Professional Documents
Culture Documents
CAJAMARCA
FACULTAD DE INGENIERA
ESCUELA ACADMICO PROFESIONAL DE
INGENIERA DE SISTEMAS
2
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
ndice
I. METODOLOGA DE GESTIN DEL RIESGO ..................................................................... 6
1. Determinar Contexto .................................................................................................... 6
2. Estudio del Riesgo ......................................................................................................... 7
2.1. Identificar Riesgo ....................................................................................................... 7
2.1.1. Identificar activos. ................................................................................................. 7
2.1.2. Valorizacin de activos. ......................................................................................... 8
2.1.3. Identificar amenazas. ............................................................................................ 9
2.1.4. Identificar vulnerabilidades. .................................................................................. 9
2.1.5. Estimar impacto. ................................................................................................. 10
2.2. Anlisis del Riesgo ................................................................................................... 11
2.2.1. Estimar riesgo. ..................................................................................................... 11
2.3. Evaluacin del Riesgo .............................................................................................. 12
3. Implementacin de Salvaguardas ............................................................................... 13
4. Aceptacin del Riesgo ................................................................................................. 13
5. Monitoreo y Control.................................................................................................... 14
6. Comunicacin del Riesgo ............................................................................................ 14
II. DESCRIPCIN DE LA EMPRESA ..................................................................................... 15
1. Resumen histrico de la empresa ............................................................................... 15
2. Estructura Organizacional ........................................................................................... 16
3. Misin y Visin ............................................................................................................ 18
3.1. Misin ...................................................................................................................... 18
3.2. Visin ....................................................................................................................... 19
3.3. Valores..................................................................................................................... 19
4. Informacin adicional.................................................................................................. 19
III. ALCANCE ..................................................................................................................... 19
IV. LIMITACIONES ............................................................................................................ 19
V. APLICACIN DE LA METODOLOGA ............................................................................. 20
1. Fases de la Metodologa.............................................................................................. 20
1.1. Fase 1: Determinar Contexto .................................................................................. 20
1.1.1. Contexto Externo................................................................................................. 20
1.1.2. Determinar Contexto Interno.............................................................................. 20
1.2. Fase 2: Estudio del Riesgo ....................................................................................... 21
1.2.1. Identificacin de Riesgo ...................................................................................... 21
3
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
4
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
ndice de Tablas
Tabla 1: Valoracin de Activos ...................................................................................................... 8
Tabla 2: Importancia del Activo .................................................................................................... 8
Tabla 3: Probabilidad de Ocurrencias de Amenazas ..................................................................... 9
Tabla 4: Valor de degradacin del activo .................................................................................... 10
Tabla 5: Matriz de impacto ......................................................................................................... 10
Tabla 6: Estimacin de Impacto .................................................................................................. 11
Tabla 7: Matriz de Nivel de Riesgo .............................................................................................. 12
Tabla 8: Decisin de Implementacin de Salvaguardas .............................................................. 12
Tabla 9: Valoracin de Salvaguardas ........................................................................................... 13
Tabla 10: Contexto Externo ......................................................................................................... 20
Tabla 11: Contexto Interno ......................................................................................................... 20
Tabla 12: Identificacin de Activos ............................................................................................. 23
Tabla 13: Valorizacin de Activos................................................................................................ 24
Tabla 14: Identificacin de Amenazas......................................................................................... 25
Tabla 15: Identificacin de Vulnerabilidades por Agrupacin de Activos................................... 26
Tabla 16: Estimacin de Impacto ................................................................................................ 28
Tabla 17: Estimacin de riesgo .................................................................................................... 29
Tabla 18: Evaluacin del riesgo ................................................................................................... 30
Tabla 19: Implementacin de salvaguardas ................................................................................ 31
ndice de Ilustraciones
Ilustracin 1: Proceso de Gestin de Riesgos Propuesta .............................................................. 6
Ilustracin 2: Fases para el estudio del riesgo .............................................................................. 7
Ilustracin 3: Organigrama DEYFOR E.I.R.L. Servicios Generales ................................................ 16
5
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
1. Determinar Contexto
El proceso para determinar el contexto consiste en establecer tanto el contexto interno,
que incluye misin, visin, polticas, objetivos, estrategias, metas, roles y
responsabilidades, estructura, normatividad entre otros; y el contexto externo, en el
cual deben considerarse aspectos como la competencia, regulaciones legales que
apliquen, economa, poltica, tecnologa, cultura y los dems aspectos que se consideren
necesarios de la organizacin [1]. Estos establecen el alcance y los lmites del proceso.
6
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Identicar
Analizar
Evaluar
7
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Valoracin Activos
CUALITATIVOS CUANTITATIVOS
Muy Bajo 1
Bajo 2
Medio 3
Alto 4
Muy Alto 5
Tabla 1: Valoracin de Activos
8
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
9
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Muy Muy
MATRIZ DE IMPACTO Bajo Medio Alto
Bajo Alto
1 2 3 4 5
Muy
1 1 1 2 3 3
IMPORTANCIA DE ACTIVO
Bajo
Bajo 2 1 2 3 3 3
Medio 3 2 3 3 3 4
Alto 4 3 3 3 4 5
Muy
5 3 3 4 5 5
Alto
Tabla 5: Matriz de impacto
10
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Estimacin Impacto
11
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Impacto
Probabilidad
de Amenaza Muy Bajo Bajo (40) Medio (60) Alto (80) Muy Alto (|00)
(20)
Muy Alto (1.0) Muy Bajo Bajo Medio Alto Muy Alto
20 x 1.0 = 20 40 x 1.0 =40 60 x 1.0 = 60 80 x 1.0 = 80 100 x 1.0 = 100
Alto (0.8) Muy Bajo Bajo Medio Alto Alto
20 x 0.8 = 16 40 x 0.8 = 32 60 x 0.8 = 48 80 x 0.8 = 64 100 x 0.8 = 80
Medio (0.6) Muy Bajo Bajo Bajo Medio Medio
20 x 0.6 = 12 40 x 0.6 = 24 60 x 0.6 = 36 80 x 0.6 = 48 100 x 0.6 = 60
Bajo (0.4) Muy Bajo Muy Bajo Bajo Bajo Bajo
20 x 0.4 = 8 40 x 0.4 = 16 60 x 0.4 = 24 80 x 0.4 = 32 100 x 0.4 = 40
Muy Bajo (0.2) Muy Bajo Muy Bajo Muy Bajo Muy Bajo Muy Bajo
20 x 0.2 = 4 40 x 0.2 = 8 60 x 0.2 = 12 80 x 0.2 = 16 100 x 0.2 = 20
Tabla 7: Matriz de Nivel de Riesgo
12
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
3. Implementacin de Salvaguardas
Significa llevar a la prctica o ejecucin las polticas, procedimientos, guas, prcticas,
nuevos equipos o nuevas estructuras organizacionales; las cuales pueden tener
naturaleza administrativa, tcnica, legal o de gestin para el manejo del riesgo.
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una
meta de nivel de riesgo deseable, pero con disposiciones para que la alta
direccin acepte los riesgos.
Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre
el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado
Los diferentes criterios de aceptacin del riesgo pueden aplicar a diferentes
clases de riesgos, por ejemplo, los riesgos que podran resultar en
incumplimiento con reglamentos o leyes podran no ser aceptados, aunque se
puede permitir la aceptacin de riesgos altos si esto se especifica como un
requisito contractual.
13
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento
adicional en el futuro, por ejemplo, se puede aceptar un riesgo si existe
aprobacin y compromiso para ejecutar acciones que reduzcan dicho riesgo
hasta un nivel aceptable en un periodo definido de tiempo [8].
5. Monitoreo y Control
En esta fase se realiza el seguimiento revisin y control de los siguientes aspectos:
14
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
15
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
2. Estructura Organizacional
16
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Gerencia:
Documentacin de Proyectos a exponer a sus clientes.
Dirigir y controlar el desempeo de las reas.
Ser el representante legal de la empresa.
Velar por el respecto de las normativas y reglamentos vigentes.
rea de Contabilidad:
Pago de planillas.
Documentacin respecto a las rdenes de compra generadas diariamente.
Compra de suministros a proveedores.
Realizar informe de estados financieros de la empresa.
Efectuar los anlisis de los saldos de la cuenta de la empresa y los trabajadores.
rea de Administracin:
Realizar reportes diarios de las actividades de la empresa.
Control de avances del rea de supervisin.
Control y anlisis del estado de taller y oficina.
Conciliar mensualmente los ingresos y egresos de los Centros de Produccin.
Informar oportunamente sobre la disponibilidad financiera, as como la
captacin y correcta utilizacin de los fondos.
Coordinar las reuniones de la gerencia con futuros clientes.
rea de Logstica:
Registro del stock de equipos y maquinarias en la empresa.
Registro del mantenimiento de equipos y maquinarias.
Control de recursos que posee la empresa.
Gestin de inventarios.
Proporcionar los materiales, equipos, herramientas, insumos y transportes al
Centro de Produccin.
rea de Trasportes:
Registro del stock de equipos y maquinarias en la empresa.
Registro del mantenimiento de equipos y maquinarias.
Control de recursos que posee la empresa.
Gestin de inventarios.
Proporcionar los materiales, equipos, herramientas, insumos y transportes al
Centro de Produccin.
Operaciones:
Planear, organizar, dirigir, coordinar y controlar los procesos operativos del rea
a su cargo y de los servicios de seguridad, vigilancia y resguardo.
17
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
rea de TI/SI:
Diseo y configuracin de la red que interconecta todas las reas de la empresa.
Diseo, Implementacin y Administracin de Redes de Comunicaciones.
Instalacin y configuracin de aplicaciones en los servidores.
Seleccin e instalacin de Sistemas Informticos.
Definicin de configuraciones tanto para servidores como para puestos de
trabajo.
Eleccin de Sistemas Operativos.
Administracin de Sistemas.
Administracin y gestin de Bases de Datos
Gestin de cuentas de usuario y asignacin de recursos a las mismas.
Copias de seguridad de los datos de los usuarios y recuperacin de los mismos
en caso de prdida.
Preservacin de la seguridad de los sistemas y de la privacidad de los datos de
usuario, incluyendo copias de seguridad peridicas.
Evaluacin de necesidades de recursos (memoria, discos, unidad central) y
provisin de los mismos en su caso.
Instalacin y actualizacin de utilidades de software.
Reparacin y mantenimiento de equipos
3. Misin y Visin
3.1. Misin
Consolidarnos antes del ao 2020 como una empresa lder y sostenible dedicada a
la prestacin de servicios en obras civiles, proyectos e infraestructuras metlicas
con un incremento en la participacin ao a ao mediante procesos eficientes para
la satisfaccin de las expectativas de los clientes y la sociedad bajo un marco de
18
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
3.2. Visin
Proveer soluciones de la construccin y la prestacin de servicios generales con el
compromiso de calidad y liderazgo de nuestra gente.
3.3. Valores
La calidad de Servicio.
La implicacin y trabajo en equipo
El respeto y la tica
La organizacin y el rigor
La innovacin y la mejora continua
La orientacin al cliente
La solidez y la experiencia
La responsabilidad Social
4. Informacin adicional
Nombre : DEYFOR E.I.R.L. SERVICIOS GENERALES
RUC : 20453830323
DIRECCIN : Jr. Ortiz Snchez N 187 - Cajamarca
Jr. Antonio Astopilco 537 - Cajamarca
III. ALCANCE
IV. LIMITACIONES
19
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
V. APLICACIN DE LA METODOLOGA
1. Fases de la Metodologa
1.1. Fase 1: Determinar Contexto
1.1.1. Contexto Externo
Factores Externos
01 Responsabilidad social
Social
02 Empleos
Cultural 03 Eventos culturales
Poltico 04 Cambios de gobierno
Legal 05 Asesoramiento legal
Tecnolgico 06 Comercio electrnico
07 Liquidez
Econmico
08 Ganancias/prdidas
09 Residuos
Medioambiental 10 Catstrofes naturales
11 Desarrollo sostenible
Tabla 10: Contexto Externo
01 Talleres
Infraestructura
02 Oficinas
06 Pgina web
07 Redes y Comunicaciones
Tecnologa
08 Sistemas de Informacin
09 Computadoras e Impresoras
Tabla 11: Contexto Interno
20
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Jefe de
AE002 Informe de finanzas Registro de las finanzas de la organizacin
contabilidad
21
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
22
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Asistente de
I007 Infraestructura de TI Cuarto de comunicaciones, planos de redes
redes
I010 Medios extrables Dispositivos de salida (CD, DVD, USB, etc.) Asistente de SI
I012 Equipos topogrficos Equipos GPS, Estacin total, Topgrafos, etc. rea de logstica
Responsable de la infraestructura de
P003 Asistente de redes
comunicaciones
23
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
24
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
25
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
Agrupacin Vulnerabilidades
Datos no encriptados.
26
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
27
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
28
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
29
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
30
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
2 Plan de accin.
3 Plan de contingencia.
4 Sistema de vigilancia.
5 Sistema de Alarmas.
7 Capacitaciones e incentivos
31
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
1. Conclusiones
En la evaluacin realizada en el rea de TI/SI de la empresa DEYFOR E.I.R.L. Servicios
Generales se lograron detectar diferentes tipos de riesgos que pueden llegar a afectar a
31 activos, para lo cual se seleccion los salvaguardas identificados por la herramienta
PILAR que se podran aplicar a la empresa para minimizar los riesgos encontrados.
2. Recomendaciones
Se recomienda que, para alcanzar una seguridad de la informacin aceptable, la
empresa DEYFOR E.I.R.L, la misma deber implementar los salvaguardas antes
mencionados para cada uno de los riesgos encontrados.
32
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
[1] A. Ramrez Castro y Z. Ortiz Bayona, Gestin de Riesgos tecnolgicos basada en ISO 31000 e
ISO 27005 y su aporte a la continuidad de negocios, Caldas, 2011.
[2] Universidad Virtual Disaster Recovery, Disaster Recovery, [En lnea]. Available:
https://universidadvirtual.sdr.com.mx/pluginfile.php/1284/mod_resource/content/2/RA%20-
%20Unidad%202.pdf. [ltimo acceso: 5 Noviembre 2017].
[5] MINTIC, Vive Digital, Todos por un Nuevo Pais, Gua para la Gestin y Clasificacin de Activos
de Informacin, Colombia, 2016.
33
GESTIN DE RIESGOS Y SEGURIDAD DE LA INFORMACIN
METODOLOGA DEL PROCESO DE
INGENIERA GUA GESTIN DE RIESGOS DE VERSIN 1.1
DE SISTEMAS SEGURIDAD DE LA INFORMACIN
VIII. ANEXOS
34