ACTIVIDAD

Informe: Anlisis de caso: Simn III

Presentado por:
Carlos Arturo Cruz Sanabria

Tutor:
Ing. Janeth Acevedo Leguizamn

Curso Virtual
Gestin en la Seguridad Informtica
Ficha: (1455843)

Servicio Nacional de Aprendizaje

SENA
Junio 29/ 2017
TABLA DE CONTENIDO

INTRODUCCIN.......................................................................................1
EVENTOS QUE PUEDEN AFECTAR LOS ACTIVOS DE INFORMACION2
IDENTIFICACION DE ACTIVOS3
VALORACION DE LOS ACTIVOS.................................................................4
IDENTIFICACION DEL RIESGO.5
VALORACION DEL RIESGO...6
MATRIZ CUALITATIVA.7
MATRIZ CUANTITATIVA.8
REDUCCION DE RIESGOS..........................................................................9
MEDIDAS DE PROTECCION.......................................................................10
ALTO RIESGO..........................................................................................10.1
MEDIO RIESGO.....................................................................10.2
CONTROL DE RIESGO ...............................................................................11
INTRODUCCION

Siguiendo con el caso de Simn, y como asesor de la empresa y habiendo identificado los
activos de informacin de la semana 3, Simn desea saber cul es la valoracin del riesgo
presente de cada uno de los activos de la empresa y de qu manera puede aplicar las
normas y metodologas de seguridad informtica.
2. Eventos que pueden afectar los activos de informacin:
- Ataques informticos externos.
- Errores u omisiones del personal de la empresa.
- Infecciones con malware.
- Terremotos.
- Tormentas elctricas.
- Sobrecargas en el fluido elctrico.

3. Identificacin de activos.
Tipo Definicin Ejemplo
Servicios Funcin que se realiza para satisfacer las Servicios que se presentan para
necesidades de los usuarios. las necesidades de la colectividad
Datos/informacin Elementos de informacin que de alguna Base de datos, reglamentos,
forma, representan el conocimiento que se
tiene
Software Elementos que nos permiten automatizar las Programas, aplicativos.
tareas,
Equipos informticos Bienes materiales, fsicos, destinados a Computadores, video. Etc.
soportar servicios.
Hardware Dispositivos temporales o permanentes de los Impresora, beam, switche, etc.
datos, soporte de las aplicaciones, proceso de
la transmisin de datos.
Redes de Instalaciones dedicadas como servicios de Red local, internet, red
telecomunicaciones. telecomunicaciones, centrndose en que son telefnica, redes inalmbricas.
medios de transporte que llevan datos de un
lugar a otro
Soportes de Dispositivos fsicos que permiten almacenar Memorias USB, discos duros
informacin informacin de forma permanente
Instalaciones Lugar donde se hospedan los sistemas Edificios, oficinas.
informticos y comunicaciones
Personal Personas relacionadas con los sistemas de Administradores, usuarios.
informacin

4. Valoracin de los activos.

Escala de valoracin Valor Descripcin
MB: muy bajo 1 Irrelevante para efectos prcticos
B: Bajo 2 Importancia menor para el desarrollo del proyecto
M: Medio 3 Importante para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy alto. 5 De vital importancia para los objetivos que se
persigue.

Escala de valoracin Valor Descripcin

MB: muy bajo 1 0 a 500.00
B: Bajo 2 501.000 a 1.500.000
M: Medio 3 1.501.000 a 3.000.000
A: Alto 4 3.001.000 a 5.000.000
MA: Muy alto. 5 5.000.001 o mas

5. Identificacin del riesgo.

amenaza Descripcin
Fuego Incendios. Posibilidad que un incendio acabe con
los recursos del sistema.

Daos por agua Inundaciones. . Posibilidad que el agua acabe con

Desastres naturales
Contaminacin electromagntica
Avera de origen fsico o lgico
Corte del suministro electico
Fallos de servicios de comunicacin
Degradacin de los soportes de
almacenamiento de la informacin
Errores de usuario
Errores de administracin
Difusin de software daino
los recursos del sistema
Rayos, tormenta elctrica, terremoto, etc
Interferencias de radio, campos magnticos, luz
ultravioleta.
Fallas en los equipos, programas.
Cese de alimentacin de la potencia elctrica
Cese de la capacidad de transmitir datos de un
sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con responsabilidades
de instalacin y operacin
Propagacin inocente de virus, gusanos, troyanos,
bombas lgica.
Escapes de informacin La informacin llega accidentalmente al
conocimiento de personas que no deberan tener
conocimiento de ella, sin que la informacin en s
misma se vea alterada
Alteracin de la informacin Alteracin accidental de la informacin.
Degradacin de la informacin Esta amenaza slo se identifica sobre datos en
general, pues cuando la informacin est en algn
soporte informtico hay amenazas especficas.
Divulgacin de informacin Revelacin por indiscrecin, Incontinencia verbal,
medios electrnicos, soporte papel.
Suplantacin de la identidad Cuando un atacante consigue hacerse pasar por un
del usuario usuario autorizado, disfruta de los privilegios de
este para sus fines propios
Acceso no autorizado El atacante consigue acceder a los recursos del
sistema sin tener autorizacin para ello,
tpicamente aprovechando un fallo del sistema de
identificacin y autorizacin.
Modificacin de la Alteracin intencional de la informacin, con nimo
informacin de obtener un beneficio o causar un perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Ingeniera social Abuso de la buena fe de las personas para que
realicen actividades
que interesan a un tercero

6. Valoracin del riesgo:

Se debe realizar para que los directivos tomen las mejores decisiones, llegado el caso que
se necesite actuar.
La valoracin del impacto puede medirse en funcin de varios factores:
La prdida econmica si es posible cuantificar la cantidad de dinero que se pierde.
La reputacin de la empresa dependiendo si el riesgo pueda afectar la imagen de la
empresa en el mercado o de acuerdo al nivel de afectacin por la prdida o dao de la
informacin.

Valoracin del riesgo.

Valor descripcin Probabilidad de la ocurrencia

MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al 50% - 75%
mes
FN: Frecuencia Una vez al 25% - 50%
normal ao
PF: Poco frecuente Cada 0-25%
varios aos
7. Matriz cualitativa.
VULNERABILIDAD
RIESGO
PF FN F MF

MA A MA MA MA

IMPACTO A M A MA MA

M B M A MA
B MB B M A
MB MB MB B M

8. Matriz cuantitativa.

Clase Valoracin cualitativa Valoracin cuantitativa

Critico Muy alto 10 a 20

Grave Alto 5a9

Moderado Medio 4a6

9. Reduccin de riesgos:
A travs de implementar medidas de proteccin se pueden reducir los riesgos.
10. Medidas de proteccin:

10.1. Alto riesgo: Medidas deben evitar el impacto y dao.

10.2. Medio riesgo: Medidas solo mitigan la magnitud de dao, pero no evitan el
impacto.

11. Control de riesgo:

Es importante realizar estos controles ya que ayuda a mitigar o eliminar los riesgos
encontrados.
El objetivo es reducir el nivel de riesgo al que el sistema en estudio est expuesto,
llevndolo a un nivel aceptable, y constituye la base inicial para la actividad siguiente de
seleccin e implantacin de controles.