UNIVERSIDAD CATLICA SAN ANTONIO Nombre: DNI:

CURSO 2008-2009

Anlisis de riesgos-Presentacin de la empresa

La empresa de consultora TIRMA-C se dedica a labores de consultora en materia del cumplimiento de la Ley de datos de de carcter personal (LOPD) y en materia de seguridad de la informacin. La Empresa dispone de una oficina situada en Murcia donde trabajan diez consultores. En el rea de LOPD, el proceso de consultora consta de las siguientes actividades: El equipo consultor se desplaza a las instalaciones del cliente, realiza entrevistas y tomas de datos tcnicas para recoger la informacin necesaria para verificar el cumplimiento de la LOPD. Una vez analizados los datos, elaboran un informe de consultora donde se indica cul es el diagnstico de la empresa respecto al cumplimiento de la LOPD y se establecen las pautas de adecuacin que el cliente debe realizar si quiere garantizar el cumplimiento de esta ley. Estos informes se realizan con las aplicaciones ofimticas OFFICE y los documentos se almacenan en el servidor de ficheros SRV-TIRMA. Una vez finalizada la documentacin a entregar, se visita al cliente y se le hace entrega de los informes en papel. En el rea de seguridad de la informacin, el proceso de consultora consta de las siguientes actividades: El equipo consultor se desplaza a las instalaciones del cliente, realiza entrevistas y tomas de datos tcnicas para recoger la informacin necesaria para poder construir un modelo de la organizacin cliente que refleje la problemtica de la seguridad de la informacin en base a incidentes sobre la informacin, los sistemas de informacin, las ubicaciones fsicas y las personas que trabajan en ella. Una vez recogidos los datos, se introducen en la aplicacin informtica PSGSI albergada en un dominio Web que proporciona acceso ASP. Una vez calculados los riesgos de seguridad de la empresa se entrega un informe de situacin y se presenta al cliente. Esta visita para mostrar resultados tambin se utiliza para recabar informacin sobre la situacin en que se encuentran las medidas de seguridad implantadas. Con esta segunda toma de datos, se establecen cuales seran las acciones inmediatas que el cliente debe realizar si desea reducir los niveles de riesgo actualmente identificados. Esta informacin tambin se vuelca en la aplicacin ASP PSGSI. Una vez definidos los objetivos de seguridad, se disea el plan de tratamiento de riesgos y se redactan los informes finales. Estos informes se realizan con las aplicaciones ofimticas Office y los documentos se almacenan en el servidor de ficheros SRV-TIRMA. Con estos documentos, se visita de nuevo al cliente y se presentan los resultados. Adems de estas actividades, la empresa TIRMA-C tiene un departamento de administracin responsable de la gestin econmica y contable de la empresa, as como del pago de nminas. Para estas tareas utilizan la aplicacin CONTAMAS que se encuentra situada en el equipo SRVDC-W2000 que es el controlador de dominio que proporciona los servicios de red ms bsicos (DNS, DHCP). La red interna est soportada por el switch RED-ETH y se tiene un contrato de telecomunicaciones con el proveedor ONOFONICA que da servicio de Internet y telefona.

FINAL AUDITORIA Y PERITAJE

UNIVERSIDAD CATLICA SAN ANTONIO Nombre: DNI:

CURSO 2008-2009

Valoracin de los activos. Se utiliza una escala de 1 a 5.

En una reunin con la direccin de TIRMA-C, el responsable de la empresa establece la siguiente valoracin sobre los activos de informacin de la empresa:
Activos de informacin Tomas de datos de clientes LOPD Informes finales LOPD Tomas de datos de clientes seguridad Informes finales Seguridad Documentacin administrativa Nminas Disponibilidad 2 3 2 4 4 3 Confidencialidad 3 3 3 5 2 5 Integridad 4 5 2 5 3 3

Valoracin de amenazas. Se utiliza una escala de 1 a 3.

En una reunin con la direccin de TIRMA-C, el responsable de la empresa establece la siguiente valoracin sobre los activos de informacin de la empresa:
Amenaza Tipo de activo Vulnerabilidad Amenaza Tipo activo Oficina Proveedor externo de Internet Servidores Aplicaciones informticas de Vulnerabilidad

Fuego Fallecimiento empleado

Oficina Consultores

Inundacin Corte telecomunicaciones

Avera Hardware Corte electricidad

Servidores Servidores

Avera software Error programacin

1 Equipos de red Hacking Servicios externos Web 1 Fuga de datos

Papel

Para la valoracin del riesgo, se utiliza como mtodo de clculo el producto, es decir: Riesgo = Valor del activo x Vulnerabilidad. Ejemplo. Valor de activo = 3, Vulnerabilidad=2 RIESGO= 6 1. Identificar los niveles de riesgo de los activos de la empresa TIRMA-C en relacin a las valoraciones realizadas y las amenazas que pudieran afectar a cada uno de los elementos que necesita la empresa para dar sus servicios.
FINAL AUDITORIA Y PERITAJE 2