ANALISIS DE CASO: SIMON III

Presentado por: JOVANNI SEGOVIA SALCEDO

SERVICIO NACIONAL DE APRENDISAJE

SENA
CURSO VIRTUAL GESTION DE LA SEGURIDAD INFORMATICA
BOGOTA D.C. 2019
 ANALISIS DE CASO: SIMON III

Presentado por: JOVANNI SEGOVIA SALCEDO

Trabajo Unidad 3: Análisis Caso Simón III - evidencia de la Unidad 4

Instructora: AYDA ANDREA FRANCO VILLAMIL – Ingeniera Electrónica

SERVICIO NACIONAL DE APRENDISAJE

SENA
CURSO VIRTUAL GESTION DE LA SEGURIDAD INFORMATICA
BOGOTA D.C. 2019
 CONTENIDO

Pag.

Introducción

Desarrollo

FASE I: IDENTIFICACIÓN DE RIESGOS

Identificación de los activos
Valoración de los activos
Identificación del riesgo
Identificación de Controles
FASE II: VALORIZACION DEL RIESGO
Riesgo Inherente
Riesgo Marginal

Conclusiones

Bibliografía
 INTRODUCCION

Análisis: Caso Simón III

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo

identificado los activos de información en la semana 3, Simón desea saber cuál es
la valoración del riesgo presente en cada uno de los activos de la empresa y de qué
manera puede aplicar las normas y metodologías de seguridad informática.

Objetivo 1 : Valoración de cada uno de los activos de la empresa.

Objetivo 2 : Aplicación de las normas y metodologías de seguridad informática

Para cumplir con el requerimiento anteriormente descrito debe elaborar un

documento en Word donde desarrolle los objetivos en mención.

Debe tener presente las normas ICONTEC en su última versión para la elaboración
de documentos escritos.
 DESARROLLO

Para desarrollar los objetivos anteriormente descritos, es necesario iniciar el

desarrollo del sistema de gestión de la seguridad de la información en la empresa
de Simón, dando inicio a las fases de valoración de los activos

Para realizar la valoración del riesgo, se debe identificar los activos de información
de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a
identificar el grado de exposición e impacto que puede generar a la organización, si
los activos son alterados de alguna forma.

La gestión de la seguridad informática debe ser vista como un proceso bien definido,
con la capacidad de mejorar de manera incremental y continua. El elevado número
de controles a implementar en un sistema de información dinámico, implica un
enorme esfuerzo para el personal encargado de proteger la información. Por ello
este trabajo presenta una metodología basada en la integración de varios modelos,
normas, herramientas y buenas prácticas para la implementación de la gestión,
combinando varios métodos orientados a la gestión de riesgos.
Podemos iniciar el proceso atendiendo los requerimientos para desarrollar las fases
de la valoración del riesgo:

Para realizar la valoración del riesgo, se debe identificar los activos de información
de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a
identificar el grado de exposición e impacto que puede generar a la organización, si
los activos son alterados de alguna forma.

Para llevar a cabo el proceso de valoración del riesgo, se deben tener en cuenta las
fases de identificación de riesgos y la identificación de controles

FASE I: IDENTIFICACIÓN DE RIESGOS

1. Identificación de los activos

En esta fase, se determina para cada uno de los activos de la organización, las
amenazas a las que está expuesto el activo y se da prioridad al activo en riesgo
(en confidencialidad, integridad, disponibilidad) que tenga mayor valor para la
organización.

Tipo Definición Ejemplo

Servicio Función que se realiza para satisfacer las Servicios que se
necesidades de los usuarios prestan para las
necesidades de la
colectividad.
Datos/ Elementos de información que de alguna Base de datos,
Información forma, representan el conocimiento que se reglamentos, etc.
tiene
Software Elementos que nos permiten automatizar las Programas y
tareas aplicativos
Equipos Bienes materiales, físicos, destinados a Computadores,
informáticos soportar servicios videos, etc.
Hardware Dispositivos temporales o permanentes de Impresoras,
los datos, soporte de las aplicaciones, fotocopiadoras, video
proceso de la transmisión de datos beam, switche, etc.
Redes de Instalaciones dedicadas como servicios de Red local, internet, red
Telecomunic telecomunicaciones, centrándose en que telefónica, redes
aciones son medios de transporte que llevan datos inalámbricas.
de un lugar a otro
Soporte de Dispositivos físicos que permiten almacenar Memorias, USB,
Información información de forma permanente. discos duros
Instalaciones Lugar donde se hospedan los sistemas Edificios, oficinas
informáticos y comunicaciones
Personal Personas relacionadas con los sistemas de Administradores,
información usuarios
2. Valoración de los activos

Determinar el valor de los activos de información de la empresa:

Escala de Valoración Valor Descripción

MB : Muy bajo 1 Irrelevante para efectos prácticos
Importancia menor para el desarrollo del
B : Bajo 2
proyecto
M : Medio 3 Importante para el proyecto
A : Alto 4 Altamente importante para el proyecto
De vital importancia para los objetivos que
MA : Muy alto 5
se persiguen.

Escala de Valoración Valor Descripción

MB : Muy bajo 1 0.1
B : Bajo 2 0.3
M : Medio 3 0.5
A : Alto 4 0.7
MA : Muy alto 5 0.9

3. Identificación del riesgo

Amenaza Descripción
Fuego Incendios: posibilidad que un incendio
acabe con los recursos del sistema
Daños por agua Inundaciones: posibilidad que el agua
acabe con los recursos del sistema
Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.
Contaminación electromagnética Interferencias de radio, campos
magnéticos, luz ultravioleta.
Avería de origen físico o lógico Fallas en los equipos o programas.
Corte del suministro eléctrico Cese de alimentación de la potencia
eléctrica
Fallos de servicios de comunicación Cese de la capacidad de transmitir datos de
un sitio a otro
Degradación de los soportes de Por paso del tiempo
almacenamiento de la información
Errores de usuarios Equivocaciones de las personas usando
los servicios
Errores de Administración Equivocaciones de personas con
responsabilidades de instalación y
operación
Difusión de software dañinos Propagación inocente de virus, gusanos,
troyanos, bombas lógica. etc
 Escapes de Información
Alteración de la información
Degradación de la información
Divulgación de información
Suplantación de la identidad del usuario
Acceso no autorizado
Modificación de la información
Ataque destructivo
Ingeniería social
La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración accidental de la información
Esta amenaza sólo se identifica sobre
datos en general, pues cuando la
información está en algún soporte
informático hay amenazas específicas
Revelación por indiscreción, incontinencia
verbal, medios electrónicos, soporte papel.
Cuando un atacante consigue hacerse
pasar por un usuario autorizado, disfruta de
los privilegios de este para sus fines
propios
El atacante consigue acceder a los
recursos del sistema sin tener autorización
para ello, típicamente aprovechando un
fallo del sistema de
Identificación y autorización.
Alteración intencional de la información,
con ánimo de obtener un beneficio o causar
un perjuicio
Vandalismo, Terrorismo
Abuso de la buena fe de las personas para
que realicen actividades
que interesan a un tercero

4. Identificación de Controles.

En esta fase, se define, diseña y se realiza seguimiento a los controles que

permitan tratar y evaluar los riesgos que se deban implementar para mitigar el
impacto de las amenazas identificadas en la primera fase.

Los controles tienen una escala cualitativa: Muy Adecuado, Adecuado,

Moderado, Débil, Muy Débil.

Los cuales se cuantifican en:

Eficiencia: del 10% al 90%

Marginalidad: entre 0.1 y 0.9

Tabla1. Evaluación del control del riesgo. (Caviedes, Prado, Muñoz. (s.f.)).

Cualificación Consideración Eficiencia Marginalidad

El control establecido tiene un

Muy adecuado diseño fuerte, es automático y se 90% 0.1
comprueba su efectividad.
El control establecido tiene un
Adecuado diseño fuerte, no es automático y 70% 0.3
se comprueba su efectividad.
El control establecido tiene un
Moderado diseño fuerte, no es automático y 50% 0.5
no se comprueba su efectividad.
El control establecido no tiene un
Débil diseño fuerte, no es automático, 30% 0.7
pero se comprueba su efectividad.
El control establecido no tiene un
Muy débil diseño fuerte, no es automático y 10% 0.9
no se comprueba su efectividad.

Para llevar a cabo la valoración del riesgo en cuanto a su eficacia, se debe

considerar la fortaleza del control que se establece para mitigar el riesgo, el grado
de automatización y, si se tienen o no registros de la eficiencia del control
establecido.

FASE II: VALORIZACION DEL RIESGO

En esta fase, se debe de considerar la probabilidad de que la amenaza que se

identifica ocurra, e impacte el activo.

Para determinar la probabilidad de que ocurra la amenaza se establecen las

siguientes frecuencias:

 Nada frecuente
 Poco frecuente
 Normal
 Frecuente
 Muy frecuente
A los cuales se les asigna un valor cualitativo entre 0.2 y 1. (Ver tabla 2).
Tabla 2. Probabilidad de que ocurra una amenaza.(Caviedes, Prado, Muñoz. (s. f.))

Valor Frecuencia Ocurrencia

0.2 Nada frecuente No ha sucedido

0.4 Poco frecuente Sucede cada 10 años
0.6 Normal Sucede una vez al año
0.8 Frecuente Sucede mensualmente
1 Muy frecuente Sucede diariamente

Para determinar el impacto del activo en cuanto a la probabilidad de ocurrencia, se

determina la siguiente degradación:
 Insignificante
 Menor
 Moderado
 Mayor
 Catastrófico

A los cuales se les asigna un valor entre 0.2 y 1 (Ver Tabla 3).

Tabla 3. Estimación de impacto. (Caviedes, Prado, Muñoz. (s.f.))

Valor Degradación Ocurrencia

0.2 Insignificante El activo no sufre daños que impidan su operación

0.4 Menor Al archivo sufre daños y puede continuar operando
0.6 Moderado El activo sufre daños y su operación es restringida
El activo sufre daños que impiden su operación y se
0.8 Mayor puede recuperar dentro del tiempo tolerable para la
operación.
El activo sufre daños irreparables y la operación se
1 Catastrófico
altera considerablemente.

Al identificar la probabilidad de que ocurra una amenaza (tabla 2) y la estimación de

impacto (tabla 3), se procede a calcular el riesgo inherente y el riesgo marginal.
1. Riesgo Inherente

Son aquellos riesgos propios de la materia y/o componentes de ésta. Se entiende

que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes,
como los errores, irregularidades o fallas que pudieran ser importantes en forma
individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia
pueden tener o no controles elaborados por la dirección para mitigar su
probabilidad o su impacto.

Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno,
ambiente interno, procesos, información, etc.:

Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como

consecuencia del incumplimiento de pago de una persona natural o jurídica.

Riesgo Financiero: Ocurrencia de un imprevisto por variaciones o cambios en

la economía local o internacional que podría afectar los descalces de caja o
posiciones asumidas por inversiones y su liquidez, como asimismo los descalces
globales de activos.

Riesgo Operacional: Se define como el riesgo de pérdida debido a la

inadecuación o fallas en los procesos, el personal y los sistemas internos o bien
a causa de acontecimientos externos (fraudes, daños activos materiales, fallas
en procesos, etc.) Incluye riesgos legales y normativos.

Riesgo de Tecnología de la Información: Agrupa todos los riesgos asociados

con la autorización, integridad, y exactitud de las transacciones según se
ingresan, se procesan, se resumen y se informan en los sistemas
computacionales de una organización.

Riesgo Calidad de Servicio y Transparencia de la Información: Se puede

presentar por la disminución de la calidad y accesibilidad de los trámites y
servicios, y la accesibilidad a la información.

Para el cálculo del riesgo inherente se utiliza la siguiente fórmula:

riesgo_inherente = frecuencia * degradación.

Dónde:

Frecuencia: Es el valor obtenido de la probabilidad de que ocurra una amenaza

(Tabla 2).

Degradación: Es el valor obtenido de la estimación de impacto (tabla 3).

2. Riesgo Marginal

Es el límite o margen que pueden tener los riesgos dentro de la organización.

Para el cálculo del riesgo marginal se utiliza la siguiente fórmula:

riesgo_marginal = riesgo_inherente * marginalidad

Dónde:

Riesgo_inherente: Es calculado en la fórmula anterior

Marginalidad: Es el valor obtenido en la evaluación de control del riesgo (tabla 1)

Al obtener los resultados, se deberá establecer una respuesta a los riesgos

identificados para cada uno de los activos de información de la organización, a los
cuales se les realizará seguimiento en cuanto a eficiencia y respuesta.
Ejemplo:

Activo identificado
Tipo Definición Ejemplo
Datos/ Elementos de información que de alguna Base de datos,
Información forma, representan el conocimiento que se reglamentos, etc.
tiene

Activo Valorado
Cualitativamente
Escala de Valoración Valor Descripción
M : Medio 3 Importante para el proyecto

Cuantitativamente
M : Medio 3 0.5

Riesgo identificado respecto al activo

Amenaza Descripción
Modificación de la información Alteración intencional de la información,
con ánimo de obtener un beneficio o causar
un perjuicio

Evaluación del control del riesgo (Tabla 1)

Cualificación Consideración Eficiencia Marginalidad
El control establecido tiene un
Adecuado diseño fuerte, no es automático y 70% 0.3
se comprueba su efectividad.

Riesgo Valorado probabilidad de que ocurra (Tabla 2)

Valor Frecuencia Ocurrencia

0.6 Normal Sucede una vez al año

 Evaluación del impacto del riesgo (Tabla 3)

Valor Degradación Ocurrencia

0.6 Moderado El activo sufre daños y su operación es restringida

Al identificar la probabilidad de que ocurra una amenaza (tabla 2) y la estimación de

impacto (tabla 3), se procede a calcular el riesgo inherente y el riesgo marginal.

Formula: riesgo_inherente = frecuencia * degradación.

Formula: riesgo_marginal = riesgo_inherente * marginalidad

Frecuencia Por Degradación Riesgo Inherente

(Tabla 2) (Tabal 3)
0.6 * 0.6 0.36

Riesgo Por Marginalidad Riesgo Marginal

(Tabla 1)
inherente
0.36 * 0.3 0.108

Podemos establecer que después de evaluado el activo con respecto al riesgo y las
amenazas, que este activo se encuentra en una evaluación del riesgo con un valor
0,108 “ADECUADO” y que se deben implementar medidas que permita su
automatización para mitigar el riesgo.
 CONCLUSIONES

Con la implementación adecuada del Sistema de Gestión de Seguridad de la

Información- SGSI, en la empresa de Simón se podrán identificar, valorar y
controlar, de acuerdo a la normas y metodologías vigentes, los activos de
información de tal manera que a través del SGSI se logre mitigar al máximo los
riesgos a los que está expuesta la información de nuestros clientes.

Generando confianza ante sus clientes que no dudaran en recomendar a su

empresa para el manejo de sus datos contables.

Esto genera en la empresa un crecimiento económico y de mayor competitividad

ante su competencia
 BIBLIOGRAFIA

 Alexander, A. (2013). Análisis y evaluación del riesgo de información: un caso

en la Banca. Aplicación del ISO 27001:2005. Consultado el 12 de julio de
2015 en:http://www.iso27000.es/download/Evaluacion_
Riesgo_iso27001.pdf

 Emaza. (2010). Los 10 tipos de activos en la Seguridad de la Información

¿Qué son y cómo valorarlos? Artículo web. Consultado el 12 de julio de 2015,
en: http://www.seguridadinformacion.net/los- 10-tiposde- activos-en-la-
seguridad-de- la-informacion-que-son-y-comovalorarlos/

 Gómez, Á. (2007). Enciclopedia de la seguridad informática. Alfaomega

grupo editor, México.

 Icontec. (2013). Fundamentos sistema de gestión seguridad en la

información. NTC/ISO 27001:2013.