Portada

NDICE
1

INTRODUCCIN..................................................................................................................2

NATURALEZA DEL SGSI BS 7799-2:2002..........................................................................3

ANLISIS DE RIESGO.........................................................................................................4
3.1

PLANIFICACIN...........................................................................................................4

3.1.1

OBJETIVOS PRINCIPALES...................................................................................4

3.1.2

PERSONAL............................................................................................................ 4

3.2

IDENTIFICACIN DE ACTIVOS...................................................................................5

CONCLUSIONES................................................................................................................. 5

RECOMENDACIONES.........................................................................................................5

1 INTRODUCCIN
Las organizaciones del da de hoy, con la sofisticacin de las tecnologas, y el avanzado
manejo de la informacin, disfrutan de ventajas que en das pasados no se hacan, pero tanto
como disfrutan, as padecen de vulnerabilidades mayores que las de antes, por ende no se
debe descuidar ante las nuevas tendencias.
Dentro de un Departamento de Tecnologa de Informacin, hay varios parmetros de riesgo a
la que una organizacin debe estar preparado para evadir o actuar en circunstancias
inesperadas. Esto ocasiona cierta incertidumbre a los Directivos de una organizacin ya que al
momento de no saber cmo actuar, no contar con un plan y un conjunto de procedimientos y
polticas que puedan sustentar la seguridad, se sienten con demasiada vacilacin.
De sta necesidad se encuentra la ISO 27001, que trata sobre la seguridad SGCI, con respecto
al tema del anlisis de riesgo que lo aconseja como principal y primordial requerimiento ante
sta necesidad de la organizacin.
Durante el proceso se analizan los activos ms fundamentales y crticos de la organizacin,
delimitados en una matriz de riesgo, los probables riesgos que tienen stos activos, siendo lo
ms importante en la organizacin para querer proteger.
El Departamento de Tecnologa de Informacin realiza este tipo de evaluaciones para detectar
las crisis ms inminentes en la que se debe preparar la empresa para la prxima eventualidad,
ya que aunque ste Data Center se encuentre en buen estado, nunca falta prever que en algn
momento los procesos ms oportunos para el momento.

2 NATURALEZA DEL SGSI BS 7799-2:2002

El estndar ISO 27001:2005, es un estndar que se basa en el enfoque de los riesgos
empresariales, para establecer, implementar, operar, monitorear, manejar y mejorar la
seguridad informtica. El sistema de gestin incluye, estructura organizacional, polticas,
planteamiento de actividades, responsabilidades, procesos y recursos.
El modelo especifica controles de seguridad confeccionados a las necesidades individuales
confeccionado a las necesidades de la organizacin o parte de ella.

3 DEFINICIN DEL ALCANCE DEL ANLISIS DE RIESGO

A los activos de la informacin se debe efectuar un anlisis y evaluacin de riesgo e identificar
los controles a utilizar para mitigar el riesgo.
Es importante clarificar en ste punto qu es un activo de informacin en el contexto de ISO
27001:2005 algo de una organizacin que directamente le asigna un valor y por lo tanto la
organizacin debe proteger
Los activos son catalogados segn la ISO 17799:2005 en las siguientes categoras:

Activos de informacin
Documentos de Papel
Activos de software
Activos fsicos
Personal
Imagen de la compaa y reputacin
Servicios

Es importante saber qu y cules son los activos de informacin, ya que son muy variados,
stos pueden variar de tipo y finalidad, segn el rubro y el sector de la empresa.
La finalidad de ste es realizar una investigacin de los riegos ms propensos y peligrosos de
los activos y proteger los mismos.

4 ANLISIS Y EVALUACIN DE RIESGO

4.1 PLANIFICACIN
4.1.1 OBJETIVOS PRINCIPALES
Crear los procedimientos apropiados donde se puedan manejar las situaciones ms crticas de
manera ordenada y efectiva, donde el logro es tener un 100% de capacidad operacional
despus del incidente.
Enumerar y aclarar los activos ms importantes dentro de la organizacin, donde podamos
englobar las peores situaciones que se pueden manejar y las mejores prcticas evasivas y
contingencia.
Aconsejar de manera sensata la manera ms efectiva de solventar los problemas de acuerdo a
los recursos disponibles de la organizacin o para que se tomen decisiones.
Reconocer los puntos dbiles de la arquitectura informtica y aclarar la forma ms efectiva para
resolver estas situaciones crticas, para que se tomen decisiones administrativas para su pronta
solucin.

4.1.2 PERSONAL
Dentro del Departamento de Tecnologas de la Informacin (IT), podemos definir un
organigrama no muy complejo, donde se tienen 3 plazas, las cuales son, Director de
Tecnologa de Informacin (CIO), Supervisor de Departamento de Tecnologas de Informacin,
Asistente de supervisor del Departamento de Tecnologa de Informacin que tambin posee
roles de Soporte Tcnico.
Se puede apreciar en el siguiente diagrama:

Departamento de
Tecnologas de la
Informacin

Gerente de las
Tecnologas
de
Informacin y
Ambiental

Coordinador de
Tecnologa

Oficial de
Tecnologa

4.1.3 COSTO DE SEGURIDAD

4.2 ACTIVOS

4.2.1 IDENTIFICACIN DE ACTIVOS

4.2.1.1 ACTIVOS DE INFORMACIN
Son aqueos que la empresa la empresa considera de alto valor, ya que puede contener
importante informacin como por ejemplo puede ser la base de datos, contraseas, manuales,
informacin del paciente, informacin de los empleados
Inventario:

4.2.1.2 DOCUMENTOS DE PAPEL

Son aqueos que la empresa protege y expedita de forma fsica, y que no se puede pasar a
formato digital por la legalidad y proteccin del mismo. Como por ejemplo contratos, polticas,
cartas legales, membretados, cheques.
Inventario:

4.2.1.3 ACTIVOS DE SOFTWARE

Son todas aqueas aplicaciones que contiene la empresa con los que los usuarios de la
empresa utilizan de forma directa con el cliente, y mantienen conexin con la base de datos, o
las aplicaciones estticas.
4.2.1.4 ACTIVOS FSICOS
Son aqueos activos tangibles, intrnsecos que estn constituidos por computadoras, laptops,
maquinas, robots, etc.
Inventario:
Servidores
Computadoras de escritorio

4.2.1.5 PERSONAL
Son tanto los pacientes dentro del hospital, como los empleados, doctores, personal de
servicio, y dems asalariados que laboran bajo las instalaciones de la organizacin.

4.2.2 VALORACIN DE ACTIVOS

4.2.3 IDENTIFICACIN DE AMENAZAS

4.2.4 DETERMINAR EL IMPACTO DE UNA AMENAZA

4.2.5 DETERMINACIN DEL RIESGO

4.2.6 ESTABLECER SALVAGUARDIAS

4.2.7 IMPACTO RESIDUAL

4.2.8 RIESGO RESIDUAL

5 CONCLUSIONES

6 RECOMENDACIONES