Beruflich Dokumente
Kultur Dokumente
Pag.
Introducción
Desarrollo
Conclusiones
Bibliografía
INTRODUCCION
Debe tener presente las normas ICONTEC en su última versión para la elaboración
de documentos escritos.
DESARROLLO
Para realizar la valoración del riesgo, se debe identificar los activos de información
de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a
identificar el grado de exposición e impacto que puede generar a la organización, si
los activos son alterados de alguna forma.
La gestión de la seguridad informática debe ser vista como un proceso bien definido,
con la capacidad de mejorar de manera incremental y continua. El elevado número
de controles a implementar en un sistema de información dinámico, implica un
enorme esfuerzo para el personal encargado de proteger la información. Por ello
este trabajo presenta una metodología basada en la integración de varios modelos,
normas, herramientas y buenas prácticas para la implementación de la gestión,
combinando varios métodos orientados a la gestión de riesgos.
Podemos iniciar el proceso atendiendo los requerimientos para desarrollar las fases
de la valoración del riesgo:
Para realizar la valoración del riesgo, se debe identificar los activos de información
de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a
identificar el grado de exposición e impacto que puede generar a la organización, si
los activos son alterados de alguna forma.
Para llevar a cabo el proceso de valoración del riesgo, se deben tener en cuenta las
fases de identificación de riesgos y la identificación de controles
En esta fase, se determina para cada uno de los activos de la organización, las
amenazas a las que está expuesto el activo y se da prioridad al activo en riesgo
(en confidencialidad, integridad, disponibilidad) que tenga mayor valor para la
organización.
Amenaza Descripción
Fuego Incendios: posibilidad que un incendio
acabe con los recursos del sistema
Daños por agua Inundaciones: posibilidad que el agua
acabe con los recursos del sistema
Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.
Contaminación electromagnética Interferencias de radio, campos
magnéticos, luz ultravioleta.
Avería de origen físico o lógico Fallas en los equipos o programas.
Corte del suministro eléctrico Cese de alimentación de la potencia
eléctrica
Fallos de servicios de comunicación Cese de la capacidad de transmitir datos de
un sitio a otro
Degradación de los soportes de Por paso del tiempo
almacenamiento de la información
Errores de usuarios Equivocaciones de las personas usando
los servicios
Errores de Administración Equivocaciones de personas con
responsabilidades de instalación y
operación
Difusión de software dañinos Propagación inocente de virus, gusanos,
troyanos, bombas lógica. etc
Escapes de Información La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración de la información Alteración accidental de la información
Degradación de la información Esta amenaza sólo se identifica sobre
datos en general, pues cuando la
información está en algún soporte
informático hay amenazas específicas
Divulgación de información Revelación por indiscreción, incontinencia
verbal, medios electrónicos, soporte papel.
Suplantación de la identidad del usuario Cuando un atacante consigue hacerse
pasar por un usuario autorizado, disfruta de
los privilegios de este para sus fines
propios
Acceso no autorizado El atacante consigue acceder a los
recursos del sistema sin tener autorización
para ello, típicamente aprovechando un
fallo del sistema de
Identificación y autorización.
Modificación de la información Alteración intencional de la información,
con ánimo de obtener un beneficio o causar
un perjuicio
Ataque destructivo Vandalismo, Terrorismo
Ingeniería social Abuso de la buena fe de las personas para
que realicen actividades
que interesan a un tercero
4. Identificación de Controles.
Nada frecuente
Poco frecuente
Normal
Frecuente
Muy frecuente
A los cuales se les asigna un valor cualitativo entre 0.2 y 1. (Ver tabla 2).
Tabla 2. Probabilidad de que ocurra una amenaza.(Caviedes, Prado, Muñoz. (s. f.))
A los cuales se les asigna un valor entre 0.2 y 1 (Ver Tabla 3).
Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno,
ambiente interno, procesos, información, etc.:
Dónde:
Activo identificado
Tipo Definición Ejemplo
Datos/ Elementos de información que de alguna Base de datos,
Información forma, representan el conocimiento que se reglamentos, etc.
tiene
Activo Valorado
Cualitativamente
Escala de Valoración Valor Descripción
M : Medio 3 Importante para el proyecto
Cuantitativamente
M : Medio 3 0.5
Podemos establecer que después de evaluado el activo con respecto al riesgo y las
amenazas, que este activo se encuentra en una evaluación del riesgo con un valor
0,108 “ADECUADO” y que se deben implementar medidas que permita su
automatización para mitigar el riesgo.
CONCLUSIONES