Valoracin de Riesgos

Actividad 3

Carlos Alberto Romero Tamayo

Sena VirtualEducacin en lneaGestin de la Seguridad InformticaSan Jos De Ccuta 2015

Como asesor de la empresa y habiendo identificado los activos de informacin, Simn desea saber cul es la valoracin del riesgo presente en cada uno de los activos de la empresa y de qu manera aplica las normas y metodologas de seguridad informtica.

Identificacin de activos.

Tipo Definicin Ejemplo

ServiciosFuncin que se realiza para satisfacer las necesidades de los usuarios.Servicios que se presentan para las necesidades de la colectividad

Datos/informacinElementos de informacin que de alguna forma, representan el conocimiento que se tiene Base de datos, reglamentos,

SoftwareElementos que nos permiten automatizar las tareas, Programas, aplicativos.

Equipos informticosBienes materiales, fsicos, destinados a soportar servicios.Computadores, video. Etc.

HardwareDispositivos temporales o permanentes de los datos, soporte de las aplicaciones, proceso de la transmisin de datos.Impresora, beam, switche, etc.

Redes de telecomunicaciones. Instalaciones dedicadas como servicios de telecomunicaciones, centrndose en que son medios de transporte que llevan datos de un lugar a otroRed local, internet, red telefnica, redes inalmbricas.

Soportes de informacin Dispositivos fsicos que permiten almacenar informacin de forma permanente Memorias USB, discos duros

InstalacionesLugar donde se hospedan los sistemas informticos y comunicacionesEdificios, oficinas.

PersonalPersonas relacionadas con los sistemas de informacinAdministradores, usuarios.

Valoracin de los activos.Escala de valoracin Valor Descripcin

MB: muy bajo1Irrelevante para efectos prcticos

B: Bajo2Importancia menor para el desarrollo del proyecto

M: Medio3Importante para el proyecto

A: Alto4Altamente importante para el proyecto

MA: Muy alto.5De vital importancia para los objetivos que se persigue.

Escala de valoracin Valor Descripcin

MB: muy bajo10 a 500.00

B: Bajo2501.000 a 1.500.000

M: Medio31.501.000 a 3.000.000

A: Alto43.001.000 a 5.000.000

MA: Muy alto.55.000.001 o mas

Identificacin del riesgo.

amenazaDescripcin

FuegoIncendios. Posibilidad que un incendio acabe con los recursos del sistema.

Daos por aguaInundaciones. . Posibilidad que el agua acabe con los recursos del sistema

Desastres naturales Rayos, tormenta elctrica, terremoto, etc

Contaminacin electromagntica Interferencias de radio, campos magnticos, luz ultravioleta.

Avera de origen fsico o lgicoFallas en los equipos, programas.

Corte del suministro electicoCese de alimentacin de la potencia elctrica

Fallos de servicios de comunicacin Cese de la capacidad de transmitir datos de un sitio a otro

Degradacin de los soportes de almacenamiento de la informacin Por paso del tiempo

Errores de usuario Equivocaciones de las personas usando los servicios.

Errores de administracin Equivocaciones de personas con responsabilidades de instalacin y operacin

Difusin de software dainoPropagacin inocente de virus, gusanos, troyanos, bombas lgica.

Escapes de informacinLa informacin llega accidentalmente al conocimiento de personas que no deberan tener conocimiento de ella, sin que la informacin en s misma se vea alterada

Alteracin de la informacinAlteracin accidental de la informacin.

Degradacin de la informacinEsta amenaza slo se identifica sobre datos en general, pues cuando la informacin est en algn soporte informtico hay amenazas especficas.

Divulgacin de informacinRevelacin por indiscrecin, Incontinencia verbal, medios electrnicos, soporte papel.

Suplantacin de la identidaddel usuarioCuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios

Acceso no autorizadoEl atacante consigue acceder a los recursos del sistema sin tener autorizacin para ello, tpicamente aprovechando un fallo del sistemade identificacin y autorizacin.

Modificacin de lainformacinAlteracin intencional de la informacin, con nimo de obtener un beneficio o causar un perjuicio.

Ataque destructivoVandalismo, terrorismo.

Ingeniera socialAbuso de la buena fe de las personas para que realicen actividadesque interesan a un tercero

Valoracin del riesgo.Valor descripcin Probabilidad de la ocurrencia

MF: Muy frecuenteA diario 75-100%

F: FrecuenteUna vez al mes50% - 75%

FN: Frecuencia normalUna vez al ao25% - 50%

PF: Poco frecuente Cada varios aos0-25%

Matriz cualitativa.

RIESGOVULNERABILIDAD

PFFNFMF

IMPACTOMAAMAMAMA

AMAMAMA

MBMAMA

BMBBMA

MBMBMBBM

Matriz cuantitativa. Clase Valoracin cualitativa Valoracin cuantitativa

Critico Muy alto10 a 20

Grave Alto5 a 9

ModeradoMedio4 a 6