ACTIVIDAD Informe: “Análisis de caso: Simón III”
Presentado por: Carlos Arturo Cruz Sanabria
Tutor: Ing. Janeth Acevedo Leguizamón
Curso Virtual Gestión en la Seguridad Informática Ficha: (1455843)
Servicio Nacional de Aprendizaje SENA Junio 29/ 2017
TABLA DE CONTENIDO
INTRODUCCIÓN.......................................................................................1 EVENTOS QUE PUEDEN AFECTAR LOS ACTIVOS DE INFORMACION…………2 IDENTIFICACION DE ACTIVOS…………………………………………………………………3
VALORACION DE LOS ACTIVOS.................................................................4 IDENTIFICACION DEL RIESGO………………………………………………………………….5 VALORACION DEL RIESGO……..………………………………………………………………. 6 MATRIZ CUALITATIVA…………………………………………………………………………….7
MATRIZ CUANTITATIVA………………………………………………………………………….8 REDUCCION DE RIESGOS..........................................................................9 MEDIDAS DE PROTECCION.......................................................................10 ALTO RIESGO..........................................................................................10.1 MEDIO RIESGO………………….....................................................................10.2
CONTROL DE RIESGO ...............................................................................11
INTRODUCCION
Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo identificado los activos de información de la semana 3, Simón desea saber cuál es la valoración del riesgo presente de cada uno de los activos de la empresa y de qué manera puede aplicar las normas y metodologías de seguridad informática.
2. Eventos que pueden afectar los activos de información: - Ataques informáticos externos. - Errores u omisiones del personal de la empresa. - Infecciones con malware. - Terremotos. - Tormentas eléctricas. - Sobrecargas en el fluido eléctrico.
3. Identificación de activos. Tipo Servicios Datos/información
Software Equipos informáticos Hardware
Redes de telecomunicaciones.
Definición Función que se realiza para satisfacer las necesidades de los usuarios. Elementos de información que de alguna forma, representan el conocimiento que se tiene Elementos que nos permiten automatizar las tareas, Bienes materiales, físicos, destinados a soportar servicios. Dispositivos temporales o permanentes de los datos, soporte de las aplicaciones, proceso de la transmisión de datos. Instalaciones dedicadas como servicios de telecomunicaciones, centrándose en que son medios de transporte que llevan datos de un lugar a otro
Ejemplo Servicios que se presentan para las necesidades de la colectividad Base de datos, reglamentos,
Programas, aplicativos. Computadores, video. Etc. Impresora, beam, switche, etc.
Red local, internet, red telefónica, redes inalámbricas.
Soportes de información Instalaciones Personal
Dispositivos físicos que permiten almacenar información de forma permanente Lugar donde se hospedan los sistemas informáticos y comunicaciones Personas relacionadas con los sistemas de información
Memorias USB, discos duros Edificios, oficinas. Administradores, usuarios.
4. Valoración de los activos. Escala de valoración MB: muy bajo B: Bajo M: Medio A: Alto MA: Muy alto.
Valor 1 2 3 4 5
Descripción Irrelevante para efectos prácticos Importancia menor para el desarrollo del proyecto Importante para el proyecto Altamente importante para el proyecto De vital importancia para los objetivos que se persigue.
Escala de valoración MB: muy bajo B: Bajo M: Medio A: Alto MA: Muy alto.
Valor 1 2 3 4 5
Descripción 0 a 500.00 501.000 a 1.500.000 1.501.000 a 3.000.000 3.001.000 a 5.000.000 5.000.001 o mas
5. Identificación del riesgo. amenaza Fuego
Descripción Incendios. Posibilidad que un incendio acabe con los recursos del sistema.
Daños por agua
Inundaciones. . Posibilidad que el agua acabe con los recursos del sistema Rayos, tormenta eléctrica, terremoto, etc Interferencias de radio, campos magnéticos, luz ultravioleta. Fallas en los equipos, programas. Cese de alimentación de la potencia eléctrica Cese de la capacidad de transmitir datos de un sitio a otro Por paso del tiempo
Desastres naturales Contaminación electromagnética Avería de origen físico o lógico Corte del suministro electico Fallos de servicios de comunicación Degradación de los soportes de almacenamiento de la información Errores de usuario Errores de administración
Equivocaciones de las personas usando los servicios. Equivocaciones de personas con responsabilidades de instalación y operación
Difusión de software dañino
Propagación inocente de virus, gusanos, troyanos, bombas lógica. La información llega accidentalmente al conocimiento de personas que no deberían tener conocimiento de ella, sin que la información en sí misma se vea alterada Alteración accidental de la información. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático hay amenazas específicas. Revelación por indiscreción, Incontinencia verbal, medios electrónicos, soporte papel. Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios El atacante consigue acceder a los recursos del sistema sin tener autorización para ello, típicamente aprovechando un fallo del sistema de identificación y autorización. Alteración intencional de la información, con á nimo de obtener un beneficio o causar un perjuicio. Vandalismo, terrorismo. Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero
Escapes de información
Alteración de la inform ación Degradación de la información
Divulgación de información Suplantación de la identidad del usuario Acceso no autorizado
Modificación de la información Ataque destructivo Ingeniería social
6. Valoración del riesgo: Se debe realizar para que los directivos tomen las mejores decisiones, llegado el caso que se necesite actuar.
La valoración del impacto puede medirse en función de varios factores: La pérdida económica si es posible cuantificar la cantidad de dinero que se pierde. La reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.
Valoración del riesgo. Valor MF: Muy frecuente F: Frecuente FN: Frecuencia normal PF: Poco frecuente
descripción A diario Una vez al mes Una vez al año Cada varios años
Probabilidad de la ocurrencia 75-100% 50% - 75% 25% - 50% 0-25%
7. Matriz cualitativa. VULNERABILIDAD RIESGO
IMPACTO
PF
FN
F
MF
MA
A
MA
MA
MA
A
M
A
MA
MA
M
B
M
A
MA
B
MB
B
M
A
MB
MB
MB
B
M
8. Matriz cuantitativa. Clase
Valoración cualitativa
Valoración cuantitativa
Critico
Muy alto
10 a 20
Grave
Alto
5a9
Moderado
Medio
4a6
9. Reducción de riesgos: A través de implementar medidas de protección se pueden reducir los riesgos.
10. Medidas de protección:
10.1. Alto riesgo: Medidas deben evitar el impacto y daño. 10.2. Medio riesgo:
Medidas solo mitigan la magnitud de daño, pero no evitan el
impacto.
11. Control de riesgo: Es importante realizar estos controles ya que ayuda a mitigar o eliminar los riesgos encontrados. El objetivo es reducir el nivel de riesgo al que el sistema en estudio está expuesto, llevándolo a un nivel aceptable, y constituye la base inicial para la actividad siguiente de selección e implantación de controles.