Sie sind auf Seite 1von 7

ESTUDIO DE CASO DE SIMON PARTE 3.

PRESENTADO POR: LUBIAN JOSÉ LÓPEZ BELTRAN

ACTIVIDADES DE TRANSFERENCIA DEL CONOCIMIENTO – SENA

GESTION DE LA SEGURIDAD INFORMATICA

MONTERIA – CÓRDOBA

14/08/2019
ANALISIS DE CASO: SIMON III

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los activos de
información en la semana 3, Simón desea saber cuál es la valoración del riesgo presente en cada
uno de los activos de la empresa y de qué manera puede aplicar las normas y metodologías de
seguridad informática.

Elabore un documento en Word donde mencione y explique los riesgos presentes en cada uno de
los activos de la empresa, debe tener presente las normas ICONTEC en su última versión para la
elaboración de documentos escritos.

Posibles amenazas

Ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con
malware, terremotos, tormentas eléctricas, sobrecargas en el fluido eléctrico.

Identificación de activos

TIPOS DE ACTIVOS DEFINICIÓN EJEMPLO


Son los recursos con los que cuenta una empresa, elementos que compone
ACTIVOS PUROS el proceso completo de comunicación, partiendo desde la información, el
emisor, el medio de transmisión y receptor.
Datos digitales Datos expresados con valores numéricos discretos (dígitos binarios o
de unos y ceros que la máquina puede interpretar. bits)
Son cualquier cosa que tenga existencia física de (Efectivo, equipos,
Activos tangibles largo plazo, o que se adquieran para uso en las maquinaria, plantas,
operaciones de la compañía. propiedades)
Son aquellos bienes de una empresa que no se (El valor de marca, el
representan de forma física. conocimiento de
Activos intangibles metodologías de
trabajo, las patentes
o el goodwill)
Son los programas diseñados para o por los (Aplicaciones
usuarios para facilitar la realización de tareas ofimáticas
Software de específicas en la computadora. procesador de texto,
aplicación hoja de cálculo,
programa de
presentación, sistema
de gestión de base de
datos)
Es el programa que gestiona los recursos físicos de (Memoria, capacidad
Sistemas un sistema informático y provee servicios a los de procesamiento,
operativos programas de aplicación para que éstos funcionen espacio en disco duro,
acceso a la red, etc.)
Es un bien de una empresa, ya sea tangible o intangible, que no puede
convertirse en líquido a corto plazo y que normalmente son necesarios
ACTIVOS FÍSICOS para el funcionamiento de la empresa y no se destinan a la venta.
(Bienes inmuebles, maquinaria, material de oficina, etc.)
Conjunto de medios técnicos, servicios e (Las instalaciones, los
Infraestructura instalaciones necesarios para el desarrollo de una escritorios, las sillas y
actividad o para que un lugar pueda ser utilizado. el cableado de la red,
aires acondicionados,
extinguidores y
demás)
Conjunto de herramientas que sirven para (Alarmas, controles
supervisar el ingreso a una empresa y a su de entrada que
información. aseguren el permiso
Controles de de acceso sólo a las
entorno personas que están
autorizadas.,
alimentadores de
potencia y red)
Conjunto de elementos físicos o materiales que (Equipos de oficina
constituyen una computadora o un sistema como los
Hardware informático. computadores de
escritorio adquiridos
por la empresa,
impresora, fax y
demás dispositivos)
Conjunto de servicios que se ajustan a la medida (Conectividad a
de la necesidad de una empresas. internet, servicios de
Activos de soporte
servicios mantenimiento,
mensajería
instantánea)
ACTIVOS Es el activo más importante de su empresa, ya que son quienes poseen la
HUMANOS mayor cantidad de información de una empresa, lo cual puede ser positivo
o negativo para la misma.
Empleados Persona que desempeña algún cargo o servicio a (Directivos, Personal
favor de un particular, corporación o empresa. informático y
usuarios con poder)
Persona que no tiene cargo fijo dentro de una (Contratistas,
Externos empresa, pero que por su roll o profesión pueden proveedores, entre
tener acceso a algunos activos de una empresa. otros)

De acuerdo a lo anterior, debemos comenzar con la valoración de activos de la organización de


Simón y este debe ser actualizado a fin de proteger todos los activos en términos de su
confidencialidad, Integridad, Disponibilidad).
Valoración de los activos

ESCALA DE VALORACIÓN SÍMBOLO VALOR DESCRIPCIÓN


Muy Bajo MB 1 0 a 500.00
Bajo B 2 501.00 a 1.500.000
Medio M 3 1.501.000 a 3.000.000
Alto A 4 3.001.000 a 5.000.000
Muy Alto MA 5 5.001.000 o más

ESCALA DE VALORACIÓN SÍMBOLO VALOR DESCRIPCIÓN


Muy Bajo MB 1 Irrelevante para efectos prácticos
Bajo B 2 Importancia menor para el desarrollo del proyecto
Medio M 3 Importante para el proyecto
Alto A 4 Altamente importante para el proyecto
Muy Alto MA 5 De vital importancia para los objetivos que se

Identificación del riesgo

AMENAZA DESCRIPCIÓN
Fuego Incendios. Posibilidad que un incendio acabe
con los recursos del sistema de la empresa
Daños por agua Inundaciones. Posibilidad que el agua acabe
con los recursos del sistema.
Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.
Contaminación electromagnética Interferencias de radio, campos magnéticos,
luz ultravioleta.
Daño de origen físico o lógico Fallas en los equipos o programas.
Corte del suministro eléctrico Cese de alimentación de la potencia eléctrica.
Fallos del servicio de comunicación Cese de la capacidad de Transmitir datos de un
sitio a otro.
Deterioro de los soportes de almacenamiento Por paso del tempo
de la información
Errores de usuario Equivocaciones de las personas usando los
servicios.
Errores de administración Equivocaciones de personas con
responsabilidades de instalación y operación.
Difusión de software dañino Propagación inocente de virus, gusanos,
troyanos, bombas lógica.
Fugas de información La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada.
Degradación de la información Alteración accidental de la información.
Deterioro de la información Esta amenaza sólo se identifica sobre datos en
general, pues cuando la información está en
algún soporte informático hay amenazas
específicas.
Divulgación de la información Revelación por indiscreción, incontinencia
verbal, medios electrónicos, soporte de papel.
Suplantación de identidad del usuario Cuando un atacante consigue hacerse pasar
por un usuario autorizado que disfruta de los
privilegios para acceder a los activos de una
empresa y este los utiliza para sus fines
propios.
Acceso no autorizado El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del sistema
de identificación y autorización.
Modificación de la información Alteración intencional de la información, con
ánimo de obtener un beneficio o causar un
perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Ingeniería social Abuso de la buena fe de las personas para
que realicen actividades que interesan a un
tercero.

Se debe realizar la valoración del riesgo para que los directivos tomen las mejores decisiones,
llegado el caso que se necesite actuar.

La valoración del impacto puede medirse en función de varios factores:

La pérdida económica si es posible cuantificar la cantidad de dinero que se pierde.

La reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el


mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

Valoración del riesgo

Valor Descripción Probabilidad de la ocurrencia


MF - Muy Frecuente A diario 75 % - 100 %
F - Frecuente Una vez al mes 50 % - 75 %
FN – Frecuencia Normal Una Vez al año 25 % - 50 %
PF – Poco Frecuente Cada varios años 0 % - 25 %

Matriz cualitativa

RIESGO VULNERABILIDAD
PF FN F MF
MA A MA MA MA
A M A MA MA
IMPACTO M B M A MA
B MB B M A
MB MB MB B M
Matriz cuantitativa

Clase Valoración cualitativa Valoración cuantitativa


Criterio Muy Alto 10 a 20
Grave Alto 5a9
Moderado Medio 4a6

Reducción de riesgos

Mediante la implementación de medidas de protección se pueden reducir riesgos.

Medidas de protección
Alto riesgo: (Medidas). Se debe evita el impacto y daño.

Medio riesgo: (Medidas). Solo mitigan la magnitud de daño, pero no evitan el impacto.

Control de riesgo: es importante realizar estos controles ya que ayuda a mitigar o eliminar los
riesgos encontrados.

El objetivo: es reducir el nivel de riesgo al que el sistema en estudio está expuesto, llevándolo a un
nivel aceptable, esto constituye la base inicial para la actividad siguiente de selección e implantación
de controles.

Das könnte Ihnen auch gefallen