taller

Informe: “Análisis de caso: Simón III

Presentado por

Charloth vallejo tobar

Gestión en la Seguridad Informática

LUGAR
Servicio Nacional de Aprendizaje
Fecha
Cali , mayo 8 /2019
 2

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo

identificado los activos de información de la semana 3, Simón desea saber cuál es
la valoración del riesgo presente de cada uno de los activos de la empresa y de qué
manera puede aplicar las normas y metodologías de seguridad informática.

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una

amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara

desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a disminuir el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas

Valoración del riesgo:

Para que los directivos tomen las mejores decisiones se debe realizar una
valoración del riesgo.

RIESGO ACCIÓN Y TEMPORIZACIÓN

No demanda acción alguna.
Ligero
No se precisa generar o guardar documentación.
No se necesita mejorar la acción preventiva, sin embargo, se
debe considerar soluciones más rentables o mejores que no
Tolerable supongan una carga económica.
Se requieren comprobaciones para asegurar que se mantienen
las medidas de control.
Hacer esfuerzos para reducir el riesgo, pero debe determinarse y
Moderado
limitarse los cambios precisos.
 3

Las medias para reducir el riesgo deben implantarse en un

periodo de tiempo determinado.
Cuando el riesgo moderado está asociado con consecuencias
considerablemente perjudiciales, se precisa acción posterior para
establecer con claridad la probabilidad del daño como base para
determinar la necesidad de mejorar las medidas de control.
No se debe comenzar el trabajo hasta que se reduzca el riesgo,
puede que se necesiten recursos considerables para reducir el
riesgo.
Importante
Cuando el riesgo implique trabajo en proceso, debe remediarse el
problema en un tiempo inferior al tiempo determinado en el riego
moderado.
No comenzar ni continuar trabajo alguno hasta que se reduzca el
riesgo.
Intolerable
En caso de no ser posible la reducción del riesgo, se debe
prohibir el trabajo.

Reducción de riesgos:
La reducción de riesgo se logra a través de la implementación de Medidas de
protección, que basen en los resultados del análisis y de la clasificación de riesgo.

 Medidas físicas y técnicas: Construcción de edificio, control de acceso, planta

eléctrica, antivirus, datos cifrados, contraseñas inteligentes.
 Medidas personales: Contratación, capacitación, sensibilización.
 Medidas organizativas: Normas y reglas seguimientos de control, auditoría

Medidas de protección:
Es importante para la seguridad de los empleados y el crecimiento de la
organización, implementar la normatividad vigente sobre las medidas de protección
que debe tener la organización.

1. Su fuerza y alcance depende del nivel de riesgo.

- Alto riesgo: Deben evitar el impacto y daño.
- Medio riesgo: Solo mitigan la magnitud del daño.
2. Se debe verificar su funcionalidad (que cumplan su propósito).
- Respaldadas y aprobadas por la coordinación.
- Que no paralicen u obstaculicen los procesos operativos.
3. Deben estar fundadas en normas y reglas.
- Integrado en el funcionamiento operativo institucional.
- Regular su aplicación, control y sanciones por incumplimiento.

Control de riesgos:
 4

Analizar y evaluar el funcionamiento, la efectividad y el cumplimiento de las medidas

de protección implementadas en la fase de reducción, para determinar y ajustar las
medidas deficientes y sancionar el incumplimiento.

 Levantar constantemente registros sobre la ejecución de las actividades, los

eventos de ataques y sus respectivos resultados y analizarlos
frecuentemente.
 Sancionar el incumplimiento y sobrepaso de las normas y reglas,
dependiendo de su gravedad.
 Retroalimentar el proceso de la gestión de riesgos con los resultados
obtenidos en ocasiones anteriores.

Tabla de Riesgos:
PROBABILIDAD
IMPACTO
DE
ACTIVO RIESGOS CONTROL DEL
FRECUENCIAS
RIESGO
DEL RIESGO
Deficiencias en la organización Adecuado Normal Menor
Indisponibilidad accidental del Adecuado Normal Menor
personal
Indisponibilidad deliberada del Adecuado Nada frecuente Menor
personal
Ingenieros
No Nada frecuente Menor
Extorsión
existente
No Nada frecuente Menor
Ingeniería social
existente
Fuego (sin intervención Adecuado Nada frecuente Catastrófico
humana)
Daños por agua (sin No Poco frecuente Mayor
intervención humana) existente
Desastres naturales Moderado Poco frecuente Moderado
Fuego (con intervención Adecuado Nada frecuente Catastrófico
humana)
Daños por agua (con No Nada frecuente Mayor
Equipos intervención humana) existente
de No Nada frecuente Mayor
Desastres industriales
telecomu- existente
nicaciones No Poco frecuente Moderado
Contaminación mecánica
existente
Contaminación No Nada frecuente Mayor
electromagnética existente
Avería de origen físico o lógico Adecuado Poco frecuente Mayor
Corte del suministro eléctrico Adecuado Frecuente Mayor
Condiciones inadecuadas de Adecuado Normal Menor
temperatura y/o humedad
Errores del administrador Adecuado Normal Moderado
 5

Muy Poco frecuente Moderado

Errores de configuración
Adecuado
Errores de mantenimiento / Adecuado Poco frecuente Moderado
actualización de equipos
(hardware)
Caída del sistema por Adecuado Poco frecuente Mayor
agotamiento de recursos
Manipulación de la Muy Normal Moderado
configuración Adecuado
Uso no previsto Adecuado Nada frecuente Mayor
Denegación de servicio Adecuado Poco frecuente Mayor
Robo Adecuado Nada frecuente Mayor
Ataque destructivo Adecuado Nada frecuente Catastrófico
Ocupación no autorizada Adecuado Nada frecuente Mayor
Daños por agua (sin No Nada frecuente Catastrófico
intervención humana) existente
Desastres naturales Moderado Poco frecuente Mayor
Fuego (con intervención Adecuado Poco frecuente Moderado
humana)
Daños por agua (con No Nada frecuente Catastrófico
intervención humana) existente
Errores de los usuarios Adecuado Poco frecuente Moderado
Errores del administrador Adecuado Normal Moderado
Errores de monitorización (log) Moderado Normal Menor
Errores de configuración Moderado Poco frecuente Moderado
Muy Frecuente Moderado
Difusión de software dañino
Adecuado
Software No Nada frecuente Menor
Errores de re-encaminamiento
de existente
Gestión Errores de secuencia Moderado Nada frecuente Moderado
Vulnerabilidades de los Adecuado Normal Moderado
programas (software)
Errores de mantenimiento / Adecuado Poco frecuente Moderado
actualización de programas
(software)
Manipulación de la Adecuado Frecuente Moderado
configuración
Suplantación de la identidad del Adecuado Nada frecuente Menor
usuario
Abuso de privilegios de acceso Adecuado Nada frecuente Menor
Difusión deliberada de software Muy Poco frecuente Moderado
dañino Adecuado
Re-encaminamiento intencional No Nada frecuente Menor
de mensajes existente
Alteración de secuencia Adecuado Nada frecuente Menor
Acceso no autorizado Adecuado Nada frecuente Moderado
 6

Muy Nada frecuente Moderado

Manipulación de programas
Adecuado

Metodología de Magerit:
Magerit es una metodología de análisis y gestión de riesgos de los Sistemas de
Información elaborada por el Consejo Superior de Administración Electrónica para
minimizar los riesgos de la implantación y uso de las Tecnologías de la Información.
Con base en eso podemos mencionar los siguientes activos de la información en la
organización de Simón:

Valoración cuantitativa: Dinero

Valoración cualitativa: bajo, Medio, Alto o de 0 a 10. Basados en un criterio se

puede utilizar características principales de la información: Integridad,
Confidencialidad y disponibilidad.
 7

Existen muchas formas de valorar activos: La entrevista y La encuesta son los

más utilizados, seleccionando un muestreo del personal de la organización.

Se puede abordar el análisis de riesgos con varios enfoques dependiendo del grado
de profundidad con el que se quiera o pueda realizar el análisis:

1. Enfoque de Mínimos:
Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de
manera que se emplean una cantidad mínima de recursos, consumiendo
poco tiempo y por lo tanto tiene el coste es menor.

2. Enfoque informal:
Con este enfoque, no se necesita formación especial para realizarlo ni
necesita de tantos recursos de tiempo y personal como el análisis detallado.

3. Enfoque detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos
a los que se enfrenta la organización.

4. Enfoque combinado:
Con un enfoque de alto nivel al principio, permite determinar cuáles son los
activos en los que habrá que invertir más antes de utilizar muchos recursos
en el análisis.

Identificar amenazas:
Una vez identificado los activos de la organización podemos definir cuáles son las
vulnerabilidades de los activos:

Atendiendo a su origen, existen dos tipos de amenazas:

Externas: Que son las causadas por alguien (hackers, proveedores, clientes, etc.)
o algo que no pertenece a la organización. Ejemplos de amenazas de este tipo son
los virus y las tormentas:
 8

Internas: Estas amenazas son causadas por alguien que pertenece a la

organización, por ejemplo, errores de usuario o errores de configuración.

Normatividad de la seguridad informática en la empresa de Simón:

Lo primero que se debe de hacer es determinar con la junta directiva que la

seguridad informática de su organización debe de hacer parte de sus procesos y
procedimientos, esto aumentara la efectividad del proceso de SGSI determinando
que los objetivos marcados se cumplan y que se minimicen el impacto de los riesgos
que pueda correr la organización:

Como normas a implantar tenemos:

ISO: Organización internacional de normalización

IEC: Comisión Electrotécnica Internacional

 9

ISO/IEC 27001: Estas normas permiten: Establecer, Implementar, Operar,

Supervisar, Revisar, Mantener, Mejorar.