Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANALISIS DE RIESGO
DE LA MUNICIPALIDAD DE HUAURA
PRESENTADO POR:
Chang Nicho, Joy Richard
Garro Arquinigo, Juan Coat
Gonzales Trinidad, Eduardo Ysmael
Tamayo Llashac, Jairoly Alexander
Tufino Espinoza, Jhonatan Kenin
Yanapa Ventocilla, Oscar Bryan
DOCENTE:
Mg. Ing. Figueroa Revilla Martin
HUACHO – PERÚ
2021
Amenazas
Seguidamente se muestran las amenazas que pueden afectar
a dichos activos.
Código Activos ID Amenazas
Activo
1 Falla de backups
Bases de datos 2 Rollback constante
A1
de los productos Mal uso de derechos de
3
administración
Contratos de 4 Documentación deficiente
A2 personal interno 5 Deshonestidad y sabotaje
y externo 6 Administración inadecuada
Cambios Políticos que afecten
Plan de 7
las Políticas Internas
A3 continuidad del
8 Deshonestidad y sabotaje
servicio
9 Robo de información
Errores de configuración y
Sistemas 10
operación del sistema.
Operativos
A4 11 Aplicaciones sin licencia
(WINDOWS 8.1 /
Falta de estandarización de
WINDOWS 10) 12
sistemas operativos
Servicio de mantenimiento
Sistemas 13
inadecuado
informáticos
A5 Errores de configuración y
(SAP BASIS, SAP 14
operación del sistema.
MM, SAP SD)
15 Aplicaciones sin licencia
Sistemas 16 Conexiones todavía activas
Gestores de Base 17 Robo de claves de acceso
A6
de Datos Falta de registro de log de
18
(SQLServer) errores
Marca/Logo 19 Administración inadecuada
A7 “MUNICIPALIDA
20 Fraude
D DE HUAURA”
Dominio de 21 Interferencias
A8 Internet del 22 Fraude
portal Web 23 Administración inadecuada
A9 Reputación de la 24 Deshonestidad y sabotaje
empresa 25 Administración inadecuada
26 Fraude
Entrada sin autorizaciones
27
ambientes seguros
Desastres Naturales (rayos,
A10 Servidores 28
lluvias, inundaciones)
Límite de vida útil de los
29
equipos
Longitud de los cables de red
30
Equipos de redes excedida
A11
de comunicación 31 Mantenimiento inadecuado
32 Fractura de cables
Riesgo por el personal de
33
limpieza o personal externo
Equipos de Límite de vida útil de los
A12 34
computo equipos
Entrenamiento inadecuado de
35
usuarios
36 Poco Ancho de Banda
37 Interferencias
A13 Internet
Interrupción del servicio de
38
Telecomunicaciones.
Interrupción de Servicio de
39
A14 Electricidad Energía
40 Fractura de cables
41 Conocimiento insuficiente
Experiencia de
Retiro/ausencia intempestiva
A15 los trabajadores 42
de personal
de la empresa
43 Deshonestidad y sabotaje
44 Fraude
Reconocimientos
45 Deshonestidad y sabotaje
A16 del trabajador
Retiro/ausencia intempestiva
del mes 46
de personal
A17 Habilidades de 47 Conocimiento insuficiente
los trabajadores 48 Deshonestidad y sabotaje
Retiro/ausencia intempestiva
49
de la empresa de personal
PROBABILIDAD
ACTIVOS IMPACTO AMENAZAS DE
OCURRENCIA
Falla de backups 3
Bases de datos Rollback constante 3
4
de los productos Mal uso de derechos de
3
administración
Documentación
2
deficiente
Contratos de
Deshonestidad y
personal interno 5 3
sabotaje
y externo
Administración
2
inadecuada
Cambios Políticos que
afecten 3
Plan de
las Políticas Internas
continuidad del 4
Deshonestidad y
servicio 3
sabotaje
Robo de información 3
Errores de configuración
Sistemas 1
y operación del sistema.
Operativos
3 Aplicaciones sin licencia 1
(WINDOWS 8.1 /
Falta de estandarización
WINDOWS 10) 2
de sistemas operativos
Sistemas 4 Servicio de 2
informáticos mantenimiento
inadecuado
(SAP BASIS, SAP Errores de configuración
2
MM, SAP SD) y operación del sistema.
Aplicaciones sin licencia 2
Conexiones todavía
2
Sistemas activas
Gestores de Base Robo de claves de
4 3
de Datos acceso
(SQLServer) Falta de registro de log
2
de errores
Marca/Logo Administración
2
“MUNICIPALIDA 3 inadecuada
D DE HUAURA” Fraude 3
Interferencias 2
Dominio de
Fraude 2
Internet del 2
Administración
portal Web 2
inadecuada
Deshonestidad y
3
sabotaje
Reputación de la
5 Administración
empresa 3
inadecuada
Fraude 3
Entrada sin
autorizaciones 2
ambientes seguros
Desastres Naturales
Servidores 5
(rayos, lluvias, 1
inundaciones)
Límite de vida útil de los
1
equipos
Equipos de redes 4 Longitud de los cables
1
de comunicación de red excedida
Mantenimiento 1
inadecuado
Fractura de cables 1
Riesgo por el personal
de limpieza o personal 1
externo
equipos de
3 Límite de vida útil de los
computo 1
equipos
Entrenamiento
2
inadecuado de usuarios
Poco Ancho de Banda 1
Interferencias 1
Internet 3
Interrupción del servicio
2
de Telecomunicaciones.
Interrupción de Servicio
1
Electricidad 5 de Energía
Fractura de cables 1
Conocimiento
2
insuficiente
Experiencia de Retiro/ausencia
los trabajadores 5 intempestiva de 3
de la empresa personal
Deshonestidad y
3
sabotaje
Fraude 3
Deshonestidad y
Reconocimientos 3
sabotaje
del trabajador 2
Retiro/ausencia
del mes
intempestiva de 3
personal
Habilidades de 4 Conocimiento
2
los trabajadores insuficiente
de la empresa Deshonestidad y
3
sabotaje
Retiro/ausencia 2
intempestiva de
personal
Robo de información de las medidas a tomar Políticas de la empresa de despido intempestivo de ser
9 Robo de información SI MEJORABLE
para asegurar la continuidad del negocio probado
Servicio de
Persistencia de fallas o errores que permiten Administración por personal capacitado / Contratación de
13 mantenimiento SI EFICIENTE
vulnerabilidades en los sistemas informáticos proveedor certificado
inadecuado
14 Errores de configuración Mala configuración de equipos generando NO DEFICIENTE
vulnerabilidades que pueden ser aprovechadas
y operación del sistema.
por hackers
Falta de soporte y asistencia técnica del Política de adquisición de software licenciado como
15 Aplicaciones sin licencia SI EFICIENTE
proveedor del software requisito primordial
Conexiones todavía Los usuarios pueden ingresar a la información El ingreso a sistemas de información y equipos tienen un
16 SI MEJORABLE
activas de la empresa sin autorización previa límite máximo de tiempo de sesión válida
Suplantación de usuarios existentes dentro del Política de renovación y modificación de claves de acceso
17 Robo de claves de acceso SI MEJORABLE
sistema anualmente
Falta de registro de log Deficiente monitorización de los ingresos a la Registro de logs de acceso y alertas de ingresos no
18 SI MEJORABLE
de errores base de datos autorizados al sistema
Administración Falta de políticas que aseguren la protección de El logo y la marca tienen protección legal y protección legal
19 SI EFICIENTE
inadecuada la marca y el logo de la empresa informático.
Fraudes para la realización de fraudes usando
20 Fraude NO DEFICIENTE
la marca de la empresa
Caídas del proveedor del dominio de la página Administración por personal capacitado / Contratación de
21 Interferencias SI MEJORABLE
web proveedor certificado
Páginas web que usan dominios similares para
22 Fraude NO DEFICIENTE
realizar actos delictivos
Administración Vulnerabilidades causadas por la Administración por personal capacitado / Contratación de
23 SI EFICIENTE
inadecuada administración inadecuada de la página web proveedor certificado
A9:Reputación de la empresa
A10: Servidores
Entrada sin
Personal no autorizado o agentes externos que Medidas de identificación del personal con controles
27 autorizaciones ambientes SI MEJORABLE
ingresan a ambientes con información sensible biométricos para acceso a áreas con información valiosa
seguros
Desastres Naturales
Factores ambientales que pueden afectar los Redundancia de componentes / Ejecución del plan
28 (rayos, lluvias, SI MEJORABLE
servidores de la empresa semestral de mantenimiento de equipos
inundaciones)
29 Límite de vida útil de los Servidores con equipos desfasados o en malas SI Plan de mantenimiento de equipos y política de adquisición EFICIENTE
de equipos de acuerdo a la vigencia tecnológica y técnica de
equipos condiciones
los equipos
Longitud de los cables de Interferencias constantes y fallas en los Plan de mantenimiento trimestral de la red cableada de la
30 SI MEJORABLE
red excedida equipos de comunicación empresa
Mantenimiento Reducción de la vida útil de los equipos de
31 SI Administración por personal capacitado EFICIENTE
inadecuado comunicación
Baja latencia de la señal entre el host central y Plan de mantenimiento trimestral de la red cableada de la
32 Fractura de cables SI MEJORABLE
el resto de equipos empresa
A13: Internet
36 Poco Ancho de Banda Deficiente acceso a internet de los usuarios SI Contrato de internet empresarial con adecuada velocidad MEJORABLE
A14: Electricidad
40 Fractura de cables Daño en los equipos de la empresa SI Ejecución del Plan de Mantenimiento MEJORABLE
PROBABILIDA
IMPACT VULNERABILIDA
ACTIVOS AMENAZAS D DE RIESGO
O D
OCURRENCIA
Falla de backups 2 66,67 266,67
Rollback constante 2 66,67 266,67
Bases de datos
4 Mal uso de derechos
de los productos 2 66,67 266,67
de administración
CANTIDAD DE AMENAZAS: 3 200,00 800,00
Documentación
3 100,00 500,00
deficiente
Deshonestidad y
Contratos de 3 100,00 500,00
sabotaje
personal interno 5
Administración
y externo 2 66,67 333,33
inadecuada
1333,3
CANTIDAD DE AMENAZAS: 3 266,67
3
Cambios Políticos
que afecten 2 66,67 266,67
las Políticas Internas
Plan de
Deshonestidad y
continuidad del 4 3 100,00 400,00
sabotaje
servicio
Robo de
2 66,67 266,67
información
CANTIDAD DE AMENAZAS: 3 233,33 933,33
Errores de
configuración y
1 33,33 99,99
operación del
Sistemas sistema.
Operativos Aplicaciones sin
3 1 33,33 99,99
(WINDOWS 8.1 / licencia
WINDOWS 10) Falta de
estandarización de 2 66,67 200,01
sistemas operativos
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Servicio de
mantenimiento 1 33,33 133,33
inadecuado
Sistemas Errores de
informáticos configuración y
4 2 66,67 266,67
(SAP BASIS, SAP operación del
MM, SAP SD) sistema.
Aplicaciones sin
1 33,33 133,33
licencia
CANTIDAD DE AMENAZAS: 3 133,33 533,33
Conexiones todavía
2 66,67 266,67
activas
Sistemas
Robo de claves de
Gestores de Base 2 66,67 266,67
4 acceso
de Datos
Falta de registro de
(SQLServer) 2 66,67 266,67
log de errores
CANTIDAD DE AMENAZAS: 3 200,00 800,00
Marca/Logo 3 Administración 2 66,67 200,01
“MUNICIPALIDA inadecuada
Fraude 3 100,00 300,00
D DE HUAURA”
CANTIDAD DE AMENAZAS: 2 166,67 500,01
Interferencias 2 66,67 133,33
Dominio de Fraude 3 100,00 200,00
Internet del 2 Administración
1 33,33 66,67
portal Web inadecuada
CANTIDAD DE AMENAZAS: 3 200,00 400,00
Deshonestidad y
3 100,00 500,00
sabotaje
Administración
Reputación de la 3 100,00 500,00
5 inadecuada
empresa
Fraude 3 100,00 500,00
1500,0
CANTIDAD DE AMENAZAS: 3 300,00
0
Entrada sin
autorizaciones 2 66,67 333,33
ambientes seguros
Desastres Naturales
Servidores 5 (rayos, lluvias, 1 33,33 166,65
inundaciones)
Límite de vida útil
1 33,33 166,65
de los equipos
CANTIDAD DE AMENAZAS: 3 133,33 666,63
Longitud de los
cables de red 1 33,33 133,33
excedida
Equipos de redes
4 Mantenimiento
de comunicación 1 33,33 133,33
inadecuado
Fractura de cables 1 33,33 133,33
CANTIDAD DE AMENAZAS: 3 100,00 399,99
Riesgo por el
personal de limpieza 1 33,33 99,99
o personal externo
Límite de vida útil
equipos de 1 33,33 99,99
3 de los equipos
computo
Entrenamiento
inadecuado de 2 66,67 200,01
usuarios
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Poco Ancho de
1 33,33 99,99
Banda
Interferencias 1 33,33 99,99
Interrupción del
Internet 3
servicio de
2 66,67 200,01
Telecomunicaciones
.
CANTIDAD DE AMENAZAS: 3 133,33 399,99
Electricidad 5 Interrupción de 1 33,33 166,65
Servicio de Energía
Fractura de cables 1 33,33 166,65
CANTIDAD DE AMENAZAS: 2 66,66 333,30
Conocimiento
2 66,67 333,33
insuficiente
Retiro/ausencia
Experiencia de intempestiva de 3 100,00 500,00
los trabajadores 5 personal
de la empresa Deshonestidad y
3 100,00 500,00
sabotaje
1333,3
CANTIDAD DE AMENAZAS: 3 266,67
3
Fraude 3 100,00 200,00
Deshonestidad y
3 100,00 200,00
Reconocimientos sabotaje
del trabajador 2 Retiro/ausencia
del mes intempestiva de 3 100,00 200,00
personal
CANTIDAD DE AMENAZAS: 3 300,00 600,00
Conocimiento
2 66,67 266,67
insuficiente
Deshonestidad y
Habilidades de 3 100,00 400,00
sabotaje
los trabajadores 4
Retiro/ausencia
de la empresa
intempestiva de 2 66,67 266,68
personal
CANTIDAD DE AMENAZAS: 3 233,33 933,35
1.1.4. Conclusiones
Activos de orden por riesgo
ID ACTIVOS RIESGO R%
ID ACTIVOS VULNERABILIDAD V%
9 Reputación de la empresa 300,00 9,38%
16 Reconocimientos del trabajador del mes 300,00 9,38%
2 Contratos de personal interno y externo 266,67 8,33%
15 Experiencia de los trabajadores de la empresa 266,67 8,33%
17 Habilidades de los trabajadores de la empresa 233,33 7,29%
3 Plan de continuidad del servicio 233,33 7,29%
8 Dominio de Internet del portal Web 200,00 6,25%
6 Sistemas Gestores de Base de Datos (SQLServer) 200,00 6,25%
1 Bases de datos de los productos 200,00 6,25%
7 Marca/Logo “MUNICIPALIDAD DE HUAURA” 166,67 5,20%
5 Sistemas informáticos (SAP BASIS, SAP MM, SAP SD) 133,33 4,17%
10 Servidores 133,33 4,17%
4 Sistemas Operativos (WINDOWS 8.1 / WINDOWS 10) 133,33 4,17%
12 Equipos de computo 133,33 4,17%
13 Internet 133,33 4,17%
11 Equipos de redes de comunicación 100,00 3,12%
14 Electricidad 66,66 2,08%
TOTAL 3199,98 100,00%