Proyecto de Curso G7

FACULTAD DE INGENIERÍA
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA

DE SISTEMAS
Título del Informe Académico
APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA EL

ANÁLISIS Y GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA
INFORMACIÓN APLICADO A LA EMPRESA ANSILANS MEDICAL
S.A.C
AUTOR(ES):
Briceño Ordoñez, Luis José (orcid.org/0000-0003-2841-0995)
Chiclayo Silvestre, Antonio Martin (orcid.org/0000-0002-0336-4462)
Molina Javier, Samuel (orcid.org/0000-0002-9310-1139)
Pérez Plasencia, Carlos Eduardo (orcid.org/0000-0002-3723-1174)
ASESOR(A)(ES):
Carretero Obando, Marcelino Waldemar
LINEA DE INVESTIGACION:
Auditoria de Sistemas y Seguridad de Información
TRUJILLO – PERÚ
2021
ÍNDICE DE TABLAS
Tabla 01 - Procesos del Negocio pág. 19
Tabla 02 - Inventario de Activos pág. 19
Tabla 03 - Relación Proceso negocio - Activos Pág. 20
Tabla 04 - Valoración de Activos pág. 21
Tabla 05 - VA. Página web Pág.22
Tabla 06 - VA. Sistema contable Pág.23
Tabla 07 - VA. Registro persona Pág.23
Tabla 08 - VA. Base de Datos Pág.24
Tabla 09 - VA. Aplicaciones Comerciales Pág.24
Tabla 10 - VA. Equipo de Cómputo Pág.24
Tabla 11 - VA. Inmobiliaria Pág.25
Tabla 12 - VA. Servidor de red Pág.25
Tabla 13 - VA. Productos Pág.26
Tabla 14 - VA. Equipos de mantenimiento Pág.26
Tabla 15 - C.R. Página web Pág.26
Tabla 16 - C.R. Sistema Contable Pág.27
Tabla 17 - C.R. Registro personal Pág.27
Tabla 18 - C.R. Base datos Pág.28
Tabla 19 - C.R. Aplicaciones comerciales Pág.28
Tabla 20 - C.R. Equipo de Cómputo Pág.28
Tabla 21 - C.R. Inmobiliaria Pág.29
Tabla 22 - Servidor de red Pág.29
Tabla 23 - C.R. Productos Pág.30
Tabla 23 - C.R. Equipos e mantenimiento Pág.30
2
ÍNDICE DE FIGURAS
Img. 1 - Organigrama de la Empresa Pag. 07
3
ÍNDICE
I.- CONTEXTO DE LA ORGANIZACIÓN 5

1.1 Presentación: 5
1.2 Estructura de la empresa: 8
1.3 Aspectos tecnológicos 11
II.- DOCUMENTACIÓN DE LA POLÍTICA DE SEGURIDAD 11

2.1 Política de seguridad de la información 12
2.2 Definición del SGSI 13
2.2.1 Alcance del sistema de gestión de la seguridad de la información 13
2.2.2 Objetivo General 14
2.2.3 Requisitos legales 14
2.2.4 Revisiones de auditorías 15
2.2.5 Compromiso de la dirección 15
2.3 Marco organizativo de la seguridad de la información 16
2.3.1 Responsabilidades 16
2.3.1.1 Dirección 17
2.3.2.2 Responsable de seguridad 17
2.3.2.3 Propietario de los riesgos 17
2.3.2.4 Responsable de sistemas 17
2.3.2.5 Personal 18
2.4 Evaluación de riesgos de seguridad 18
2.4.1. Proceso de análisis y gestión de riesgos 19
2.4.2. Criterios de aceptación del riesgo 19
2.4.3 Propietarios del riesgo 19
III.- EL INVENTARIO DE ACTIVOS 19

3.1 Procesos de negocio. 19
IV.- RESULTADOS DE LA EVALUACIÓN DE RIESGOS 22

4.1 Identificación y valoración de las amenazas 22
4
I.- CONTEXTO DE LA ORGANIZACIÓN
1.1 Presentación:
● Descripción de la empresa:
Ansilans Medical es una empresa dedicada hace 17 años en la
importación y comercialización de equipos médicos, instrumental
quirúrgico y mobiliario médico, brindamos asesoría para
implementar servicios de salud, con el respaldo de nuestra
experiencia acumulada.
Nos enfocamos en las necesidades de nuestros clientes. La gran

cantidad de equipos vendidos y la satisfacción de nuestros
clientes son nuestra mejor carta de presentación. La relación con
nuestros clientes comienza con la venta y dura toda la vida.
● Nombre De La Empresa
Ansilans Medical S.A.
● Rubro
Servicio de ventas e importación y comercialización en equipos
médicos, equipos diagnostico, material médico, mobiliario médico,
etc.
● Historia:
En el 2004 esta empresa entabla relaciones comerciales con la

empresa Israelí, Elscint y se inicia la nueva etapa de venta y
posventa de equipos médicos y de diagnósticos; con Ansilans
Medical abarcamos más del 60% en todas sus líneas de Equipos
Médicos y 90% en asesorías médicas.
En 2010 Elscint es vendida y en el 2011 se obtiene la

representación exclusiva de TOSHIBA MEDICAL SYSTEMS CO.
Posteriormente, en esa misma década, Ansilans Medical inicia
relaciones comerciales como distribuidora de Dornier, Kimberly
Clark, Carestream, Nemoto y Vital.
5
Hoy en día, cumplimos 17 años de innovación y servicio de la
más alta calidad, somos líderes en el mercado tanto en nuestras
líneas de equipos médicos como en nuestras líneas de material
médico.
En Ansilans Medical ofrecemos atención personalizada de venta y

atención posventa a la medida, las mejoras marcas del mercado y
profesionales de gran trayectoria, constantemente capacitados.
Ansilans Medical está siempre a la vanguardia de nuevos retos y
crecimiento. La ecuación del éxito de Ansilans Medical es su
personal siempre en el cliente y su satisfacción.
● Mercado
Su desarrollo sostenible solo se lleva a cabo en el mercado Peruano
● clientes
● Essalud
● Hospital de Apoyo San José – Callao
● Dirección Regional de Salud Callao
● Hospital de Ventanilla
● Hospital de Huaral y servicios básicos de Salud
● Dirección Regional de Salud – Huacho
● Dirección Regional de Salud – Tacna
● Hospital de Baja Complejidad – Vitarte
● Instituto Nacional de Oftalmología
● Hospital Regional Guillermo Diaz de la Vega
● MINSA – Ministerio de Salud del Perú
● Mineras
● Antecedentes de SGC
■ La norm ISO 9000
6
1.2 Estructura de la empresa:
La estructura organizacional de la empresa está formada por
áreas estratégicas que permiten el cumplimiento de sus funciones
eficientemente.
Gerente General
Asesoramiento
legal Contabilidad
Asesoramiento
técnico post venta Almacén
Administración y Área de
Área Comercial Finanzas Área de TI Operaciones
Imagen - 01
Gerente General:
Encargada de la planificación ejecutiva y estratégica de la empresa, así

como también de velar por el cumplimiento de las normas y reglas de la
empresa Ansilans Medical. Por otro lado, es la encargada de tomar
decisiones que conlleven al éxito de la Empresa. Es la que también
hace uso de su nombre para las firmas y sellos que se requieran como
documentación. Realiza revisión mensual de la empresa de forma
detallada al personal y a la empresa
7
Asesoramiento Legal:
Organizar, liderar y dirigir las actividades de asesoramiento legal y

las de saneamiento inmobiliario, referentes a las decisiones,
operaciones y normas vinculadas a Ansilans Medical.
Contabilidad:
Encargado de llevar las cuentas y números que genera la

empresa. El área de contabilidad no se encuentra en oficina, ya
que el contador de la empresa es un servicio tercero. Trabajan
desde sus casas, oficinas, etc. Ya que solo se encargan de lo
tributario y números de la empresa. Entregan reportes mensuales
a la gerenta de las ganancias, ingresos, egresos, pérdidas,
inversiones, así como también reportes tributarios.
Almacén:
Departamento encargado de la sucursal del almacén, en esta

área se encargan del inventario de los productos mediante listas.
En esta área también está incluido el de operaciones y postventa,
ya que son técnicos especializados quienes se encargan de
manipular, revisar los productos en stock. Presentan reportes
mensuales acerca de los productos disponibles, de las salidas y
entradas de los productos, revisiones de productos. Realizan
visitas pedidas por hospitales, clínicas, consultorios para el
servicio de mantenimiento de productos y/o mantenimiento de los
productos
Asesoramientos Técnico Post Ventas:
Encargado de las ventas de los productos, así como el

cumplimiento de los objetivos que se le ha asignado por la
gerente , además de ser responsable de sus clientes. Así mismo,
realiza salidas diarias para contactarse con los clientes y/o
proveedores. Siempre se encuentra fuera de oficina ya que su
función principal es de obtener mayores clientes y tener
proveedores con precios accesibles pero de buena calidad en sus
8
productos. Por ello, la productividad debe ser su criterio básico de
actuación. En esta área se encuentran también: Importaciones,
área que se encarga de importar y exportar los productos. Hasta
ahora se ha importado desde la India, Alemania, China. Los
empleados de esta área presentan conocimiento de idiomas
como: inglés y alemán para poder llevar a cabo la comunicación
con los clientes y/o proveedores. También presentan reportes
semanales y mensuales hacia la gerenta.
Administración y Finanzas:
Es el área encargada de gestionar los recursos financieros y

materiales de una empresa. Así mismo, supervisa que las
actividades de la organización funcionen de la manera correcta.
Se encarga de los documentos de la empresa, adjuntando los
nuevos documentos, ayuda a la gerenta con el envío de
documentos legales, etc
Área de Operaciones:
Encargado de analizar la situación y fijar objetivos relevantes , así

como también orientar en la toma de decisiones, para garantizar
el progreso demandado de la empresa. Y así guiar
responsablemente a la empresa en un camino de éxito. Por ello,
establecerá una estrategia que garantice la rentabilidad requerida.
Se encargan de contactar con los clientes y proveedores,
enviándoles información de nuestros productos, brindándoles
promociones, ofertas, etc. Ellos presentan reportes semanales y
mensuales acerca de la efectividad que hubo con los clientes,
proveedores, etc
9
Área de TI:
Gestionar la plataforma tecnológica para la mejora e innovación

de procesos y servicios de la empresa, optimizando las
capacidades de la misma mediante el uso de tecnologías de
información. Dirigir, coordinar y optimizar la utilización de los
recursos informáticos, así como también resolver las necesidades
informáticas de la empresa mediante la coordinación y
planificación estratégica
1.3 Aspectos tecnológicos
- Organización de la gestión (gobierno) de las Tecnologías,

organigrama detallado, funciones, organigrama analítico, etc.
- Parque tecnológico: La empresa Ansilans Medical con equipos

de computo, impresoras, laptops, etc.
● 1 Router Cisco 1921 Pn;C1921t1

● 1 Red internet pública (Movistar)
● 5 Laptops marca Asus, procesador i5, 5Gb de Ram, disco
duro de 500GB
● 1 impresora multifuncional Epson L300
● 5 USB de almacenamiento
- Infraestructura tecnológica: Centro de Datos, servidores,

software, virtualización, back up, etc.
- Aplicaciones y otros: ERP, Software de ingeniería, antivirus, etc.
- Procedimientos: de Gestión de servicios, de seguridad, etc.
10
II.- DOCUMENTACIÓN DE LA POLÍTICA DE SEGURIDAD
La empresa Ansilans Medical hecha una visita realizada y se pudo encontrar lo
siguiente:
● El Área de TI es quien reporta directamente a la Gerencia General a

través del Jefe de Sistemas. Está área está conformada por ocho
personas incluyendo al Jefe de Sistemas, los cuales están repartidos en
dos oficinas de la siguiente manera:
● Soporte Técnico : Está conformado por dos técnicos y un asistente. Los

técnicos son quienes se encargan de supervisar, revisar y dar solución a
todas las incidencias con respecto al hardware que se reportan en todas
las áreas de la empresa. El asistente, es quien se encarga de ingresar
manualmente al sistema las incidencias ocurridas, así mismo es quien
maneja las redes sociales de la empresa. Esta área cuenta con dos
computadoras, una impresora y un anexo para el equipo.
● Equipo de desarrollo y diseño: Está conformado por un coordinador de

proyecto, dos programadores y un diseñador, que son los que crean y
dan mantenimiento a la página web de la empresa, así como los afiches
y promociones, también generan soluciones informáticas para la
organización. Esta área cuenta con tres laptops, un computador y una
impresora.
● El Jefe de Sistemas cuenta con su propia oficina, y es quien supervisa a

todo el personal de este departamento, cuenta con una laptop y una
impresora.
● El personal de soporte técnico y el desarrollo con diseño comparten una

misma oficina.
11
2.1 Política de seguridad de la información
•El propósito de esta política de seguridad de la información es
supervisar, revisar y dar solución a todas las incidencias con respecto al
hardware que se reportan en todas las áreas de la empresa Ansilans
Medical.
•Es la política de la organización asegurar que:
– Todos los personales de esta empresa cuenta con un jefe de sistemas

quien supervisa a todo el personal de este departamento.
–Esta empresa cumple con todo los requisitos del negocio respecto a la
seguridad de la información y los sistemas de información.
–Todos los personales es responsable de cumplir esta política y sus

procedimientos según aplique a su función de trabajo.
–Su política de la empresa Ansilans Medical es solucionar las incidencias

ingresando manualmente al sistema las incidencias ocurridas en la
empresa, así mismo hacer un seguimiento del SGSI, y llevar a cabo las
acciones necesarias para la mejora continua.
•La empresa Ansilans Medical con respecto a su política ha sido

aprobada por el gerente general y se revisará anualmente
2.2 Definición del SGSI

El alcance de SGSI teniendo en cuenta las actividades de nuestra
empresa, sus servicios de negocio y los productos que ofrece, el
equipamiento con el que cuenta y las restricciones legales o
reglamentarias que sean aplicables a su actividad.
12
2.2.1 Alcance del sistema de gestión de la seguridad de la
información
•Los sistemas de información que soportan los procesos de
alquiler y venta, comercial y financiero de Ansilans Medical
prestados desde sus oficinas ubicadas en Calle 19 Urb. Retablo
Mz C Lote 05, Lima 07
•Todas las pautas descritas en el presente documento serán

efectivas para el conjunto de Ansilans Medical, sus instalaciones
y activos de información.
•Asimismo, se aplica a todos los empleados de Ansilans Medical,

que seguirán las directrices en la medida que afecten a su trabajo.
También se aplica a los contratistas, clientes o cualquier otra
tercera parte que tenga acceso a la información o los sistemas de
Ansilans Medical.
2.2.2 Objetivo General

● Determinar la manera que la Gestión de seguridad de la información se
aplica a los Activos de Tecnología de Información en la empresa
Ansilans Medical.
Objetivos Específicos

aplica a la Información física y lógica en Ansilans Medical.
● Maximizar la disponibilidad y calidad en la Gestión de seguridad de la

información que se aplica a la Red LAN en Ansilans Medical.

aplica a los Ambientes físicos en Ansilans Medical.
13
2.2.3 Requisitos legales
● Ley N° 27269: Ley de Firmas y Certificados Digitales
● Ley N° 29733: Protección de datos personales.
● Ley N° 30171: Ley de Delitos Informáticos.
● Decreto Legislativo N° 1353, que crea la Autoridad Nacional de
Transparencia y Acceso a la Información Pública, fortalece el
régimen de protección de datos personales y la regulación de la
gestión de intereses.
● Resolución Ministerial N° 246-2007-PCM, que aprueba la Norma
Técnica Peruana “NTPISO/ IEC 17799:2007 EDI. Tecnología de
la Información. Código de buenas prácticas para la gestión de la
seguridad de la información. 2a. Edición” en todas las entidades
integrantes del Sistema Nacional de Informática.
2.2.4 Revisiones de auditorías

● El técnico es responsable de revisar esta política anualmente o cuando
haya cambios significativos que así lo aconsejen, y la someterá de
nuevo a aprobación por el gerente general. Las revisiones comprobarán
la efectividad de la política, valorando los efectos de los cambios
tecnológicos de la empresa.
● El gerente general será responsable de aprobar las modificaciones
necesarias en el texto cuando se produzca un cambio que afecte a las
situaciones de riesgo establecidas en el presente documento.
● El sistema de gestión de la seguridad se auditará completamente cada
año, según un plan de auditorías desarrollado por el responsable de
seguridad.
14
2.2.5 Compromiso de la dirección
● La dirección expresa su compromiso total con la presente política
de seguridad, manteniendo la eficiencia operacional y provocando
la adherencia a las políticas previstas por la administración. El
área de informática puede interactuar de dos maneras en el
control interno. La primera es servir de herramienta para llevar a
cabo un adecuado control interno y la segunda es tener un control
interno del área y del departamento de informática. La diferencia
de los objetivos de control interno desde un punto de vista
contable financiero es que mientras éstos están enfocados a la
evaluación de una organización mediante la revisión contable
financiera y de otras operaciones, los objetivos del control interno
informático están orientados a todos los sistemas en general, al
equipo de cómputo y al departamento de informática. las
directrices fijadas en el presente documento y proporcionando los
recursos necesarios para ello. Asimismo, los empleados
conocerán los objetivos establecidos por la dirección, las políticas,
principios y normas adoptadas y su importancia para la seguridad
de la organización, las responsabilidades generales y específicas
en materia de seguridad y otras referencias para la
documentación que puedan ser útiles.
2.3 Marco organizativo de la seguridad de la información

En la empresa Ansilans Medical el jefe de sistemas es el encargado de
la seguridad de la información contando con una herramienta para llevar
a cabo un adecuado control interno, Asimismo tener un control interno
del área y del departamento de informática
2.3.1 Responsabilidades
● Establecer la política de seguridad de la empresa. Así, refiere que los
riesgos a los que se exponen las empresas hacen que sea necesario
crear directrices que orienten hacia el uso responsable de los recursos.
15
● La política de seguridad de la empresa debe incluir, entre otros
aspectos, la definición de los responsables del desarrollo, implantación y
gestión de la política, dirigidos por el director de política de seguridad.
Su personal se debe encargar de realizar, supervisar, inspeccionar y
modificar las normas y reglas establecidas en la política de seguridad.
● El director de seguridad contará con personal encargado de, en virtud de

la política de seguridad establecida, asignar roles de acceso a la
información, proveer de permisos y soportes informáticos, controlar la
entrada y salida de información, identificación y resolución de
incidencias, etc.
2.3.1.1 Dirección
•Facilitar los recursos necesarios para el funcionamiento y
mejora del SGSI.
•Elaborar, implantar y adaptar las políticas de seguridad de

la información.
•Garantizar el cumplimiento de la normativa relacionada

con la seguridad de la información.
2.3.2.2 Responsable de seguridad

•Detección y análisis de los puntos débiles de la compañía
en materia de ciberseguridad y protección informática
•Desarrollo, ejecución y supervisión de las estrategias de

seguridad de la información
•Gestión, manejo y vigilancia del control de acceso a la

información de la compañía.
2.3.2.3 Propietario de los riesgos

•Tener responsabilidad y la autoridad para gestionar un
riesgo.
16
•Contar con una autoridad suficiente para gestionar un
riesgo inherente al activo en cuestión.
2.3.2.4 Responsable de sistemas

•Coordinar las actividades relacionadas con la obtención,
tratamiento, almacenamiento y salvaguarda de la
información.
•Elaborar la lista de partes interesadas relacionadas con la

Seguridad de la Información..
2.3.2.5 Personal
•Conocer y cumplir las funciones laborales que puedan surgir
en la empresa.
•Interactuar en todo momento tanto con los empleados como
con las demás áreas, así como atender los reclamos, consultas o
incidencias.
2.4 Evaluación de riesgos de seguridad

Falta de protección para el cableado de energía y telecomunicaciones para
evitar daños. Donde es un riesgo que se expone a los trabajadores y cualquier
tipo de fallo eléctrico que haya o se presente se podría convertir en un
desastre.
Exposición de contraseñas pegadas a los monitores. Presenta una alta

vulnerabilidad de seguridad por parte de los usuarios, ya que cualquier
empleado podría ingresar y manipular información la cual no le pertenece como
tipo de empleado y su área designada
Acceso a redes y servicios de red restringidos. Un empleador dentro de su

horario de trabajo tiene acceso a las redes sociales. Asimismo, menciona que
no cuenta con filtros adecuados para la denegación de ciertos sitios web.
No realizan un adecuado control del inventario. Falta de mantenimiento del

producto, se encuentra expuesto el producto donde cualquier tipo de
movimiento se puede caer y sería una gran pérdida para la empresa en dinero
y mal manejo de productos y mantenimiento.
17
Falta de un control de acceso al momento de ingresar a las instalaciones. Por
lo que es necesario algún sistema que permita la identificación, validación y
registro tanto del ingreso y salida de cualquier empleado de la empresa .
2.4.1. Proceso de análisis y gestión de riesgos

El proceso de análisis y gestión de riesgos tendrán las siguientes
tareas que se describen:
● Cálculo de riesgo
● Cálculo de impacto
● Análisis del riesgo
● Identificar las amenazas
● Elaboración de inventarios de activos
2.4.2. Criterios de aceptación del riesgo

La entidad debe determinar los niveles de riesgo a partir de los
cuales tomará acciones de tratamiento sobre los mismos.
● Riesgos muy probables y de muy alto impacto.

● Cubre un amplio rango desde situaciones improbables y de
impacto medio, hasta situaciones muy probables, pero de impacto
bajo o muy bajo
● riesgos improbables y debajo impacto
2.4.3 Propietarios del riesgo

Los propietarios de riesgo, será la responsabilidad del área de TI
y de la gerencia general y el responsable de cada uno de los
activos de nuestra empresa Ansilans Medical.
18
III.- EL INVENTARIO DE ACTIVOS
3.1 Procesos de negocio.

Tabla 01 - Procesos del Negocio
PROCESO DEL NEGOCIO DESCRIPCIÓN
Financiero Gestión de pagos y cobros , etc
Compra y Venta Servicio de compra y venta de equipos

médicos
Gestión Comercial Capacitación de clientes
Sistemas Soporte Técnico a todas las áreas
Marketing Promocionar los productos de la

empresa
3.2 Inventario de activos

Tabla 02 - Inventario de Activos
Nombre - Activo Descripción Categoría Ubicación
Página web de la Servidor

Página web empresa a través de la Aplicaciones
cual se ofrecen la compra
y venta de productos
médicos
Sistemas Contable sistema para la venta y Datos contabilidad

compra de productos
Registro Personal control del equipo de Datos Administración

trabajo de la empresa
Base Datos Guarda la información de Datos Servidor

los clientes y personal
Aplicacion comerciales Office , Sistemas Aplicaciones Servidor

operativos
Equipo e Computo computadoras, Hardware logística

impresoras , router ,
switches
Inmobiliaria equipos de traslados Bienes Almacén
19
Servidor de Red Hosting,Dominio,correo Aplicaciones Servidor
corporativo
Equipos de mantenimiento a equipos Hardware Mantenimiento

mantenimiento médicos
Productos bienes que son vendidos Bienes Almacén

por la empresa
3.3 Relación de proceso de negocio / activos
Tabla 03 - Relación Proceso negocio - Activos
PROCESO
ACTIVO
Facturación Compra y Gestión Soporte de Marketing
Venta Comercial sistemas
Página web X X X
Sistemas Contable X
Registro Personal X
Base Datos X
Aplicacion X X
comerciales
Equipo de Computo X
Inmobiliaria X
Servidor de Red X X
Equipos de X
mantenimiento
Productos X X X
20
3.4 Valoración de activos
Tabla 04 - Valoración de Activos
Nº ACTIVO Confidencialidad integridad disponibilidad TOTAL
1 Página web 1 1 3 5
2 Sistemas Contable 3 3 2 8
3 Registro Personal 3 2 2 7
4 Base Datos 3 2 2 7
5 Aplicacion comerciales 0 2 3 5
6 Equipo de Computo 1 2 3 6
7 Inmobiliaria 0 2 3 5
8 Servidor de Red 3 1 3 7
9 Equipos de 1 2 3 6
mantenimiento
10 Productos 3 3 3 9
IV.- RESULTADOS DE LA EVALUACIÓN DE RIESGOS

En este apartado se incluyen los resultados del proceso de evaluación de riesgos, siguiendo los
pasos descritos en clases:
•Identificar y valorar amenazas.
•Calcular impacto y riesgo.
4.1 Identificación y valoración de las amenazas

Caracterización de las amenazas
Según Margerit, las amenazas están clasificadas en cuatro grupos:
· [N] Desastres Naturales

· [I] De origen industrial
· [E] Errores y fallos no intencionados
· [A] Ataque intencionados
21
El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el
sistema, que puede pasar, que consecuencias se derivan y cómo de probable
es que pase
Esta actividad consta de 2 sub-tareas:
· Identificación de las amenazas

· Valoración de las amenazas
Identificación de las amenazas

El objetivo de esta tarea:
· Identificar las amenazas relevantes sobre cada activo
En nuestro proyecto, para simplificar, utilizaremos un conjunto acotado

de amenazas (considerar mínimo las indicadas en los cuadros
siguientes), planteando la valoración para nuestros activos (se tendrá
que identificar los activos de la empresa y hacer la valoración para cada
uno):
Para el activo: Página web
Tabla 05 - VA. Página web
Amenaza Probabilidad Degradación Degradación Degradación

Confidencialidad Integridad Disponibilidad
Errores de los 3 0 2 1
usuarios
Ataques DDoS 2 1 0 2
Errores de 2 1 1 3
mantenimient
o
Difusión de 3 0 2 2
software
dañino
22
Para el activo: Sistema contable
Tabla 06 - VA. Sistema contable

Robo 3 1 2 1
Fallo de 2 1 0 2
hardware
Fallo de 2 2 2 2
software
Catástrofes 3 0 2 2
Corte de 3 3 3 3
suministro
eléctrico
Para el activo: Registro personal

Tabla 07 - VA. Registro persona

Desconfigurac 3 0 2 1
ión
Fallo de 2 1 0 2
hardware
Fallo de 2 1 1 3
software
Para el activo: Base de dates

Tabla 08 - VA. Base de Datos

23
Robo 3 0 2 1
Daños por 2 1 0 2
agua
Errores del 2 1 1 2
usuario
Manipulación 3 0 2 2
del hardware
Para el activo: Aplicaciones comerciales

Tabla 09 - VA. Aplicaciones Comerciales

Avería de origen 3 0 2 1
físico o lógico
Errores de los 2 1 0 2
usuarios
Difusión de 2 1 1 3
software
dañino
Errores de 3 0 2 2
mantenimient
o
Para el activo: Equipo de cómputo

Tabla 10 - VA. Equipo de Cómputo

Robo 3 0 2 1
Avería de 2 1 1 3
origen físico o
lógico
Errores de 3 0 2 2
mantenimient
24
o
Corte de 3 2 2 3
suministro
eléctrico
Para el activo: Inmobiliaria

Tabla 11 - VA. inmobiliaria

Mal uso 2 2 2 2
Errores de 2 1 1 3
mantenimient
o
Robo 3 0 2 3
Para el activo: Servidor de red

Tabla 12 - VA. Servidor de red

Robo 3 0 2 3
Alteración de 2 1 0 2
información
Errores del 2 1 1 3
usuario
Manipulación 3 0 2 2
del hardware
Catástrofe 3 2 2 3
Para el activo: Productos

Tabla 13 - VA. Productos
25
Daños físicos 2 1 0 2
Robo 2 1 1 3
Fallas técnicas 3 0 2 2
Devaluación
Para el activo: Equipos de mantenimiento

Tabla 14 - VA. Equipos de mantenimiento

Errores de 2 1 0 2
configuración
Robo 2 1 1 3
4.2 Cálculo del riesgo

Aplicando las tablas revisadas en clase, se obtienen los valores de riesgo mostrados en
las tablas siguientes para cada activo:
Valores del riesgo para el activo: Página w eb

Tabla 15 - C.R. Página web
Amenaza Riesgo Confidencialidad Riesgo Integridad Riesgo Disponibilidad
Errores de los 0 2 1
usuarios
Ataques DDoS 1 0 2
Errores de 1 1 3
mantenimient
o
Difusión de 0 2 2
software
dañino
26
Valores del riesgo para el activo: Sistema contable
Tabla 16 - C.R. Sistema Contable
Robo 1 2 1
Fallo de 1 0 2
hardware
Fallo de 2 2 2
software
Catástrofes 0 2 2
Corte de 3 3 3
suministro
eléctrico
Valores del riesgo para el activo: Registro personal

Tabla 17 - C.R. Registro personal
Desconfigura 0 2 1
ción
Fallo de 1 0 2
hardware
Fallo de 1 1 3
software
Catástrofes 0 2 2
Valores del riesgo para el activo: Base de datos

Tabla 18 - C.R. Base datos
Robo 0 2 1
Daños por 1 0 2
agua
Errores del 1 1 2
27
usuario
Manipulación 0 2 2
del hardware
Catástrofes 2 2 2
Valores del riesgo para el activo: Aplicaciones comerciales

Tabla 19 - C.R. Aplicaciones comerciales
Avería de origen 0 2 1
físico o lógico
Errores de los 1 0 2
usuarios
Difusión de 1 1 3
software
dañino
Errores de 0 2 2
mantenimient
o
Valores del riesgo para el activo: Equipo de cómputo

Tabla 20 - C.R.Equipo de Cómputo
Robo 0 2 1
Catástrofes 1 0 2
Avería de 1 1 3
origen físico o
lógico
Errores de 0 2 2
mantenimient
o
Corte de 2 2 3
suministro
eléctrico
28
Valores del riesgo para el activo: Inmobiliaria
Tabla 21 - C.R.Inmobiliaria
Catástrofes 0 0 1
Mal uso 2 2 2
Errores de 1 1 3
mantenimient
o
Robo 0 2 3
Valores del riesgo para el activo: Servidor de red

Tabla 22 - Servidor de red
Robo 0 2 3
Alteración de 1 0 2
información
Errores del 1 1 3
usuario
Manipulación 0 2 2
del hardware
Catástrofe 2 2 3
Valores del riesgo para el activo: Productos

Tabla 23 - C.R. Productos
Catástrofes 0 2 1
Daños 1 0 2
físicos
Robo 1 1 3
Fallas 0 2 2
29
técnicas
Devaluación 2 2 2
Valores del riesgo para el activo: Equipos de mantenimiento

Tabla 23 - C.R. Equipos e mantenimiento
Catástrofes 0 2 1
Errores de 1 0 2
configuración
Robo 1 1 3
30

Proyecto de Curso G7

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto de Curso G7

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA

Título del Informe Académico

APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA EL

Briceño Ordoñez, Luis José (orcid.org/0000-0003-2841-0995)

Chiclayo Silvestre, Antonio Martin (orcid.org/0000-0002-0336-4462)

Molina Javier, Samuel (orcid.org/0000-0002-9310-1139)

Pérez Plasencia, Carlos Eduardo (orcid.org/0000-0002-3723-1174)

Carretero Obando, Marcelino Waldemar

Auditoria de Sistemas y Seguridad de Información

Tabla 02 - Inventario de Activos pág. 19

Tabla 03 - Relación Proceso negocio - Activos Pág. 20

Tabla 04 - Valoración de Activos pág. 21

Tabla 05 - VA. Página web Pág.22

Tabla 06 - VA. Sistema contable Pág.23

Tabla 07 - VA. Registro persona Pág.23

Tabla 08 - VA. Base de Datos Pág.24

Tabla 09 - VA. Aplicaciones Comerciales Pág.24

Tabla 10 - VA. Equipo de Cómputo Pág.24

Tabla 11 - VA. Inmobiliaria Pág.25

Tabla 12 - VA. Servidor de red Pág.25

Tabla 13 - VA. Productos Pág.26

Tabla 14 - VA. Equipos de mantenimiento Pág.26

Tabla 15 - C.R. Página web Pág.26

Tabla 16 - C.R. Sistema Contable Pág.27

Tabla 17 - C.R. Registro personal Pág.27

Tabla 18 - C.R. Base datos Pág.28

Tabla 19 - C.R. Aplicaciones comerciales Pág.28

Tabla 20 - C.R. Equipo de Cómputo Pág.28

Tabla 21 - C.R. Inmobiliaria Pág.29

Tabla 22 - Servidor de red Pág.29

Tabla 23 - C.R. Productos Pág.30

Tabla 23 - C.R. Equipos e mantenimiento Pág.30

Img. 1 - Organigrama de la Empresa Pag. 07

I.- CONTEXTO DE LA ORGANIZACIÓN 5

II.- DOCUMENTACIÓN DE LA POLÍTICA DE SEGURIDAD 11

III.- EL INVENTARIO DE ACTIVOS 19

IV.- RESULTADOS DE LA EVALUACIÓN DE RIESGOS 22

Nos enfocamos en las necesidades de nuestros clientes. La gran

En el 2004 esta empresa entabla relaciones comerciales con la

En 2010 Elscint es vendida y en el 2011 se obtiene la

En Ansilans Medical ofrecemos atención personalizada de venta y

Su desarrollo sostenible solo se lleva a cabo en el mercado Peruano

Encargada de la planificación ejecutiva y estratégica de la empresa, así

Organizar, liderar y dirigir las actividades de asesoramiento legal y

Encargado de llevar las cuentas y números que genera la

Departamento encargado de la sucursal del almacén, en esta

Asesoramientos Técnico Post Ventas:

Encargado de las ventas de los productos, así como el

Es el área encargada de gestionar los recursos financieros y

Encargado de analizar la situación y fijar objetivos relevantes , así

Gestionar la plataforma tecnológica para la mejora e innovación

1.3 Aspectos tecnológicos

- Organización de la gestión (gobierno) de las Tecnologías,

- Parque tecnológico: La empresa Ansilans Medical con equipos

● 1 Router Cisco 1921 Pn;C1921t1

- Infraestructura tecnológica: Centro de Datos, servidores,

- Aplicaciones y otros: ERP, Software de ingeniería, antivirus, etc.

- Procedimientos: de Gestión de servicios, de seguridad, etc.

● El Área de TI es quien reporta directamente a la Gerencia General a

● Soporte Técnico : Está conformado por dos técnicos y un asistente. Los

● Equipo de desarrollo y diseño: Está conformado por un coordinador de

● El Jefe de Sistemas cuenta con su propia oficina, y es quien supervisa a