Beruflich Dokumente
Kultur Dokumente
FACULTAD DE INGENIERÍA
Estudiantes:
Tacna – Perú
2020
INFORME “CASO ESTUDIO – ANALISIS DE RIESGOS EN SOFTWARE PILAR”
ÍNDICE GENERAL
2
“CASO ESTUDIO - ANÁLISIS DE RIESGOS EN SOFTWARE PILAR”
I. DATOS GENERALES
1. Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes.
2. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre
aquellos activos.
3. Levantar un conocimiento de la situación actual de salvaguardas.
4. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial como el
residual.
5. Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial como el residual.
6. Informar a las áreas del sistema con mayor impacto o riesgo a fin de que se puedan tomar las
decisiones de tratamiento con motivo justificado.
El análisis mediante la herramienta PILAR se ha realizado para tener una guía referencial respecto al
estudio realizado de forma manual, PILAR identifica las amenazas que afectan a los activos de forma
directa e indirecta para finalmente obtener gráficas con los resultados.
El modelo de valor está conformado por la identificación de los activos considerados prioritarios en las
actividades fundamentales de la organización, relación entre los activos, la valoración; y finalmente los
resultados obtenidos reflejan la importancia que incurren cada uno dentro de la organización.
Equipamiento - Hardware
● Servidores.- Se consideran todos los equipos físicos de tipo torre y rack que alojan algún
programa o aplicación, un servidor de red y un servidor web se encuentran dentro del
centro de datos y son administrados por el personal de infraestructura y sistemas.
Puestos de trabajo.- En los puestos de trabajo, se cuenta con tres ordenadores. Para
acceder a ellos los empleados tienen que introducir usuario y contraseña.
Equipamiento - Software
Comunicaciones
● Red Local.- se considera a las conexiones alámbricas ya sean de fibra óptica o cable UTP que
son de manera local.
● Cortafuegos.- Como dispositivo de seguridad para controlar el acceso a los elementos
de la red, se ha instalado un firewall.
Equipamiento Auxiliar
● UPS.- se consideran a las baterías que protegen a los servidores y equipos de comunicación
de fallos eléctricos.
● Generador eléctrico.- se considera al dispositivo que genera energía eléctrica cuando no hay
servicio eléctrico.
● Equipos de climatización.- se consideran a los elementos que mantienen la temperatura
adecuada en el centro de datos y cuartos de rack.
Servicios subcontratados
● Conexión a Internet.- El gimnasio contrató una línea de ADSL que incluye el teléfono fijo de
atención al cliente y la conexión a internet del gimnasio.
Instalaciones
● Recepción.- Establecer perímetros de seguridad que se deben utilizar para proteger las áreas
que contengan la información y los recursos de procesamiento de información en este caso
los ordenadores de la recepción.
● Sala de equipos.- Establecer perímetros de seguridad que se deben utilizar para proteger las
áreas que contengan la información y los recursos de procesamiento de información en este
caso los equipos de la empresa.
El gimnasio tiene una aplicación utilizada para la recogida y el almacenamiento de los datos de los clientes
de manera segura (SW_app), que cuenta con una copia de seguridad.
La web del gimnasio cuenta con el certificado SSL, por lo que se asegura que cualquier información
confidencial que se aporte en ella, estará cifrada.
Se cuenta con varias cuentas de correo electrónico para la atención al cliente, para la comunicación con
proveedores y para la comunicación entre empleados. En los puestos de trabajo, se cuenta con tres
ordenadores. Para acceder a ellos los empleados tienen que introducir usuario y contraseña.
Cuentan con un servidor red que permite el acceso a recursos compartidos en las distintas estaciones de
trabajo, una red de área local con sus equipos conectados inalámbricamente al servidor red.
El gimnasio contrató una línea de ADSL que incluye el teléfono fijo de atención al cliente y la conexión a
internet del gimnasio.
Como dispositivo de seguridad para controlar el acceso a los elementos de la red, se ha instalado un
firewall.
I.1.3. Dependencia de Activos en PILAR
I.1.4. Valoración de Activos en Software PILAR
De la valoración de los activos realizada se han considerado las amenazas que producen más daños, para
evaluar el nivel de degradación, frecuencia y el riesgo implicado.
En la evaluación del impacto potencial, actual y el objetivo se han valorado las salvaguardas actuales
antes de ser implementadas, el estado actual y el nivel que se lograría al implementar las nuevas
salvaguardas; obteniéndose bajos niveles de impacto considerado como residual, el cual debería ser
parte de un nuevo análisis de riesgo.
Mientras la evaluación del riesgo potencial, actual y objetivo se ha considerado el impacto y la
probabilidad de que pueda materializarse; también obteniéndose un riesgo residual que debería ser
analizado para un nuevo estudio.
El Impacto Acumulado se puede contrastar la importancia de aplicar salvaguardas para disminuir los
niveles del impacto, actualmente están en nivel medio, y el nivel objetivo es llegar a obtener un bajo
impacto.
● Impacto Acumulado Potencial
● Impacto Acumulado Actual
● Impacto Acumulado Objetivo
● Impacto Acumulado PILAR
I.4.2. Riesgo Acumulado en Software PILAR
PILAR permite medir los niveles de criticidad de los riesgos a los cuales se encuentran expuestos lo
activos.
Va
lor de Activo
En esta actividad se identifican los valores activos de diferentes sistemas. En la tabla se muestran 2
colores diferentes:
● PILAR = Violeta
● OBJETIVO = Verde
● Impacto Acumulado
INTERPRETACIÓN DEL GRÁFICO:
En esta actividad reflejan los valores del impacto acumulado sobre cada uno de los activos definidos
en las gráficas radiales, dentro de esta se puede definir varias etapas de estudio que pueden abarcar
lapsos en tiempo corto o largos incluso en un año, pero en este caso se toma 2 fases:
Para ello se observa en la etapa de Pilar (propone un objetivo “razonable” o “prudente”), la segunda
etapa OBJETIVO, los resultados de los activos, muestran que se encuentran en el rango de alto.
● Riesgo Acumulado