GESTIÓN DE LA SEGURIDAD INFORMÁTICA

INFORME: “ANÁLISIS DE CASO: SIMÓN III”

YULY KATERINE ESTRADA MARES

Tutor:

JAVIER PEREZ CAMPO

SERVICIO NACIONAL DE APRENDIZAJE SENA

2019
 INFORME: ANÁLISIS DE CASO: SIMÓN III

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los
activos de información en la semana 3, Simón desea saber cuál es la valoración del riesgo
presente en cada uno de los activos de la empresa y de qué manera puede aplicarlas normas y
metodologías de seguridad informática.

DESARROLLO

Identificación de activos.

TIPO DEFINICIÓN EJEMPLO

SERVICIOS Función que se realiza para Servicios que se presentan
satisfacer las necesidades de los para las necesidades de la
usuarios. colectividad
DATOS/INFORM Elementos de información que de Base de datos, reglamentos,
ACIÓN alguna forma, representan el
conocimiento que se tiene
SOFTWARE Elementos que nos permiten Programas, aplicativos.
automatizar las tareas,
EQUIPOS Bienes materiales, físicos, Computadores, video. Etc.
INFORMÁTICOS destinados a soportar servicios.
HARDWARE Dispositivos temporales o Impresora, beam, switche, etc.
permanentes de los datos, soporte
de las aplicaciones, proceso de la
transmisión de datos.
REDES DE Instalaciones dedicadas como Red local, internet, red
TELECOMUNICA servicios de telecomunicaciones, telefónica, redes inalámbricas.
CIONES. centrándose en que son medios de
transporte que llevan datos de un
lugar a otro
SOPORTES DE Dispositivos físicos que permiten Memorias USB, discos duros
INFORMACIÓN almacenar información de forma
permanente
INSTALACIONES Lugar donde se hospedan los Edificios, oficinas.
sistemas informáticos y
comunicaciones
PERSONAL Personas relacionadas con los Administradores, usuarios.
sistemas de información
 IDENTIFICACIÓN DEL RIESGO.
AMENAZA
FUEGO
DAÑOS POR AGUA
DESASTRES NATURALES
CONTAMINACIÓN
ELECTROMAGNÉTICA
AVERÍA DE ORIGEN FÍSICO
LÓGICO
CORTE DEL SUMINISTRO ELECTICO
FALLOS DE SERVICIOS DE
COMUNICACIÓN
DEGRADACIÓN DE LOS SOPORTES
DE ALMACENAMIENTO DE LA
INFORMACIÓN
ERRORES DE USUARIO
ERRORES DE ADMINISTRACIÓN
DIFUSIÓN DE SOFTWARE DAÑINO
ESCAPES DE INFORMACIÓN
ALTERACIÓN DE LA INFORMACIÓN
DEGRADACIÓN DE LA Esta amenaza sólo se identifica sobre datos
INFORMACIÓN
DIVULGACIÓN DE INFORMACIÓN
SUPLANTACIÓN DE LA IDENTIDAD
DEL USUARIO
ACCESO NO AUTORIZADO
MODIFICACIÓN DE LA
INFORMACIÓN
ATAQUE DESTRUCTIVO
INGENIERÍA SOCIAL
DESCRIPCIÓN
Incendios. Posibilidad que un incendio
acabe con los recursos del sistema.
Inundaciones. . Posibilidad que el agua
acabe con los recursos del sistema
Rayos, tormenta eléctrica, terremoto, etc
Interferencias de radio, campos magnéticos,
luz ultravioleta.
O Fallas en los equipos, programas.
Cese de alimentación de la potencia eléctrica
Cese de la capacidad de transmitir datos de
un sitio a otro
Por paso del tiempo
Equivocaciones de las personas usando los
servicios.
Equivocaciones de personas con
responsabilidades de instalación y operación
Propagación inocente de virus, gusanos,
troyanos, bombas lógica.
La información llega accidentalmente al
conocimiento de personas que no deberían
tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración accidental de la información.
en general, pues cuando la información está
en algún soporte informático hay amenazas
específicas.
Revelación por indiscreción, Incontinencia
verbal, medios electrónicos, soporte papel.
Cuando un atacante consigue hacerse pasar
por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios
El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del
sistema de identificación y autorización.
Alteración intencional de la información, con
ánimo de obtener un beneficio o causar un
perjuicio.
Vandalismo, terrorismo.
Abuso de la buena fe de las personas para
que realicen actividades
 que interesan a un tercero

VALORACIÓN DE RIESGOS

Para realizar la valoración del riesgo, se debe identificarlos activos de información de la

empresa, y determinar el valor de éstos. Con estos elementos, se procede a identificar el
grado de exposición e impacto que puede generar a la organización, si los activos son
alterados de alguna forma. Se debe realizar para que los directivos tomen las mejores
decisiones, llegado al caso que se necesite actuar. La valoración del impacto puede medirse
en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de
dinero que se pierde, la reputación de la empresa dependiendo si el riesgo puede afectarla
imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño
de la información.
Dentro de las características de un riesgo se pueden mencionar:

 Situacionales: Varían de una situación a otra.

 Interdependiente: Al tratar un riesgo puede provocar otro o aumentar su impacto
 Magnitud: Pérdida o daño posible
 Tiempo: Ocurre en un cierto periodo.

LOS TIPOS DE RIESGOS PRESENTES EN LA EMPRESA DE SIMÓN SON:

 Riesgos Internos: Sus fuentes se dan dentro de la organización. En este caso se puede
evidenciar los trabajadores de la empresa.
 Riesgos Externos: Sus fuentes se dan fuera de la organización, cualquier intruso que
pueda ingresar al sistema y robar la información o personal que realice mantenimiento
a los equipos y se convierta en una potente amenaza.
  Riesgo de Negocio: Es el riesgo de los negocios estratégicos de la empresa y de sus
procesos claves, en otras palabras, es un riesgo crítico de la empresa, riesgo en cuanto
a la competitividad en la actividad realizada y al servicio prestado.
 Riesgo Inherente: Es la posibilidad de errores o irregularidad es en la información
financiera, administrativa u operativa, antes de considerar la efectividad de los
controles internos diseñados y aplicados por la organización, debido a que la principal
actividad de la empresa de simón es de llevar la contabilidad de micro empresas, este
tipo de riesgo se ajusta en gran manera, por lo cual la seguridad y la organización
deben ser prioritarias.
 Riesgo Tecnológico: Se asocia con la capacidad de la empresa en que la tecnología
disponible satisfaga las necesidades actuales y futuras de la empresa y soporten el
cumplimiento de la misión.

Eventos que pueden afectar los activos de la información:

 Ataques informáticos externos

 Errores u omisiones del personal de la empresa
 Infecciones con malware
 Terremotos
 Tormentas eléctricas
 Sobre carga en el fluido eléctrico

REDUCCIÓN DE RIESGOS
La reducción de riesgo se logra a través de la implementación de Medidas de protección, que
basen en los resultados del análisis y de la clasificación de riesgo.
MEDIDAS DE PROTECCIÓN

Las medidas de protección están divididos en medidas físicas y técnicas, personales y

organizativas.
En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de
la Seguridad Informática, solo tienen un efecto sobre los componentes de la Probabilidad de
Amenaza, es decir aumentan nuestra capacidad física, técnica, personal y organizativa,
reduciendo así nuestras vulnerabilidades que están expuestas a las amenazas que
enfrentamos. Las medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño,
que depende de los Elementos de Información y del contexto, entorno donde nos ubicamos.
Es decir, no se trata y muy difícilmente se puede cambiar el valor o la importancia que tienen
los datos e informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno
de nuestra misión.

La fuerza y el alcance de las medidas de

protección, dependen del nivel de riesgo

Alto riesgo: Medidas deben evitar el

impacto y daño.
Medio riesgo: Medidas solo mitigan la
magnitud de daño pero no evitan el impacto.
Referencias Bibliográficas

https://protejete.wordpress.com/gdr_principal/reduccion_riesgo/

https://www.segu-info.com.ar/politicas/riesgos.htm

https://francescaznar.com/analisis-evaluacion-riesgos-informaticos/

NTC ISO 31000