ANÁLISIS CASO SIMÓN lll

APRENDIZ
JORGE FERNEY MÁRQUEZ SOLANO

INSTRUCTOR
JAVIER PÉREZ CAMPO

ACTIVIDAD DE APRENDIZAJE N°4

GESTIÓN DE LA SEGURIDAD INFORMÁTICA
SERVICIO NACIONAL DE APRENDIZAJE-SENA
2019
3.4 Actividades de transferencia del conocimiento.
Evidencia Informe: “Análisis de caso: Simón III”
Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo
identificado los activos de información en la semana 3, Simón desea saber cuál es
la valoración del riesgo presente en cada uno de los activos de la empresa y de qué
manera puede aplicar las normas y metodologías de seguridad informática. Para
ello siga las instrucciones de la guía de aprendizaje. Para ello, realice lo siguiente:
Para ello, realice lo siguiente:
1.Analice el objeto de aprendizaje (OA) "Valoración de riesgos”, el cual se encuentra
en la ruta:
Opción del menú del curso “Materiales del programa”
Subcarpeta Materiales de formación
Subcarpeta Materiales Actividad de aprendizaje 4
2. Puede documentarse con el material de apoyo para la semana 4.
3. Una vez termine de documentarse debe entregar como evidencia lo siguiente:
Elabore un documento en Word donde mencione y explique los riesgos presentes
en cada uno de los activos de la empresa.

Solución.

Valoración de riesgos
Para realizar la valoración del riesgo, se debe identificar los activos de información
de la empresa, y determinar el valor de éstos. Con estos elementos, se procede a
identificar el grado de exposición e impacto que puede generar a la organización, si
los activos son alterados de alguna forma.
Los tipos de riesgos presentes en la empresa de Simón son:
Riesgos internos: Sus fuentes se dan dentro de la organización. En este caso se
puede evidenciar los trabajadores de la empresa.
Riesgos externos: Sus fuentes se dan fuera de la organización. Cualquier intruso
que pueda ingresar al sistema y robar la información o personal que realice
mantenimiento a los equipos y se convierta en una potente amenaza.
Riesgo de Negocios: Es el riego de los negocios estratégicos de la empresa y de
sus procesos claves. En otras palabras, es un riesgo crítico de la empresa. Riesgo
en cuanto a la competitividad en la actividad realizada y al servicio prestado.
Riesgo Inherente: Es la posibilidad de errores o irregularidades en la información
financiera, administrativa u operativa, antes de considerar la efectividad de los
controles internos diseñados y aplicados por la organización. Debido a que la
principal actividad de la empresa de Simón es de llevar la contabilidad de
microempresas este tipo de riesgos se ajusta en gran manera, por lo cual la
seguridad y la organización deben ser prioritarias.
Riesgo de Tecnología: Se asocia con la capacidad de la empresa en que la
tecnología disponible satisfaga las necesidades actuales y futuras de la empresa y
soporten el cumplimiento de la misión.

Identificación de activos.
Tipo Definición Ejemplo
Servicios Función que se realiza para satisfacer Servicios que se presentan
las necesidades de los usuarios. para las necesidades de la
colectividad
Datos/informaci Elementos de información que de Base de datos,
ón alguna forma, representan el reglamentos,
conocimiento que se tiene
Software Elementos que nos permiten Programas, aplicativos.
automatizar las tareas,
Equipos Bienes materiales, físicos, soportados Computadores, video
informáticos destinar servicios. beam. Etc.
Hardware Dispositivos temporales o Impresora, video beam,
permanentes de los datos, soporte de switche, etc.
las aplicaciones, proceso de la
transmisión de datos.
Redes de Instalaciones dedicadas como Red local, internet, red
telecomunicaci servicios de telecomunicaciones, telefónica, redes
ones. centrándose en que son medios de inalámbricas.
transporte que llevan datos de un
lugar a otro
Soportes de Dispositivos físicos que permiten Memorias USB, discos
información almacenar información de forma duros
permanente
Instalaciones Lugar donde se hospedan los sistemas Edificios, oficinas.
informáticos y comunicaciones
Personal Personas relacionadas con los Administradores, usuarios.
sistemas de información
 Valoración de los activos.

Escala de Valor Descripción

valoración

MB: muy bajo 1 Irrelevante para efectos prácticos

B: Bajo 2 Importancia menor para el desarrollo del

proyecto

M: Medio 3 Importante para el proyecto

A: Alto 4 Altamente importante para el proyecto

MA: Muy alto. 5 De vital importancia para los objetivos que se

persigue.

Escala de Valor Descripción

valoración
MB: muy bajo 1 0 a 500.000

B: Bajo 2 501.000 a 1.500.000

M: Medio 3 1.501.000 a 3.000.000

A: Alto 4 3.001.000 a 5.000.000

MA: Muy alto. 5 5.000.001 o mas

 Identificación del riesgo.

amenaza Descripción

Fuego Incendios. Posibilidad que un incendio acabe

con los recursos del sistema.

Daños por agua Inundaciones. Posibilidad que el agua acabe

con los recursos del sistema

Desastres naturales Rayos, tormenta eléctrica, terremoto, etc.

Contaminación electromagnética Interferencias de radio, campos magnéticos,

luz ultravioleta.

Avería de origen físico o lógico Fallas en los equipos, programas.

Corte del suministro electico Cese de alimentación de la potencia eléctrica

Fallos de servicios de comunicación Cese de la capacidad de transmitir datos de

un sitio a otro

Degradación de los soportes de Por paso del tiempo

almacenamiento de la información

Errores de usuario Equivocaciones de las personas usando los

servicios.

Errores de administración Equivocaciones de personas con

responsabilidades de instalación y operación
Difusión de software dañino Propagación inocente de virus, gusanos,
troyanos, bombas lógica.

Escapes de información La información llega accidentalmente al

conocimiento de personas que no deberían
Tener conocimiento de ella, sin que la
información en sí misma se vea alterada
Alteración de la información Alteración accidental de la información.

Degradación de la información Esta amenaza sólo se identifica sobre datos

en general, pues cuando la información está
en algún soporte informático hay amenazas
específicas.

Divulgación de información Revelación por indiscreción, Incontinencia

verbal, medios electrónicos, soporte papel.

Suplantación de la identidad Cuando un atacante consigue hacerse pasar

por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios
del usuario

Acceso no autorizado El atacante consigue acceder a los recursos

del sistema sin tener autorización para ello,
típicamente aprovechando un fallo del
sistema de identificación y autorización.

Modificación de la Alteración intencional de la información, con

ánimo de obtener un beneficio o causar un
perjuicio.
información

Ataque destructivo Vandalismo, terrorismo.

Ingeniería social Abuso de la buena fe de las personas para

que realicen actividades que interesan a un
tercero.

Valoración del riesgo.

Valor descripción Probabilidad de la ocurrencia
MF: Muy frecuente A diario 75-100%
F: Frecuente Una vez al 50% - 75%
mes
FN: Una vez al 25% - 50%
Frecuencia año
normal
PF: Poco Cada 0-25%
frecuente varios años