Beruflich Dokumente
Kultur Dokumente
MONTERIA – CÓRDOBA
14/08/2019
ANALISIS DE CASO: SIMON III
Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los activos de
información en la semana 3, Simón desea saber cuál es la valoración del riesgo presente en cada
uno de los activos de la empresa y de qué manera puede aplicar las normas y metodologías de
seguridad informática.
Elabore un documento en Word donde mencione y explique los riesgos presentes en cada uno de
los activos de la empresa, debe tener presente las normas ICONTEC en su última versión para la
elaboración de documentos escritos.
Posibles amenazas
Ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con
malware, terremotos, tormentas eléctricas, sobrecargas en el fluido eléctrico.
Identificación de activos
AMENAZA DESCRIPCIÓN
Fuego Incendios. Posibilidad que un incendio acabe
con los recursos del sistema de la empresa
Daños por agua Inundaciones. Posibilidad que el agua acabe
con los recursos del sistema.
Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.
Contaminación electromagnética Interferencias de radio, campos magnéticos,
luz ultravioleta.
Daño de origen físico o lógico Fallas en los equipos o programas.
Corte del suministro eléctrico Cese de alimentación de la potencia eléctrica.
Fallos del servicio de comunicación Cese de la capacidad de Transmitir datos de un
sitio a otro.
Deterioro de los soportes de almacenamiento Por paso del tempo
de la información
Errores de usuario Equivocaciones de las personas usando los
servicios.
Errores de administración Equivocaciones de personas con
responsabilidades de instalación y operación.
Difusión de software dañino Propagación inocente de virus, gusanos,
troyanos, bombas lógica.
Fugas de información La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada.
Degradación de la información Alteración accidental de la información.
Deterioro de la información Esta amenaza sólo se identifica sobre datos en
general, pues cuando la información está en
algún soporte informático hay amenazas
específicas.
Divulgación de la información Revelación por indiscreción, incontinencia
verbal, medios electrónicos, soporte de papel.
Suplantación de identidad del usuario Cuando un atacante consigue hacerse pasar
por un usuario autorizado que disfruta de los
privilegios para acceder a los activos de una
empresa y este los utiliza para sus fines
propios.
Acceso no autorizado El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del sistema
de identificación y autorización.
Modificación de la información Alteración intencional de la información, con
ánimo de obtener un beneficio o causar un
perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Ingeniería social Abuso de la buena fe de las personas para
que realicen actividades que interesan a un
tercero.
Se debe realizar la valoración del riesgo para que los directivos tomen las mejores decisiones,
llegado el caso que se necesite actuar.
Matriz cualitativa
RIESGO VULNERABILIDAD
PF FN F MF
MA A MA MA MA
A M A MA MA
IMPACTO M B M A MA
B MB B M A
MB MB MB B M
Matriz cuantitativa
Reducción de riesgos
Medidas de protección
Alto riesgo: (Medidas). Se debe evita el impacto y daño.
Medio riesgo: (Medidas). Solo mitigan la magnitud de daño, pero no evitan el impacto.
Control de riesgo: es importante realizar estos controles ya que ayuda a mitigar o eliminar los
riesgos encontrados.
El objetivo: es reducir el nivel de riesgo al que el sistema en estudio está expuesto, llevándolo a un
nivel aceptable, esto constituye la base inicial para la actividad siguiente de selección e implantación
de controles.