Escolar Documentos
Profissional Documentos
Cultura Documentos
Docente
POLITÉCNICO GRANCOLOMBIANO
ANÁLISIS DE RIESGOS DE LA INFORMACIÓN
BOGOTÁ D.C.
1
2019
CONTENIDO
1. CONTEXTO EMPRESARIAL.......................................................................................................3
2. IDENTIFICACIÓN DE ACTIVOS..................................................................................................1
3. PLAN DE TRATAMIENTO DE RIESGOS......................................................................................4
4. AMENAZAS Y VULNERABILIDADES.........................................................................................6
5. MATRIZ DE IDENTIFICACIÓN DE RIESGOS.............................................................................11
6. MAPA DE CALOR....................................................................................................................14
7. CONCLUSIONES......................................................................................................................15
8. BIBLIOGRAFÍA........................................................................................................................15
2
1. CONTEXTO EMPRESARIAL
Los usuarios de la Caja de compensación familiar Cafam acceden a los servicios de soporte de TI
a través de la función de la mesa de ayuda que es la encargada en primera instancia de realizar
el diagnóstico inicial del incidente o falla presentada o de tramitar la solicitud respectiva en caso
de que este sea el escenario. Desde la función de la mesa de ayuda se ejecuta el proceso de
gestión de incidentes o gestión de solicitudes, según corresponda.
3
2. IDENTIFICACIÓN DE ACTIVOS
llamadas
3 llamadas entrantes
Sistema Operativo / Servidor Software principal ely salientes llamada
cual coordina CallX,los
y dirige la cual permite
servicios el almacenamiento
disponibles del equipo
de Basesde
Archivo deconfiguración
Datos del Archivo
4 servidor de configuración
en el cual se alojan el las
cual permite
Bases el correcto
de Datos funcionamiento
consultadas del IVR
por las aplicaciones
IVR
5 (Interactive
Archivo de configuración del Archivo de Voice Response)
configuración queel permite
cual provee un menúdel
la operación o árbol
Gatewayde opciones de
de Internet
DATOS E Gateway de Internet
6 INFORMAC Base de datos de Base de datos lógica
correctamente. Incluyequedireccionamiento
contiene la información empleada
IP, políticas por el filtrado
de acceso, sistema de
conocimiento
Registro de (KDB)
direcciones IP Archivo de conocimiento
registro el cualdel
contiene
7 IÓN gestión del servicio.el total de direcciones Ip las cuales son base
8 para
Base asignación
de Datos DHCPde los Base de datos que contiene la información relacionada a los recursos como
para la asignación por DHCP.
recursos soportados por el
Base de Datos de usuarios y computadores,
Base de Datos laservidores,
cual contiene toda la información de los usuarios del soporta
Directorio
9 dispositivos de video conferencia, etc... Que el
grupos
REDES Y Firmwareen el AD o sistema Software principal
0 Activo. Así mismo,ellacual coordina de
asignación y dirige los servicios
políticas disponibles
y/o restricciones lasencuales
el equipo
son
COMUNIC operativo del Switch Core
Switch Core que actúa como núcleo de la estructura de la red de Comware.
IMPACTO
PROBABILIDAD INSIGNIFICANTE MODERADO MAYOR CATASTROFICO
MENOR (2)
(1) (3) (4) (5)
RARO (1) B B M A A
IMPROBABLE (2) B B M A MA
4
MODERADO (3) B M A MA MA
PROBABLE (4) M A A MA MA
CASI CERTEZA
A A MA MA MA
(5)
Tabla 1. Impacto del Riesgo y Probabilidad de Ocurrencia
NOMENCLATURA E IMPACTO
MB MUY BAJO
B BAJO
M MODERADO
A ALTO
MA EXTREMO
Tabla 2. Evaluación de Riesgo
Descripción
Luego de definir los niveles de riesgos respecto a las vulnerabilidades de cada activo y las amenazas que puedan afectar su
integridad, confidencialidad o disponibilidad; se define un criterio de aceptación del riesgo el cual determina si el riesgo es aceptable
o si requiere de algún tratamiento. Finalmente, se obtiene el plan de tratamiento de los riesgos identificados.
5
BAJO Asumir el riesgo
Asumir el riesgo
MODERADO
Reducir el riesgo
Riesgo No Aceptable
Evitar el riesgo
ALTO
Reducir el riesgo
Compartir o transferir
Riesgo No Aceptable
Evitar el riesgo
EXTREMO
Reducir el riesgo
Compartir o transferir
Tabla 3. Plan tratamiento de riesgos
El tratamiento de los riesgos cuyo nivel sea ALTO o EXTREMO es recurrir a la implementación de ciertos controles para reducir la
probabilidad que dichos riesgos identificados se materialicen y para los riesgos BAJO y MODERADO no se requerirá de tratamiento ya
4. AMENAZAS Y VULNERABILIDADES
6
A
- Mala manipulación de programas.
- Accesos no autorizados MA
MA
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B
M
- Alteración equivoca de información
A
- Mala manipulación de programas.
- Accesos no autorizados MA
Software de grabación Ausencia de controles y de actualización
de llamadas MA del mismo de administrativa
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B
M
- Alteración equivoca de información
Sistema Operativo y No se ejecutan los parches de
ofimatica - Implicaciones de tipo legal o actualización de acuerdo a su caducidad
MA
inoperatividad de la aplicación.
A
- Mala manipulación de programas.
- Accesos no autorizados MA
7
MA
- Suplantación de la identidad del usuario.
- Control inadecuado de privilegios de
MA
acceso.
- Errores del administrador B
M
- Alteración equivoca de información
A
- difusión de software maligno
- Uso no autorizado M
DATOS E
M
INFORMACI - Alteración equivoca de información
ÓN
MA
Archivo de - Eliminación de información Falta de actualización de la información y
configuración del IVR no tener control sobre el documento
M
- Alteración equivoca de información
- Uso no autorizado M
- Accesos no autorizados MA
M
- Alteración equivoca de información
Archivo de MA
- Eliminación de información
configuración del Manejo inadecuado de la información
Gateway de Internet M
- Alteración equivoca de información
- Uso no autorizado M
- Accesos no autorizados MA
Base de datos de Información incompleta de la
M
conocimiento (KDB) - Alteración equivoca de información documentación, especificiones mal
- Eliminación de información MA elaboradas
8
- Divulgación sin autorización de
A
información
- Fugas de información MA
- Accesos no autorizados MA
M
- Alteración equivoca de información
MA
- Eliminación de información
Registro de
No hay cuidado y reserva de la
direcciones IP para - Divulgación sin autorización de
A información, información incompleta
asignación DHCP información
- Uso no autorizado M
- Fugas de información MA
- Accesos no autorizados MA
MA
- Eliminación de información
M
Base de Datos de los - Alteración equivoca de información
Falta de actualización de la información y
recursos soportados - Uso no autorizado M
no tener control sobre el documento
por el Help Desk - Robo de información MA
9
- Fugas de información MA
- Accesos no autorizados MA
- Daños por inhundacion MA
- Corte de energía MA
Firmware o sistema MA
operativo del Switch - Daños en el mantenimiento No hay un plan de contingencia
Core - Daño por origen fisico A
- Robo A
REDES Y - Sin servicio de red MA
COMUNICA - Daños por inhundacion MA
CIONES - Corte de energía MA
MA
- Daños en el mantenimiento
Servidores de bases de Ausencia de controles y de actualización
- Caidas del sistema MA
datos y herramientas del mismo de administrativa
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
Computadores - Daños por inhundacion MA Incumplimiento en la actualización
- Corte de energía MA periódica de software. No se tiene
previsto un plan de contingencia. Falta de
MA cuidado en la disposición.
- Daños en el mantenimiento
- Caidas del sistema MA
10
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
- Daños por inhundacion MA
- Corte de energía MA
MA
- Daños en el mantenimiento
No hay mantenimiento preventivo, falta
Impresoras - Caidas del sistema MA
de cuidado por los usuarios
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
MA
- Daños por inhundacion
- Corte de energía MA
Medios MA
- Daños en el mantenimiento Ausencia en control por parte
removibles(usb, discos
- Caidas del sistema MA administrativa
duros, memorias, CDs)
- Daño por origen fisico A
- Robo A
- Sin servicio de red MA
- Accesos no autorizados A
TABLA No. 4 AMENAZAS Y VULNERABILIDADES
11
CODIG
O TIPO DE ACTIVO
A1 SOFTWARE
A2 INFORMACIÓN Y DATOS
A3 REDES Y COMUNICACIONES
A4 HARDWARE
Tabla n° 5 tipos de activos
VALOR SEVERIDA
ACTIVO RIESG IMPACT VALOR D DE
S O DESCRIPCIÓN DE RIESGO O RIESGO RIESGO
A1, A2 R1 PRESTAMO DE CREDENCIALES 3 2 M (5)
A1, A3,
R3 FALLAS EN SOFTWARE O HARDWARE 2 4 M (6)
A4
A2 R8 5 5 MA (10)
ROBO DE INFORMACIÓN DE USUARIOS
A1, A2,
R9 DEFICIENCIA EN LOS SISTEMAS DE INFORMACIÓN 3 4 A (7)
A3
12
Tabla N° 7 de medición de impacto
13
14
6. MAPA DE CALOR
RIESGOS
4
PROBABILIDAD
2 2 2 2
1 1 1 1
0
0 1 2 3 4 5
IMPACTO
15
7. CONCLUSIONES
Para lograr que nuestra empresa se catalogada como una de las mejores es
necesario implementar estrategias ITIL, para un buen funcionamiento de las
tecnologías de la información acogidas por los riesgos previstos y antes vistos.
8. BIBLIOGRAFÍA
16