UNIVERSIDAD NACIONAL JOSE FAUSTINO SANCHEZ CARRION

FACULTAD DE INGENIERIA INDUSTRIAL, SISTEMAS E INFORMATICA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS

ANALISIS DE RIESGO
DE LA MUNICIPALIDAD DE HUAURA

PRESENTADO POR:
Chang Nicho, Joy Richard
Garro Arquinigo, Juan Coat
Gonzales Trinidad, Eduardo Ysmael
Tamayo Llashac, Jairoly Alexander
Tufino Espinoza, Jhonatan Kenin
Yanapa Ventocilla, Oscar Bryan

DOCENTE:
Mg. Ing. Figueroa Revilla Martin

HUACHO – PERÚ
2021

ANÁLISIS DE RIESGOS DE LA MUNICIPALIDAD DE HUAURA

El presente análisis de los riesgos fue desarrollado con el propósito de
determinar cuáles de los activos de la institución tienen mayor
vulnerabilidad ante factores externos o internos que puedan afectarlos,
identificando las causas potenciales que faciliten o impidan alcanzar los
objetivos, calculando la probabilidad de su ocurrencia, evaluando sus
probables efectos, y considerando el grado en que el riesgo puede ser
controlado.

Para generar esta información se desempeñaron las siguientes actividades:

I. Identificación de los activos de la Municipalidad de Huaura: se
evaluaron los distintos activos físicos, software, elementos de
comunicación e información de la organización, generando un
inventario de aquellos que son considerados como vitales para su
desenvolvimiento seguro.

II. Asignación de importancia a los activos: los activos fueron

clasificados según el impacto que sufriría la organización si faltase o
fallara tal activo.

III. Identificación de amenazas: acto seguido se listaron los factores de

riesgo relevantes a los pueden verse sometidos cada uno de los
activos arriba nombrados tales como:
 Amenazas Naturales
 Amenazas de agentes externos
 Amenazas de agentes internos
 Accidentes
 Errores
 Actuaciones Malintencionadas

IV. Descripción de consecuencias y salvaguardas: se generó una

descripción de las consecuencias que podría sufrir la organización si
los activos son afectados por sus respectivas amenazas, detallando
la manera en que se protege al activo contra ese ataque en
 particular, y puntualizando en qué grado son efectivas estas
medidas.

V. Asignación de probabilidades de ocurrencia de las amenazas:

teniendo en cuenta los datos arriba mencionados fue posible estimar
la probabilidad de ocurrencia que cada una de las amenazas
representaba con respecto a los activos listados, considerando para
esta estimación las medidas tomadas por la institución para mitigar
su acción.

VI. Cálculo de niveles de vulnerabilidad y riesgo: una vez

identificados los riesgos, se procedió a su análisis. Con toda la
información recolectada, se determinó el nivel de vulnerabilidad que
se asocia con cada activo listado en la cual se empleara una escala
ya sea cualitativa o cuantitativa para definir el nivel de vulnerabilidad
de un determinado equipo o recurso: Baja, Media y Alta

VII. Conclusiones: a partir de las actividades anteriormente descriptas

se pudo evaluar la situación actual de la empresa en relación a los
incidentes que pueden afectarla, calculando las vulnerabilidades
cubiertas y descubiertas, y un análisis sobre la escala de importancia
de los activos.

VIII. Consecuencias: Luego de identificar, estimar y cuantificar los

riesgos, la unidad de riesgos de la municipalidad de Huaura se deben
determinar los objetivos específicos de control y, con relación a ellos,
establecer los procedimientos de control más convenientes, para
enfrentarlos de la manera más eficaz y económica posible. En
general, aquellos riesgos cuya concreción esté estimada como de
baja frecuencia, no justifican preocupaciones mayores. Por el
contrario, los que se estiman de alta frecuencia deben merecer
preferente atención. Entre estos extremos se encuentran casos que
deben ser analizados cuidadosamente, aplicando elevadas dosis de
buen juicio y sentido común.
1.1. EVALUACIÓN DE RIESGOS
Llegado a este punto disponemos de los siguientes elementos:
 Inventario de activos.
 Conjunto de amenazas a las que está expuesta cada activo.
 Conjunto de vulnerabilidades asociadas a cada activo (si
corresponde).
 Conjunto de medidas de seguridad implantadas

Con esta información, nos encontramos en condiciones de calcular el

riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de
que la amenaza se materialice y el impacto sobre el negocio que esto
produciría. El cálculo de riesgo se puede realizar usando tanto criterios
cuantitativos como cualitativos.
1.1.1. Identificación de Activos y Amenazas
 Activos
A continuación, se presenta los diferentes activos con los que
cuenta la municipalidad de Huaura, en la cual se detalla cada
uno de ellos especificando la valoración que tiene este para la
empresa, esta valoración que se le asigna es subjetiva en la
cual genera un valor que puede tener la empresa si es que un
incidente afecta a dichos activos, sin considerar las medidas
de seguridad que existen sobre sí mismos.
 Tipo de activo ID Activos valoración
Bases de datos de los 4
1
productos
ACTIVOS DE
Contratos de personal interno y 5
INFORMACIÓN 2
externo
3 Plan de continuidad del servicio 4
Sistemas Operativos 3
4 (WINDOWS 8.1 / WINDOWS
10)
ACTIVOS DE
Sistemas informáticos (SAP 4
SOFTWARE 5
BASIS, SAP MM, SAP SD)
Sistemas Gestores de Base de 4
6
Datos (SQLServer)
Marca/Logo “Municipalidad 3
7
Huaura”
ACTIVOS
Dominio de Internet del portal 2
INTANGIBLES 8
Web
9 Reputación de la empresa 5
10 Servidores 5
ACTIVOS Equipos de redes de 4
11
FÍSICOS comunicación
 12 200 equipos de computo 3
ACTIVOS DE 13 Internet 3
SERVICIO. 14 Electricidad 5
Experiencia de los trabajadores 5
15
de la empresa
ACTIVO DE Reconocimientos del trabajador 2
16
PERSONAL del mes
Habilidades de los trabajadores 4
17
de la empresa

Amenazas
Seguidamente se muestran las amenazas que pueden afectar
a dichos activos.
Código Activos ID Amenazas
Activo
1 Falla de backups
Bases de datos 2 Rollback constante
A1
de los productos Mal uso de derechos de
3
administración
Contratos de 4 Documentación deficiente
A2 personal interno 5 Deshonestidad y sabotaje
y externo 6 Administración inadecuada
Cambios Políticos que afecten
Plan de 7
las Políticas Internas
A3 continuidad del
8 Deshonestidad y sabotaje
servicio
9 Robo de información
Errores de configuración y
Sistemas 10
operación del sistema.
Operativos
A4 11 Aplicaciones sin licencia
(WINDOWS 8.1 /
Falta de estandarización de
WINDOWS 10) 12
sistemas operativos
Servicio de mantenimiento
Sistemas 13
inadecuado
informáticos
A5 Errores de configuración y
(SAP BASIS, SAP 14
operación del sistema.
MM, SAP SD)
15 Aplicaciones sin licencia
Sistemas 16 Conexiones todavía activas
Gestores de Base 17 Robo de claves de acceso
A6
de Datos Falta de registro de log de
18
(SQLServer) errores
Marca/Logo 19 Administración inadecuada
A7 “MUNICIPALIDA
20 Fraude
D DE HUAURA”
Dominio de 21 Interferencias
A8 Internet del 22 Fraude
portal Web 23 Administración inadecuada
A9 Reputación de la 24 Deshonestidad y sabotaje
empresa 25 Administración inadecuada
 26 Fraude
Entrada sin autorizaciones
27
ambientes seguros
Desastres Naturales (rayos,
A10 Servidores 28
lluvias, inundaciones)
Límite de vida útil de los
29
equipos
Longitud de los cables de red
30
Equipos de redes excedida
A11
de comunicación 31 Mantenimiento inadecuado
32 Fractura de cables
Riesgo por el personal de
33
limpieza o personal externo
Equipos de Límite de vida útil de los
A12 34
computo equipos
Entrenamiento inadecuado de
35
usuarios
36 Poco Ancho de Banda
37 Interferencias
A13 Internet
Interrupción del servicio de
38
Telecomunicaciones.
Interrupción de Servicio de
39
A14 Electricidad Energía
40 Fractura de cables
41 Conocimiento insuficiente
Experiencia de
Retiro/ausencia intempestiva
A15 los trabajadores 42
de personal
de la empresa
43 Deshonestidad y sabotaje
44 Fraude
Reconocimientos
45 Deshonestidad y sabotaje
A16 del trabajador
Retiro/ausencia intempestiva
del mes 46
de personal
A17 Habilidades de 47 Conocimiento insuficiente
los trabajadores 48 Deshonestidad y sabotaje
 Retiro/ausencia intempestiva
49
de la empresa de personal

 En esta parte indicamos la probabilidad de que estas

contingencias ocurran en una escala del 1 al 3. Esta
probabilidad se evalúa teniendo en cuenta las medidas de
seguridad existentes en la organización.

PROBABILIDAD
ACTIVOS IMPACTO AMENAZAS DE
OCURRENCIA
Falla de backups 3
Bases de datos Rollback constante 3
4
de los productos Mal uso de derechos de
3
administración
Documentación
2
deficiente
Contratos de
Deshonestidad y
personal interno 5 3
sabotaje
y externo
Administración
2
inadecuada
Cambios Políticos que
afecten 3
Plan de
las Políticas Internas
continuidad del 4
Deshonestidad y
servicio 3
sabotaje
Robo de información 3
Errores de configuración
Sistemas 1
y operación del sistema.
Operativos
3 Aplicaciones sin licencia 1
(WINDOWS 8.1 /
Falta de estandarización
WINDOWS 10) 2
de sistemas operativos
Sistemas 4 Servicio de 2
informáticos mantenimiento
 inadecuado
(SAP BASIS, SAP Errores de configuración
2
MM, SAP SD) y operación del sistema.
Aplicaciones sin licencia 2
Conexiones todavía
2
Sistemas activas
Gestores de Base Robo de claves de
4 3
de Datos acceso
(SQLServer) Falta de registro de log
2
de errores
Marca/Logo Administración
2
“MUNICIPALIDA 3 inadecuada
D DE HUAURA” Fraude 3
Interferencias 2
Dominio de
Fraude 2
Internet del 2
Administración
portal Web 2
inadecuada
Deshonestidad y
3
sabotaje
Reputación de la
5 Administración
empresa 3
inadecuada
Fraude 3
Entrada sin
autorizaciones 2
ambientes seguros
Desastres Naturales
Servidores 5
(rayos, lluvias, 1
inundaciones)
Límite de vida útil de los
1
equipos
Equipos de redes 4 Longitud de los cables
1
de comunicación de red excedida
Mantenimiento 1
inadecuado
 Fractura de cables 1
Riesgo por el personal
de limpieza o personal 1
externo
equipos de
3 Límite de vida útil de los
computo 1
equipos
Entrenamiento
2
inadecuado de usuarios
Poco Ancho de Banda 1
Interferencias 1
Internet 3
Interrupción del servicio
2
de Telecomunicaciones.
Interrupción de Servicio
1
Electricidad 5 de Energía
Fractura de cables 1
Conocimiento
2
insuficiente
Experiencia de Retiro/ausencia
los trabajadores 5 intempestiva de 3
de la empresa personal
Deshonestidad y
3
sabotaje
Fraude 3
Deshonestidad y
Reconocimientos 3
sabotaje
del trabajador 2
Retiro/ausencia
del mes
intempestiva de 3
personal
Habilidades de 4 Conocimiento
2
los trabajadores insuficiente
de la empresa Deshonestidad y
3
sabotaje
Retiro/ausencia 2
intempestiva de
 personal

1.1.2. Posibles consecuencias y medidas Existentes

Continuando listaremos los activos de la organización, las amenazas que
los afectan directamente y las consecuencias que pueden acarrear la
materialización de estas amenazas. Se describen también las
salvaguardas o información referida a las medidas que ha tomado la
municipalidad de Huaura para mitigar estas consecuencias. Por último, se
han evaluado estas medidas, indicando si son deficientes, mejorables o
eficientes.
 AMENAZA ¿SE
CONSECUENCIAS SALVAGUARDAS ¿ES EFECTIVO?
ID AMENAZA PROTEGE?

A1: Bases de datos de los productos

Pérdida de información relevante de la

1 Falla de backups
2 Rollback constante
Mal uso de derechos de
3 SI
administración
Monitoreo de realización de copias de respaldo diariamente
empresa de acuerdo a procedimientos de SI MEJORABLE
y monitoreo del tiempo de ejecución de la restauración
producción
Reversión de información sensible de la
empresa a través de comandos a la base de SI Políticas de gestión de la seguridad de la base de datos. MEJORABLE
datos
Usuarios que tienen acceso a información de
Auditoría anual de la administración de base de datos MEJORABLE
alta gerencia

A2: Contratos de personal interno y externo

Falta de politicas que aseguren las medidas a

Documentación
4 tomar en caso de vulneración o negligencia de NO   DEFICIENTE
deficiente
los usuarios

5 Deshonestidad y sabotaje Usuarios que no cumplan con el perfil deseado NO   DEFICIENTE

Administración Monitoreo del proceso de selección del personal de

6 SI MEJORABLE
inadecuada Selección del personal inadecuada acuerdo al perfil deseado y políticas de la empresa

A3: Plan de continuidad del servicio

 Cambios Políticos que
7 afecten las Políticas Desactualización del plan de continuidad del SI Ejecución del plan de gestión de cambios MEJORABLE
Internas negocio

8 Deshonestidad y sabotaje Robo y modificación de información NO   DEFICIENTE

Robo de información de las medidas a tomar Políticas de la empresa de despido intempestivo de ser
9 Robo de información SI MEJORABLE
para asegurar la continuidad del negocio probado

A4: Sistemas Operativos (WINDOWS 8.1 / WINDOWS 10)

Mala configuración de equipos generando

Errores de configuración
10 vulnerabilidades que pueden ser aprovechadas NO   DEFICIENTE
y operación del sistema.
por hackers
Falta de soporte y asistencia técnica del Política de adquisición de software licenciado como
11 Aplicaciones sin licencia SI EFICIENTE
proveedor del software requisito primordial
Falta de estandarización
12 Aumento de vulnerabilidades y costos NO   DEFICIENTE
de sistemas operativos

A5: Sistemas informáticos (SAP BASIS, SAP MM, SAP SD)

Servicio de
Persistencia de fallas o errores que permiten Administración por personal capacitado / Contratación de
13 mantenimiento SI EFICIENTE
vulnerabilidades en los sistemas informáticos proveedor certificado
inadecuado
14 Errores de configuración Mala configuración de equipos generando NO   DEFICIENTE
 vulnerabilidades que pueden ser aprovechadas
y operación del sistema.
por hackers
Falta de soporte y asistencia técnica del Política de adquisición de software licenciado como
15 Aplicaciones sin licencia SI EFICIENTE
proveedor del software requisito primordial

A6: Sistemas Gestores de Base de Datos (SQLServer)

Conexiones todavía Los usuarios pueden ingresar a la información El ingreso a sistemas de información y equipos tienen un
16 SI MEJORABLE
activas de la empresa sin autorización previa límite máximo de tiempo de sesión válida
Suplantación de usuarios existentes dentro del Política de renovación y modificación de claves de acceso
17 Robo de claves de acceso SI MEJORABLE
sistema anualmente
Falta de registro de log Deficiente monitorización de los ingresos a la Registro de logs de acceso y alertas de ingresos no
18 SI MEJORABLE
de errores base de datos autorizados al sistema

A7: Marca/Logo “MUNICIPALIDAD DE HUAURA”

Administración Falta de políticas que aseguren la protección de  El logo y la marca tienen protección legal y protección legal
19 SI EFICIENTE
inadecuada la marca y el logo de la empresa informático.
Fraudes para la realización de fraudes usando
20 Fraude NO   DEFICIENTE
la marca de la empresa

A8:Dominio de Internet del portal Web

Caídas del proveedor del dominio de la página Administración por personal capacitado / Contratación de
21 Interferencias SI MEJORABLE
web proveedor certificado
 Páginas web que usan dominios similares para
22 Fraude NO   DEFICIENTE
realizar actos delictivos
Administración Vulnerabilidades causadas por la Administración por personal capacitado / Contratación de
23 SI EFICIENTE
inadecuada administración inadecuada de la página web proveedor certificado

A9:Reputación de la empresa

Trabajadores de la empresa que ocasionan

24 Deshonestidad y sabotaje accidentalmente fallas en el sistema o NO   DEFICIENTE
percances que afecten a la empresa
Administración Falta de políticas que aseguren la protección de
25 SI Administración por personal capacitado EFICIENTE
inadecuada la empresa
Funcionarios que usan el nombre de la
26 Fraude NO   DEFICIENTE
empresa para realización de actos delictivos

A10: Servidores

Entrada sin
Personal no autorizado o agentes externos que Medidas de identificación del personal con controles
27 autorizaciones ambientes SI MEJORABLE
ingresan a ambientes con información sensible biométricos para acceso a áreas con información valiosa
seguros
Desastres Naturales
Factores ambientales que pueden afectar los Redundancia de componentes / Ejecución del plan
28 (rayos, lluvias, SI MEJORABLE
servidores de la empresa semestral de mantenimiento de equipos
inundaciones)
29 Límite de vida útil de los Servidores con equipos desfasados o en malas SI Plan de mantenimiento de equipos y política de adquisición EFICIENTE
 de equipos de acuerdo a la vigencia tecnológica y técnica de
equipos condiciones
los equipos

A11: Equipos de redes de comunicación

Longitud de los cables de Interferencias constantes y fallas en los Plan de mantenimiento trimestral de la red cableada de la
30 SI MEJORABLE
red excedida equipos de comunicación empresa
Mantenimiento Reducción de la vida útil de los equipos de
31 SI Administración por personal capacitado EFICIENTE
inadecuado comunicación
Baja latencia de la señal entre el host central y Plan de mantenimiento trimestral de la red cableada de la
32 Fractura de cables SI MEJORABLE
el resto de equipos empresa

A12: Equipos de computo

Riesgo por el personal de

Falla en los equipos de la empresa
33 limpieza o personal NO   DEFICIENTE
(computadoras, impresoras, etc)
externo
Plan de mantenimiento de equipos y política de adquisición
Límite de vida útil de los Fallas de equipos e interrupciones en la
34 SI de equipos de acuerdo a la vigencia tecnológica y técnica de EFICIENTE
equipos operación de sistemas informáticos
los equipos
Entrenamiento Mala gestión de equipos y sistemas Capacitación del usuario final en el uso adecuado de los
35 SI MEJORABLE
inadecuado de usuarios informáticos sistemas y equipos.

A13: Internet
36 Poco Ancho de Banda Deficiente acceso a internet de los usuarios SI Contrato de internet empresarial con adecuada velocidad MEJORABLE

Interrupciones en el acceso a internet de los

37 Interferencias SI Redundancia en los proveedores ISP del servicio de Internet EFICIENTE
usuarios
Uso descontrolado de Implementación de Access List y bloqueo de urls definidas
38 Funcionamiento de los sistemas lenta SI MEJORABLE
recursos por IP

A14: Electricidad

Ejecución del Plan Anual del Mantenimiento / Energía

Interrupción de Servicio Equipos malogrados debido a cambios
39 SI estabilizada conectada a un UPS con capacidad mayor con MEJORABLE
de Energía intempestivos en el servicio de energía
bancos de batería adicionales

40 Fractura de cables Daño en los equipos de la empresa SI Ejecución del Plan de Mantenimiento MEJORABLE

A15: Experiencia de los trabajadores de la empresa

Conocimiento Equipos malogrados debido a mal

41 SI Administración por personal capacitado MEJORABLE
insuficiente mantenimiento
Falla en el proceso de eliminación de accesos a
Retiro/ausencia
42 los usuarios luego de terminar su contrato NO   DEFICIENTE
intempestiva de personal
intempestivamente

43 Deshonestidad y sabotaje Daño en los equipos de la empresa NO   DEFICIENTE

A16: Reconocimientos del trabajador del mes

44 Fraude Deficiente desempeño del personal NO   DEFICIENTE

45 Deshonestidad y sabotaje Daño en los equipos de la empresa NO   DEFICIENTE

Falla en el proceso de eliminación de accesos a

Retiro/ausencia
46 los usuarios luego de terminar su contrato NO   DEFICIENTE
intempestiva de personal
intempestivamente

A17: Habilidades de los trabajadores de la empresa

Conocimiento Equipos malogrados debido a mal

47 SI Administración por personal capacitado MEJORABLE
insuficiente mantenimiento

48 Deshonestidad y sabotaje Daño en los equipos de la empresa NO   DEFICIENTE

Falla en el proceso de eliminación de accesos a

Retiro/ausencia
49 los usuarios luego de terminar su contrato NO   DEFICIENTE
intempestiva de personal
intempestivamente
1.1.3. Calculo de niveles de vulnerabilidad y el riesgo
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo
en los que incurre cada activo vital identificado. Para esto se tiene en
cuenta el nivel de importancia asignado a cada uno y la probabilidad
de ocurrencia de estos riesgos.
Para realizar dicho cálculo se desarrollaron las siguientes
operaciones:
 Probabilidad de ocurrencia: representan la probabilidad de
que se materialicen las amenazas identificadas, en una escala
del 1 al 3. Esta probabilidad fue evaluada teniendo en cuenta las
medidas de seguridad existentes en la municipalidad de Huaura.

 Nivel de vulnerabilidad: se calcula el porcentaje de

probabilidad de que se materialicen las amenazas, con respecto
a la cantidad de amenazas identificadas para dicho activo. Esto
es debido a que cada activo está afectado por un número
diferente de amenazas posibles, de manera que este cálculo
sirve para obtener un porcentaje de probabilidades equilibrado
por igual para cualquier activo, independientemente de la
cantidad de amenazas que lo afectan.

 Nivel de riesgo: en este momento interviene el nivel de

importancia que refleja el nivel de Impacto que puede tener la
empresa si un incidente afecta a los activos, multiplicando al
nivel de vulnerabilidad. De esta forma se obtiene el nivel de
riesgo de cada activo con respecto a una amenaza. La suma de
estos valores es el nivel de riesgo total que corresponde a cada
activo.

PROBABILIDA
IMPACT VULNERABILIDA
ACTIVOS AMENAZAS D DE RIESGO
O D
OCURRENCIA
 Falla de backups 2 66,67 266,67
Rollback constante 2 66,67 266,67
Bases de datos
4 Mal uso de derechos
de los productos 2 66,67 266,67
de administración
CANTIDAD DE AMENAZAS: 3 200,00 800,00
Documentación
3 100,00 500,00
deficiente
Deshonestidad y
Contratos de 3 100,00 500,00
sabotaje
personal interno 5
Administración
y externo 2 66,67 333,33
inadecuada
1333,3
CANTIDAD DE AMENAZAS: 3 266,67
3
Cambios Políticos
que afecten 2 66,67 266,67
las Políticas Internas
Plan de
Deshonestidad y
continuidad del 4 3 100,00 400,00
sabotaje
servicio
Robo de
2 66,67 266,67
información
CANTIDAD DE AMENAZAS: 3 233,33 933,33
Errores de
configuración y
1 33,33 99,99
operación del
Sistemas sistema.
Operativos Aplicaciones sin
3 1 33,33 99,99
(WINDOWS 8.1 / licencia
WINDOWS 10) Falta de
estandarización de 2 66,67 200,01
sistemas operativos
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Servicio de
mantenimiento 1 33,33 133,33
inadecuado
Sistemas Errores de
informáticos configuración y
4 2 66,67 266,67
(SAP BASIS, SAP operación del
MM, SAP SD) sistema.
Aplicaciones sin
1 33,33 133,33
licencia
CANTIDAD DE AMENAZAS: 3 133,33 533,33
Conexiones todavía
2 66,67 266,67
activas
Sistemas
Robo de claves de
Gestores de Base 2 66,67 266,67
4 acceso
de Datos
Falta de registro de
(SQLServer) 2 66,67 266,67
log de errores
CANTIDAD DE AMENAZAS: 3 200,00 800,00
Marca/Logo 3 Administración 2 66,67 200,01
“MUNICIPALIDA inadecuada
 Fraude 3 100,00 300,00
D DE HUAURA”
CANTIDAD DE AMENAZAS: 2 166,67 500,01
Interferencias 2 66,67 133,33
Dominio de Fraude 3 100,00 200,00
Internet del 2 Administración
1 33,33 66,67
portal Web inadecuada
CANTIDAD DE AMENAZAS: 3 200,00 400,00
Deshonestidad y
3 100,00 500,00
sabotaje
Administración
Reputación de la 3 100,00 500,00
5 inadecuada
empresa
Fraude 3 100,00 500,00
1500,0
CANTIDAD DE AMENAZAS: 3 300,00
0
Entrada sin
autorizaciones 2 66,67 333,33
ambientes seguros
Desastres Naturales
Servidores 5 (rayos, lluvias, 1 33,33 166,65
inundaciones)
Límite de vida útil
1 33,33 166,65
de los equipos
CANTIDAD DE AMENAZAS: 3 133,33 666,63
Longitud de los
cables de red 1 33,33 133,33
excedida
Equipos de redes
4 Mantenimiento
de comunicación 1 33,33 133,33
inadecuado
Fractura de cables 1 33,33 133,33
CANTIDAD DE AMENAZAS: 3 100,00 399,99
Riesgo por el
personal de limpieza 1 33,33 99,99
o personal externo
Límite de vida útil
equipos de 1 33,33 99,99
3 de los equipos
computo
Entrenamiento
inadecuado de 2 66,67 200,01
usuarios
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Poco Ancho de
1 33,33 99,99
Banda
Interferencias 1 33,33 99,99
Interrupción del
Internet 3
servicio de
2 66,67 200,01
Telecomunicaciones
.
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Electricidad 5 Interrupción de 1 33,33 166,65
Servicio de Energía
 Fractura de cables 1 33,33 166,65
CANTIDAD DE AMENAZAS: 2 66,66 333,30
Conocimiento
2 66,67 333,33
insuficiente
Retiro/ausencia
Experiencia de intempestiva de 3 100,00 500,00
los trabajadores 5 personal
de la empresa Deshonestidad y
3 100,00 500,00
sabotaje
1333,3
CANTIDAD DE AMENAZAS: 3 266,67
3
Fraude 3 100,00 200,00
Deshonestidad y
3 100,00 200,00
Reconocimientos sabotaje
del trabajador 2 Retiro/ausencia
del mes intempestiva de 3 100,00 200,00
personal
CANTIDAD DE AMENAZAS: 3 300,00 600,00
Conocimiento
2 66,67 266,67
insuficiente
Deshonestidad y
Habilidades de 3 100,00 400,00
sabotaje
los trabajadores 4
Retiro/ausencia
de la empresa
intempestiva de 2 66,67 266,68
personal
CANTIDAD DE AMENAZAS: 3 233,33 933,35

1.1.4. Conclusiones
 Activos de orden por riesgo

ID ACTIVOS RIESGO R%

9 Reputación de la empresa 1500,00 12,22%

2 Contratos de personal interno y externo 1333,33 10,86%
15 Experiencia de los trabajadores de la empresa 1333,33 10,86%
17 Habilidades de los trabajadores de la empresa 933,35 7,60%
3 Plan de continuidad del servicio 933,33 7,59%
6 Sistemas Gestores de Base de Datos (SQLServer) 800,00 6,52%
1 Bases de datos de los productos 800,00 6,52%
10 Servidores 666,63 5,43%
16 Reconocimientos del trabajador del mes 600,00 4,89%
5 Sistemas informáticos (NextSoft, SAP BASIS, SAP MM, SAP SD) 533,33 4,37%
7 Marca/Logo “MUNICIPALIDAD DE HUAURA” 500,01 4,07%
8 Dominio de Internet del portal Web 400,00 3,28%
11 Equipos de redes de comunicación 399,99 3,27%
4 Sistemas Operativos (XP / WINDOWS 7) 399,99 3,27%
12 Equipos de computo 399,99 3,27%
13 Internet 399,99 3,27%
14 Electricidad 333,30 2,71%
TOTAL 12266,57 100,00%

 Activos Por orden de Vulnerabilidad

ID ACTIVOS VULNERABILIDAD V%
9 Reputación de la empresa 300,00 9,38%
16 Reconocimientos del trabajador del mes 300,00 9,38%
2 Contratos de personal interno y externo 266,67 8,33%
15 Experiencia de los trabajadores de la empresa 266,67 8,33%
17 Habilidades de los trabajadores de la empresa 233,33 7,29%
3 Plan de continuidad del servicio 233,33 7,29%
8 Dominio de Internet del portal Web 200,00 6,25%
6 Sistemas Gestores de Base de Datos (SQLServer) 200,00 6,25%
1 Bases de datos de los productos 200,00 6,25%
7 Marca/Logo “MUNICIPALIDAD DE HUAURA” 166,67 5,20%
5 Sistemas informáticos (SAP BASIS, SAP MM, SAP SD) 133,33 4,17%
10 Servidores 133,33 4,17%
4 Sistemas Operativos (WINDOWS 8.1 / WINDOWS 10) 133,33 4,17%
12 Equipos de computo 133,33 4,17%
13 Internet 133,33 4,17%
11 Equipos de redes de comunicación 100,00 3,12%
14 Electricidad 66,66 2,08%
TOTAL 3199,98 100,00%

 Valores Máximos, Mínimos y Reales

Se muestran los valores máximos y mínimos de vulnerabilidad
que pueden obtener los activos cuando las probabilidades son
llevadas a puntos extremos. Este cálculo es necesario para
 compararlos con los valores relevados que figuran en la
tercera columna.
Estos cálculos se realizan sin tener en cuenta la influencia de
la importancia, es decir se representan exclusivamente las
debilidades de cada activo, con las medidas de seguridad que
actualmente existen en la institución.

ACTIVOS MAXIMO MINIMO REAL

ID ACTIVO (333) % (111) % (123) %
9 Reputación de la empresa 300 6,12% 100 5,88% 300,00 9,38%
16 Reconocimientos del trabajador del mes 300 6,12% 100 5,88% 300,00 9,38%
2 Contratos de personal interno y externo 300 6,12% 100 5,88% 266,67 8,33%
15 Experiencia de los trabajadores de la empresa 300 6,12% 100 5,88% 266,67 8,33%
17 Habilidades de los trabajadores de la empresa 300 6,12% 100 5,88% 233,33 7,29%
3 Plan de continuidad del servicio 300 6,12% 100 5,88% 233,33 7,29%
8 Dominio de Internet del portal Web 300 6,12% 100 5,88% 200,00 6,25%
6 Sistemas Gestores de Base de Datos (SQLServer) 300 6,12% 100 5,88% 200,00 6,25%
1 Bases de datos de los productos 300 6,12% 100 5,88% 200,00 6,25%
7 Marca/Logo “MUNICIPALIDAD DE HUAURA” 200 4.10% 100 5,88% 166,67 5,20%
Sistemas informáticos (SAP BASIS, SAP MM, SAP
5 5,88%
SD) 300 6,12% 100 133,33 4,17%
10 Servidores 300 6,12% 100 5,88% 133,33 4,17%
Sistemas Operativos (WINDOWS 8.1 / WINDOWS 5,88%
4
10) 300 6,12% 100 133,33 4,17%
12 Equipos de computo 300 6,12% 100 5,88% 133,33 4,17%
13 Internet 300 6,12% 100 5,88% 133,33 4,17%
11 Equipos de redes de comunicación 300 6,12% 100 5,88% 100,00 3,12%
14 Electricidad 200 4.10% 100 5,88% 66,66 2,08%
VALORES 4900 100% 1700 100% 3199,98 100%

 Porcentajes de Vulnerabilidades Descubiertas

Como consecuencia de la tabla Valores Máximo, mínimos y reales, se puede

calcular que el porcentaje de vulnerabilidades descubiertas en la municipalidad
de Huaura es del 65.31% (3199,98 puntos), considerando el nivel máximo de
riesgos como el 100% (4,900 puntos), y sabiendo que el porcentaje mínimo es
de 34,69% (1700 puntos). Por esto podemos concluir que la municipalidad de
Huaura debería reducir en 30.62% el porcentaje de vulnerabilidades
descubiertas, para así conseguir el nivel mínimo de riesgos posible.