresa, con tienen estos especifica en la
video, de buen número seguridad no componentes o equipos, no se vulnerabilidad (6
conexión de salas de funcionan hace 6 herramientas llevarán meses). Por lo
Amenaza 2: reuniones (7), meses integradas, que reuniones tato se cumple
Hurto de si en alguna se permiten el importantes en la que
equipo presenta una desarrollo de empresa. ocasionalmente
falla, se puede actividades este sistema no
acceder a otra importantes, de cuente con los
en el instante. forma estable y implementos
Contiene solo eficaz. necesarios para la
un control para protección.
este activo.
Amenazas: en
la amenaza 1:
asegurar que
los equipos
estén aptos
para cualquier
tipo de
actividad,
revisar la
calidad de
estos con
pruebas
anteriores.
Para la
amenaza 2:
evitar el
ingreso de
personas
desconocidas
en áreas
restringidas.
Relevancia de activos
Nivel Definición Peso
Insignificante No se generan impactos directos para la 0
empresa, no se afecta directamente las
actividades del negocio, de producción,
procesos financieros y demás.
Impacto
Nivel Definición Peso Cálculo
Insignificante La información que se obtiene de la 1 5
empresa o de los procesos de esta, es
información que ha sido desechada con
anterioridad, por lo tanto, no afecta de
ninguna manera a la empresa.
Baja Se obtiene poca capacidad en los 2 10
volúmenes de información en la empresa
lo que permite que la empresa no sufra
daños graves.
Significativo Se interrumpen los procesos en varias 4 15
áreas debido al mal funcionamiento de
equipos o plantas, esto causa un atraso de
4-5 horas al negocio.
Importante Afectan la imagen de la organización y 5 20
causan interrupción de 12 horas al
negocio. La compañía hace deja de
funcionar/ producir durante 12 horas
Desastre La empresa entre en decadencia en sus 6 25
procesos, al punto que tenga que despedir
a muchos de sus trabajadores y en un
futuro tenga que ser cerrada
permanentemente.
Estimación de riesgos
Criterios de riesgo Prioridad
Nivel Definición
Externo La organización interrumpe 81 100 1
totalmente
sus servicios por más de 48
horas,
parando para realizar y
producir
servicios, afectando su imagen
pública
de manera significativa.
Financieros:
altas pérdidas, demandas
judiciales.
Alto Personas ajenas a la 49 80 2
organización, interrumpen el
correcto funcionamiento de los
servidores que dan acceso a
internet, hurtando los cables
que permiten esta conexión.
Medio En la organización se 19 48 3
presentan unos fallos en salas
de reuniones de dos áreas en
específico, atrasando de
manera significativa el trabajo
de estas áreas.
Bajo El software en un área de la 5 18 4
empresa se encuentra
desactualizado.
Irrelevante Pocos empleados tienen falta 1 4 5
de pertenencia en el área que
se desempeñan dentro de la
organización, abandonando su
puesto de trabajo en horarios
no establecidos.
Teniendo en cuenta los resultados de las estimaciones planteadas anteriormente, pudimos analizar lo siguiente:
Para la relevancia de los activos, cada nivel cumple con los requerimientos de la organización, el peso establecido, señala el grado de
importancia en la empresa. En el nivel insignificante, el peso es 0 porque las actividades que allí ocurren no afectan de forma
significativa a la empresa, para el nivel bajo, su peso es 2, porque solo se afecta parte de las áreas en la empresa y los daños emplean
un tiempo mínimo para su solución. En cuanto al nivel medio, se considera un peso de 3, ya que la información que se toma de cada
activo presente es de nivel medio y puede afectar en términos medios a la empresa, ya sea en su imagen. En el nivel alto el peso es de
tamaño 4 ya que se considera que se perjudican en la empresa la integridad, confidencialidad, disponibilidad de los procesos y
recursos. Por último, en el nivel elevado, su peso es mucho mayor al de los niveles anteriores (5) porque los acontecimientos que allí
ocurren afectan en gran manera a la empresa. Se puede decir que cada nivel está relacionado con su peso de forma directa y esto
permite que para cada activo se cumplan los requisitos de la empresa.
En cuanto a la severidad de las consecuencias, el nivel insignificante presenta un peso de 1 porque no se registran consecuencias
graves que perjudiquen a la empresa cumpliendo con los requerimientos de la empresa. Para el nivel bajo, el peso es de 2 porque el
grado de complejidad en las consecuencias se aumenta relativamente, en el nivel medio, el peso es de 3 porque los hechos que aquí
ocurren afectan de forma directa a la organización, manipulándose información importante para la empresa, se puede notar que los
requerimientos se cumplen en esta sección. Para el nivel alto, el peso aumenta en 4 debido a que, si las consecuencias de cada activo se
llegan a presentar, puede traer altos problemas para la organización, dejando a la empresa con pérdidas significativos, en este nivel
también se cumplen los requerimientos de la organización. Ya para el nivel elevado, se presenta un peso mucho más significativo (5)
logrando que la empresa tenga perdidas más severas, perjudicando de forma permanente a varias áreas de la organización. Cada nivel
con su respectivo peso cumple con los requisitos de la organización.
Para la estimación del impacto, en el nivel insignificante, el peso es de 1 y su cálculo es de 5, ambos valores tienen relación con lo que
se plantea en los requerimientos porque los sucesos que aquí ocurren no afectan a la información relevante y los procesos de la
empresa. En el nivel bajo, ya aumenta el valor en el peso y en el cálculo, 2 y 10 respectivamente, el impacto que se produce en este
nivel no genera daños graves para la empresa en general. En el nivel significativo el peso es de 4 y el cálculo de 15. Se puede notar que
estas mediad aumentan dependiendo de cada nivel, los problemas que puede ocasionar un impacto en este nivel pueden interrumpir los
procesos en varias áreas de la empresa, estos datos cumplen con los requerimientos planteados. El nivel importante el peso es de 5 y el
cálculo es de 20, el impacto que se produce afecta a los procesos de la organización en un tiempo más considerable, se cumplen los
requerimientos. Por último, para el nivel desastre el peso es de 6 y el cálculo de 25, lo que significa que las acciones que aquí se
presenten en el impacto, afectan de forma notoria a la empresa.
A lo que se refiere a la estimación de riesgos Para el nivel externo en los criterios de riesgo, el peso establecido para estimar el riesgo
va desde 81-100, la prioridad para la empresa es de valor 1 ya que, en esta parte, los riesgos que pueden ocurrir de forma externa
afectan a la organización de forma significativa. Por eso se puede notar que el color que representa esta estimación es rojo oscuro, es
decir, indica peligro. En el nivel alto, el peso que se establece va desde 49-80 y su prioridad es de valor 2, lo que indica que para los
riesgos que aquí ocurran a la empresa le afectarán en alta manera. La barra de color es un rojo más opaco que en el nivel anterior. Para
el nivel medio, el rango está entre los 19-48 y su prioridad es de valor 3, comparándolo con el nivel anterior, en este los riesgos que
ocurren, solo afectan a pocas áreas de la empresa. La barra que hace referencia al nivel está de color naranja ya que no perjudica en
gran manera a la empresa. El nivel bajo presenta un rango de 5-18 y su prioridad toma el valor de 4 porque los sucesos de los riesgos
que aquí ocurren, se les puede dar solución en poco tiempo, sin afectar a la empresa, su color es un verde bajo. Por último, está el nivel
irrelevante, se puede notar que su rango es muchísimo menor que el de los niveles anteriores (1-4) y su prioridad es muy baja para la
organización (5), debido a que los riesgos que ocurren en la empresa no la afectan de ninguna manera, por lo tanto, no son relevantes.
El color representativo es de un verde más opaco.
En su visión de analista de riesgos, ¿cuál resultado cumple mejor a los requerimientos del negocio?
Teniendo en cuenta las estimaciones dadas anteriormente, se puede decir que la estimación del impacto tuvo mejores resultados
ya que dependiendo el nivel, cada peso y calculo corresponde con cada una de las definiciones que se establecen del impacto,
lo que le permite al analista de riesgo, llevar un control más claro y profundo y de esta manera puede evitar estos posibles
impactos en la organización.
Tabla 23. Estimación cualitativa
Activos Amenaza Control existente Vulnerabilidades Relevancia de Severidad/consec IMPACT Probabilid Justificación/evi
encontradas activos uencias O= ad dencias
RELEVA
NCIA DE
ACTIVOS
*
SEVERID
AD
administraci Amenaza 1: Activo: Asigna La conexión Este activo Si se afectara 16 Ocasional La probabilidad
ón de la red Falla en los dos entre dos áreas genera mucha este activo, de que ocurra
servicios de profesionales en de la misma importancia generaría una esta
la red, en los funciones organización para los consecuencia de vulnerabilidad
equipos que multitarea, que presenta servicios de la grado alto ya es ocasional ya
se encargan se turnan en las inestabilidad organización, que atrasaría que esto no se
de la tareas del día a ya que permite muchos ve muy seguido
administració día, como por la correcta proyectos que porque en la
n. ejemplo help ejecución de tienen que ver mayoría de los
Amenaza 2: desk las actividades con la casos varias
ataque de Amenazas: para que se utilización de áreas tienen una
entidad la amenaza 1, se presentan en los equipos de conexión estable
externa a la hace una cada sector de cómputo y de entre sus redes.
organización, revisión la empresa. red.
produciendo periódica del
fallas en el estado de cada
hardware y uno de los
software servicios de red.
Para la amenaza
2 se protege con
antivirus de alta
calidad, se
emplea
seguridad en la
red.
Centro de Amenaza 1: Activo: Control USB con virus A través de Grado alto, ya 16 Frecuente Esto sucede
datos Robo de de acceso a malicioso este activo, se que se perdería frecuentemente
información través de llaves, puede asegurar mucha ya que muchos
para el aspersores y la información trabajadores sin
procesamient racks confidencialida importante para saberlo ingresan
o de los datos desbloqueados d, seguridad y la empresa. usb infectadas
Amenaza 2: Amenazas: para eficacia de los de virus,
Datos la amenaza 1, se datos en la perjudicando los
provenientes protege los datos empresa, equipos.
de fuentes no con software brindando
confiables especializados, mayor
que permitan la productividad
seguridad de la y resguardo de
información estos.
relevante, para
la amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo de
información
Sistemas de Amenaza 1: Activo: problemas de Se garantiza la En este activo se 12 Frecuente Esto ocurre,
recursos Incumplimie subcontratado inestabilidad perfecta presenta un debido a que no
humanos nto en la con un eléctrica en su organización y grado de tipo se realizan
(nomina disponibilida proveedor red control de cada medio ya que, si revisiones
control de d del externo, trabajador de no se cumple constantes en las
horarios) personal contiene solo un la empresa, con la redes de este
Amenaza 2: control para este verificando organización de sector tan
Falsificación activo que cumplan los trabajadores importante como
de derechos. Amenazas: Para con sus o de las es el de recursos
la amenaza 1, horarios actividades de humanos.
organizar de establecidos los mismos, en
forma adecuada para mejorar la la empresa no se
y controlada a producción en verán avances
todo el personal cada área. significativos.
para tener un
mejor control en
el área que se
está trabajando,
cumpliendo con
los horarios
establecidos por
la organización.
Para la amenaza
2, prever de
forma anticipada
esta acción, para
que en un futuro
no tenga
consecuencias
graves, estar
siempre al tanto
de cada
actividad que
realiza un
empleado en el
sector
correspondiente.
Seguridad Amenaza 1: Activo: sistema Los cables que En los Para este activo, 16 Probable En esta área
patrimonial Acceso de de lector de entran en el negocios, este se presenta una pocas veces
personal no carnet para edificio por activo es consecuencia de sucede este
autorizado a acceder a las parte del importante grado alto, ya inconveniente ya
las áreas áreas operador están porque se logra que, si se hurtan que en la
restringidas controladas/restr cortados y parte el resguardo y los equipos o mayoría las
Amenaza 2: ingidas, de estos cables respaldo de entra personal empresas cada
Hurto de verificación de fueron robados áreas que son no autorizado, ordenador está
medios o datos del importantes y puede traer en su puesto de
documentos personal que restringidas muchos gastos trabajo de forma
en áreas vaya a ingresar a para la para la empresa organizada, con
especificas estas áreas, empresa, y se atrasarían cada cable en su
lector de huella evitando el muchos lugar.
dactilar ingreso de proyectos
Amenazas: para personas importantes en
la amenaza 1: desconocidas. la empresa.
documentar los
datos de las
personas que
ingresan a
determinada
área, vigilar a
través de
cámaras de
seguridad.
En la amenaza
2: asegurar cada
uno de los
documentos
estén
resguardados en
bases de datos y
servidores
seguros, tener
copias de
seguridad en
sitios aún más
seguros para
velar por la
integridad de la
información.
Sitio e- Amenaza 1: No existe Mal manejo del Permite Activo de grado 6 Remoto Esto casi nunca
commerce inserción de control existente administrador. gestionar todo bajo, ya que, si ocurre ya que las
de KWX programa para este activo el contenido en se presentara un personas que
maligno o Amenazas: en la empresa, problema en la tienen el cargo
virus de un la amenaza 1: para llevar un plataforma de de administrador
cliente al resguardar las control más comunicación tienen
servidor de la bases de datos y organizado y entre los conocimientos
organización. software con adecuado de usuarios y la previos y se
Amenaza 2: sistemas de alta los servicios, empresa, se encuentran
Manipulación seguridad, negocios, puede remediar preparados para
con hardware encriptar las brindando en poco tiempo, asumir esta
redes de escalabilidad restableciendo la labor.
conexión del en cada normalidad en
servidor al proceso. este sitio.
cliente. Para la
amenaza 2: solo
el personal
autorizado debe
tener acceso a
los equipos de
cómputo.
Sistemas de Amenaza 1: Activo: trabajan Mal Se integran Este activo se 16 Ocasional En ocasiones,
producción Falta de de manera mantenimiento todas las considera de las personas
compromiso conjunta e de equipos actividades grado alto ya encargadas de
de un área integrada, para la que se atrasarían realizar el
específica en contiene solo un elaboración de muchos mantenimiento
la control para este los productos, proyectos de los
organización activo. se transforman importantes en computadores
Amenaza 2: Amenazas: para los insumos la empresa, no están
Divulgación la amenaza 1: necesarios para debido a esto la especializados
de procesos desde un que le empresa empresa puede en esto y les
de un área de principio, siga creciendo tener una realizan un mal
la aclararle a los en su capital, limitante en el mantenimiento a
organización trabajadores las ingresos, entre futuro para los equipos.
a terceros. obligaciones que otras seguir
deben cumplir actividades produciendo.
dentro de su más.
área específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero.
Para la amenaza
2: proteger la
información
dentro de cada
área específica
de forma segura,
vigilando de
forma constante
a cada uno de
sus trabajadores.
Sistemas de Amenaza 1: Activo: Robo de equipos Para los Grado alto, 20 Ocasional Los sistemas de
acceso Falla en el Registros de las servicios de la porque se debe acceso tienen
sistema puertas y salas organización velar siempre una muy buena
Amenaza 2: de seguridad, este activo por la seguridad seguridad, pero
Destrucción presencia del resulta muy de los en ocasiones
del equipo reconocimiento importante trabajadores y estas
facial de la porque se equipos de seguridades
persona que garantiza que importancia en quedan mal
vaya a ingresar, estos sean la empresa. instaladas, lo
lectores confiables para que ocasione
autónomos. los que se roben los
Amenazas: para trabajadores de equipos de la
la amenaza 1: la empresa y empresa.
verificar para sus
constantemente clientes.
que el sistema
esté
funcionando de
forma correcta,
contratar a
personas
especializadas.
Para la amenaza
2: brindar
recomendacione
s que deben
seguir las
personas que
utilicen el
equipo, para que
lo empleen de
forma correcta.
Procesos Amenaza 1: Activo: se Interrupción en Los procesos Se presenta un 20 Frecuente Muchas
financieros Espionaje emplean la conexión de financieros grado elevado empresas de
remoto sistemas y las máquinas de deben ser para este activo, competencia
Amenaza 2: aplicaciones la organización totalmente porque a través envían a terceros
Explotación para garantizar con el servidor parciales para del dinero, la para sabotear la
económica la seguridad, de la parte producir empresa conectividad de
asegurar la contable negocios adquiere otras,
confianza con estables y equipos de perjudicando
los proveedores, duraderos, por cómputos principalmente a
llevar un lo tanto, deben confiables, la parte contable
registro y estar eficientes. Sino de la empresa,
control de los protegidos en se generan generando
números y servidores de ingresos, la perdidas
cuentas de alta calidad. empresa no monetarias. Esto
planes de podrá seguir se realiza
cuentas operando, por frecuentemente.
presentadas ende, se debe
Amenazas: en proteger de
la amenaza 1: forma segura
monitorear de este activo.
forma
permanente las
redes y
servidores,
encargar a una
persona
especializada
para que
siempre este
atenta a los
movimientos
que se hacen en
la organización,
de forma externa
e interna. En la
amenaza 2:
llevar de forma
equilibrada cada
uno de los
procesos
económicos de
la empresa,
lograr un
equilibrio entre
la empresa, sus
proveedores y el
mercado.
Intranet Amenaza 1: Activo: No Se ha producido Por medio de Activo de grado 16 Frecuente Debido a la
Robo de existe control inestabilidad en este activo, se alto, ya que a interferencia
servidores existente para la conexión de logra una través de este se entre los
donde se este activo red. perfecta logra una servidores y
almacena la Amenazas: para comunicación conexión remota equipos de red,
información. la amenaza 1: entre la entre los la conexión
Amenaza 2: seguridad de empresa, el servidores de la puede presentar
Recuperación forma cliente y el empresa (ya sea inestabilidad y si
de medios permanente y servidor. de un área a en una empresa
desechados o confiable, otra) con los hay muchos
reciclados. asegurar la red clientes que servidores, esto
con equipos de pertenecen a la puede ocurrir
alto calibre. Para empresa, frecuentemente.
la amenaza 2: generando
verificar que se servidores de
haya eliminado alta calidad y
de forma confiables para
permanente la el usuario.
información
importante,
guardar esta
información, en
espacios de
confianza y que
estén protegidos.
Central Amenaza 1: Activo: trabajo Contraseñas Este activo es Para este activo, 12 Probable Es probable que
privado Desvinculaci de expuestas importante el grado es muchos
automático ón de levantamiento porque permite medio porque si trabajadores
fábricas de la situación la vinculación algunas dejen su PC
importantes actual de la de la empresa empresas o descubierto en
Amenaza 2: organización en con fabricas y sucursales se horas de
Uso de términos de sucursales que desvinculan de descanso y
software seguridad de la le pueden la empresa, la terceros
falso o información, la servir a la empresa puede aprovechan para
copiado comprensión de empresa para tomar medidas robar sus datos
los procesos, crecer en un correctivas de usuario.
análisis de futuro, tanto en inmediatamente
riesgo, su producción, para no perder
propuestas de como en el mas proveedores
mejoría. mercado. en sus negocios
Amenazas: para y contratar a
la amenaza 1: personal más
garantizar desde especializado
un principio la para que eviten
estadía de las con anterioridad
fábricas. Firmar la calidad en el
con un contrato l software de los
vinculación equipos.
permanente de
las fábricas o
sucursales. Para
la amenaza 2:
verificar de
forma inmediata
el estado de los
programas,
datos y archivos
de los equipos
de cómputo,
tener siempre
los datos o
información de
la empresa a la
cual se le hace el
pedido de los
equipos de
cómputo.
Portería / Amenaza 1: Activo: dos Dispositivos Este activo Se considera un 16 Ocasional Ocasionalmente
caseta de Robo del puertas para el materiales asegura que las activo de grado los encargados
vigilancia equipo de control de (cámaras de herramientas alto debido a de ubicar los
vigilancia acceso (sin seguridad,) de red, equipos que, si faltan dispositivos de
Amenaza 2: operación), 5 ubicados en de cómputo, equipos de seguridad, los
Error en el guardias lugares seguridad vigilancia, la dejan en sitios
uso contratados de la inapropiados permanezcan empresa estará que no son
organización, resguardadas desprotegida en seguros,
lecturas de en sitios todos los exponiéndolos a
reconocimiento seguros para sentidos (redes, su hurto.
facial. evitar el hurto, producción,
Amenazas: encargando a parte
asegurar los personas financiera).
equipos en un especializadas
lugar apto para para la
evitar el robo, vigilancia.
optar por la
obtención
acciones
preventivas,
como: cámaras
de alta calidad,
cercas
electrificadas,
entre otros.
Soporte del Amenaza 1: Activo: Falta de Este activo es Se considera un 6 Remoto Esto no pasa
ambiente Mal uso del Suministrar un seguridad los importante activo de grado muy seguido ya
del sistema de soporte seguro y servidores de porque permite bajo porque que los correos
comercio soporte a confiable para el correo la cualquier electrónicos,
electrónico, usuarios cliente, ofrecer comunicación malentendido reciben su
servidor de Amenaza 2: servidores de segura y que se tenga configuración de
correo Ingreso de alta calidad para estable entre el entre algún seguridad con
electrónico datos falsos o la buena cliente con los usuario con la anterioridad.
Windows corruptos comunicación servidores de empresa por los
exchange con el cliente. la empresa. Si servicios que se
Amenazas: en se presenta ofrecen para el
la amenaza 1: algún soporte del
ofrecer charlas a inconveniente, correo, se puede
los usuarios para se tiene un solucionar
el buen uso de la área brindando las
plataforma. Para especializada ventajas que se
la amenaza 2: que se encarga tendría al
verificación de de dar solución utilizar estos
los datos que se al medios. Tomaría
vayan a ingresar inconveniente. poco tiempo en
en la plataforma, solucionarse.
llevar un control
constante de las
actividades que
realicen los
usuarios.
Redes Amenaza 1: Activo: Mal Permite Activo de grado 16 Ocasional En ocasiones, no
Windows, Código Comprobar de mantenimiento software alto porque si no se les hace el
Linux malicioso forma constante de las salas de especializados se trabajan con mantenimiento a
como virus, el buen computo para cada equipos de las salas de
troyano funcionamiento equipo de cómputos que cómputo de
Amenaza 2: de los equipos cómputo que garanticen que forma correcta.
Interceptació de cómputo con se tenga en la su software es Esto perjudica a
n estos sistemas empresa, que confiable y de los ordenadores
operativos con este presto alta calidad, los que se
este tipo para la procesos de encuentran en
Amenazas: para seguridad en administración las mismas.
la amenaza1: caso de la de datos,
contar con inserción de comunicación
software y algún virus. entre servidores,
hardware aptos tomara más
para recibir tiempo en
antivirus llevarse a cabo.
potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en la
red. En la
amenaza 2:
proteger los
datos de
información de
forma segura,
sin dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de Se crean Se presenta un 2 Probable Esto tiene la
eliminación Procesamient dos seguridad de en cuentas donde activo de grado probabilidad de
de cuentas o ilegal de profesionales área de trabajo los usuarios se insignificante ya ocurrir ya que en
datos para estas pueden que los algunas
Amenaza 2: funciones, comunicar con acontecimientos ocasiones no se
Ingreso de subordina al la empresa, que se presenten les capacita de
datos falsos director esperando una en la creación y forma adecuada
administrativo respuesta eliminación de a los
financiero. inmediata para cuentas no trabajadores,
Amenazas: en cada solicitud afectarán de como deben de
la amenaza 1: dada. forma directa a mantener los
asignar a una la empresa. equipos, que sus
persona datos estén
especializada guardados en
para vigilar el bases de datos
paso de datos de confiables.
forma interna y
externa. Para la
amenaza 2:
encriptar los
datos de usuario
y contraseñas de
forma segura.
sistema de Amenaza 1: Activo: Falta de cuidado Si este activo Activo de grado 16 Ocasional En horarios de
circuito Falla en los garantizar con los no estuviese alto, ya que, si receso, algunos
cerrado de equipos de equipos de alta dispositivos en presente en la no se garantiza trabajadores no
tv computo calidad, horas de empresa, no se el perfecto cuidan sus
Amenaza 2: tecnologías descanso contará con la estado y equipos, lo que
Uso no adaptadas para seguridad funcionamiento trae consigo la
autorizado la seguridad. adecuada, por de os equipos, la falla de estos en
del equipo Amenazas: en lo tanto, es de empresa no un futuro.
la amenaza 1: suma evolucionará en
asegurar que los importancia sus procesos.
equipos estén para la
aptos para empresa, se
trabajar de mejora la
forma segura y confidencialida
estable, d para cada
realizando un uno de los
análisis de estos servidores, de
de forma los sistemas.
temporal. Para
la amenaza 2:
colocar de forma
segura el usuario
y contraseña del
equipo para
evitar el robo de
información,
evitar dejar el
equipo de
cómputo en
espacios donde
es vulnerable su
utilización.
Roteadores Amenaza 1: Activo: Un atacante Se permite la Activo de grado 6 Ocasional En ocasiones,
para acceso Sabotaje en Contiene una puede adivinar conectividad bajo, debido a personas ajenas
a internet la calidad de cantidad los paquetes entre los que si llega a a la empresa,
los routers considerable de TCP diferentes faltar por intentan adivinar
Amenaza 2: routers (3) por si dispositivos de ejemplo un los protocolos
Perturbación en algún la red, de una router en un de los puertos de
debido a la momento falla red local a punto los routers y esto
radiación uno, están los internet. especifico, la puede conllevar
otros para su conectividad a que en un
reemplazo, hay puede funcionar futuro se
uno en cada sed. perfectamente presenten fallos
Amenazas: para con otros routers en la red.
la amenaza 1: que están en
tener a una otro punto.
persona
encargada de la
verificación de
los productos.
En la amenaza
2: determinar el
espacio correcto
donde se
instalarán los
routers.
computador Amenaza 1: Activo: Visible los Sin ellas no se Activo de grado 12 Probable Resulta probable
as portátiles Inserción de Contiene una cables de los podría trabajar alto, sino se que ocurra que
virus cantidad equipos en procesos de cuenta con al realizar el
Amenaza 2: considerable de red, en computadores montaje de los
Fuego portátiles (10) procesos de portátiles, los equipos en las
para la comunicación procesos de salas, queden
dirección, están con los datos, de redes varios cables
totalmente proveedores o tomarían más sueltos y esto
liberados para su sucursales. tiempo en perjudicaría por
funcionamiento completarse. ejemplo la
Amenazas: en comodidad en el
la amenaza 1: puesto de
proteger de trabajo, se
forma segura el confundirían
equipo de algunos cables.
cómputo con
antivirus
especializados.
En la amenaza
2: alejar a los
equipos de
cómputo donde
son más
propensos a
dañarse por
efecto del fuego,
tener en la
organización
mecanismos de
protección
contra
incendios.
servidor de Amenaza 1: Activo: Sistema Poca Se mantienen Se considera un 16 Ocasional Ocasionalmente
correo/antiv Defecto de operativo libre responsabilidad los equipos activo de grado los proveedores
irus software (Linux Debian), por los protegidos alto, ya que si o contratistas
Amenaza 2: contiene solo un contratistas contra los servidores y que proveen los
Falsificación control para este amenazas equipos, no programas como
de derechos activo. externas, cuentan con los antivirus, no
Amenazas: en protegiendo las protección de lo realizan de
la primera cuentas de antivirus, se forma adecuada
amenaza: contar correo y los pueden infectar y confiable o le
con servidores de por terceros en quedan mal a la
herramientas la empresa. cualquier empresa,
inteligentes que Alejándolos de momento. presentando
ayuden a softwares programas de
identificar este maliciosos. baja calidad.
defecto, evaluar
en primera
instancia a los
proveedores que
proporcionan el
software. Para la
segunda
amenaza, se
emplean
mecanismos y
métodos para
evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores y
los clientes en la
empresa.
punto de Amenaza 1: Activo: la Instalación por A través de Activo de grado 12 Frecuente Lo anterior
acceso Interferencia organización personal sin este activo, se alto, ya que, si ocurre
inalámbrico Amenaza 2: cuenta con un conocimiento o logra que la no está frecuentemente
Radiación proveedor aprobación conectividad a funcionando de porque muchas
electromagné global para la internet sea forma correcta, empresas envían
tica solución de más fluida y se pierde la a personas que
redes y estable, para conexión no están en
comunicaciones, obtener cuando se esté capacidad para
contiene solo un procesos de realizando instalar el
control para este datos más cualquier acceso
activo. eficientes. proceso inalámbrico.
Amenazas: para importante en la Después de
la amenaza 1: empresa, varias pruebas,
proteger los perjudicando de la empresa se da
cables de red, esta manera el cuenta que este
asegurar el cierre en los servicio no
sistema negocios de la quedó instalado
electrónico. empresa. correctamente
Amenaza 2:
asegurar de
forma adecuada
los lugares de
instalación del
punto
inalámbrico para
evitar
interferencias.
salas de Amenaza 1: Activo: la El sistema de Se brindan Activo de grado 16 Ocasional Esto depende
reuniones fallos en los organización vigilancia y la espacios en la alto, sino se del tiempo que
con equipos de cuenta con un puerta de empresa, con tienen estos se especifica en
conexión video, de buen número de seguridad no componentes o equipos, no se la vulnerabilidad
conexión salas de funcionan hace herramientas llevarán (6 meses). Por lo
Amenaza 2: reuniones (7), si 6 meses integradas, que reuniones tato se cumple
Hurto de en alguna se permiten el importantes en que
equipo presenta una desarrollo de la empresa. ocasionalmente
falla, se puede actividades este sistema no
acceder a otra en importantes, de cuente con los
el instante. forma estable y implementos
Contiene solo un eficaz. necesarios para
control para este la protección.
activo.
Amenazas: en
la amenaza 1:
asegurar que los
equipos estén
aptos para
cualquier tipo de
actividad,
revisar la
calidad de estos
con pruebas
anteriores. Para
la amenaza 2:
evitar el ingreso
de personas
desconocidas en
áreas
restringidas.