Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
ANALISIS DE RIESGO INHERENTE Y MARGINAL
EMPRESA CONTABLE CEBERUS
PROFESOR
2
Nota de Aceptación
Jurado
Jurado
3
Gracias a Dios que me guió para la
obtención de mi meta.
CONTENIDO
4
Pág
INTRODUCCIÓN 6
1. OBJETIVOS 7
2.1 JUSTIFICACIÓN
3. MARCO TEÓRICO 9
5. CONCLUSIONES 16
6. BIBLIOGRAFÍA 17
5
INTRODUCCIÓN
Por esta razón, las empresas u organizaciones deben realizar un esfuerzo mayor
para optimizar su nivel de seguridad en este aspecto. Deben conocer cuál es su
activo más valioso: La información. La organización debe mejorar continuamente
la eficacia del Sistema de Gestión del Sistema de Información (SGSI), mediante el
establecimiento de políticas y objetivos de seguridad de la información, tomando
en cuenta los resultados de las auditorías, análisis de eventos, y acciones
correctivas y preventivas de los mismos. En todo caso, entre las prioridades que
hay que considerar en la seguridad de la información se cuentan la
confidencialidad y la protección de los datos.
6
EMPRESA CONTABLE CEBERUS
1. OBJETIVOS
7
Ante el uso de las Tecnologías de la Información y la comunicación Tics como
herramientas, administrativas, comunicación y de gestión ¿Cómo identificar los
factores que amenazan la seguridad informática en el área de redes y sistemas de
la de la empresa contable Ceberus, mediante el análisis y evaluación de riesgos?
2.1 JUSTIFICACIÓN
3. MARCO TEÓRICO
8
El concepto de riesgo está presente en la totalidad de las actividades que realiza
el ser humano, por lo que antes de implementar cualquier mecanismo de
seguridad (software, hardware, política, etc.) en las Tecnologías de la Información,
es necesario conocer la prioridad de aplicación y que tipo de medida podemos
aplicar. El análisis de riesgos es el primer paso de la seguridad informática.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones
que existen para tratar los riesgos, evaluarlas, preparar planes para este
tratamiento y ejecutarlos.
Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos. Figura 1.
9
Amenzas
Probabilidad Activos
Vulnerabilidades Impactos
Figura .1
Amenazas: Las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente
se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus,
uso inadecuado de software, los desastres ambientales como terremotos o
inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en
el primer caso, o un acceso no autorizado a una base de datos en el segundo
caso.
10
Vulnerabilidades: Son ciertas condiciones inherentes a los activos o presentes en
su entorno que facilitan que las amenazas se materialicen llevan a esos activos a
ser vulnerables. Mediante el uso de las debilidades existentes es que las
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se
citan las siguientes: falta de conocimiento del usuario, tecnología
inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una
vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al
virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza
(virus) si bien potencialmente seguiría existiendo no podría materializarse.
Seguridad de información es determinar qué hay que proteger y por qué, de qué
se debe proteger y cómo protegerlo. La información de cualquier organización es
uno de los activos más valiosos y debe protegerse al máximo usando los
estándares de seguridad de la información que existen y que le sean pertinentes.
Los riesgos de pérdidas, hurtos o uso inadecuado de los datos pueden ocasionar
daños representativos; dichos riesgos son latentes no sólo desde medios externos
sino que internamente pueden ser aún más vulnerables.
11
Integridad: El contenido de los activos de información debe permanecer
inalterado y completo. Las modificaciones realizadas deben ser registradas
asegurando su confiabilidad.
12
4. METODOLOGÍA DE ANÁLISIS DE RIESGOS
Los activos de información e informáticos son todos los elementos que una
organización posee para el tratamiento de la información (hardware, software,
recurso humano, etc.). Para el caso de ejemplo de la empresa de consultoría de
Simón los activos se agruparon en varios tipos de acuerdo a la función que
ejercen en el tratamiento de la información. En la tabla No. 1 se relacionan cada
tipo de activos.
Tipos de Descripción
activos
Activo de Bases de datos, documentación (manuales de usuario, libros
información contables, contratos, normativas, etc.)
Software o Sistemas de información, herramientas de desarrollo, aplicativos
aplicación desarrollados y en desarrollo, sistemas operativos, aplicaciones
de servidores etc.
Hardware Equipos de oficina (PC, portátiles, servidores, dispositivos
móviles, etc.)
Red Dispositivos de conectividad de redes (router, swicth,
concentradores, etc.)
Equipamient UPS,
o auxiliar
Instalación Cableado estructurado, instalaciones eléctricas.
Servicios Conectividad a internet, servicios de mantenimiento, etc.
Personal Personal de empleados de la empresa, usuarios finales y
personal externo técnico de soporte.
13
El levantamiento de la información de los activos y la respectiva clasificación es la
primera actividad que se debe realizar en un análisis de riesgos. Esta
identificación se debe hacer en conjunto con las personas directamente
responsables de manejar en la organización todo el sistema de información y
comunicaciones.
14
Valor de reposición
Valor de configuración o puesta a punto
Valor de uso del activo
Valor de pérdida de oportunidad
Escala cuantitativa
15
5. CONCLUSIONES
16
6. BIBLIOGRAFÍA
ROJAS, José Luis Y VELA, Juan José, Planificación estratégica y plan de seguridad
informática de Fabril Fame S.A. Sangolquí: Escuela Politécnica del Ejército, 2011. 2 P.
CERINI, María Dolores y PRÁ, Pablo Ignacio. Plan de Seguridad informática. Córdoba:
Universidad Católica De Córdoba, 2002. 98 p.
17