Factores que intervienen en la Administración por Valores.pdf
Valoración de riesgos
1. Valoración de Riesgos
Integrantes:
Ibarra Barreto Milton Leonel
Curso Virtual
Ficha: 1090845 – GESTIÓN DE LA SEGURIDAD INFORMÁTICA
Fecha:
El Carmen, Ecuador
Noviembre-15-2015
* LUIS FERNANDO MANRIQUE LÓPEZ
2. Informe: Análisis de caso: Simón III
Siguiendo con el caso de Simón, y como asesor dela empresa y habiendo
identificado los activos de información en la semana 3,Simón desea saber cuál
es la valoración del riesgo presente en cada uno de los activos de la empresa y
de qué manera puede aplicarlas normas y metodologías de seguridad
informática.
Identificación de activos.
Tipo Definición Ejemplo
Servicios Función que se realiza para satisfacer las
necesidades de los usuarios.
Servicios que se presentan para
las necesidades dela colectividad
Datos/información Elementos de información que de alguna
forma, representan el conocimiento que se
tiene
Base de datos, reglamentos,
Software Elementos que nos permiten automatizar las
tareas,
Programas, aplicativos.
Equipos informáticos Bienes materiales, físicos, destinados a
soportar servicios.
Computadores, video. Etc.
Hardware Dispositivos temporales o permanentes de los
datos, soporte de las aplicaciones, proceso de
la transmisión de datos.
Impresora, beam, switche, etc.
Redes de
telecomunicaciones.
Instalaciones dedicadas como servicios de
telecomunicaciones, centrándose en que son
medios de transporte que llevan datos de un
lugar a otro
Red local,internet,red telefónica,
redes inalámbricas.
Soportes de
información
Dispositivos físicos que permiten almacenar
información de forma permanente
Memorias USB, discos duros
Instalaciones Lugar donde se hospedan los sistemas
informáticos y comunicaciones
Edificios, oficinas.
Personal Personas relacionadas con los sistemas de
información
Administradores, usuarios.
3. Valoración de los activos.
Identificación del riesgo.
amenaza Descripción
Fuego Incendios. Posibilidad que un incendio acabecon
los recursos del sistema.
Daños por agua Inundaciones.. Posibilidad queel agua acabe
con los recursos del sistema
Desastres naturales Rayos,tormenta eléctrica,terremoto, etc
Contaminación electromagnética Interferencias de radio,campos magnéticos,luz
ultravioleta.
Avería de origen físico o lógico Fallasen los equipos,programas.
Corte del suministro electico Cese de alimentación dela potencia eléctrica
Fallos de servicios de comunicación Cese de la capacidad detransmitir datos deun
sitio a otro
Degradación de los soportes de
almacenamiento de la información
Por paso del tiempo
Errores de usuario Equivocaciones delas personas usando los
servicios.
Errores de administración Equivocaciones depersonas con
responsabilidades deinstalación y operación
Difusión de software dañino Propagación inocentede virus,gusanos,
troyanos,bombas lógica.
Escapes de información
La información llega accidentalmente al
conocimiento de personas que no deberían
Escala devaloración Valor Descripción
MB: muy bajo 1 Irrelevante para efectos prácticos
B: Bajo 2 Importancia menor para el desarrollo del proyecto
M: Medio 3 Importante para el proyecto
A: Alto 4 Altamente importante para el proyecto
MA: Muy alto. 5 De vital importanciapara losobjetivos quese
persigue.
Escala devaloración Valor Descripción
MB: muy bajo 1 0 a 500.00
B: Bajo 2 501.000 a 1.500.000
M: Medio 3 1.501.000 a 3.000.000
A: Alto 4 3.001.000 a 5.000.000
MA: Muy alto. 5 5.000.001 o mas
4. tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración de la información
Alteración accidental de la información.
Degradación de la información
Esta amenaza sólo se identifica sobre datos
en general, pues cuando la información está
en algún soporte informático hay amenazas
específicas.
Divulgación de información
Revelación por indiscreción, Incontinencia
verbal, medios electrónicos, soporte papel.
Suplantación de la identidad
del usuario
Cuando un atacante consigue hacerse pasar
por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios
Acceso no autorizado El atacante consigue acceder a los recursos
del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del
sistema de identificación y autorización.
Modificación de la
información
Alteración intencional de la información, con
ánimo de obtener un beneficio o causar un
perjuicio.
Ataque destructivo Vandalismo, terrorismo.
Ingeniería social Abuso de la buena fe de las personas para
que realicen actividades
que interesan a un tercero
5. Valoración del riesgo.
Matriz cualitativa.
RIESGO
VULNERABILIDAD
PF FN F MF
IMPACTO
MA A MA MA MA
A M A MA MA
M B M A MA
B MB B M A
MB MB MB B M
Matriz cuantitativa.
Clase Valoración cualitativa Valoración cuantitativa
Critico Muy alto 10 a 20
Grave Alto 5 a 9
Moderado Medio 4 a 6
Valor descripción Probabilidad dela ocurrencia
MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al
mes
50% - 75%
FN: Frecuencia
normal
Una vez al
año
25% - 50%
PF: Poco frecuente Cada
varios años
0-25%