AO DE LA CONSOLIDACIN DEL MAR DE GRAU

UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE INGENIERA
ESCUELA ACADMICO PROFESIONAL DE INGENIERA DE SISTEMAS Y
COMPUTACIN

GESTIN DE ACTIVOS Y GESTIN DE RIESGOS DE SEGURIDAD PARA

LA PROTECCIN DE INFORMACIN DE LABORATORIOS DE
COMPUTO EN LA INSTITUCIN EDUCATIVA SAN JUAN BOSCO.

U.E.C:

SEGURIDAD Y DESARROLLO DE APLICACIONES DE INTERNET

CATEDRATICO:

Dr. HENRY GEORGE MAQUERA QUISPE

ALUMNOS:

ALFARO TUEROS CECILIA

CORONEL RAMOS DENNIS
COSSIO DOROTEO ANTHONY
PAUCAR MARTINEZ CRISTIAN
VILLAVERDE HUATUCO RUERI

HUANCAYO-PER
2016

DEDICATORIA
El presente trabajo est dedicado a
las

personas

que

contribuyen

incondicionalmente en el proceso de
mi formacin profesional

NDICE DE CONTENIDOS
1.1. Descripcin de la organizacin...............................................................5
1.1.1. Razn social ...............................................................................5

1.1.2. Giro de Negocio...........................................................................5

1.1.3. Ubicacin.....................................................................................5
1.1.4. Organizacin...............................................................................6
Visin
Misin
2.2.

Planteamiento de Estudio............................................................6

2.3.

Identificacin de Activos............................................................10

2.4.

Identificacin de Requerimientos...............................................14

2.5.

Valoracin de Activos................................................................15
2.5.1.Descripcin de Activos......................................................16

2.6.

Gestin de Riesgos...................................................................18

2.7.

Criterio de Valoracin................................................................21
2.7.1.Dependencia de activos ..................................................25
2.7.2.Representacion Dependencia de activos .........................26

2.8.

Clasificacin de Activos.............................................................32
2.8.1.Procesos del Laboratorio de Computo..............................33
2.8.2.Normas y Polticas y Medidas de Seguridad.....................37

INTRODUCCIN
La seguridad, en informtica como en otras reas, se basa en la proteccin
de activos. Estos activos pueden ser elementos tan tangibles como
un servidor o una base de datos, o pueden ser la reputacin de una empresa.

Generalmente podemos evaluar la seguridad de un activo en base a tres

aspectos principales que no necesitan explicacin: integridad, disponibilidad,
confidencialidad.
Estos tres aspectos a su vez dependen de otros tres elementos principales que
engloban prcticamente todos los distintos controles que se pueden establecer
en un sistema informtico:
Autenticacin: los clientes de nuestras aplicaciones o servicios deben ser
identificados

de

forma

nica,

sean

usuarios

finales,

otros

servicios

o computadoras externas.
Autorizacin: no solo es necesario saber quines acceden a nuestros activos,
tambin es necesario establecer que es lo que pueden hacer con ellos. Un
nivel de autorizacin dado determina qu tipo de operaciones o transacciones
puede efectuar un cliente dado sobre un recurso dado.
Registro y Auditoria: luego de efectuada una operacin, es importante que esta
sea registrada adecuadamente, en particular es esencial si queremos evitar el
repudio de transacciones efectuada por un cliente.
Desarrolladores, diseadores y administradores de la aplicacin, como por una
eventual auditora de sistemas.

CAPITULO I
GENERALIDADES
En este captulo se analizar los aspectos generales del proyecto como
son el planteamiento del problema, formulacin del problema, objetivo
general, justificacin terica, metodolgica y prctica.
As como tambin la hiptesis, tipo de investigacin, nivel de investigacin
y el sistema de referencia.
1.1.

Descripcin de la Organizacin
1.1.2. Razn Social
Colegio San Juan Bosco
1.1.3. Giro de Negocio
Colegio San Juan Bosco, es una empresa del sector privado,
cuya actividad econmica es la de prestar servicios de
educacin, con el compromiso de formar lderes ntegros que
promuevan el desarrollo de nuestro pas.
1.1.4. Ubicacin
Jr. Cuzco 779 Huancayo - Junn Per

Fig. 1.1 ubicacin de la Institucin

Fuente (Google Maps)
1.1.4. Organizacin
Visin
Al 2020 ser una Institucin reconocida a nivel nacional
por nuestra excelencia acadmica y formacin integral
de nios y jvenes acorde a los estndares educativos
internacionales.
Misin
Brindar una educacin con calidad humana, a travs
de nuestro modelo EDUCAV.

2. PLANTEAMIENTO DEL ESTUDIO

En el Centro educativo particular San Juan Bosco se registraron:
El estudio desarrollado se enfoca al centro de cmputo, la complejidad de

los problemas que lo aquejan es diversa. Entre los ms comunes

podemos mencionar los problemas ocasionados por personas (ya sean
trabajadores de la organizacin o usuarios), problemas en las mquinas y
problemas en los programas, ya sean paquetes utilizados o los programas
que se construyen para los usuarios, adems de los problemas
relacionados con la construccin que alberga las computadoras.
Los problemas comunes dentro del centro de cmputo se clasifican en:

2.1.

Problemas de hardware
Problemas de software
Problemas de recursos humanos
Problemas de instalaciones fsicas

PROBLEMAS DE HARDWARE
a. Vandalismo. - Destruccin del equipo por parte de usuarios,
principalmente en centros de cmputo.
b. Obsolescencia de equipos. - El acelerado paso en la
innovacin de los equipos, es de particular importancia para los
propietarios de los centros de cmputo, y se vuelve un
problema ya que es necesario estar actualizando tanto el
software como el hardware. Discos duros ms veloces y de
mayor capacidad, perifricos que amplan su rango de accin,
impresoras con mayor nitidez, etc.
c. Consumibles. - La colocacin estratgica y el suministro
adecuado de los recursos que requieren las computadoras para
su funcionamiento, es de vital importancia y se vuelve un
problema, sobre todo de tiempo, cuando no estn disponibles
en el momento.
d. Mantenimiento inadecuado. - Deben existir programas de
mantenimiento y cumplirse al pie de la letra, ya que el retraso
en las actividades de limpieza en los equipos por lo general da
como resultado daos en los mismos.

2.2.

PROBLEMAS DE SOFTWARE

a. Accesos no autorizados. - La informacin, como recurso

valioso de una organizacin, est expuesta a actos tanto
intencionales

como

accidentales

de

violacin

de

su

confidencialidad, alteracin, borrados y copia, por lo que se

hace necesario que el usuario, propietario de esa informacin,
adopte medidas de proteccin contra accesos no autorizados.
Las siguientes recomendaciones, ofrecen la posibilidad de
habilitar cierto grado de proteccin con los medios actualmente
disponibles en las organizaciones:

Clave de autorizacin de encendido.- Este es un recurso

de proteccin disponible en todos los equipos de cmputo,
se habilita al momento de configurar el equipo y es una
clave que ser solicitada como primer paso de inicializacin
despus de encendido el equipo.

Copias y/o backups de respaldo. - As como se protege la

informacin

contra

accesos no

autorizados y como

complemento a las copias peridicas que cada usuario

obtiene de su propia informacin, es tambin importante
mantener en lugar seguro y externo al sitio de trabajo,
copias actualizadas de la informacin VITAL de cada
dependencia,

con

el

fin

de

garantizar

la

oportuna

recuperacin de datos y programas en caso de prdidas o

daos en el computador.

Proteccin contra virus. - Dentro de la infinidad de virus

detectados en el mundo entero y fcilmente reproducidos
por el uso y copia de software "pirata", utilizacin de
disquetes ya "infectados", va E-Mail, es recomendable
contar con un software antivirus instalado en el computador

para proteger la informacin almacenada en el mismo.

2.3.

PROBLEMAS DE RECURSOS HUMANOS

El principal factor que provoca ineficiencia proviene de una
mala administracin del Centro de Cmputo, en otras
palabras, los jefes de un centro de cmputo no tienen una
formacin

adecuada

para

mantener

en

ptimas

condiciones el flujo de las actividades llevadas a cabo.

Una caractersticas comn en los jefes de los centros de
cmputo, es la de comprometerse a entregar un proyecto
en un lapso de tiempo calculado al "tanteo", es decir, la
falta de conocimiento o tacto al evaluar el tiempo de
duracin del desarrollo de una actividad, sin haber
contemplado las variables que afectaran su culminacin
exitosa; provocada, claramente por el deseo de quedar
bien con los directivos, aun sin explicarles los lmites de los
recursos humanos y computacionales de la empresa, y
hacerles imaginar un slido lugar de trabajo.
Bsicamente nos referimos en este rubro a los problemas
que se generan por carecer de programas de capacitacin
adecuados para el personal que labora en un centro de
procesamiento de datos, el abandono de empleo y la falta
de

una

adecuada

supervisin

de

las

actividades

desarrolladas por el personal.

Todos

estos

factores

influyen

notablemente

en

la

productividad de un Centro de Cmputo; y las soluciones a

los mismos pueden concretarse por simple deduccin.
Aunque en menor escala, no por ello debe olvidarse, la
sustraccin

no

autorizada

de

perifricos o partes de la mquina.

dispositivos

ya

sean

2.3.1. PROBLEMAS DE LAS INSTALACIONES FSICAS

Anlisis

seleccionar los riesgos a ser controlados.

Categoras de riesgos:
Desastres naturales: inundaciones, temblores,

de

riesgos.

- Identificar,

evaluar

rayos, erupciones. Accidentes: descuidos, falta de

prevencin, falta de precaucin.
Vandalismo: Destruccin en contra del Centro de

Cmputo

afectando

instalaciones,

programas, datos, documentacin.

Robo:
de
informacin,
fraude

equipo,
monetario,

alteraciones en nmina.
3. IDENTIFICACIN DE ACTIVOS

Esta actividad determina los activos de Informacin del Centro educativo

particular San Juan Bosco. La tipificacin de los activos se desarroll
aplicando la metodologa Magerit v3 en su libro II -Catalogo de Elementos,
esta tipificacin debe contemplar unificar como un activo a todos aquellos
recursos que tengan caractersticas comunes y que la informacin que
administra, procesa o almacena tenga el mismo grado de criticidad,
confidencialidad y disponibilidad.
Para la identificacin de los activos se utilizaron los datos proporcionados
por el administrador, y para facilitar el anlisis y gestin de riesgos se han
dividido los activos en cinco categoras de informacin, a continuacin, se
detalla cada una de las seis categoras:
1. Activos de Informacin
Documentaciones
Documentacione Documentaciones
s
Activos

Contratos con los clientes

Contratos con los proveedores
Facturas
Memos
Oficios
Reglamentos

Papel
Tarjeta

2. Activos tecnolgicos
Paquete do programas o software estndar
Descripcin
El software estndar o paquete de programas es un
producto comercializado como tal (y no como desarrollo
nico o especfico) con soporte, versin y mantenimiento.
Presta un servicio genrico a los usuarios y a las
aplicaciones pero no es personalizado o especifico como la
Activos

aplicacin profesional.
Antivirus Symantec Cliente. Software de contabilidad
Software de atencin al cliente.
Microsoft Visio Nero Suite
Microsoft Visual Estudio, Microsoft Project y Adobe
Illustrator

Software de Aplicacin de Oficina

Descripcin
Datos y servicios informticos compartidos y privados. Que
utilizan los protocolos y tecnologas de comunicacin (por
Activos

ejemplo, tecnologa de Internet).

Aplicacin Oracle para acceso a la informacin de usuarios

Hardware Porttil
Descripcin

Hardware informtico diseado para poder ser transportado

Activos
Descripcin

manualmente con el fin de utilizarlo en lugares diferentes.

Porttil
Hardware informtico que pertenece al organismo o que es

Activos

utilizado en los locales del organismo

Estaciones de trabajo.

Servidores
Descripcin

Hardware informtico que pertenece al organismo y maneja

Activos

informacin importante de la empresa y clientes.

Servidor de Base de datos Servidor de Correo electrnico
Servidor do Dominio Servidor IAS (Internet Access Srver)

Soporte electrnico
Descripcin

Soporte informtico conectado a una computadora o a una

red informtica para el almacenamiento de datos.
Susceptible de almacenar un gran volumen de datos sin
modificar su pequeo tamao. Se utiliza a partir de equipo

Activos

informtico estndar.
CD ROM. Disco duro extrable. memoria extrable

Infraestructura
Establecimiento
Descripcin
El tipo establecimiento est formado por el conjunto de
lugares que contienen todo o parte del sistema y los medios
Activos

fsicos necesarios para su funcionamiento.

Edificio, oficinas, zona de acceso reservado, zona protegida
3. Sistema de Informacin

Portal extremo
Descripcin
Un portal extremo es un punto de acceso que encontrar o
utilizar un usuario cuando busque informacin o un
servicio del organismo. Los portales brindan un gran
Activos

abanico de recursos y de servicios.

Portal de informacin (Pgina Web de la empresa)

Medios de Comunicacin
Descripcin

Los medios o soportes de comunicacin y telecomunicacin

pueden caracterizarse principalmente por las caractersticas

Activos

fsicas y tcnicas del soporte.

Cableado Estructurado, tecnologa Ethernet. Cables.
Switch, MODEM. Energa elctrica

4. Personal
Empleados
Descripcin

Es el personal que manipula elementos delicados en el

marco de su actividad y que tiene una responsabilidad
particular en ese tema. Puede disponer de privilegios
particulares de acceso al sistema de informacin para
cumplir con sus tareas cotidianas

Activos

Direccin de Recursos Humanos,

Administrador del Sistema
Direccin General
5. Procesos

Sistema de Correo Electrnico

Descripcin
Dispositivo que permite, a los usuarios habilitados, el
ingreso, la consulta diferida y la transmisin de documentos
informticos o de mensajes electrnicos, a partir de
computadoras conectadas en red.
Activos
Correo electrnico interno, corres electrnico va web.
Sistema de Comunicacin
Descripcin
Servicios y equipo de telecomunicaciones brindados por un
Activos

prestador.
Lnea telefnica, central telefnica redes telefnicas
internas

2.4.

IDENTIFICACIN DE REQUERIMIENTOS
Se identificar los requerimientos de los activos de la CO en base
a los objetivos del negocio, aspectos legales para de esta manera
identificar las obligaciones del SGSI. Los requerimientos estn
determinados con respecto.

2.5.

ACTIVOS DE INFORMACIN
Los requerimientos de seguridad de la informacin deberan estn
enfocados en base a la Confidencialidad. Disponibilidad e
Integridad. La informacin no debera ser vista por personal no
autorizado la informacin puede ser modificada nicamente por
personal autorizado La informacin debera estar disponible en
cualquier momento

2.6.

SOFTWARE
Si el Software es comercial la confidencialidad no aplica, para
software propietario de la organizacin existe el requerimiento de
confidencialidad.
Las aplicaciones no deberan ser utilizadas por personal no

autorizado.
El software puede ser modificado nicamente por personal
autorizado el software, en especial aplicaciones deberan estar
disponibles al menos durante la jornada laboral.
2.7.

ACTIVOS FSICOS
Para los activos fsicos se debe enfocar los requerimientos de
hardware, no en la informacin que procesen, que transmitan o
almacenen.
Los cambios en el Hardware deben ser realizados nicamente por
personal autorizado el Hardware debe ser accesible por el
personal autorizado al menos durante la jornada laboral.

2.8.

SERVICIOS
Los servicios agrupan informacin, software y activos fsicos, se
deben especificar los requerimientos en base a los aspectos ms
importantes.
Los servicios deberan ser consistentes y completos los servicios
deberan estar disponibles cuando ser requiera tpicamente la
confidencialidad no aplica a servicios, sin embargo, depende de la
naturaleza del servicio.

2.9.

PERSONAS
Para las personas los requerimientos nicamente se enfocan en
la disponibilidad de las personas. Por ejemplo:
El administrador del sistema debe proveer el funcionamiento
correcto de los servicios de la red y sistemas (Disponibilidad del
personal)

2.5. VALORACION DE ACTIVOS.

EL objetivo es identificar la valoracin de todos les activos dentro del
alcance del S3SI, indicando que impacto puede sufrir el negocio con
la prdida de Confidencialidad, Integridad, Disponibilidad.
Para obtener esta valoracin, se realizaron Aseveraciones con el

personal encargado de cada proceso; que conocen la importancia de

cada activo dentro de la empresa, para as determinar los niveles de
Confidencialidad, Integridad y Disponibilidad requeridos para cada
proceso, que permitan cumplir con las operaciones del negocio.

ACTIVOS

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

TOTAL

Documentation y Registros.

Imagen de la empresa Reputacin

DATOS

PERSONAL
2

Hardware Porttil

PCs de oficina

Sistemas operativos

3
3
2
1
3

3
3
2
2
3

2
3
2
2
3

8
9
6
5
9

Medios y Soporte

Establecimientos

Servicio de energa

Suministros de oficina

3
3
2

2
3
2

2
3
3

Empleados

TECNOLOGIA

Servidores
Equipos de Oficina
Paquetes software estndar

INFRAESTRUCTURA

SISTEMAS DE
INFORMACION
Sistema web

PROCESOS
Servicio de correo electrnico
Sistema de operacin
Sistema de Comunicacin

2.5.1. DESCRIPCION DE ACTIVOS:

PLATAFORMA VIRTUAL

7
9
7

Es una aplicacin creada por el desarrollador de

aplicaciones para satisfacer necesidades de informacin
propias de la institucin.

SISTEMA OPERATIVO
El activo ubicado en el rea de informtica, perteneciente
a todos los equipos de cmputo de la organizacin posee
el sistema operativo de Windows 8.1 ultmate.

EQUIPOS INFORMTICOS (PC, LAPTOP, IMPRESORA)

Estos equipos son usados en el rea de informtica para
poder tener informado con las actividades, al personal
autorizado que lo requiere, son equipos de gran utilidad ya
que trata con la informacin de la institucin.

SQL SERVER 2012

Microsoft SQL Server es un sistema para la gestin de
bases de datos producido por Microsoft.

BACKUP
Este activo representa las copias de seguridad de la
informacin de la base de datos que se realizan de forma
automtica y se guarda en un disco duro, adems se
realiza una copia diaria (en DVD) y una semanal (externa)
que se entrega al jefe del rea de Informtica. Este activo
es importante para la institucin en cuanto a que debe
protegerse el acceso a las copias de seguridad porque
contienen los datos importantes y otros documentos que
son de carcter confidencial por ley.

SOFTWARE DE DESARROLLO

Este activo agrupa todos los paquetes software que se

utilizan para el desarrollo de aplicaciones, como son
Microsoft Visual Studio 2015, Microsoft Visual Fox pro 8.

ANTIVIRUS AVAST PRO

Es un programa antivirus muy completo que detecta y
elimina malware y virus de sus computadoras o dispositivo
porttiles.

NAVEGADORES
Son usados ya que son los ms comerciales e interactan
con los sistemas operativos con normalidad Mozilla
Firefox, Google Chrome y safari.

REDES DE COMUNICACIONES
La institucin tiene bajo su responsabilidad instalaciones
dedicadas al servicio de comunicaciones como intranet
donde consultan los padres de familia, tanto alumno que
dan soporte a la transferencia de datos, aplicaciones y
servicios digitales.

Red WIFI
La red de acceso inalmbrico permite la conexin de
usuarios.

Red LAN
La red de datos se encuentra ubicado en la Oficina de
Estadstica e Informtica y permite la conexin de usuarios,
administrativos a fin que puedan acceder a recursos
proporcionado por el servicio de Internet.

Cableado Estructurado
Se encuentra instalado en la institucin para su fcil acceso
a personal autorizado.

Equipos de redes
La institucin cuenta

con

Acces

point,

Switch

de

distribucin y Router
2.6. GESTIN DE RIESGOS (Fuentes de Dao)

RIESGOS E IMPACTO EN EL CENTRO DE ESTUDIO

Riegos

Perdida de datos

Informacin errnea

Daos en hardware

Perdidas econmicas

Perdida de credibilidad

Cada de red

Servidor fuera de servicio

Software mal configurado

Software desactualizado

Falta de hardware o hardware obsoleto

Ausencia de copias de seguridad o copias de seguridad

incompletas

Ausencia de seguridad en archivos digitales o archivos fsicos

confidenciales

Cuentas de usuario mal configuradas

Desconocimientos y/o falta de socializacin de normas o

polticas a los usuarios por los responsables de informtica

Ausencia de documentacin de la operacin de las aplicaciones

Impacto

Se puede contraer virus

Se pueden daar equipos de computo

Se puede acceder sin autorizacin a los sistemas de informacin

Se pueden presentar inundaciones

Se pueden presentar interrupciones en el servicio

Pueden fallar los equipos de computo

Se pueden presentar desastres naturales

Las posibles fuentes de dao que pueden causar la no operacin normal

de la compaa asociadas al Centro de Operaciones Computacionales
son:

Acceso no autorizado
Por vulneracin de los sistemas de seguridad en operacin (Ingreso
no autorizado a las instalaciones).

Ruptura de las claves de acceso al sistema computacional

a) Instalacin de software de comportamiento errtico y/o daino para
la operacin de los sistemas computacionales en uso (Virus,
sabotaje).

b) Intromisin no calificada a procesos y/o datos de los sistemas, ya

sea por curiosidad o malas intenciones.

Desastres Naturales

a) Movimientos telricos que afecten directa o indirectamente a las

instalaciones fsicas de soporte (edificios) y/o de operacin (equipos
computacionales).

b) Inundaciones causados por falla en los suministros de agua.

c) Fallas en los equipos de soporte:

Por fallas causadas por la agresividad del ambiente

Por fallas de la red de energa elctrica pblica por diferentes

razones ajenas al manejo por parte de la Compaa.

Por fallas de los equipos de acondicionamiento atmosfricos
necesarios para una adecuada operacin de los equipos

computacionales ms sensibles.
Por fallas de la comunicacin.
Por fallas en el tendido fsico de la red local.
Fallas en las telecomunicaciones con la fuerza de venta.
Fallas en las telecomunicaciones con instalaciones externas.
Por fallas de Central Telefnica.

Fallas de Personal Clave

Se considera personal clave aquel que cumple una funcin vital en el
flujo de procesamiento de datos u operacin de los Sistemas de
Informacin:
a) Personal de Informtica.

b) Gerencia, supervisores de Red.

c) Abandono de sus puestos de trabajo.

d) Otros imponderables.

Fallas de Hardware

a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s)

duro(s) como en el procesador central.

b) Falla en el hardware de Red:

- Falla en los Switches.

- Falla en el cableado de la Red.

c) Falla en el Router.

d) Falla en el FireWall.

2.7. CRITERIOS DE VALORACIN

Se realizara de acuerdo a la metodologa MAGERIT v3, ya que es
una metodologa de anlisis y gestin de riesgos de los Sistemas
de

Informacin

elaborada

por

el

Consejo

Superior

de

Administracin Electrnica para minimizar los riesgos de la

implantacin y uso de las Tecnologas de la Informacin, enfocada
a las Administraciones Pblicas.se usa las siguientes dimensiones:

Confidencialidad: qu dao causara que lo conociera quien no

debe? Esta valoracin es tpica de datos.
Integridad: qu perjuicio causara que estuviera daado o
corrupto? Esta valoracin es tpica de los datos, que pueden estar
manipulados, ser total o parcial-mente falso o, incluso, faltar datos,
Disponibilidad: qu perjuicio causara no tenerlo o no poder
utilizarlo? Esta valoracin es tpica de los servicios.
Autenticidad: qu perjuicio causara no saber exactamente quien
hace o ha hecho cada cosa?

Trazabilidad del uso del servicio: qu dao causara no saber a

quin se le presta tal servicio? O sea, quin hace qu y cundo?
Las dimensiones se utilizan para valorar las consecuencias de la
materializacin de una amenaza. La valoracin que recibe un
activo en una cierta dimensin es la medida del perjuicio para la
organizacin si el activo se ve daado en dicha dimensin.
Tabla 1.4. Degradacin del valor

muy alta

casi
seguro

fcil

alta

muy alto

medio

media

posible

difcil

baja

poco
probable

muy
difcil

MB

muy baja

muy raro

extremad
amente
difcil

MA

AMENAZA Y VULNERABILIDAD
TABLA 2.7.1. Amenaza y Vulnerabilidad por Activo de Informacin
Id
Riesg
o

Activo

Vulnerabilidad

Amenaza

Posibilidad de
que la amenza
explote la
vulnerabilidad

Impacto
estimado

Falta de manejo de
sesiones

Manipulacin de
informacin

Alto

Alto

Susceptibilidad a
variaciones de voltaje

Prdida de
suministro de
energa

Alto

Muy Alto

R3

No hay manejo de
contraseas

Intrusin invasiva y
espionaje

Alto

Muy Alto

R4

Gestin inadecuada
de la red

Saturacin de los
sistemas de
informacin

Alto

Alto

Falla de equipos de
comunicacin de red

Prdida de
comunicacin entre
equipos

Alto

Muy Alto

Ancho de banda
insuficiente

Comunicacin lenta

Alto

Alto

R1
R2

R5
R6

Computadora de
escritorio

Cableado y
servicios de red

R7

Llaves de ingreso

R8
R9

Base de datos

R10

R11

Servidores

R12

R13

Destruccin, robo o
manipulacin de
equipos y de
documentos

Alto

Muy Alto

Acceso a bases de
datos

Almacenamiento de
contraseas
negligente

Bajo

Muy Alto

Gestor de base de
datos obsoleto

Intrusin invasiva

Bajo

Muy Alto

No realizacin de
archivos de respaldo

Prdida de
informacin

Alto

Alto

Prdida de
informacin

Equipo no apto para

uso como servidor
de datos

Alto

Alto

No hay manejo de
sesiones de usuario

Acceso al sistema
por varias personas
con un solo usuario

Alto

Alto

Constantes
modificaciones de
datos sin campos de
auditoria

Alto

Muy Alto

Falta de
mecanismos de
backup

Alto

Alto

Mala administracin
de fechas

Alto

Alto

Sistema
monousuario
Modificacin de
"Acadmicus" Pos informacin
Grado
Perdida de
informacin

R14

R15

Acceso a ambientes o
instalaciones

Servicio limitado
Sistema
acadmico clienteservidor (web)

R16

Sin servicio

Corte de energa en
la institucion

Alto

Muy Alto

R17

Servidor y sistema
independiente de los
sistemas acadmicos

Data desactualizada

Alto

Muy Alto

R18

Prdida de
funcionamiento

Sistema hecho en
programa
desactualizado

Alto

Alto

R19

Informacin
inconsistente

Data desactualizada

Alto

Muy Alto

R20

Prdida de
informacin

Manipulacin por
personal no
autorizado

Alto

Alto

R21

Deterioro de
documentos

Deterioro de
documentos por
factores ambientales

Alto

Muy Alto

R22

Falta de mecanismos
de backup

Prdida de
documentos

Alto

Muy Alto

R23

Deterioro de
documentos

Alto

Muy Alto

Alto

Alto

Sistema de CUNA

Files acadmicos
de estudiantes

R24

Files de equipos
asignados a
usuario.

Prdida de
informacin

Falta de
mecanismos de
transporte
Manipulacin por
personal no
autorizado

R25

Deterioro de
documentos

Deterioro de
documentos por
factores ambientales

Alto

Muy Alto

R26

Falta de mecanismos
de backup

Prdida de
documentos

Alto

Muy Alto

R27

Deterioro de
documentos

Falta de
mecanismos de
transporte

Alto

Muy Alto

R28

Informacin no real

Actas incompletas

Alto

Muy Alto

2.7.1. DEPENDENCIA DE ACTIVOS

Un activo A puede verse afectado por la degradacin de otro
activo B. O, en otras palabras, la degradacin de un activo B
puede impactar en otro activo A.
Se dice que A depende de B en un cierto grado. Cuando A
depende de B, un perjuicio en B tiene implicaciones sobre A
(justamente

en

la

medida

que

indica

el

grado

de

dependencia). Y entonces se dice que el valor de B se ve

incrementado en la proporcin que corresponde del valor de
A. A la suma del valor propio y el repercutido desde otros
activos,

se

la

denomina dependencia

acumulada.

La

Institucin Educativa proporciona servicios en relacin a los

activos de informacin en tecnologas de T.I a lo largo de
toda la red de la organizacin. Para determinar los niveles
de dependencia entre activos fue necesario analizar bajo
que componentes est construido, entregado y soportado el
servicio.

2.7.2. Representacin Dependencia de Activos

1
Personal a Cargo

Base de Datos

Backup Principal

2
PC-Escritorio

Dispositivos Porttiles

3
Redes de comunicacin

4
Navegadores, antivirus

5
Instalaciones

Intranet

Fig2.7. 1. Representacin dependencia de activos (Diseo propio).

 DEFINICIN DE AMENAZA
Se puede definir como amenaza a todo elemento o
accin capaz de atentar contra la seguridad de la
informacin.
Las amenazas surgen a partir de la existencia de
vulnerabilidades, es decir que una amenaza slo
puede existir si existe una vulnerabilidad que pueda
ser aprovechada, e independientemente de que se
comprometa o no la seguridad de un sistema de
informacin.
Diversas situaciones, tales como el incremento y el
perfeccionamiento de las tcnicas de ingeniera
social, la falta de capacitacin y concientizacin a los
usuarios en el uso de la tecnologa, y sobre todo la
creciente rentabilidad de los ataques, han provocado
en los ltimos aos el aumento de amenazas
intencionales.
Tipos de amenazas
Las amenazas pueden clasificarse en dos tipos:

Intencionales, en caso de que deliberadamente se

intente producir un dao (por ejemplo el robo de
informacin aplicando la tcnica de trashing, la
propagacin de cdigo malicioso y las tcnicas
de ingeniera social).

No intencionales, en donde se producen acciones u

omisiones de acciones que si bien no buscan
explotar

una vulnerabilidad,

ponen

en riesgo los

activos de informacin y pueden producir un dao

(por

ejemplo

las

amenazas

fenmenos naturales).

relacionadas

con

Cmo actuar, la presencia de una amenaza es una

advertencia de que puede ser inminente el dao a
algn activo de la informacin, o bien es un indicador
de que el dao se est produciendo o ya se ha
producido. Por ello siempre debe ser reportada
como un incidente de seguridad de la informacin.
Si sospecha que existe una amenaza a algn
sistema de informacin de la Universidad, por favor
efecte el reporte del incidente.
Conceptos involucrados y su relacion

Fig2.7.2. Conceptos Involucrados (internet).

Ciclo de amenazas

Fig2.7.3 ciclo de una amenaza (internet).

DEFINICIN DE VULNERABILIDAD

Hace

referencia

sistema permitiendo

una
a

un

debilidad
atacante

en

un

violar

la

confidencialidad, integridad, disponibilidad, control

de acceso y consistencia del sistema o de sus datos
y aplicaciones.
Las vulnerabilidades son el resultado de bugs o de
fallos en el diseo del sistema. Aunque, en un
sentido ms amplio, tambin pueden ser el resultado
de las propias limitaciones tecnolgicas, porque, en
principio, no existe sistema 100% seguro.

Fig2.7.4. Conceptos vulnerabilidad (internet).

Fig. 2.7.5. Conceptos vulnerabilidad (internet).

DEFINICIN DE RIESGO

Para la estimacin de la vulnerabilidad, el costo que

genera el incidente.

Para la estimacin de la vulnerabilidad, se verifica la ocurrencia de las

amenazasen una escala de tiempo.

Parametro del grado de dao que caousa el evento.

2.8. CLASIFICACION DE ACTIVOS

ACONTESIMIE

CLASIFICACI

NTO
Insignificante

ON
0

Muy bajo

bajo

Medio

Alto

Muy alto

Grave

Activos Crticos

Nombre
Servidor

Descripcin
Intel core 2 duo

Clasificacin
6

Procesador de 3.5 GH.

HD 120 GB
26 de RAM
DVD-ROM
Computadoras

Intel Core i5

Procesador de 3.2 GH
software

4 gb de ram
Sistema operativo
Windows 8.1 ultimate
antivirus
Office
Software de diseo

Router

TP-LINK Archer C7 Router AC1750 Mbps

Banda Dual WiFi Gigabit

switch

Switch Gigabit

Administrable D-Link
L2 48 Puertos PoE

No crticos

Nombre
Escritorio
sillas
Extintor

Descripcin
Medida de 1.08 metros
Por 0.48 metros
Ergonmicas secretarial
CO2

Clasificacin
3
2
2
Descripcin de actividad
3

El usuario ya sea
docente o alumno
puede solicitar el
prstamo del
Cable UTP
Cable UTP categora 5
2
laboratorio.
Conectores
Jaks rj45
1 Cada alumno
cuenta con su
identificacin.
El encargado
verifica valides del
2.8.1. PROCESOS DEL LABORATORIO DE COMPUTOsolicitante y toma la
decisin
El encargado da
como
responsabilidad al
usuario asignado.
Cuenta con un
informe del horario
y fecha.
Verifica el
funcionamiento del
equipo
Realiza sanciones
impresora

Epson Workforce 7610

Multifuncion

Autoriza la
reparacin de
equipo

2.8.2. NORMAS,
POLITICAS
Y
MEDIDAS
DE
SEGURIDAD
2.8.2.1.
NORMAS
DEL
CENTRO
DE
CMPUTO.
Los

Centros de Cmputo estn al servicio de los

estudiantes, profesores, que requieren utilizar el
equipo de cmputo como herramienta indispensable
en las diferentes reas de la investigacin. No
obstante, para mantener un buen servicio se
presentan los derechos y deberes de los usuarios.
GENERALIDADES SOBRE EL USO DEL CENTRO
DE CMPUTO
1. Los Centros de Cmputo se utilizarn con fines
acadmicos, por lo tanto stas no deben ser utilizadas
con fines personales o de otra ndole.
2. No se permite ingresar ni ingerir alimentos o bebida
dentro de las Centros de Cmputo. Esta medida
deben cumplirla tanto estudiantes como profesores.
3. Es prohibido mover o sacar de la sala cualquier tipo
de perifrico de computacin que pertenezca al
Centro de Cmputo.
4. Todo usuario deber reportarse con el encargado y
registrarse en el Libro correspondiente.
5. Al concluir el tiempo de prctica de cada usuario, el
encargado revisar que el equipo quede en las
condiciones que se entreg.
6. En caso de presentarse algn problema con el
equipo, debe reportarse la avera, al encargado del
Centro de Cmputo.
7. Si algn estudiante o profesor es responsable por el
dao o extravo de equipo de las Salas, se le aplicar
lo que dispone el Reglamento.

GENERALIDADES DEL ENCARGADO DEL CENTRO

DE CMPUTO
1. Durante las horas de clase, es obligacin del
Encargado del Centro de Cmputo velar por el buen
uso del equipo y mobiliario. En caso de presentarse
algn problema por el mal uso o dao de los mismos.

2. Por ningn motivo el Encargado del Centro de

Cmputo debe dejar solos a los estudiantes.
Cualquier dao o sustraccin de equipo en tal
circunstancia ser responsabilidad del profesor.
3. Al inicio de cada clase es obligacin del Encargado
del Centro de Cmputo de verificar el equipo existente
y su estado en ese momento. Si hubiera algn fallante
o dao, deber anotarlo en la bitcora respectiva.
4. Si un profesor requiere instalar Un programa
especfico, deber solicitar la autorizacin al
encargado, por ninguna razn se podrn borrar los
programas existentes.
GENERALIDADES DE LOS ESTUDIANTES:
1. Es obligacin del estudiante reportar al Profesor o
Asistente de turno el mal funcionamiento del equipo.
2. Para hacer uso de la Sala cada estudiante debe
presentar el carnet respectivo y registrarse en el libro
correspondiente, adems respetar el horario asignado
para sus prcticas.
3. Es obligacin de todo estudiante cumplir con las
normas para el uso de las Salas indicado
anteriormente, de lo contrario, se le suspender el
servicio.
4. Al estudiante que no respete las normas establecidas
o haga mal uso de los equipos, de comprobrsele el
hecho, se le aplicarn las sanciones que establece el
Reglamento.
5. Se recomienda a los usuarios grabar sus trabajos en
discos flexibles siempre y cuando hayan sido
revisados por el administrador de la red. y as evitar
cualquier prdida de informacin valiosa.
6. El contenido de los discos duros de las estaciones de
trabajo y el del servidor son continuamente depurados
para evitar la saturacin de espacio. Es por lo anterior
que es responsabilidad de los usuarios el respaldar su
informacin en discos flexibles (disquetes). En caso
de dejar algn archivo en algn disco duro o el
servidor, es bajo la responsabilidad total del usuario.
El supervisor asignar al estudiante una mquina de

la que ser responsable durante el tiempo a

permanecer en su poder.
El lugar de trabajo debe quedar ordenado y limpio al
trmino de cada sesin de trabajo.
La entrada y salida deben realizarse en forma
ordenada y puntual.
El equipo, instalaciones y material de apoyo se
entregarn en buenas condiciones. En caso de
extravo o dao de equipo por parte del usuario, ste
tendr que reponerlo o pagarlo al valor de reposicin.
Las nicas personas que pueden desconectar, mover
o abrir el equipo y sus componentes, son las
autorizadas por el encargado del Centro de Cmputo.
Al terminar la sesin de trabajo, se tendr un tiempo
mximo de cinco minutos para desalojar y entregar el
material prestado, antes de terminar el turno de
trabajo

PROHIBICIONES EN EL CENTRO DE CMPUTO

1. Permanecer como espectadores en el laboratorio y/o

estar ms de una persona por mquina, salvo que el
profesor de la asignatura as lo autorice.
2. Consumir alimentos, bebidas o fumar dentro del
Centro de Cmputo.
3. Utilizar servicio de voz. sonido o imagen no
autorizados.
4. Demorar la entrega de mquina cuando sea solicitado
por el profesor o supervisor del laboratorio.
5. Conectar perifricos o instalar software al equipo sin
previa autorizacin por escrito a la direccin de la
institucin.
6. Hablar en voz alta. , o realizar alguna otra actividad
que perturbe el ambiente de estudio y trabajo.
7. Sentarse en las mesas, el piso y otros lugares no
apropiados
ASPECTOS GENERALES.

1. No comer ni tomar bebidas dentro del centro de

cmputo.
2. Hablar con un tono de voz moderado.
3. No utilizar aparatos como celulares, etc.
4. Respetar los horarios para el uso de Internet.
5. No manchar el mobiliario.
6. Se permitir mximo 1 personas por mquina.
7. Permanecer en la maquina asignada.
8. Antes de disponerse a trabajar con el equipo de
cmputo asignado, el usuario deber depositar sus
pertenencias no necesarias para la elaboracin de su
trabajo en el mueble para tal fin.
9. No se permitir el acceso o permanencia en el centro
de cmputo en horas fuera de servicio regular o en
los das en que se lleva a cabo el mantenimiento
preventivo de equipo, a excepcin del personal que
labora en el centro de cmputo.
10. El uso del centro de cmputo funciona de acuerdo
con las siguientes modalidades
Por horario bloque para el caso de prcticas
acadmicas (2 horas)
Por tiempo de demanda en el caso de que el
estudiante se le acumule tareas y requiera de tiempo
extra en las salas de computo.
11. Los profesores e instructores que tengan tiempo ciase asignada
quedan como responsables tanto de mobiliario como del equipo, as
como del comportamiento de los usuarios y del cumplimiento de
este reglamento.
12. El tiempo clase deber terminar 5 minutos antes de la finalizacin
del mismo.
13. Solo se imprimirn trabajos, tareas o investigaciones que tengan
que ver estrictamente con aspectos acadmicos.
14. El centro de cmputo cuenta con sistemas de aire acondicionado,
por lo tanto las puertas como las ventanas debern permanecer
cerradas.
15. En ningn caso se permitir el ingreso a los usuarios sin la
supervisin de un responsable del centro de cmputo y/o profesor
de la materia, segn sea el caso.
16. Por ningn motivo se permitir la entrada al Centro de Cmputo a

personas que no estn debidamente autorizadas, siendo

responsabilidad del encargado informar inmediatamente a las
autoridades correspondientes de cualquier anomala en esta
disposicin.
17. Promover el uso de recursos tecnolgicos disponibles en centro de
cmputo de manera conecta al estudiante y profesores para
establecer el uso apropiado entre el contenido educativo y los
recursos tecnolgico y de bsqueda que Internet ofrece.
18. El docente o encargado deber programar capacitaciones sobre el
uso de recursos tecnolgicos a los estudiantes.
19. Investigar sobre sitios Web, software educativos y otro de utilidad
para el apoyo de la enseanza de diferentes asignaturas.
20. Queda prohibido el uso de Internet para fines no relacionados con
temas de carcter docente y formativo accediendo a sitios no
autorizados y que puedan comprometer la seguridad de la red,
equipo y software.
21. Deber contarse con filtros de contenido y sitio para el acceso a
Internet, para evitar sitios Web con contenido impropio o no acorde
a los fines de las prcticas informticas educativas as como
contenidos inapropiados dentro de los sitios a los que no est
restringido el acceso.
22. El encargado deber bloquear inmediatamente el acceso al usuario
que sea descubierto realizando actividades no autorizadas en
Internet.
LAS OBLIGACIONES
1. LA PERMANENCIA EN EL CENTRO DE CMPUTO
OBLIGA A ACATAR LAS SIGUIENTES REGLAS:
A. Queda prohibido fumar.
B. Introducir o consumir cualquier clase de alimento
bebidas y masticar goma.
C. Depositar en el mobiliario terminales y dems partes
de equipo, todo tipo de objetos ajenos a los fines de la
prctica.
D. La conexin de todo tipo de equipo electrnico ajenos
al equipo de cmputo.
E. Tirar o dejar papeles o cualquier tipo de basura en el
piso o muebles.
F. Ingresar al centro de cmputo con equipos

electrnicos encendidos. Ejemplo celulares.

G. Utilizar el equipo de trabajo extraescolares durante
sus prcticas.
H. Utilizar el equipo para la ejecucin de juegos u otros
no autorizados.
I. Hacer uso inadecuado de las instalaciones, mobiliario
y equipo de cmputo.
J. Mover el equipo de su lugar.
K. La formacin de grupo que cusen desorden o
entorpezcan el acceso a los dems usuarios.
L. Correr en los pasillos.
M. Alzar la voz y silbar.
N. Instalar programas en los discos duros sin previa
autorizacin y su licencia de uso.
O. Mover, conectar o desconectar impresoras a otra
computadora.
P. Portar armas corto punzantes o de Fuego.
1. El usuario tiene la entera obligacin de trabajar con su
material en forma personal y de esta manera no
distraer a los dems.
2. Ninguna persona est autorizada para manipular los
controles de configuracin de monitor, a excepcin del
encargado del centro de cmputo.
3. Al utilizar cualquier equipo de cmputo, el usuario
tiene la obligacin de guardar su trabajo en un medio
magntico de lo contrario el centro de cmputo no se
hace responsable de la posible prdida de
informacin almacenada en disco duro.
4. Se sugiere al usuario del centro de cmputo respaldar
peridicamente su informacin para evitar prdidas en
caso de fallas en el suministro de energa elctrica u
otras fallas.
5. Ser obligacin de los usuarios llevar los materiales
complementarios de consumo que necesiten para sus
prcticas en el centro de cmputo.
6. Todos los usuarios tienen como obligacin tomar
todas las precauciones necesarias en caso de
ameritarlo revisar sus discos contra posible infeccin
de virus informticos.
7. Por ningn motivo se podr permitir el acceso a
Internet, a los estudiantes en las horas determinadas
para prcticas acadmicas de
los cursos

correspondientes
informtica.

diferentes

asignaturas

de

LAS RESPONSABILIDADES
1. Las sanciones que podrn aplicarse a quienes violen las
disposiciones de este reglamento o cometan daos o cualquier acto
ilcito en el centro de cmputo son de acuerdo a la falta cometida:
a. amonestacin escrita.
b. Suspensin temporal (1 semana. 1 mes. etc.)
c. Suspensin definitiva.
2. Las llamadas de atencin verbal podrn ser aplicadas de inmediato
por el encargado del Centro de Cmputo en turno quien lo registrara
y reportara a las correspondientes autoridades.
Los motivos por causas de llamadas de atencin
verbal son las siguientes:
Mover el monitor. CPU y teclado.
Mantener encendido su telfono
celular.
Escuchar msica de audio.
Mantenerse de pie sin autorizacin.
Abrir las ventanas.
Abandonar a cada momento el centro de cmputo.
3. La acumulacin de dos amonestaciones de parte de los usuarios,
ameritara la suspensin temporal (1 semana) del servicio del centro
de cmputo.
4. El usuario tendr una suspensin definitiva, en los
siguientes casos:
a) Reincidencia en el mal cumplimiento.
b) Daos o alteraciones a las instalaciones, materiales o equipo
ocasionados con negligencia.
c) Robos de material o equipo.
d) Conducta inapropiada.
e) Actos que pongan en peligro la vida o la seguridad de
terceros.
5. La suspensin temporal podr contemplar de 7 a 30 das hbiles y
se comunicara al estudiante y a las autoridades correspondientes en
forma escrita, impidiendo el ingreso de usuario al centro de

cmputo.
Restricciones de uso de los equipos.
a. Queda prohibido abrir, manipular o efectuar cambios a
los componentes fsicos que conforman el equipo de
cmputo.
b. Ningn usuario deber tener acceso al equipo que
sirva de servidor en el centro de cmputo.
c.
ENCARGADO DEL CENTRO DE CMPUTO
El encargado del centro de cmputo es la mxima
autoridad del mismo. Est obligado a:
1. Vigilar que el reglamento del Centro de Cmputo se
cumpla.
2. Cuidar del orden dentro del centro de cmputo.
3. Tener y mantener actualizadas estrategias antivirus.
4. Mantener un registro del uso del equipo del centro de
cmputo.
5. Llevar el control de apartado del equipo de cmputo.
6. Auxiliar a los usuarios cuando lo necesiten.
7. Atender las contingencias en caso de corte de
energa, cada de seal de Internet, averas en los
equipos.
8. Presentar un reporte final de su horario de trabajo, del
uso del centro de cmputo y de reporte de fallas de
equipo.
PROHIBICIONES DEL ENCARGADO DEL CENTRO
DE CMPUTO.
1. Escuchar msica dentro del centro de cmputo.
2. Hacer tareas o cualquier trabajo de ndole personal.
3. Instalar software sin la autorizacin por escrito del
director.
4. Utilizar juegos en la computadora.
5. Bajar software de Internet, sin el debido permiso.
6. El encargado del centro de cmputo administra lodos
los permisos para impresin.
LOS ESTUDIANTES
1. Los estudiantes debern reportar al encargado del

centro de cmputo cualquier falla o irregularidad

detectada en su sesin de trabajo.
2. Se puede utilizar un equipo de cmputo mximo por
dos usuarios.
3. Queda estrictamente prohibido utilizar juegos en el
centro de cmputo.
4. No se permite en ningn momento modificar las
configuraciones de los equipos de cmputo.
SEGURIDAD.
El encargado del Centro de cmputo no asume
ninguna
responsabilidad
si
los
documentos
guardados en el equipo del Centro de cmputo se
pierden o daan. Tampoco se responsabiliza por
violaciones a la seguridad ms all del castigo
adecuado a las personas responsables de tales
violaciones. Para tal caso se recomienda emplear
Programas de Filtracin con el fin de impedir la
recepcin de contenido objetable, sin embargo, estos
programas no son 100% seguros. El centro de
cmputo no asume responsabilidad alguna por el
acceso a dicho material.
POLTICAS DE SEGURIDAD
1. Confidencialidad. Esto significa que la informacin debe estar
protegida de ser copiada por cualquiera que no est explcitamente
autorizado por el propietario de dicha informacin. En este punto se
deben considerar:
2. Mantener la integridad de los datos. Esto es, proteger la informacin
(incluyendo programas) de ser borrada o alterada en cualquier
forma sin permiso del propietario o dueo de la informacin esto
implica:
a. Hacer respaldos peridicos de la informacin en cintas
magnticas u otro medio del que se disponga.
UTILIZACION DEL SOFTWARE EN EL CENTRO DE
CMPUTO
1. No se permitir instalar programas sin licencia, y sin
la debida autorizacin del encargado del centro de

cmputo.
2. No se puede borrar programas u otros archivos de
utilidad del centro de cmputo.
3. Todo archivo se debe guardar en disquetes
autorizados por el encargado del centro de cmputo.
UTILIZACION DEL HARDW ARE EN EL CENTRO DE
CMPUTO.
1. Est totalmente prohibido desconectar los cables de
energa que conectan a cada perifrico, para evitar
algn tipo de accidente.
2. Utilizar la impresora sin la autorizacin del encargado
del centro de cmputo.
3. Se prohbe mover los perifricos de su lugar sin la
autorizacin del encargado del centro de cmputo.
4. No conectar ningn perifrico que sea ajeno al centro
de cmputo.
SANCIONES APLICABLES.
La institucin educativa determinara la aplicacin de
la suspensin de acceso a Internet, en atencin al
tipo de incumplimiento del presente documento, las
que sern ejecutadas inmediatamente.
El incumplimiento de las normas establecidas podr
acarrear la suspensin de servicio de la siguiente
forma:
1. Incumplimiento por primera vez de las normas y lineamientos
establecidos; se Suspender el servicio por quince das.
2. Incumpliendo de las normas y lineamientos por segunda vez: se
suspender el servicio por un mes.
3. Tercera vez de incumplimiento; se suspender el servicio por dos
meses o suspensin permanente.

CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES

La preservacin, deteccin y mitigacin de los riesgos, es

imprescindible, razn por la que se deber aplicar una metodologa
con sus respectiva herramienta, con la finalidad de mitigar los
riesgos usando perfiles de seguridad.

Concluimos que actualmente en nuestro medio no se pone real

nfasis en temas referentes al anlisis y gestin de riesgos, lo cual
ocasiona que no se tenga un conocimiento adecuado de dichos
temas y no se cuente con el personal especializado para realizar
dicho anlisis.

RECOMENDACIONES

Se recomienda usar la metodologa MAGERIT versin 2, en el

anlisis y gestin de riesgos, que es una herramienta propia
automatizada que permite trabajar varios activos, amenazas y

salvaguardas.

A las organizaciones que realicen el anlisis y gestin de riesgos de

los sistemas de informacin, les sugerimos que lo hagan por lo
menos, una vez al ao, razn por la cual podrn conocer sus
fortalezas o debilidades e implementar salvaguardas para reducir las
debilidades encontradas.

BIBLIOGRAFIA

LOPEZ, Francisco, AMUTIO, Miguel, CANDAU, Javier, 2006

Magerit- version 2, Metodologa de Anlisis y Gestin de Riesgos de
los Sistemas de informacin. III Gua de Tcnicas, Ministerio de
Administraciones Pblicas, Espaa

[ISO27008.08] ISO/IEC 27005:2008, Tecnologa de la informacin

Tcnicas de seguridad, Gestin de riesgos de Seguridad de la
Informacin.

[ISO31000.09] ISO/IEC 31000:2009, Gestin de riesgos Principios

y directrices.

[ISO31010] ISO/IEC 31010, Gestin de riesgos Evaluacin del

riesgo, Evaluacin tcnicas del riesgo.

[ISO27001] ISO/IEC 27001, Tecnologas de Informacin Tcnicas

de Seguridad Sistemas de gestin de seguridad de la informacin.