actividad-3gsi
DESCRIPTION
Gesition de la seguridad informaticaTRANSCRIPT
Valoracin de Riesgos
Actividad 3
Carlos Alberto Romero Tamayo
Sena VirtualEducacin en lneaGestin de la Seguridad InformticaSan Jos De Ccuta 2015
Como asesor de la empresa y habiendo identificado los activos de informacin, Simn desea saber cul es la valoracin del riesgo presente en cada uno de los activos de la empresa y de qu manera aplica las normas y metodologas de seguridad informtica.
Identificacin de activos.
Tipo Definicin Ejemplo
ServiciosFuncin que se realiza para satisfacer las necesidades de los usuarios.Servicios que se presentan para las necesidades de la colectividad
Datos/informacinElementos de informacin que de alguna forma, representan el conocimiento que se tiene Base de datos, reglamentos,
SoftwareElementos que nos permiten automatizar las tareas, Programas, aplicativos.
Equipos informticosBienes materiales, fsicos, destinados a soportar servicios.Computadores, video. Etc.
HardwareDispositivos temporales o permanentes de los datos, soporte de las aplicaciones, proceso de la transmisin de datos.Impresora, beam, switche, etc.
Redes de telecomunicaciones. Instalaciones dedicadas como servicios de telecomunicaciones, centrndose en que son medios de transporte que llevan datos de un lugar a otroRed local, internet, red telefnica, redes inalmbricas.
Soportes de informacin Dispositivos fsicos que permiten almacenar informacin de forma permanente Memorias USB, discos duros
InstalacionesLugar donde se hospedan los sistemas informticos y comunicacionesEdificios, oficinas.
PersonalPersonas relacionadas con los sistemas de informacinAdministradores, usuarios.
Valoracin de los activos.Escala de valoracin Valor Descripcin
MB: muy bajo1Irrelevante para efectos prcticos
B: Bajo2Importancia menor para el desarrollo del proyecto
M: Medio3Importante para el proyecto
A: Alto4Altamente importante para el proyecto
MA: Muy alto.5De vital importancia para los objetivos que se persigue.
Escala de valoracin Valor Descripcin
MB: muy bajo10 a 500.00
B: Bajo2501.000 a 1.500.000
M: Medio31.501.000 a 3.000.000
A: Alto43.001.000 a 5.000.000
MA: Muy alto.55.000.001 o mas
Identificacin del riesgo.
amenazaDescripcin
FuegoIncendios. Posibilidad que un incendio acabe con los recursos del sistema.
Daos por aguaInundaciones. . Posibilidad que el agua acabe con los recursos del sistema
Desastres naturales Rayos, tormenta elctrica, terremoto, etc
Contaminacin electromagntica Interferencias de radio, campos magnticos, luz ultravioleta.
Avera de origen fsico o lgicoFallas en los equipos, programas.
Corte del suministro electicoCese de alimentacin de la potencia elctrica
Fallos de servicios de comunicacin Cese de la capacidad de transmitir datos de un sitio a otro
Degradacin de los soportes de almacenamiento de la informacin Por paso del tiempo
Errores de usuario Equivocaciones de las personas usando los servicios.
Errores de administracin Equivocaciones de personas con responsabilidades de instalacin y operacin
Difusin de software dainoPropagacin inocente de virus, gusanos, troyanos, bombas lgica.
Escapes de informacinLa informacin llega accidentalmente al conocimiento de personas que no deberan tener conocimiento de ella, sin que la informacin en s misma se vea alterada
Alteracin de la informacinAlteracin accidental de la informacin.
Degradacin de la informacinEsta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico hay amenazas especficas.
Divulgacin de informacinRevelacin por indiscrecin, Incontinencia verbal, medios electrnicos, soporte papel.
Suplantacin de la identidaddel usuarioCuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios
Acceso no autorizadoEl atacante consigue acceder a los recursos del sistema sin tener autorizacin para ello, tpicamente aprovechando un fallo del sistemade identificacin y autorizacin.
Modificacin de lainformacinAlteracin intencional de la informacin, con nimo de obtener un beneficio o causar un perjuicio.
Ataque destructivoVandalismo, terrorismo.
Ingeniera socialAbuso de la buena fe de las personas para que realicen actividadesque interesan a un tercero
Valoracin del riesgo.Valor descripcin Probabilidad de la ocurrencia
MF: Muy frecuenteA diario 75-100%
F: FrecuenteUna vez al mes50% - 75%
FN: Frecuencia normalUna vez al ao25% - 50%
PF: Poco frecuente Cada varios aos0-25%
Matriz cualitativa.
RIESGOVULNERABILIDAD
PFFNFMF
IMPACTOMAAMAMAMA
AMAMAMA
MBMAMA
BMBBMA
MBMBMBBM
Matriz cuantitativa. Clase Valoracin cualitativa Valoracin cuantitativa
Critico Muy alto10 a 20
Grave Alto5 a 9
ModeradoMedio4 a 6