Valoración de Riesgos
Actividad 3
Roguer Angel Castrillon Carvajal
Sena Virtual Educación en línea Gestión de la Seguridad Informática Itagüí Antioquia 2014
Como asesor de la empresa y habiendo identificado los activos de información, Simón desea saber cuál es la valoración del riesgo presente en cada uno de los activos de la empresa y de qué manera aplica las normas y metodologías de seguridad informática.
Identificación de activos. Tipo Servicios Datos/información
Software Equipos informáticos Hardware
Redes de telecomunicaciones.
Soportes información Instalaciones Personal
de
Definición Función que se realiza para satisfacer las necesidades de los usuarios. Elementos de información que de alguna forma, representan el conocimiento que se tiene Elementos que nos permiten automatizar las tareas, Bienes materiales, físicos, destinados a soportar servicios. Dispositivos temporales o permanentes de los datos, soporte de las aplicaciones, proceso de la transmisión de datos. Instalaciones dedicadas como servicios de telecomunicaciones, centrándose en que son medios de transporte que llevan datos de un lugar a otro Dispositivos físicos que permiten almacenar información de forma permanente Lugar donde se hospedan los sistemas informáticos y comunicaciones Personas relacionadas con los sistemas de información
Ejemplo Servicios que se presentan para las necesidades de la colectividad Base de datos, reglamentos,
Programas, aplicativos. Computadores, video. Etc. Impresora, beam, switche, etc.
Red local, internet, red telefónica, redes inalámbricas.
Memorias USB, discos duros Edificios, oficinas. Administradores, usuarios.
Valoración de los activos. Escala de valoración MB: muy bajo B: Bajo M: Medio A: Alto MA: Muy alto.
Valor 1 2 3 4 5
Descripción Irrelevante para efectos prácticos Importancia menor para el desarrollo del proyecto Importante para el proyecto Altamente importante para el proyecto De vital importancia para los objetivos que se persigue.
Escala de valoración MB: muy bajo B: Bajo M: Medio A: Alto MA: Muy alto.
Valor 1 2 3 4 5
Descripción 0 a 500.00 501.000 a 1.500.000 1.501.000 a 3.000.000 3.001.000 a 5.000.000 5.000.001 o mas
Identificación del riesgo.
amenaza Fuego
Descripción Incendios. Posibilidad que un incendio acabe con los recursos del sistema.
Daños por agua
Inundaciones. . Posibilidad que el agua acabe con los recursos del sistema Rayos, tormenta eléctrica, terremoto, etc Interferencias de radio, campos magnéticos, luz ultravioleta. Fallas en los equipos, programas. Cese de alimentación de la potencia eléctrica Cese de la capacidad de transmitir datos de un sitio a otro Por paso del tiempo
Desastres naturales Contaminación electromagnética Avería de origen físico o lógico Corte del suministro electico Fallos de servicios de comunicación Degradación de los soportes de almacenamiento de la información Errores de usuario Errores de administración Difusión de software dañino Escapes de información
Alteración de la información Degradación de la información
Divulgación de información Suplantación de la identidad del usuario Acceso no autorizado
Modificación de la información Ataque destructivo Ingeniería social
Equivocaciones de las personas usando los servicios. Equivocaciones de personas con responsabilidades de instalación y operación Propagación inocente de virus, gusanos, troyanos, bombas lógica. La información llega accidentalmente al conocimiento de personas que no deberían tener conocimiento de ella, sin que la información en sí misma se vea alterada Alteración accidental de la información. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en a lgún soporte informático hay amenazas específicas. Revelación por indiscreción, Incontinencia verbal, medios electrónicos, soporte papel. Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios El atacante consigue acceder a los recursos del sistema sin tener autorización para ello, típicamente aprovechando un fallo del sistema de identificación y autorización. Alteración intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio. Vandalismo, terrorismo. Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero
Valoración del riesgo. Valor MF: Muy frecuente F: Frecuente
descripción A diario Una vez al mes
Probabilidad de la ocurrencia 75-100% 50% - 75%
FN: Frecuencia normal PF: Poco frecuente
Una vez al año Cada varios años
25% - 50% 0-25%
Matriz cualitativa.
RIESGO
IMPACTO
PF A M B MB MB
MA A M B MB
VULNERABILIDAD FN F MA MA A MA M A B M MB B
Matriz cuantitativa. Clase Critico Grave Moderado
Valoración cualitativa Muy alto Alto Medio
Valoración cuantitativa 10 a 20 5a9 4a6
MF MA MA MA A M