Professional Documents
Culture Documents
Contenido
1. INTRODUCCIN...............................................................................................
2. OBJETIVOS.......................................................................................................
3. DESARROLLO..................................................................................................
3.1 GENERALIDADES DEL SERVICIO.................................................................
3.2. IDENTIFICACIN DE ACTIVOS....................................................................
3.2. MATRIZ DE IDENTIFICACIN Y EVALUACIN RIESGOS...............................
3.3. USO DE LA HERRAMIENTA RIS2K.............................................................
3.3.1 Relacin de activos hijos con el activo padre.....................................
3.3.2 Funciones y mecanismos de salvaguarda.........................................
3.3.2 Relacin de activos, amenazas y funciones de salvaguarda.............
3.3.2 Reporte de niveles generales de riesgo.............................................
4. CONCLUSIONES.............................................................................................
1. INTRODUCCIN
Una adecuada administracin de TI, est directamente relacionada con una
adecuada gestin del riesgo, esto es identificar los riesgos, evaluarlos, disear e
implantar controles efectivos que permitan minimizar los riesgos. El objetivo
principal de toda rea de TI es entregar servicios con un alto valor agregado,
aumentar la eficiencia y minimizar los errores con un enfoque administrativo
consistente.
La administracin de los riesgos es un tema que compete a toda la organizacin,
iniciando por los altos ejecutivos quienes deben desarrollar un claro entendimiento
del nivel de riesgo que puede tolerar la organizacin, comprender la importancia del
cumplimiento de los controles y determinar las responsabilidades en su
administracin.
El presente trabajo tiene por objetivo realizar las actividades que requiere la gestin
de riesgos, para el caso de aplicacin Entrega de servicios de control de
inventarios con un sistema computacional. Desde el punto de vista metodolgico
se han seguido los lineamientos de la metodologa MAGERIT (Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin del Ministerio de las
Administraciones Pblicas de Espaa) y se ha utilizado el software Risk2K.
2. OBJETIVOS
3. DESARROLLO
3.1 GENERALIDADES DEL SERVICIO
3
APLICATIVO
APLICATIVO
INFRAESTRUCTUR
BASE
INFRAESTRUCTUR
SERVIDOR
BASE
DE
SERVIDOR
DE
DATOS
DATOS
A FSICA
A FSICA
REDRED
PROVEER EL
SERVICIO DE
CONTROL DE
INVENTARIOS
APLICATIVO
BASE DE DATOS
RED
SERVIDOR
Categora
Muy Alto
Alto
Medio
Bajo
Muy Bajo
Desde
81%
61%
41%
21%
1%
Hasta
100%
80%
60%
40%
20%
Activ
o
Amenazas
Bas
e
Hackeo
Vulnerabilidades
Uso de versiones
vulnerables
Riesg
o
Funcin
Mec
MEDI
O
de Datos
Falta de control de
actualizaciones de la
BDD
Bugs desconocidos
Falta de control de
acceso
Falta de IDS (Detectan
posibles fallos, causas y
vulnerabilidades)
Falta de IPS (Igual que
IDS y adems detienen la
falla)
Falta de Firewall local
Falta de antivirus
Virus
ALTO
Virus
Fuga de
Informacin
Virus
Fuga de
Informacin
Fuga de
Informacin
Prdida de
Informacin
Fuga de
Informacin
Prdida de
Informacin
Prdida de
Informacin
Alteracin no
autorizada de
Datos
Antivirus no actualizado
Licencia de antivirus
expirados
Sistemas Operativos sin
actualizaciones
BAJO
Falta de acuerdos de
confidencialidad
Falta de polticas para el
manejo de informacin
Falta de polticas de
ALTO
obtencin y recuperacin
de respaldos de
informacin
1. La informacin de la 1. Clasific
Fundacin se
informaci
encuentra
organizac
adecuadamente
determina
organizada
confidenc
$1000)
2. Elabora
confidenc
$60)
3. Determ
que tiene
informaci
5
(1h, $30)
1. Desarro
document
manejo de
($500)
2. Capacit
responsab
utilizacin
($70)
1. Desarro
document
procedimi
obtencin
Contar con respaldos
($500)
de informacin que
2. Capacit
permitan recuperarnos responsab
MUY en caso de un siniestro obtencin
en base a
ALTO
procedimi
3. Contrat
de respald
La organizacin tiene
polticas claramente
definidas que
garantizan la
seguridad de la
informacin
Errores no administrados
Alteracin no
autorizada de
Datos
Cadas del
Sistema
Operaciones que atenten
Cadas del
a la integridad de la BDD
Sistema
Rendimiento
Inadecuado
Manejo inadecuado de la
concurrencia
1. Instalac
configurac
1. Contrat
externa pa
configurac
de datos (
2. Verifica
configurac
los niveles
requerido
Fundacin
Determina
y difundir
el uso de
$400)
1. Redefin
Los usuarios tienen
usuario (2
acceso, nicamente, a
2. Parame
las opciones que les
sistema co
corresponden
perfiles (2
6
Aplicativo
Servidores
Cadas del
Sistema
Rendimiento
Inadecuado
Caracterstica
s de
Hardware
insuficientes
para soportar
el sistema
Manejo inadecuado de
los recursos del sistema
Mala implementacin de
iteraciones
Mala implementacin de
funciones - bsquedas
BAJO
Hardware obsoleto
Recursos que son
demandados por los
usuarios
Dao de fbrica
Caracterstica
s de
Hardware
insuficientes
para soportar
el sistema
Dao Fsico
de los
Componentes
MEDI
O
MEDI
O
1. Anlisis
infraestru
determina
ALTO
de misin
Contar con un stock
2. Compra
de repuestos, tanto de partes y e
partes como de
equipos.
Infraestructura
Desastres
Naturales
Suspensin o
Mal
Funcionamien
to de los
Servicios
Pblicos
Desastres
Naturales
Suspensin o
Mal
Funcionamien
to de los
Servicios
Pblicos
Inexistencia de Unidades
de respaldo energtico
emergente
Falta de sistemas de
filtrado y regulacin de
energa
Falta de enlaces
emergentes
1. Disear
integral de
2. Contrat
Contar con un sistema instalacin
de seguridad que
configurac
ALTO garantice la integridad de segurid
de los activos
3. Compro
actividad
instalado
4. Capacit
comprome
Contar con las
instalaciones de
1. Disear
acuerdo a los
instalacion
estndares
de cmpu
Contar con un sistema los estnd
ALTO de suministro de
2. Pactar l
energa elctrica
instalacion
segn estndares
de datos
3. Reubica
El centro de cmputo
se encuentra ubicado cmputo
en un lugar seguro
10
4. CONCLUSIONES
11