MetodologiaPropuesta AplicacionEmpresa

UNIVERSIDAD NACIONAL DE
CAJAMARCA
FACULTAD DE INGENIERA
ESCUELA ACADMICO PROFESIONAL DE
INGENIERA DE SISTEMAS
METODOLOGA DE GESTIN DE RIESGOS DE SEGURIDAD DE LA

INFORMACIN
APLICACIN DEYFOR E.I.R.L. SERVICIOS GENERALES
CURSO : Gestin de Riesgos y Seguridad de la Informacin

DOCENTE : Ing. Edwin Valencia Castillo
ALUMNOS : ALIAGA ALVAREZ, Ivn
ALIAGA GALLARDO, Richard
CACHI CRUZADO, Heber Gonzalo
CICLO : X
GRUPO : A-2
Cajamarca, Noviembre del 2017

GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
UNIVERSIDAD NACIONAL DE CAJAMARCA FACULTA DE INGENIERA

E.A.P. INGENIERA DE SISTEMAS
METODOLOGA DEL PROCESO DE GESTIN DE RIESGOS

DE SEGURIDAD DE LA INFORMACIN
ROL NOMBRE VERSIN
ALIAGA ALVAREZ, IVN

ELABORACIN ALIAGA GALLARDO, RICHARD 1.1
CACHI CRUZADO, HEBER
REVISIN ING. EDWIN VALENCIA CASTILLO
2
ndice
I. METODOLOGA DE GESTIN DEL RIESGO ..................................................................... 6
1. Determinar Contexto .................................................................................................... 6
2. Estudio del Riesgo ......................................................................................................... 7
2.1. Identificar Riesgo ....................................................................................................... 7
2.1.1. Identificar activos. ................................................................................................. 7
2.1.2. Valorizacin de activos. ......................................................................................... 8
2.1.3. Identificar amenazas. ............................................................................................ 9
2.1.4. Identificar vulnerabilidades. .................................................................................. 9
2.1.5. Estimar impacto. ................................................................................................. 10
2.2. Anlisis del Riesgo ................................................................................................... 11
2.2.1. Estimar riesgo. ..................................................................................................... 11
2.3. Evaluacin del Riesgo .............................................................................................. 12
3. Implementacin de Salvaguardas ............................................................................... 13
4. Aceptacin del Riesgo ................................................................................................. 13
5. Monitoreo y Control.................................................................................................... 14
6. Comunicacin del Riesgo ............................................................................................ 14
II. DESCRIPCIN DE LA EMPRESA ..................................................................................... 15
1. Resumen histrico de la empresa ............................................................................... 15
2. Estructura Organizacional ........................................................................................... 16
3. Misin y Visin ............................................................................................................ 18
3.1. Misin ...................................................................................................................... 18
3.2. Visin ....................................................................................................................... 19
3.3. Valores..................................................................................................................... 19
4. Informacin adicional.................................................................................................. 19
III. ALCANCE ..................................................................................................................... 19
IV. LIMITACIONES ............................................................................................................ 19
V. APLICACIN DE LA METODOLOGA ............................................................................. 20
1. Fases de la Metodologa.............................................................................................. 20
1.1. Fase 1: Determinar Contexto .................................................................................. 20
1.1.1. Contexto Externo................................................................................................. 20
1.1.2. Determinar Contexto Interno.............................................................................. 20
1.2. Fase 2: Estudio del Riesgo ....................................................................................... 21
1.2.1. Identificacin de Riesgo ...................................................................................... 21
3
1.2.1.1. Identificar activos ............................................................................................ 21

1.2.1.2. Valorizacin de activos .................................................................................... 24
1.2.1.3. Identificar amenazas ....................................................................................... 25
1.2.1.4. Identificar vulnerabilidades ............................................................................. 26
1.2.1.5. Estimar impacto .............................................................................................. 28
1.2.2. Anlisis de Riesgo ................................................................................................ 29
1.1.1. Evaluacin de Riesgo ........................................................................................... 30
1.2. Fase 3: Implementacin de Salvaguardas ............................................................... 31
VI. CONCLUSIONES Y RECOMENDACIONES .................................................................. 32
1. Conclusiones................................................................................................................ 32
2. Recomendaciones ....................................................................................................... 32
VII. REFERENCIAS BIBLIOGRFICAS ................................................................................ 33
VIII. ANEXOS ...................................................................................................................... 34
4
ndice de Tablas
Tabla 1: Valoracin de Activos ...................................................................................................... 8
Tabla 2: Importancia del Activo .................................................................................................... 8
Tabla 3: Probabilidad de Ocurrencias de Amenazas ..................................................................... 9
Tabla 4: Valor de degradacin del activo .................................................................................... 10
Tabla 5: Matriz de impacto ......................................................................................................... 10
Tabla 6: Estimacin de Impacto .................................................................................................. 11
Tabla 7: Matriz de Nivel de Riesgo .............................................................................................. 12
Tabla 8: Decisin de Implementacin de Salvaguardas .............................................................. 12
Tabla 9: Valoracin de Salvaguardas ........................................................................................... 13
Tabla 10: Contexto Externo ......................................................................................................... 20
Tabla 11: Contexto Interno ......................................................................................................... 20
Tabla 12: Identificacin de Activos ............................................................................................. 23
Tabla 13: Valorizacin de Activos................................................................................................ 24
Tabla 14: Identificacin de Amenazas......................................................................................... 25
Tabla 15: Identificacin de Vulnerabilidades por Agrupacin de Activos................................... 26
Tabla 16: Estimacin de Impacto ................................................................................................ 28
Tabla 17: Estimacin de riesgo .................................................................................................... 29
Tabla 18: Evaluacin del riesgo ................................................................................................... 30
Tabla 19: Implementacin de salvaguardas ................................................................................ 31
ndice de Ilustraciones
Ilustracin 1: Proceso de Gestin de Riesgos Propuesta .............................................................. 6
Ilustracin 2: Fases para el estudio del riesgo .............................................................................. 7
Ilustracin 3: Organigrama DEYFOR E.I.R.L. Servicios Generales ................................................ 16
5
I. METODOLOGA DE GESTIN DEL RIESGO
La metodologa propuesta est basada en las metodologas de anlisis y gestin de riesgos

Magerit, ONP y en el estndar ISO 27005, adems se ajuste a la herramienta PILAR, cuenta
con 6 fases de desarrollo las cuales se detallan a continuacin.
Ilustracin 1: Proceso de Gestin de Riesgos Propuesta
1. Determinar Contexto
El proceso para determinar el contexto consiste en establecer tanto el contexto interno,
que incluye misin, visin, polticas, objetivos, estrategias, metas, roles y
responsabilidades, estructura, normatividad entre otros; y el contexto externo, en el
cual deben considerarse aspectos como la competencia, regulaciones legales que
apliquen, economa, poltica, tecnologa, cultura y los dems aspectos que se consideren
necesarios de la organizacin [1]. Estos establecen el alcance y los lmites del proceso.
6
Primero se establece el contexto externo para conocer la interaccin que tiene la

organizacin con su entorno. Es de suma importancia que la organizacin sea consciente
de sus fortalezas, debilidades, oportunidades y amenazas; as como la percepcin de
ella, ya que esto le ayudar a desarrollar criterios acertados para la administracin y
evaluacin de riesgos [2].
En el contexto interno la administracin de riesgos regir el diseo y establecimiento de

una poltica de gestin de riesgos que apoye de forma integral la consecucin de las
metas y objetivos organizacionales [2].
2. Estudio del Riesgo

En este proceso se identifican 3 fases que permiten obtener una visin general de los
riesgos a los que la organizacin est expuesta.
Se identifica de forma cuantitativa o cualitativa los riesgos y les da prioridad a los

criterios de evaluacin que dependen de los objetivos de la organizacin [3].
Identicar
Analizar
Evaluar
Ilustracin 2: Fases para el estudio del riesgo
2.1. Identificar Riesgo

En esta fase se busca determinar lo que podra causar una prdida potencial y
comprender cmo, dnde y por qu puede ocurrir dicha prdida; identificando los
activos, amenazas, medidas de seguridad, vulnerabilidades y sus consecuencias [4].
2.1.1. Identificar activos.

Un activo es todo aquello que tiene valor para una organizacin
susceptibles de ser atacados, incluye informacin, datos, servicios,
aplicaciones, equipos; etc.
En un sistema de informacin hay 2 cosas esenciales: la informacin que

maneja y los servicios que presta.
7
Para identificar los activos se siguen los siguientes pasos:
1. Definir todos los bienes y servicios relevantes para la

organizacin (Informacin, servicios prestados).
2. Identificar y clasificar tipos de activos.
3. Identificar la ubicacin en la cual se encuentra el activo ya sea
fsica o electrnica.
4. Clasificar los activos de acuerdo a confidencialidad, integridad y
disponibilidad.
5. Identificar al propietario de cada activo para asignarle
responsabilidades.
6. Realizar una lista de activos que sern sometidos a un anlisis
de riesgos.
El resultado de este proceso ser un inventario de activos el cual debe

contar con especificaciones del activo como el nombre, proceso al que
pertenece, clasificacin, ubicacin, propietario [5].
2.1.2. Valorizacin de activos.

La valorizacin de los activos se realiza segn la importancia que tiene
cada activo para la organizacin, en cuanto a las dimensiones de
Confidencialidad, Integridad y Disponibilidad (Los valores de
importancia estn en una escala penta).
Valoracin Activos
CUALITATIVOS CUANTITATIVOS
Muy Bajo 1
Bajo 2
Medio 3
Alto 4
Muy Alto 5
Tabla 1: Valoracin de Activos
La importancia del Activo resultar del promedio (redondeado hacia

arriba) de los valores CID obtenidos.
Importancia Del Activo

Activo C I D Promedio
1 5 5 5 5
2 4 4 4 4
3 3 3 3 3
4 2 2 2 2
5 1 1 1 1
Tabla 2: Importancia del Activo
8
2.1.3. Identificar amenazas.

Una amenaza es un hecho o una circunstancia con el potencial de causar
dao a un TI.
Las fuentes de amenazas comunes pueden ser naturales, humanos o del

medio ambiente.
Identificar fuentes de amenazas para ello se encuentran los siguientes

tipos:
Las amenazas naturales, inundaciones, terremotos, tornados,

deslizamientos, avalanchas, tormentas elctricas, y otros
eventos.
Las amenazas de acontecimientos humanos, actos intencionales
(La entrada inadvertida de datos) o acciones deliberadas (red los
ataques basados en, cargar software malicioso, sin autorizacin
acceso a informacin confidencial).
Las amenazas ambientales, fallo de alimentacin, la
contaminacin, productos qumicos, derrames de lquidos [6].
1. Listar amenazas. Se realiza un listado con todas las amenazas

identificadas.
2. Valorar probabilidad de ocurrencia de las amenazas, teniendo en
cuenta la frecuencia con la que estos suceden.
Probabilidad de Ocurrencia de Amenazas

5 Probabilidad Muy Alta de Ocurrencia
4 Probabilidad Alta de Ocurrencia
3 Probabilidad Moderada de Ocurrencia
2 Probabilidad Baja de Ocurrencia
1 Probabilidad Muy Baja de Ocurrencia
Tabla 3: Probabilidad de Ocurrencias de Amenazas
2.1.4. Identificar vulnerabilidades.

Una vulnerabilidad es una debilidad en un sistema permitiendo violar la
confidencialidad, integridad, disponibilidad, control de acceso y
consistencia del sistema o de sus datos y aplicaciones, pero tambin
incluye debilidad por parte de la entidad que lo maneja, por lo que el
activo esta susceptible a las amenazas.
Para identificar las vulnerabilidades se siguen los siguientes pasos:
1. Identificar puntos dbiles de los grupos de activos

2. Realizar un listado de vulnerabilidades.
9
2.1.5. Estimar impacto.

Medida de las consecuencias que puede sufrir un activo, en caso de
materializacin de una amenaza en un tiempo determinado.
1. Para ello primero se determina el valor de degradacin del activo

que es simplemente la degradacin que, a causa de la amenaza,
puede sufrir un activo de informacin considerando las
vulnerabilidades y controles existentes, en cuanto a las dimensiones
de Confidencialidad, Integridad y Disponibilidad (CID).
Escala Valor de Degradacin

5 Muy alto
4 Alto
3 Medio
2 Bajo
1 Muy Bajo
Tabla 4: Valor de degradacin del activo
2. Luego se determina el valor del impacto, para ello se toma el valor

mximo de las 3 degradaciones CID para el posterior clculo del
valor de Impacto. Luego se compara este valor de Degradacin CID
(mximo) con el Valor de Importancia del Activo; segn la siguiente
matriz:
DEGRADACIN CID MXIMA
Muy Muy
MATRIZ DE IMPACTO Bajo Medio Alto
Bajo Alto
1 2 3 4 5
Muy
1 1 1 2 3 3
IMPORTANCIA DE ACTIVO
Bajo
Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy
5 3 3 4 5 5
Alto
Tabla 5: Matriz de impacto
10
3. El impacto se valora para cada situacin de riesgo considerada,

asumiendo uno de los siguientes valores:
Estimacin Impacto
5 Muy Grave o Severo para la Organizacin
4 Grave para la Organizacin
3 Moderado/Importante para la Organizacin
2 Menor para la Organizacin
1 Irrelevante para la Organizacin
Tabla 6: Estimacin de Impacto
2.2. Anlisis del Riesgo

Esta fase permite estimar la magnitud de los riesgos a que est expuesta una
organizacin, califica estos riesgos, determina cmo es, cunto vale y cmo de
protegido se encuentra un sistema, siguiendo los objetivos, estrategia y poltica de
la organizacin y finalmente obtendremos como resultado una visin estructurada
que nos permite centrarnos en lo ms importante.
Se realiza cualitativa y cuantitativamente, para esto se utiliza una escala de

calificacin de atributos para describir la magnitud de las consecuencias
potenciales ya sea bajo, medio o alto; y la probabilidad de que se produzcan estas
consecuencias; y cuantitativamente, este es ms detallado y utiliza una escala con
valores numricos para las consecuencias y probabilidades de que se produzcan
estas [7].
2.2.1. Estimar riesgo.

El propsito de este paso es evaluar el nivel de riesgo para el sistema de
TI. La determinacin del riesgo para una determinada amenaza /
vulnerabilidad se puede expresar en funcin de:
La probabilidad de una determinada amenaza.

La magnitud del impacto de una amenaza materializada.
La adecuacin de los controles de seguridad existentes o
previstos para reducir o eliminar el riesgo.
Escala de riesgo:
Muy Alto: 81 100

Alto: 61 - 80
Medio: 41 - 60
Bajo: 21 - 40
Muy Bajo: 1 20
11
Impacto
Probabilidad
de Amenaza Muy Bajo Bajo (40) Medio (60) Alto (80) Muy Alto (|00)
(20)
Muy Alto (1.0) Muy Bajo Bajo Medio Alto Muy Alto
20 x 1.0 = 20 40 x 1.0 =40 60 x 1.0 = 60 80 x 1.0 = 80 100 x 1.0 = 100
Alto (0.8) Muy Bajo Bajo Medio Alto Alto
20 x 0.8 = 16 40 x 0.8 = 32 60 x 0.8 = 48 80 x 0.8 = 64 100 x 0.8 = 80
Medio (0.6) Muy Bajo Bajo Bajo Medio Medio
20 x 0.6 = 12 40 x 0.6 = 24 60 x 0.6 = 36 80 x 0.6 = 48 100 x 0.6 = 60
Bajo (0.4) Muy Bajo Muy Bajo Bajo Bajo Bajo
20 x 0.4 = 8 40 x 0.4 = 16 60 x 0.4 = 24 80 x 0.4 = 32 100 x 0.4 = 40
Muy Bajo (0.2) Muy Bajo Muy Bajo Muy Bajo Muy Bajo Muy Bajo
20 x 0.2 = 4 40 x 0.2 = 8 60 x 0.2 = 12 80 x 0.2 = 16 100 x 0.2 = 20
Tabla 7: Matriz de Nivel de Riesgo
2.3. Evaluacin del Riesgo

Existen algunos criterios de evaluacin del riesgo que pueden ser utilizados por las
organizaciones para evaluar la importancia del riesgo:
Econmico. Cuando el impacto econmico de la amenaza es mayor a
un porcentaje del costo mensual del servicio, o a un nmero
determinado de U.I.T.
Continuidad del negocio. Cuando se paraliza un proceso de lnea o al
menos una
actividad importante del mismo.
Legal. Aplica cuando el impacto ocasiona una demanda de ndole civil
o una denuncia de ndole penal.
Imagen institucional. Cuando la amenaza puede ocasionar que se vea
afectada la imagen de la organizacin.
Contractual. Cuando el impacto amenaza el cumplimiento de contrato,
debido a causas previsibles o no, siempre que se hallen determinados
en el contrato.
Aqu estn los factores de percepcin de estrategia y de poltica permitiendo tomar

decisiones respecto de que riesgos se aceptan y cules no, as como de en qu
circunstancias podemos aceptar un riesgo o trabajar en su tratamiento.
Nivel de Riesgo Decisin

Muy Alto Implementar Salvaguardas
Alto Implementar Salvaguardas
Medio Implementar Salvaguardas
Bajo No Implementar Salvaguardas
Muy Bajo No Implementar Salvaguardas

Tabla 8: Decisin de Implementacin de Salvaguardas
12
3. Implementacin de Salvaguardas
Significa llevar a la prctica o ejecucin las polticas, procedimientos, guas, prcticas,
nuevos equipos o nuevas estructuras organizacionales; las cuales pueden tener
naturaleza administrativa, tcnica, legal o de gestin para el manejo del riesgo.
El trmino Salvaguarda es tambin utilizado como sinnimo de control o contramedida.

Los controles pueden ser preventivos, detectores, correctivos o persuasivos.
Controles preventivos. sirven para que la amenaza no cumpla con su objetivo

de atentar contra la seguridad del activo (delimitacin del permetro de la
seguridad fsica.
Controles detectores. son aquellos que sirven para descubrir amenazas o
vulnerabilidades de la seguridad de la informacin (instalacin de un software
detector de intrusos IDS).
Controles disuasivos. sirven para que el agente de la amenaza desista de tomar
acciones que atentan contra la seguridad de la informacin de los activos
(procesos disciplinarios).
Controles correctivos. son aquellos que se ejecutan despus de un ataque
contra la seguridad de la informacin y sirven para corregir el dao en la
seguridad que ha sufrido el activo (respaldo de la informacin).
Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al

riesgo que pretenden conjurar.
Eficacia Nivel Madurez Estado

0% L0 Inexistente Inexistente
30% L1 Inicial/ad hoc Iniciado
50% L2 Reproducible, pero intuitivo Parcialmente realizado
70% L3 Proceso definido En funcionamiento
90% L4 Gestionado y medible Monitorizado
100% L5 Optimizado Mejora continua
Tabla 9: Valoracin de Salvaguardas
4. Aceptacin del Riesgo

Se deben considerar los siguientes criterios de aceptacin:
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una
meta de nivel de riesgo deseable, pero con disposiciones para que la alta
direccin acepte los riesgos.
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre
el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes
clases de riesgos, por ejemplo, los riesgos que podran resultar en
incumplimiento con reglamentos o leyes podran no ser aceptados, aunque se
puede permitir la aceptacin de riesgos altos si esto se especifica como un
requisito contractual.
13
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento
adicional en el futuro, por ejemplo, se puede aceptar un riesgo si existe
aprobacin y compromiso para ejecutar acciones que reduzcan dicho riesgo
hasta un nivel aceptable en un periodo definido de tiempo [8].
5. Monitoreo y Control
En esta fase se realiza el seguimiento revisin y control de los siguientes aspectos:
Activos nuevos que se han incluido en el alcance de la gestin del riesgo.

Modificaciones necesarias de los valores de los activos.
Amenazas nuevas que podran estar activas tanto fuera como dentro de la
organizacin y que no se han evaluado.
Probabilidad de que las vulnerabilidades nuevas o aumentadas puedan permitir
que las amenazas exploten tales vulnerabilidades nuevas o con cambios
Vulnerabilidades identificadas para determinar aquellas que se exponen a
amenazas nuevas o que vuelven a emerger
El impacto aumentado o las consecuencias de las amenazas evaluadas, las
vulnerabilidades y los riesgos en conjunto que dan como resultado un nivel
inaceptable de riesgo.
Incidentes de la seguridad de la informacin.
El monitoreo y el control debe realizarse de manera continua para garantizar que el

contexto, el resultado de la evaluacin del riesgo y el tratamiento del riesgo, as como
los planes de gestin siguen siendo pertinentes y adecuados para las circunstancias.
6. Comunicacin del Riesgo

A medida que se desarrollan las diferentes fases del proceso de Gestin de Riesgos y
Seguridad de la Informacin, la comunicacin es un proceso muy importante de apoyo
que se realiza para mantener informada a la direccin, la o las dependencias
involucradas con la gestin del riesgo y el equipo o grupo de trabajo encargado de la
implementacin del Subsistema de Gestin de Seguridad de la Informacin; igualmente
recibir informacin de los procesos y las partes interesadas. De sta manera, se consigue
difundir la informacin necesaria para obtener el consenso de los responsables y los
afectados por las decisiones sobre el tratamiento de los riesgos.
Las acciones de comunicacin son importantes para:
Identificar los riesgos.

Valorar los riesgos en funcin de las consecuencias para el negocio y la
probabilidad de ocurrencia.
Comprender la probabilidad y consecuencias de los riesgos.
Establecer prioridades para el tratamiento de riesgos.
Informar y contribuir a que se involucren las partes interesadas.
Monitorear la efectividad del tratamiento de los riesgos.
Revisar con regularidad el proceso y su monitoreo.
Concienciar a la entidad y a la direccin sobre los riesgos y su forma de
mitigarlos.
14
II. DESCRIPCIN DE LA EMPRESA
DEYFOR E.I.R.L. SERVICIOS GENERALES
1. Resumen histrico de la empresa

DEYFOR E.I.R.L. ingresa al mercado laboral a partir del 2004, en el rubro de servicios
generales para lo cual, en medida de sus posibilidades adquiere la infraestructura,
equipos y maquinaria necesarios que les permiti desarrollar sus pequeas obras e ir
por la bsqueda de nuevas oportunidades en la provincia de Cajamarca.
En el 2007 se realiz una renovacin de equipos, maquinaria y medios de transporte

modernos que coadyuvaron a que la organizacin se consolide y ofrezca servicios de
mayor calidad y acordes a los estndares actuales del mercado.
A partir del 2012, se arraiga la filosofa de valores y pilares estratgicos como el

desarrollo del recurso humano, promover culturas de trabajo y fortalecer la conviccin
de la visin y misin de su organizacin para liderar en seguridad, responsabilidad y
calidad.
Ya en el presente, fomenta el valor de su trabajo sea siempre mayor a la suma de metas

individuales, buscando la excelencia a travs del trabajo sistematizado y comprometido
de sus colaboradores, para lo cual se permanece en un estado de mejora continua de
acuerdo a los tiempos actuales, que les permitan competir y beneficiar a sus clientes en
cada uno de sus servicios.
15
2. Estructura Organizacional
Ilustracin 3: Organigrama DEYFOR E.I.R.L. Servicios Generales
16
Gerencia:
Documentacin de Proyectos a exponer a sus clientes.
Dirigir y controlar el desempeo de las reas.
Ser el representante legal de la empresa.
Velar por el respecto de las normativas y reglamentos vigentes.
rea de Recursos Humanos:

Documentacin respecto al reclutamiento de personal.
Documentar y programar las capacitaciones del personal.
Llevar el control de la documentacin de contratos.
rea de Contabilidad:
Pago de planillas.
Documentacin respecto a las rdenes de compra generadas diariamente.
Compra de suministros a proveedores.
Realizar informe de estados financieros de la empresa.
Efectuar los anlisis de los saldos de la cuenta de la empresa y los trabajadores.
rea de Administracin:
Realizar reportes diarios de las actividades de la empresa.
Control de avances del rea de supervisin.
Control y anlisis del estado de taller y oficina.
Conciliar mensualmente los ingresos y egresos de los Centros de Produccin.
Informar oportunamente sobre la disponibilidad financiera, as como la
captacin y correcta utilizacin de los fondos.
Coordinar las reuniones de la gerencia con futuros clientes.
rea de Logstica:
Registro del stock de equipos y maquinarias en la empresa.
Registro del mantenimiento de equipos y maquinarias.
Control de recursos que posee la empresa.
Gestin de inventarios.
Proporcionar los materiales, equipos, herramientas, insumos y transportes al
Centro de Produccin.
rea de Trasportes:
Registro del stock de equipos y maquinarias en la empresa.
Registro del mantenimiento de equipos y maquinarias.
Control de recursos que posee la empresa.
Gestin de inventarios.
Proporcionar los materiales, equipos, herramientas, insumos y transportes al
Centro de Produccin.
Operaciones:
Planear, organizar, dirigir, coordinar y controlar los procesos operativos del rea
a su cargo y de los servicios de seguridad, vigilancia y resguardo.
17
Administrar al personal operativo en cuanto a la asignacin de puestos,

descansos, vacaciones, retenes y otros.
Administrar eficientemente los recursos materiales tales como armamento,
equipos de comunicacin, implementos de seguridad, vehculos y otros
necesarios para sus operaciones, de tal forma que stos se encuentren en
ptimas condiciones de uso y operatividad.
Seguridad, Salud Ocupacional y Medio Ambiente:

Diagnosticar, el estado de la Seguridad y Salud Ocupacional
Supervisar y coordinar los procedimientos seguros y amigables con el medio
ambiente, en actividades de riesgos.
Administrar y vigilar el cumplimiento de las Polticas internas, lineamiento y
Normativas legales en Seguridad y Salud Ocupacional.
Supervisar y aprobar el plan de compras anual de equipos de proteccin
personal, herramientas y equipos, en el rea de seguridad y salud.
Supervisin y coordinacin de campaas educativas vinculadas a las reas.
Registro de evento de alto riesgo y soluciones implementadas.
Disear Sistemas de Seguridad y planes operativos de acuerdo a lo establecido
por la gerencia general, para la implementacin en instalaciones del cliente.
rea de TI/SI:
Diseo y configuracin de la red que interconecta todas las reas de la empresa.
Diseo, Implementacin y Administracin de Redes de Comunicaciones.
Instalacin y configuracin de aplicaciones en los servidores.
Seleccin e instalacin de Sistemas Informticos.
Definicin de configuraciones tanto para servidores como para puestos de
trabajo.
Eleccin de Sistemas Operativos.
Administracin de Sistemas.
Administracin y gestin de Bases de Datos
Gestin de cuentas de usuario y asignacin de recursos a las mismas.
Copias de seguridad de los datos de los usuarios y recuperacin de los mismos
en caso de prdida.
Preservacin de la seguridad de los sistemas y de la privacidad de los datos de
usuario, incluyendo copias de seguridad peridicas.
Evaluacin de necesidades de recursos (memoria, discos, unidad central) y
provisin de los mismos en su caso.
Instalacin y actualizacin de utilidades de software.
Reparacin y mantenimiento de equipos
3. Misin y Visin
3.1. Misin
Consolidarnos antes del ao 2020 como una empresa lder y sostenible dedicada a
la prestacin de servicios en obras civiles, proyectos e infraestructuras metlicas
con un incremento en la participacin ao a ao mediante procesos eficientes para
la satisfaccin de las expectativas de los clientes y la sociedad bajo un marco de
18
desarrollo responsable comprometidos con el medio ambiente. Realizar nuestro

trabajo con altos estndares de salud ocupacional y seguridad, siendo efectivos y
eficientes en generar las mejores condiciones de seguridad para todos los
trabajadores de DEYFOR.
3.2. Visin
Proveer soluciones de la construccin y la prestacin de servicios generales con el
compromiso de calidad y liderazgo de nuestra gente.
3.3. Valores
La calidad de Servicio.
La implicacin y trabajo en equipo
El respeto y la tica
La organizacin y el rigor
La innovacin y la mejora continua
La orientacin al cliente
La solidez y la experiencia
La responsabilidad Social
4. Informacin adicional
Nombre : DEYFOR E.I.R.L. SERVICIOS GENERALES
RUC : 20453830323
DIRECCIN : Jr. Ortiz Snchez N 187 - Cajamarca
Jr. Antonio Astopilco 537 - Cajamarca
III. ALCANCE
La identificacin de riesgos de cada uno de los activos de DEYFOR E.I.R.L. Servicios

Generales, a partir de sus amenazas, vulnerabilidades, clculo de la probabilidad de
ocurrencia permitirn determinar el impacto de las mismas, y por tato obtener los riesgos a
los que est expuesto la Organizacin, de esta manera brindar planes de contingencia
alineados a la organizacin para la gestin los riesgos encontrados a travs de recopilacin
de informacin (entrevistas al personal y formularios).
IV. LIMITACIONES
La metodologa desarrollada se basa en la recoleccin, procesamiento y anlisis de datos

presentando las siguientes restricciones:
Falta de una adecuada estructura organizacional en el rea de TI/SI.

No cuenta con el jefe respectico del rea de TI/SI.
Escaso personal operativo en el rea de TI/SI.
Falta de experiencia por parte del equipo de trabajo en el rea de TI/SI.
19
V. APLICACIN DE LA METODOLOGA
1. Fases de la Metodologa
1.1. Fase 1: Determinar Contexto
1.1.1. Contexto Externo
Factores Externos
01 Responsabilidad social
Social
02 Empleos
Cultural 03 Eventos culturales
Poltico 04 Cambios de gobierno
Legal 05 Asesoramiento legal
Tecnolgico 06 Comercio electrnico
07 Liquidez
Econmico
08 Ganancias/prdidas
09 Residuos
Medioambiental 10 Catstrofes naturales
11 Desarrollo sostenible
Tabla 10: Contexto Externo
1.1.2. Determinar Contexto Interno

Factores Internos
01 Talleres
Infraestructura
02 Oficinas
Datos/Informacin 03 Documentos institucionales
Personal 04 Por rea
Procesos 05 Por rea
06 Pgina web
07 Redes y Comunicaciones
Tecnologa
08 Sistemas de Informacin
09 Computadoras e Impresoras
Tabla 11: Contexto Interno
20
1.2. Fase 2: Estudio del Riesgo

1.2.1. Identificacin de Riesgo
1.2.1.1. Identificar activos
Agrupacin Cdigo Activo Descripcin Propietario
Documentos con informacin de la

AE001 Documentos institucionales Gerente general
organizacin (Proyectos, Planes e informes)
Jefe de
AE002 Informe de finanzas Registro de las finanzas de la organizacin
contabilidad
Lista de contacto de la organizacin (clientes y gerente de

AE003 Directorio de contactos
proveedores) administracin
AE004 Base de datos Informacin esencial de toda la organizacin Asistente de SI
ACTIVOS ESENCIALES AE005 Pgina web Pgina web informativa Asistente de SI
Contiene planos de estructura, electricidad,

AE006 Memorias descriptivas Gerente general
agua, entre otros
Informacin de todo el personal de la

AE007 Recursos humanos Jefe de RRHH
organizacin
AE008 Backup Copia de respaldo de la informacin Asistente de SI
Documento con informacin sobre el pago del Jefe de

AE009 Planilla de pagos
personal y sus beneficios contabilidad
21
S001 Software de aplicacin de servidor Sistema operativo del servidor Asistente de SI
Programas informticos que utiliza el personal

S002 Software de aplicacin de usuario final Asistente de SI
para sus labores
Programas para detectar y eliminar virus

S003 Antivirus NOD32 Asistente de SI
informticos
Programas para desarrollo de software,

S004 Herramienta de desarrollo Asistente de SI
SISTEMAS aplicaciones de uso interno
Programa para el manejo financiero de la Jefe de

S005 Sistema de informacin financiero
organizacin contabilidad
Programa para evitar y bloquear el acceso no

Asistente de
S006 Firewal autorizado a los sistemas de informacin de la
redes
organizacin
S007 Programa de administracin Programa para el manejo de personal Jefe de RRHH
Todos los equipos que conforman la Asistente de

I001 Equipos de la estructura de la red
estructura de red redes
Equipos donde se almacena la informacin de Asistente de

INFRAESTRUCTURA I002 Servidores
la organizacin redes
I003 Generadores elctricos Dispositivos de contingencia rea de logstica
I004 Computadoras Herramientas de trabajo informtico rea de logstica
22
I005 Impresoras Equipos para la impresin de la informacin rea de logstica
I006 Sistemas contra incendios Dispositivos de contingencia rea de logstica
Asistente de
I007 Infraestructura de TI Cuarto de comunicaciones, planos de redes
redes
Equipos que brindan una comunicacin en la

I008 Telfonos mviles rea de logstica
organizacin
Dispositivos para la transferencia de

I009 Equipos de fax rea de logstica
documentos
I010 Medios extrables Dispositivos de salida (CD, DVD, USB, etc.) Asistente de SI
Sistema necesario para mantener la

Asistente de
I011 Sistemas de aire acondicionado temperatura adecuada en el cuarto de
redes
comunicaciones
I012 Equipos topogrficos Equipos GPS, Estacin total, Topgrafos, etc. rea de logstica
Responsable de la marcha administrativa de la

P001 Gerente general
organizacin
PERSONAL P002 Asistente de SI Responsable de los sistemas de informacin
Responsable de la infraestructura de
P003 Asistente de redes
comunicaciones
Tabla 12: Identificacin de Activos
23
1.2.1.2. Valorizacin de activos
Activo C I D Promedio Tipo
Documentos institucionales 4 5 4 4 Alto

Informe de finanzas 4 5 5 5 Muy Alto
Directorio de contactos 3 4 4 4 Alto
Base de datos 5 5 5 5 Muy Alto
Pgina web 3 4 4 4 Alto
Memorias descriptivas 3 5 4 4 Alto
Recursos humanos 3 4 4 4 Alto
Backup 5 5 5 5 Muy Alto
Planilla de pagos 4 5 4 4 Alto
Software de aplicacin de servidor 2 3 4 3 Medio
Software de aplicacin de usuario final 4 5 4 4 Alto
Antivirus NOD32 4 2 4 3 Medio
Herramienta de desarrollo 4 4 4 4 Alto
Sistema de informacin financiero 5 5 5 5 Muy Alto
Firewal 5 5 4 5 Muy Alto
Programa de administracin 5 4 4 4 Alto
Equipos de la estructura de la red 5 4 5 5 Muy Alto
Servidores 5 5 5 5 Muy Alto
Generadores elctricos 5 5 5 5 Muy Alto
Computadoras 4 4 4 4 Alto
Impresoras 3 4 4 4 Alto
Sistemas contra incendios 4 4 4 4 Alto
Infraestructura de TI 4 4 4 4 Alto
Telfonos mviles 4 3 3 3 Medio
Equipos de fax 3 3 3 3 Medio
Medios extrables 5 4 4 4 Alto
Sistemas de aire acondicionado 4 4 5 4 Alto
Equipos topogrficos 4 4 4 4 Alto
Gerente general 4 4 4 4 Alto
Asistente de SI 4 4 4 4 Alto
Asistente de redes 4 4 4 4 Alto
Tabla 13: Valorizacin de Activos
24
1.2.1.3. Identificar amenazas

Probabilidad de
Amenaza Tipo
ocurrencia
Prdida de clientes Humanos 3
Variacin de la intensidad del flujo elctrico Ambientales 2
Cambios sociales y demogrficos Humanos 3
Sobrecarga elctricas Ambientales 2
Virus Humanos 5
Polvo, smog, humedad Ambientales 4
Corto circuito Ambientales 2
Sanciones por uso de software pirata Humanos 1
Quitar los dispositivos externos sin detener el servicio. Humanos 3
Ingeniera social Humanos 3
Inadecuado proceso de inventario Humanos 2
Implementos defectuosos de equipos de computo Humanos 1
Exposicin a cambios en el tipo de inters Ambientales 2
Variabilidad en el tipo de cambio de moneda Ambientales 1
Ambientales
Incapacidad financiera a largo plazo 1
Humanos
Deterioracin de los instrumentos de la empresa Humanos 2
Los implementos no llegan a tiempo Humanos 1
Manipulacin inadecuada de implementos de escritorio Humanos 2
Cambios regulatorios Ambientales 1
Aparicin de nuevas competencias Ambientales 3
Discontinuidad laboral Ambientales 2
Nuevas ofertas laborales Ambientales 2
Faltas y permisos Humanos 1
No disponibilidad inmediata de proveedores Humanos 2
Robo de material informtico Humanos 3
Robo de la mercanca Humanos 1
Incendios Ambientales 1
No se hace back up o se hace mal Humanos 4
Prdida de Informacin Humanos 2
Fallas en programa de computo Humanos 1
Naturales
Destruccin del documento 1
Humanos
Divulgacin de informacin no autorizada Humanos 2
Terremotos Naturales 2
Inundaciones Naturales 3
Tabla 14: Identificacin de Amenazas
25
1.2.1.4. Identificar vulnerabilidades
Agrupacin Vulnerabilidades
Falta de proteccin estructural contra agua.
Problemas de origen estructural en el edificio donde se

encuentre el activo.
Falta de capacitacin de personal.

Falta de procedimientos para realizar back up.
ACTIVOS ESENCIALES
Falta de procedimientos y control de cambios de informacin.
Datos no encriptados.
Falta de procedimientos para el manejo de informacin

clasificada.
Bajos controles en actualizacin de software.

Caducidad de licencias de software.
SISTEMAS
Falta de procedimientos y control de cambios de informacin.
Falta de proteccin estructural contra agua.
Problemas de origen estructural en el edificio donde se

encuentre el activo.
Funcionamiento inadecuado de ups.

INFRAESTRUCTURA Controles bajos en la actualizacin de equipos.
Mal funcionamiento de climatizacin en la sala de

comunicaciones.
Falta de controles de entrada y salida de recursos a la

organizacin.
Falta de capacitacin de personal.

Falta de polticas para contraseas seguras.
PERSONAL
Falta de procedimientos para el manejo de informacin
clasificada.
Tabla 15: Identificacin de Vulnerabilidades por Agrupacin de Activos
26
27
1.2.1.5. Estimar impacto

Valor Valor de
Activo Importancia C I D
Mximo Impacto
Documentos institucionales 4 4 5 4 5 5
Informe de finanzas 5 4 5 5 5 5
Directorio de contactos 4 3 4 4 4 4
Base de datos 5 5 5 5 5 5
Pgina web 4 3 4 4 4 4
Memorias descriptivas 4 3 5 4 5 5
Recursos humanos 4 3 4 4 4 4
Backup 5 5 5 5 5 5
Planilla de pagos 4 4 5 4 5 5
Software de aplicacin de servidor 3 2 3 4 4 4
Software de aplicacin de usuario final 4 4 5 4 5 5
Antivirus NOD32 3 4 2 4 4 4
Herramienta de desarrollo 4 4 4 4 4 4
Sistema de informacin financiero 5 5 5 5 5 5
Firewal 5 5 5 4 5 5
Programa de administracin 4 5 4 4 5 5
Equipos de la estructura de la red 5 5 4 5 5 5
Servidores 5 5 5 5 5 5
Generadores elctricos 5 5 5 5 5 5
Computadoras 4 4 4 4 4 4
Impresoras 4 3 4 4 4 4
Sistemas contra incendios 4 4 4 4 4 4
Infraestructura de TI 4 4 4 4 4 4
Telfonos mviles 3 4 3 3 4 4
Equipos de fax 3 3 3 3 3 3
Medios extrables 4 5 4 4 5 5
Sistemas de aire acondicionado 4 4 4 5 5 5
Equipos topogrficos 4 4 4 4 4 4
Gerente general 4 4 4 4 4 4
Asistente de SI 4 4 4 4 4 4
Asistente de redes 4 4 4 4 4 4
Tabla 16: Estimacin de Impacto
28
1.2.2. Anlisis de Riesgo

Amenaza Probabilidad Valor de Impacto Riesgo
Prdida de clientes 3 5 4
Variacin de la intensidad del flujo elctrico 2 5 5
Cambios sociales y demogrficos 3 4 4
Sobrecarga elctricas 2 5 5
Virus 5 4 4
Polvo, smog, humedad 4 5 5
Corto circuito 2 4 4
Sanciones por uso de software pirata 1 5 5
Quitar los dispositivos externos sin detener el servicio. 3 5 5
Ingeniera social 3 4 4
Inadecuado proceso de inventario 2 5 5
Implementos defectuosos de equipos de computo 1 4 4
Exposicin a cambios en el tipo de inters 2 4 4
Variabilidad en el tipo de cambio de moneda 1 5 5
Incapacidad financiera a largo plazo 1 5 5
Deterioracin de los instrumentos de la empresa 2 5 5

Los implementos no llegan a tiempo 1 5 5
Manipulacin inadecuada de implementos de escritorio 2 5 5
Cambios regulatorios 1 4 4
Aparicin de nuevas competencias 3 4 4
Discontinuidad laboral 2 4 4
Nuevas ofertas laborales 2 4 4
Faltas y permisos 1 4 4
No disponibilidad inmediata de proveedores 2 3 3
Robo de material informtico 3 5 5
Robo de la mercanca 1 5 5
Incendios 1 4 4
No se hace back up o se hace mal 4 4 4
Prdida de Informacin 2 4 4
Fallas en programa de computo 1 4 4
Destruccin del documento 1 4 3
Divulgacin de informacin no autorizada 2 3 3

Terremotos 2 5 4
Inundaciones 3 5 4
Tabla 17: Estimacin de riesgo
29
1.1.1. Evaluacin de Riesgo

Amenaza Riesgo Decision
Prdida de clientes 4 Implementar salvaguardas
Variacin de la intensidad del flujo elctrico 5 Implementar salvaguardas
Cambios sociales y demogrficos 4 Implementar salvaguardas
Sobrecarga elctricas 5 Implementar salvaguardas
Virus 4 Implementar salvaguardas
Polvo, smog, humedad 5 Implementar salvaguardas
Corto circuito 4 Implementar salvaguardas
Sanciones por uso de software pirata 5 Implementar salvaguardas
Quitar los dispositivos externos sin detener el servicio. 5 Implementar salvaguardas
Ingeniera social 4 Implementar salvaguardas
Inadecuado proceso de inventario 5 Implementar salvaguardas
Implementos defectuosos de equipos de computo 4 Implementar salvaguardas
Exposicin a cambios en el tipo de inters 4 Implementar salvaguardas
Variabilidad en el tipo de cambio de moneda 5 Implementar salvaguardas
Incapacidad financiera a largo plazo 5 Implementar salvaguardas
Deterioracin de los instrumentos de la empresa 5 Implementar salvaguardas

Los implementos no llegan a tiempo 5 Implementar salvaguardas
Manipulacin inadecuada de implementos de escritorio 5 Implementar salvaguardas
Cambios regulatorios 4 Implementar salvaguardas
Aparicin de nuevas competencias 4 Implementar salvaguardas
Discontinuidad laboral 4 Implementar salvaguardas
Nuevas ofertas laborales 4 Implementar salvaguardas
Faltas y permisos 4 Implementar salvaguardas
No disponibilidad inmediata de proveedores 3 Implementar salvaguardas
Robo de material informtico 5 Implementar salvaguardas
Robo de la mercanca 5 Implementar salvaguardas
Incendios 4 Implementar salvaguardas
No se hace back up o se hace mal 4 Implementar salvaguardas
Prdida de Informacin 4 Implementar salvaguardas
Fallas en programa de computo 4 Implementar salvaguardas
Destruccin del documento 3 Implementar salvaguardas
Divulgacin de informacin no autorizada 3 Implementar salvaguardas

Terremotos 4 Implementar salvaguardas
Inundaciones 4 Implementar salvaguardas
Tabla 18: Evaluacin del riesgo
30
1.2. Fase 3: Implementacin de Salvaguardas

Nro. Salvaguardas
1 Control de asistencia biomtrica.
2 Plan de accin.
3 Plan de contingencia.
4 Sistema de vigilancia.
5 Sistema de Alarmas.
6 Mantenimientos y soportes de acuerdo al plan de accin.
7 Capacitaciones e incentivos
8 Verificacin trimestral de licencias de software
9 Proteccin de la informacin de personal no autorizado

Tabla 19: Implementacin de salvaguardas
31
VI. CONCLUSIONES Y RECOMENDACIONES
1. Conclusiones
En la evaluacin realizada en el rea de TI/SI de la empresa DEYFOR E.I.R.L. Servicios
Generales se lograron detectar diferentes tipos de riesgos que pueden llegar a afectar a
31 activos, para lo cual se seleccion los salvaguardas identificados por la herramienta
PILAR que se podran aplicar a la empresa para minimizar los riesgos encontrados.
Se llega a la conclusin que se deber implementar los controles seleccionados para el

rea de TI/SI y a su vez tratar de prever una o varias situaciones que deriven en un
siniestro, fallo o dao que pueda generar una paralizacin parcial o definitiva en las
operaciones de la empresa en el mbito informtico.
2. Recomendaciones
Se recomienda que, para alcanzar una seguridad de la informacin aceptable, la
empresa DEYFOR E.I.R.L, la misma deber implementar los salvaguardas antes
mencionados para cada uno de los riesgos encontrados.
32
VII. REFERENCIAS BIBLIOGRFICAS
[1] A. Ramrez Castro y Z. Ortiz Bayona, Gestin de Riesgos tecnolgicos basada en ISO 31000 e
ISO 27005 y su aporte a la continuidad de negocios, Caldas, 2011.
[2] Universidad Virtual Disaster Recovery, Disaster Recovery, [En lnea]. Available:
https://universidadvirtual.sdr.com.mx/pluginfile.php/1284/mod_resource/content/2/RA%20-
%20Unidad%202.pdf. [ltimo acceso: 5 Noviembre 2017].
[3] M. F. M. Miranda, Propuesta de un plan de gestin de riesgos de tecnologa aplicada en la

Escuela Superior Politcnica del Litoral, Litoral, 2015.
[4] Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la

Administracin Electrnica, MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin., Ministerio de Hacienda y Administraciones
Pblicas, Madrid, 2012.
[5] MINTIC, Vive Digital, Todos por un Nuevo Pais, Gua para la Gestin y Clasificacin de Activos
de Informacin, Colombia, 2016.
[6] J. Sosa, Anlisis de Riesgos, 2012.
[7] K. d. R. G. Vsquez, Aplicacin de la metodologa Magerit para el anlisis y gestion de riesgos

de la seguridad de la informacin aplicado a la empresa pesquera e industrial Bravitos S.A.,
Machala, 2013.
[8] Ministerio de Tecnologas de la Informacin y las Comunicaciones de Colombia. , Seguridad

y privacidad de la informacin, Bogota, 2016.
33
VIII. ANEXOS
34

MetodologiaPropuesta AplicacionEmpresa

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MetodologiaPropuesta AplicacionEmpresa

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL DE

METODOLOGA DE GESTIN DE RIESGOS DE SEGURIDAD DE LA

CURSO : Gestin de Riesgos y Seguridad de la Informacin

Cajamarca, Noviembre del 2017

UNIVERSIDAD NACIONAL DE CAJAMARCA FACULTA DE INGENIERA

METODOLOGA DEL PROCESO DE GESTIN DE RIESGOS

ROL NOMBRE VERSIN

ALIAGA ALVAREZ, IVN

REVISIN ING. EDWIN VALENCIA CASTILLO

1.2.1.1. Identificar activos ............................................................................................ 21

I. METODOLOGA DE GESTIN DEL RIESGO

La metodologa propuesta est basada en las metodologas de anlisis y gestin de riesgos

Ilustracin 1: Proceso de Gestin de Riesgos Propuesta

Primero se establece el contexto externo para conocer la interaccin que tiene la

En el contexto interno la administracin de riesgos regir el diseo y establecimiento de

2. Estudio del Riesgo

Se identifica de forma cuantitativa o cualitativa los riesgos y les da prioridad a los

Ilustracin 2: Fases para el estudio del riesgo

2.1. Identificar Riesgo

2.1.1. Identificar activos.

En un sistema de informacin hay 2 cosas esenciales: la informacin que

Para identificar los activos se siguen los siguientes pasos:

1. Definir todos los bienes y servicios relevantes para la

El resultado de este proceso ser un inventario de activos el cual debe

2.1.2. Valorizacin de activos.

La importancia del Activo resultar del promedio (redondeado hacia

Importancia Del Activo

2.1.3. Identificar amenazas.

Las fuentes de amenazas comunes pueden ser naturales, humanos o del

Identificar fuentes de amenazas para ello se encuentran los siguientes

Las amenazas naturales, inundaciones, terremotos, tornados,

1. Listar amenazas. Se realiza un listado con todas las amenazas

Probabilidad de Ocurrencia de Amenazas

2.1.4. Identificar vulnerabilidades.

Para identificar las vulnerabilidades se siguen los siguientes pasos:

1. Identificar puntos dbiles de los grupos de activos

2.1.5. Estimar impacto.

1. Para ello primero se determina el valor de degradacin del activo

Escala Valor de Degradacin

2. Luego se determina el valor del impacto, para ello se toma el valor

DEGRADACIN CID MXIMA

3. El impacto se valora para cada situacin de riesgo considerada,

5 Muy Grave o Severo para la Organizacin

4 Grave para la Organizacin

3 Moderado/Importante para la Organizacin

2 Menor para la Organizacin

1 Irrelevante para la Organizacin

Tabla 6: Estimacin de Impacto

2.2. Anlisis del Riesgo

Se realiza cualitativa y cuantitativamente, para esto se utiliza una escala de

2.2.1. Estimar riesgo.

La probabilidad de una determinada amenaza.

Muy Alto: 81 100

2.3. Evaluacin del Riesgo

Aqu estn los factores de percepcin de estrategia y de poltica permitiendo tomar

Nivel de Riesgo Decisin

Muy Bajo No Implementar Salvaguardas

El trmino Salvaguarda es tambin utilizado como sinnimo de control o contramedida.

Controles preventivos. sirven para que la amenaza no cumpla con su objetivo

Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al

Eficacia Nivel Madurez Estado

4. Aceptacin del Riesgo

Activos nuevos que se han incluido en el alcance de la gestin del riesgo.