Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller No 1 Riesgo Matriz

    Cargado por

    Harold Fabián Chilatra Carvajal
    7 vistas7 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas7 páginas

    Taller No 1 Riesgo Matriz

    Cargado por

    Harold Fabián Chilatra Carvajal

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    DISEÑO DE SEGURIDAD EN REDES

    ESPECIALIZACIÓN EN SEGURIDAD DE REDES TELEMATICAS

    TALLER No 1

    Presentado al Ing

    MSSC. ROBERT DARIO CASTRO GUTIERREZ

    CHILATRA CARVAJAL, HAROLD FABIAN.

    Agosto 2022
    Especialización en Seguridad de Redes
    Telemáticas Taller Nº 1 – Administración de Riesgos en
    Componentes de TI

    1. Según la metodología para administración de riesgos vista en clase,


    seleccione unaempresa (preferiblemente donde labora), donde realice las
    siguientes actividades:

    a. Identifique los componentes de TI que considere son de riesgo


    crítico y que puedan afectar la disponibilidad y continuidad de
    los servicios tecnológicos críticos para el negocio.

    Se realiza a continuación los riesgos identificados que se evidencian en la operación y


    se evidencia los riesgos que pueden llegar afectar la continuidad del negocio y los
    planes de transformación de SONDA.

    • Se debe velar por hacerle conocer a los subcontratistas las políticas de


    seguridad de información establecidas de forma contractual.

    • Sonda cuenta con un plan de trabajo para el área de calidad para los sistemas
    de información, pero se ha evidenciado que no se realiza actualizaciones de la
    documentación desde está área.

    • Falta más apoyo a las diferentes líneas de servicios en la identificación de sus


    riesgos de Seguridad de la Información y en el seguimiento a los planes de
    tratamiento.

    • No se Desarrolla las revisiones continuas de efectividad junto con el Oficial de


    Seguridad de los controles aplicados para mitigar los riesgos con el fin de
    establecer acciones correctivas, preventivas y/o de mejoramiento de dichos
    controles, para las responsabilidades asignadas a los Gerentes de línea de
    servicio.

    • No se cuenta con un adecuado proceso para la gestión de cambios, dado que el


    software no cuenta con versiones actualizadas por parte de los fabricantes por
    lo que el software puede estar sin soporte.

    • Los usuarios del área de Seguridad informática/ ciberseguridad cuentan con


    poca información e identificación de los servicios identificados para la
    presentación de oferta técnicas que estén alineadas a la seguridad de la
    información.

    • Evaluar y contribuir al mejoramiento de la administración de los riesgos y de


    los sistemas de control.
    • Actualizar la información sobre los planes de tratamiento de riesgos asignados
    a los cargos de TI y de preventa para la presentación de ofertas.

    • Cambios en la infraestructura que generen riesgos de seguridad de la


    información o afecten el cumplimiento a los objetivos de la organización.

    • Apoyar a las diferentes líneas de servicios en la identificación de sus riesgos de


    Seguridad de la Información y en el seguimiento a los planes de tratamiento

    b. Seleccione 5 de los componentes considerados por usted como


    extremadamente críticos y analice que riesgos tiene cada uno.

    De la lista anterior considero que las siguientes corresponde a las más


    criticas para la compañía:

    • Se debe velar por hacerle conocer a los subcontratistas las políticas de


    seguridad de información establecidas de forma contractual.

    • Los usuarios del área de Seguridad informática/ ciberseguridad cuentan con


    poca información e identificación de los servicios identificados para la
    presentación de oferta técnicas que estén alineadas a la seguridad de la
    información.

    • Actualizar la información sobre los planes de tratamiento de riesgos asignados


    a los cargos de TI y de preventa para la presentación de ofertas.

    • No se cuenta con un adecuado proceso para la gestión de cambios, dado que el


    software no cuenta con versiones actualizadas por parte de los fabricantes por
    lo que el software puede estar sin soporte.

    • No se Desarrolla las revisiones continuas de efectividad junto con el Oficial de


    Seguridad de los controles aplicados para mitigar los riesgos con el fin de
    establecer acciones correctivas, preventivas y/o de mejoramiento de dichos
    controles, para las responsabilidades asignadas a los Gerentes de línea de
    servicio.

    c. Una vez analizados los riesgos, bajo la siguiente clasificación,


    valore losriesgos, y diligencie la matriz:

    A continuación, la matriz de riesgos de acuerdo con el análisis de los riesgos con la


    clasificación y la consecuencia de los riesgos, analizando el nivel de este y la
    probabilidad.
    MATRIZ DE RIESGOS
    CONSECUENCIA
    Mínima Menor Moderada Mayor Máxima
    PROBABILIDAD 1 2 4 8 16
    Muy Alta 5 5 10 20 40 80
    Alta 4 4 8 16 32 64
    Media 3 3 6 12 24 48
    Baja 2 2 4 8 16 32
    Muy Baja 1 1 2 4 8 16

    NIVEL DEL RIESGO COLOR


    Riesgo Aceptable
    Riesgo Tolerable
    Riesgo Alto
    Riesgo Extremo

    A continuación, la especificación del evento, la probabilidad que suceda el


    evento y la calificación de la consecuente, dando como resultado el nivel de
    riesgo.

    EVENTO PROBABILIDAD CONSECUENCIA NIVEL DE RIESGO


    Se debe velar por hacerle conocer a los
    subcontratistas las políticas de
    Muy Alta Moderada Riesgo Alto
    seguridad de información establecidas
    de forma contractual.
    Los usuarios del área de Seguridad
    informática/ ciberseguridad cuentan
    con poca información e identificación
    de los servicios identificados para la Alta Mayor Riesgo Extremo
    presentación de oferta técnicas que
    estén alineadas a la seguridad de la
    información
    Actualizar la información sobre los
    planes de tratamiento de riesgos
    asignados a los cargos de TI y de Alta Menor Riesgo Tolerable
    preventa para la presentación de
    ofertas.
    No se cuenta con un adecuado
    proceso para la gestión de cambios,
    dado que el software no cuenta con
    Alta Moderada Riesgo Alto
    versiones actualizadas por parte de los
    fabricantes por lo que el software
    puede estar sin soporte
    No se Desarrolla las revisiones
    continuas de efectividad junto con el
    Oficial de Seguridad de los controles
    aplicados para mitigar los riesgos con
    el fin de establecer acciones Alta Mayor Riesgo Extremo
    correctivas, preventivas y/o de
    mejoramiento de dichos controles,
    para las responsabilidades asignadas a
    los Gerentes de línea de servicio.
    d. Una vez valorados los riesgos para cada componente,
    indique como mitigaríalos riesgos para cada uno.

    EVENTO NIVEL DE RIESGO MITIGACIÓN


    Al momento de realizar los procesos de
    Se debe velar por hacerle conocer a los contratación con los proveedores, canales o
    subcontratistas las políticas de terceros se debe hacer una amplia transmisión de
    Riesgo Alto
    seguridad de información establecidas las politicas de seguridad de la información en pro
    de forma contractual. de la confidencialidad de la información entre
    ambas partes.
    Se deberá implementar un plan de organización
    Los usuarios del área de Seguridad de cual sería la documentación que con apoyo de
    informática/ ciberseguridad cuentan calidad y el especialista de seguridad de la
    con poca información e identificación información se debe presentar en la organización
    Riesgo Extremo
    de los servicios identificados para la de las oferta técnicas a todos los clientes para
    presentación de oferta técnicas que que se transmita el conocimiento de una empresa
    estén alineadas a la seguridad de la que esta a la vanguardia en transformación
    información digital.
    Actualizar la información sobre los
    Se debe organizar un plan de mejora para así
    planes de tratamiento de riesgos
    mismo reaccionar proactivamente en la
    asignados a los cargos de TI y de Riesgo Tolerable
    actualización de los planes de tratamiento de los
    preventa para la presentación de
    riesgos que se encargan al área de TI
    ofertas.
    No se cuenta con un adecuado Se debe organizar con la gerencia de la compañía
    proceso para la gestión de cambios, y la gerencia de la seguridad de información el
    dado que el software no cuenta con plan de choque para que efectivamente se
    Riesgo Alto
    versiones actualizadas por parte de los trabaje de manera inmediaata en la actualizacion
    fabricantes por lo que el software de los software ya que sin soporte es un riesgo a
    puede estar sin soporte la seguridad de la información.
    No se Desarrolla las revisiones
    continuas de efectividad junto con el
    Oficial de Seguridad de los controles Se debe revisar con la gerencia de seguridad de
    aplicados para mitigar los riesgos con informatica de la compañía y seguir los
    el fin de establecer acciones Riesgo Extremo líneamientos regionales para mitigar los riesgos
    correctivas, preventivas y/o de con el fin de establecer las acciones correctivas y
    mejoramiento de dichos controles, preventivas para los controles aplicados a la SGI.
    para las responsabilidades asignadas a
    los Gerentes de línea de servicio.
    2. Para los 5 componentes seleccionados, sobre la base de los riesgos
    identificados, indique cuales afectan la Integridad, Confidencialidad
    y Disponibilidad e indique por qué.

    EVENTO NIVEL DE RIESGO MITIGACIÓN

    Se debe velar por hacerle conocer a los


    subcontratistas las políticas de
    Riesgo Alto Confidencialidad
    seguridad de información establecidas
    de forma contractual.

    Los usuarios del área de Seguridad


    informática/ ciberseguridad cuentan
    con poca información e identificación
    de los servicios identificados para la Riesgo Extremo
    presentación de oferta técnicas que
    estén alineadas a la seguridad de la
    información disponibilidad
    Actualizar la información sobre los
    planes de tratamiento de riesgos
    asignados a los cargos de TI y de Riesgo Tolerable disponibilidad e Integridad.
    preventa para la presentación de
    ofertas.
    No se cuenta con un adecuado
    proceso para la gestión de cambios,
    dado que el software no cuenta con
    Riesgo Alto Integridad
    versiones actualizadas por parte de los
    fabricantes por lo que el software
    puede estar sin soporte
    No se Desarrolla las revisiones
    continuas de efectividad junto con el
    Oficial de Seguridad de los controles
    aplicados para mitigar los riesgos con
    el fin de establecer acciones Riesgo Extremo Disponibilidad, integridad
    correctivas, preventivas y/o de
    mejoramiento de dichos controles,
    para las responsabilidades asignadas a
    los Gerentes de línea de servicio.

    a) Confidencialidad: a los contratistas se les debe proporciona la respectiva


    documentación donde se evidencia el compromiso a la confidencialidad entre
    ambas partes y el compromiso al cumplimiento en la seguridad de la
    información proporcionada.

    b) Disponibilidad: Los empleados deben tener a disposición la información


    pertinente y actualizada para poder ejecutar las actividades que son propia de
    la empresa para cliente final, y así asegurar que esta información cea verídica
    y actualizada.
    c) Disponibilidad e Integridad: Se debe contar con la disponibilidad de la
    información, pero también La integridad de los datos o de la información ya que
    garantiza la exactitud de los datos almacenados, asegurando que no se ha
    producido su alteración, pérdida o destrucción, ya sea de forma accidental o
    intencionada.

    d) Integridad: La integridad de los datos o de la información ya que garantiza la


    exactitud de los datos almacenados, asegurando que no se ha producido su
    alteración, pérdida o destrucción, ya sea de forma accidental o intencionada.

    e) Disponibilidad e Integridad: Se debe contar con la disponibilidad de la


    información, pero también realizar ejecuciones de planes de trabajo para
    desarrollar los controles que permitan la mitigación de los riesgo, por ello La
    integridad de los datos o de la información ya que garantiza la exactitud de los
    datos almacenados, asegurando que no se ha producido su alteración, pérdida
    o destrucción, ya sea de forma accidental o intencionada.

    También podría gustarte