Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Maestría en Impuestos
ACTIVIDAD 3: INSTRUMENTO DE
RECOLECCION DE INFORMACION Y
ANALISIS DE DATOS
Asesor:
DRA MARIBEL VILLANUEVA ESCALANTE
Técnica de recolección
Ventajas
Desventajas de la entrevista.
Se requiere de mayor tiempo.
Es mas costoso por la inversión de tiempo de los investigadores.
Es limitada en personas que tienen dificultad para expresarse.
Se requiere mayor conocimiento del tema.
Se hace en muestras pequeñas
Estándar de Taxonomía de Riesgos (O-RT; The Open Group Standard for Risk
Taxonomy): Define una taxonomía para los factores implicados en los riesgos de
seguridad de la información.
Una taxonomía bien definida permite medir y/o estimar mejor las variables de los
factores de riesgo de pérdida de información, y esto es crítico para la Dirección de
la Organización tenga la información necesaria para tomar decisiones mejor
informadas y consistentes, basadas en datos.
La taxonomía de riesgos se divide en dos ramas:
Frecuencia de Eventos de Pérdida (LEF – Loss Event Frequency): Es la
frecuencia probable, dado un rango de tiempo, de que una amenaza inflija un daño
en un recurso, generando por ejemplo una exfiltración.
Frecuencia de Eventos de Amenaza (TEF- Threat Event Frecuency) que se
refiere a la frecuencia probable de que una amenaza actúe de forma exitosa o no
sobre el recurso. Esta a su vez viene afectada por:
Frecuencia de Contacto (CF – Contact Frecuency) referida a la probabilidad de
que una amenaza entre realmente en contacto con el recurso.
Probabilidad de Acción (PoA – Probability of Action) definida como la
probabilidad de que la amenaza actúe una vez entre en contacto con el recurso.
Vulnerabilidad del recurso (Vuln – Vulnerability) que se refiere a la probabilidad
de que un amenaza se materialice en una pérdida de información. La vulnerabilidad
por su parte depende de:
Capacidad de la Amenaza (TCap – Threat Capability): Hace referencia al nivel
de fuerza que puede aplicar la amenaza sobre el recurso. Por ejemplo, diferentes
tipos de malware o ransomware son más destructivos que otros.
Fuerza de Resistencia (RS – Resistance Stregth) que se refiere a cuánta fuerza
es capaz de resistir un recurso frente a una amenaza. Por ejemplo, un password de
fortaleza fuerte no es lo mismo que el típico “1234”.
Magnitud de la pérdida (LM – Loss Magnitude): Es la magnitud probable de
pérdida, resultante de un evento de pérdida. Se diferencia entre dos tipos de
pérdida:
Pérdida Primaria (Primary Loss): Se refiere a aquella que ocurre directamente
como resultado de la acción de la amenaza sobre el recurso. Por ejemplo, en un
ataque de denegación de servicio sobre la web de la empresa, la pérdida sería la
caída de la web y el perjudicado es el dueño, la empresa.
Pérdida Secundaria (Secondary Loss), que es aquella que ocurre sobre partes
interesadas secundarias. Si es la web de una empresa que da un servicio de CRM,
los afectados pueden ser por ejemplo los clientes del CRM. Ésta se desgrana en:
Frecuencia del Evento de Pérdida Secundaria relativa al porcentaje de tiempo
que un escenario de pérdida puede tener efectos secundarios. Por ejemplo, el
tiempo en que los clientes no tienen servicio.
Magnitud de la Pérdida Secundaria que representa las pérdidas derivadas de
lidiar con las reacciones de los perjudicados. Por ejemplo, pérdidas de clientes,
multas y juicios, etc.
SI ( x) NO ( )
SI (x ) NO ( )
1.3 ¿Se ha realizado una planificación estratégica del sistema de información para
la Empresa?
SI ( ) NO (x )
SI ( ) NO (x )
SI (x ) NO ( )
SI (x ) NO ( )
2. Recursos humanos
2.1 ¿Se estudia la evolución del mercado y la adaptación del personal a esa
evolución?
SI ( ) NO (x )
2.2 ¿Los informáticos reciben noticias del momento tecnológico por revistas, notas
técnicas, etc.?
SI (x ) NO ( )
SI (x ) NO ( )
3. Otros aspectos
3.2 ¿Se solicitan demostraciones sobre los nuevos artículos a los proveedores?
SI (x ) NO ( )
3.3 ¿Se ha realizado algún estudio de planificación del posible efecto de las cargas
normales de trabajo y los picos sobre los requerimientos tanto de equipos como de
software?
SI ( ) NO (x )
3.4 ¿La entidad dispone de un plan informático?
SI ( ) NO (x )
SI ( ) NO (x )
3.6 ¿El plan recoge todos los diferentes aspectos relacionados con la función
informática?
SI ( ) NO (x )
Número de volumen ( )
¿Se verifican con frecuencia la validez de los inventarios de los archivos
magnéticos?
SI ( x) NO ( )
SI (x ) NO ( )
¿Se tienen identificados los archivos con información confidencial y se cuenta con
claves de acceso?
SI (x ) NO ( )
SI (x ) NO ( )
SI (x ) NO ( )
¿Se certifica la destrucción o baja de los archivos defectuosos?
SI ( ) NO (x )
¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca?
SI ( x) NO ( )
SI (x ) NO ( )
SI ( ) NO ( x)
¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?
SI (x ) NO ( )
¿Se tiene relación del personal autorizado para firmar la salida de archivos
confidenciales?
SI ( x) NO ( )
SI (x ) NO ( )
¿Se distribuyen en forma periódica entre los jefes de sistemas y programación
informes de archivos para que liberen los dispositivos de almacenamiento?
SI (x ) NO ( )
Muestra
Se tomaron las opiniones de dos de las más importantes áreas que se ven
involucradas en el proceso y control de la pérdida de información.
Una vez aplicado los cuestionarios también se obtuvieron las siguientes estadísticas
con apoyo del equipo de seguridad de la información:
En este caso, se calificó de Alta ya que el Banco cuenta con medidas anti-phishing
para intentar bloquear estos ataques, y herramientas de EDR, sin embargo, una vez
dentro, el banco no dispone de cifrado en el servidor de ficheros y el atacante se
podría llevar si lo consigue, los ficheros en claro.
Para este caso podríamos estar hablando de un coste Severo para el negocio que
podría superar los $10M.