Análisis de riesgos-Presentación de la empresa La empresa de consultoría TIRMA-C se dedica a labores de consultoría en materia del cumplimiento de la Ley de datos de de carácter personal (LOPD) y en materia de seguridad de la información. La Empresa dispone de una oficina situada en Murcia donde trabajan diez consultores. En el área de LOPD, el proceso de consultoría consta de las siguientes actividades: El equipo consultor se desplaza a las instalaciones del cliente, realiza entrevistas y tomas de datos técnicas para recoger la información necesaria para verificar el cumplimiento de la LOPD. Una vez analizados los datos, elaboran un informe de consultoría donde se indica cuál es el diagnóstico de la empresa respecto al cumplimiento de la LOPD y se establecen las pautas de adecuación que el cliente debe realizar si quiere garantizar el cumplimiento de esta ley. Estos informes se realizan con las aplicaciones ofimáticas OFFICE y los documentos se almacenan en el servidor de ficheros SRV-TIRMA. Una vez finalizada la documentación a entregar, se visita al cliente y se le hace entrega de los informes en papel. En el área de seguridad de la información, el proceso de consultoría consta de las siguientes actividades: El equipo consultor se desplaza a las instalaciones del cliente, realiza entrevistas y tomas de datos técnicas para recoger la información necesaria para poder construir un modelo de la organización cliente que refleje la problemática de la seguridad de la información en base a incidentes sobre la información, los sistemas de información, las ubicaciones físicas y las personas que trabajan en ella. Una vez recogidos los datos, se introducen en la aplicación informática PSGSI albergada en un dominio Web que proporciona acceso ASP. Una vez calculados los riesgos de seguridad de la empresa se entrega un informe de situación y se presenta al cliente. Esta visita para mostrar resultados también se utiliza para recabar información sobre la situación en que se encuentran las medidas de seguridad implantadas. Con esta segunda toma de datos, se establecen cuales serían las acciones inmediatas que el cliente debe realizar si desea reducir los niveles de riesgo actualmente identificados. Esta información también se vuelca en la aplicación ASP PSGSI. Una vez definidos los objetivos de seguridad, se diseña el plan de tratamiento de riesgos y se redactan los informes finales. Estos informes se realizan con las aplicaciones ofimáticas Office y los documentos se almacenan en el servidor de ficheros SRV-TIRMA. Con estos documentos, se visita de nuevo al cliente y se presentan los resultados. Además de estas actividades, la empresa TIRMA-C tiene un departamento de administración responsable de la gestión económica y contable de la empresa, así como del pago de nóminas. Para estas tareas utilizan la aplicación CONTAMAS que se encuentra situada en el equipo SRVDC-W2000 que es el controlador de dominio que proporciona los servicios de red más básicos (DNS, DHCP). La red interna está soportada por el switch RED-ETH y se tiene un contrato de telecomunicaciones con el proveedor ONOFONICA que da servicio de Internet y telefonía.
FINAL AUDITORIA Y PERITAJE
1
UNIVERSIDAD CATÓLICA SAN ANTONIO Nombre: DNI:
CURSO 2008-2009
Valoración de los activos. Se utiliza una escala de 1 a 5. En una reunión con la dirección de TIRMA-C, el responsable de la empresa establece la siguiente valoración sobre los activos de información de la empresa: Activos de información
Disponibilidad
Confidencialidad
Integridad
Tomas de datos de clientes LOPD
2
3
4
Informes finales LOPD
3
3
5
Tomas de datos de clientes seguridad
2
3
2
Informes finales Seguridad
4
5
5
Documentación administrativa
4
2
3
Nóminas
3
5
3
Valoración de amenazas. Se utiliza una escala de 1 a 3. En una reunión con la dirección de TIRMA-C, el responsable de la empresa establece la siguiente valoración sobre los activos de información de la empresa: Amenaza
Tipo de activo
Fuego
Oficina
Fallecimiento empleado
Consultores
Avería Hardware
Servidores
Corte electricidad
Servidores
Vulnerabilidad
Amenaza
Tipo activo
de
Vulnerabilidad
2
Inundación
Oficina
1
3
Corte telecomunicaciones
Proveedor externo de Internet
1
2
Avería software
Servidores
1
Error programación
Aplicaciones informáticas
3
1 Equipos de red Hacking
Servicios externos
Web
1
Fuga de datos
Papel
3
Para la valoración del riesgo, se utiliza como método de cálculo el producto, es decir: Riesgo = Valor del activo x Vulnerabilidad. Ejemplo. Valor de activo = 3, Vulnerabilidad=2 RIESGO= 6 1. Identificar los niveles de riesgo de los activos de la empresa TIRMA-C en relación a las valoraciones realizadas y las amenazas que pudieran afectar a cada uno de los elementos que necesita la empresa para dar sus servicios. FINAL AUDITORIA Y PERITAJE