Vous êtes sur la page 1sur 28

I.

GENERALIDADES
1.1. TITULO

Propuesta metodológica para la gestión de riesgos en PILAR y ERAMBA en la I.E.Pr. SAN FERNANDO en la
ciudad de Cajamarca

1.2. AREA DE DESARROLLO


Infraestructura de red.

1.3. GENERALIDADES DE LA INSTITUCION


1.3.1. RAZON SOCIAL
ESESANFER S.R.L.

1.3.2. UBICACIÓN DE LA EMPRESA


Jr. Santa María Cuadra 4 manzana B Lote 7

1.3.3. ORGANIGRAMA FUNCIONAL

1.3.4. FUNCIONES GENERALES DE LA OFICINA O AREA


El Área de Informática de la Empresa ESESANFER S.R.L. tiene como funciones:
 Realizar el mantenimiento y soporte técnico respectivo.
 Administración de red de datos.
 Administración de servidores.
 Administración de equipos y dispositivos.

II. INTRODUCCION
Tanto si como trabajamos desde casa o en una oficina de una empresa
La incertidumbre y los riesgos son factores que siempre van estar siempre presentes en nuestra vida profesional,
cuando iniciemos un nuevo proyecto lo primero que nos recomiendan es un plan de negocio y un análisis DAFO
ese plan de empresa o plan de negocio es el primer plan de gestión de riesgos que vamos a realizar en nuestra
empresa, pues nos dictara los pasos para reducir o reaccionar ante las amenazas indicadas en el DAFO.
Su Objetivo es minimizar la incertidumbre y la improvisación a la hora de evitar o manejar situaciones que
perjudicaran nuestra empresa, desde el punto de vista de las tecnología de la información la gestión de riesgos
está orientada a minimizar de las amenazas que se cierran sobre nuestra infraestructura informática y de
comunicaciones, un buen plan de gestión de riesgos debe considerar Evitar La Improvisación y así poder
recuperarnos más rápidamente del incidente. Gestionar Riesgos: Es Identificar, Analizar y Aceptar las
Amenazas, el riesgo más peligroso es perder nuestra información.

En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de
riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como
proyecto de entidad propia.

El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los
riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una
entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio
personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa
de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos
o el impacto en caso de materializarse.

La gestión del riesgo es una serie de procesos permanentes de decisión y de planificación que permite a las
comunidades analizar su entorno, tomar decisiones y desarrollan por etapas interrelacionadas y propuestas
concertadas para prevenir, mitigar o reducir los riesgos existentes. Su propósito es el desarrollo sostenible ha
surgido de la necesidad de preservar la
Vida y los recursos materiales ante las amenazas de la naturaleza y las que nosotros hemos contribuido a crear.
[1]

III. MARCO TEORICO


3.1. ISO 27005

Definición:

ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra
las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos
del sistema de gestión de seguridad de la información definidos en ISO 27001.

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la
seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores,
como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
[2]

Características:
 La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información y la tecnología de
las comunicaciones”. La norma fue publicada por primera vez en junio de 2008, aunque existe una versión mejorada
del año 2011.

 Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada como soporte
para aplicar de forma satisfactoria un SGSI basado en el enfoque de gestión de riesgo. [3]

La gráfica a continuación permite visualizar los procesos que forman parte de la norma ISO 27005.
Proceso para la gestión de riesgos ISO 27005. Fuente:(Vásquez & López, 2016), (Moncayo Racines, 2014)

Las cinco etapas que comprende la ISO 27005 según (Vásquez & López, 2016) y (Crespo & Cordero, 2016), son las siguientes:

1. Establecimiento de plan de comunicación interno y externo.


Esta planificación es realizada a nivel interno (empleados, directivos, socios) y externo (distribuidores, clientes), a través de charlas
informativas, presentaciones, circulares, capacitaciones. El objetivo es crear conciencia en seguridad, y evidenciar la existencia
de riesgos tecnológicos.

Contiene tres etapas:

a) Comunicación inicial:

Aquí se conceptualiza el riesgo y sus implicaciones, las ventajas de la gestión, entre otros.

b) Comunicación sobre la marcha:

Consiste en presentar a cada uno de los miembros de la organización los resultados obtenidos durante el proceso de
establecimiento de un plan de mitigación de riesgos, con el fin de retroalimentar el proceso.

c) Comunicación de resultados:

Comunica los resultados considerando la confidencialidad de la misma, es decir que la información no será de
conocimiento público.

2. Definición del contexto organizacional interno y externo.

Es obligatorio e imprescindible conocer el entorno organizacional, con el objetivo de determinar las afecciones que podrían
presentarse tanto a nivel interno como externo, además de evaluar y estipular lo que se requiere proteger, y los mecanismos para
realizar esta actividad.

3. Valoración de riesgos tecnológicos.

En esta etapa lo que se recomienda es identificar los activos de información que se protegerán, así como sus debilidades y
amenazas.
Para una correcta valoración se debe priorizar los activos incluyendo procesos, información, datos y activos de soporte.
Sin olvidar de que se debe identificar los tipos de amenazas, los daños que implican cada una de estas amenazas, perdidas que
causan los riesgos en términos de impacto y un análisis sobre el negocia más conocido como BIA (Bussines Impact Analysis).

4. Tratamiento de riesgos tecnológicos.

En esta etapa lo que se implementan las acciones (reducir, aceptar, eliminar, transferir) a tomar para mitigar los riesgos
anteriormente analizados.
Estas acciones junto con un plan de tratamiento en donde se definen recursos, responsabilidades se debe documentar para
finalmente definir las políticas a seguir.

5. Monitoreo y mejora continua del proceso de gestión.


En esta fase el elemento necesario es el control de cambios, el monitoreo se realiza sobre los activos identificados,
vulnerabilidades, procesos, amenazas, documentación, políticas y procedimientos con el fin de establecer acciones ante algún
cambio.
Lo que se busca con el monitoreo es mantener a los riesgos controlados y ante la posibilidad de que aparezcan después nuevos
riesgos poderlos controlar antes de que realicen algún daño a los activos de información. (Ramírez y Ortiz, 2011).

3.2. MAGERIT

Es una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España,
que ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones
para de esta forma implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados. Cuenta con
todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos.

Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad,
buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por
estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. [4]

Se encuentra muy relacionada con la generación en la que se utilizan los medios electrónicos, informáticos y telemáticos, lo que
genera grande beneficios para los empleados y los ciudadanos, aunque también puede dar lugar a diferentes riesgos que se
tienen que minimizar con medidas de seguridad que generan confianza. MAGERIT facilita que se pueda llevar a cabo:

 El análisis de riesgo en cualquier tipo de Sistema de Seguridad de la Información (SSI), así como todos sus elementos,
obteniendo un índice único en el que se realicen las estimaciones de su vulnerabilidad ante todas las posibles amenazas
y el impacto que puede generar en la empresa.
 La gestión de riesgos, se basa en todos los resultados obtenidos durante el análisis hecho, se seleccionan medidas de
seguridad adecuadas para poder conocer, prevenir, impedir, recudir o controlar todos los riesgos que se han identificado,
pudiendo de este modo reducir al mínimo la potencialidad del riesgo.
MAGERIT tiene una visión estratégica global de la Seguridad de los Sistemas de Información ISO 27001, esta visión comienza
en un modelo de análisis y gestión de riesgos que comprende tres modelos: entidades, eventos y procesos como podemos ver:
[5]

 Elementos: Proporciona los componentes del sistema (Activos, Amenazas, Vulnerabilidades, Impacto, Riesgo,
Salvaguardas).
 Eventos: Relaciona los elementos entre sí y con el tiempo.
 Procesos: Describe el proyecto de seguridad a construir en 4 etapas (Planificación, Análisis de riesgos, Gestión de
Riesgos, Selección de Salvaguardias). [6]
3.2.1. HISTORIA Y EVOLUCIÓN
Actualmente se encuentra en la versión 3.0, el periodo transcurrido desde la publicación de la primera versión de Magerit
(1997). En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta evolución. En particular
se reconocerá lo que se denominaba dimensiones de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos
y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual
se vertebran las fases fundamentales de análisis y gestión. Si bien Magerit v1.0 ha resistido bien el paso del tiempo en
lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja.
El paso de Métrica v2.1 a Métrica v3.0 ha supuesto una completa revisión de este punto. En la v2.0 de Magerit aparece
en el capítulo de “Desarrollo de Sistemas Informáticos”, enfatizando primero el desarrollo de aplicaciones aisladas y luego
el proceso de desarrollo de sistemas de información completos. [7]

3.2.2. OBJETIVOS
Magerit persigue los siguientes objetivos:

 Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de


atajarlos a tiempo
 Ofrecer un método sistemático para analizar tales riesgos
 Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
 Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso
Así mismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de
análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe
de insuficiencias, y plan de seguridad. [8]

3.2.3. ORGANIZACIÓN DE LAS GUÍAS


La versión 2 de Magerit se ha estructurado en tres libros: “El Método”, "Catálogo de Elementos" y "Guía de Técnicas".

3.2.3.1. EL MÉTODO
Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una
serie de aspectos prácticos:

I. Describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una
presentación netamente conceptual.
II. Describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta
con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentación para que
la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento.
III. Aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de
desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están
expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
IV. Desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización
de un análisis y una gestión realmente efectivos. [7]
PROCESOS
 Establecimiento de la Planificación de la Seguridad de los SI.
 Implantación de Salvaguardas y otras medidas de seguridad de los SI.
 Monitorización, gestión de configuración y de cambios en la seguridad de los SI.
 Determinación de la organización de la seguridad de los SI.
 Concienciación de todos en la seguridad de los SI.
 Reacción a cada evento, registro de incidencias y recuperación de estados de seguridad.
 Determinación de objetivos, estrategia y política de seguridad de los SI.

3.2.3.2. CATÁLOGO DE ELEMENTOS


Ofrece unas pautas y elementos estándar en cuanto a: tipos de activos, dimensiones de valoración de los activos,
criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a
considerar para proteger sistemas de información.

Se persiguen dos objetivos:

 Facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a
los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
 Homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que
permitan comparar e incluso integrar análisis realizados por diferentes equipos. [7]

3.2.3.3. GUÍA DE TÉCNICAS


Se trata de una guía de consulta que proporciona algunas técnicas que se emplean habitualmente para llevar a
cabo proyectos de análisis y gestión de riesgos: técnicas específicas para el análisis de riesgos, análisis mediante
tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de
datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoración Delphi. [7]

3.2.4. VENTAJAS Y DESVENTAJAS

3.2.4.1. VENTAJAS
Las decisiones que deben tomarse y que tengan que ser validadas por la dirección, estarán fundamentadas y serán
fácilmente defendibles. [8]

3.2.4.2. DESVENTAJAS.
El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación
de esta metodología sea realmente costosa. [8]

3.3. PILAR
3.3.1. INTRODUCCIÓN
PILAR es una herramienta desarrollada para soportar el análisis y la gestión de riesgos de sistemas de información
siguiendo la metodología MAGERIT. Las siglas de PILAR provienen de “Procedimiento Informático Lógico para el Análisis
de Riesgos” creado por el Centro Nacional de Inteligencia, actualmente se encuentra disponible la versión 5.4. Analiza
los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Para tratar el riesgo se proponen: salvaguarda o contramedidas, normas y procedimientos de seguridad. Esta
herramienta soporta las fases del método MAGERIT:
 Caracterización de los activos: identificación, clasificación, dependencias y valoración
 Caracterización de las amenazas
 Evaluación de las salvaguardas
Evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentándolo de forma que permita el
análisis de por qué se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la
incorporación a un mismo modelo de diferentes situaciones temporales. Se puede incorporar el resultado de los diferentes
proyectos de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema.
PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas o tablas que se pueden agregar a una
hoja de cálculo, logrando elaborar diferentes tipos de informes y presentaciones de los resultados. Finalmente, la
herramienta calcula calificaciones de seguridad respecto a normas ampliamente conocidas, como son:
 UNE-ISO/IEC 27002:2009: sistemas de gestión de seguridad
 RD 1720/2007: datos de carácter personal
 RD 3/2010: Esquema Nacional de Seguridad.
Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como cuantitativos, logrando alternarse
entre estos para extraer el máximo beneficio de las posibilidades teóricas de cada uno de ellos. [9]

3.3.2. ESPECIFICACIONES

3.3.2.1. HARDWARE
 Servidores: Se consideran todos los equipos físicos de tipo torre y rack que alojan algún programa o aplicación,
se encuentran dentro del centro de datos y son administrados por el personal de infraestructura y sistemas.
 Equipos de comunicaciones: Se consideran todos los equipos que conforman la red de voz y datos ubicados en
el centro de datos que son administrados por personal de infraestructura.
 Robot de cintas: Equipo físico que realiza los respaldos en cinta de la información de los servidores ubicado en
el centro de datos y es administrado por el personal de infraestructura.
 Computador de personal: Equipo de computación que utiliza el personal de GTSI para trabajar. [9]

3.3.2.2. SOFTWARE
 Sistemas académicos, financieros y administrativos: Se consideran a los sistemas prioritarios para la
administración de la organización que son gestionados por los desarrolladores.
 Almacenamiento – bases de datos: Se considera a la información almacenada y respaldada originada de los
datos de los servicios prestados, esto es administrado por administrador de bases de datos. También se
consideran a las cintas magnéticas que almacenan la información respaldada.
 Correo electrónico: se considera al sistema de correo electrónico.
 Virtualización: se considera al servicio que permite el funcionamiento de los servidores virtuales. [9]

3.3.2.3. COMUNICACIONES
 Internet.- Se considera al servicio y demás elementos necesarios para lograr el acceso hacia el Internet.
 Red alámbrica.- se considera a las conexiones alámbricas ya sean de fibra óptica o cable UTP.
 Red inalámbrica.- se considera a la señal de red emitida por los puntos de acceso.
 Enlace con proveedor.- se considera al servicio y equipos que conlleva la comunicación exitosa con el proveedor
de Internet. [9]

3.3.2.4. EQUIPAMIENTO AUXILIAR


 UPS.- se consideran a las baterías que protegen a los servidores y equipos de comunicación de fallos eléctricos.
 Generador eléctrico.- se considera al dispositivo que genera energía eléctrica cuando no hay servicio eléctrico.
 Equipos de climatización.- se consideran a los elementos que mantienen la temperatura adecuada en el centro
de datos y cuartos de rack.
 Cableado eléctrico.- se considera a la red eléctrica existente entre el centro de datos, cuarto de rack y cuarto
del generador eléctrico. [9]

3.3.3. VERSIONES
 PILAR: versión íntegra de la herramienta
 PILAR Basic: versión sencilla para Pymes y Administración Local
 μPILAR: versión de PILAR reducida, destinada a la realización de análisis de riesgos muy rápidos
 RMAT (Risk Management Additional Tools) Personalización de herramientas. [10]

3.4. ERAMBA

Eramba Open Source es una aplicación web que ayuda a los profesionales de Tecnología, Seguridad de TI, Cumplimiento y
Auditoría con el análisis, administración y reportería de Gobernanza de Seguridad relacionada a tópicos tales como Riesgos,
Cumplimiento, Auditorias Interna, Catálogos de Controles, Concienciación basada en roles y mucho más.

Blue Hat Consultores es partner oficial de Eramba desde octubre de 2014 para el mercado ecuatoriano.

Características

 Simplifica y centraliza la gobernanza en Seguridad de la Información

Deje a un lado las hojas de cálculo. Simplifique y haga más eficiente su gobernanza. Impresione a su jefe con métricas
de hechos, información y reportes

 Gestión de cumplimiento

Defina sus requerimientos de cumplimiento, mapa de controles y conozca y comprenda sus Brechas de Cumplimiento y
el costo que representan para su institución.
 Gestión de riesgos

Simplifique el análisis, la administración y la reportería de Activos, Socios Terceros y Riesgos del negocio. Haga que la
Gestión de Riesgos sea ÚTIL.

 Gestión de excepciones

¿Aprobó temporalmente una política, permiso, etc., y nunca lo volvió a su estado original? Administre las notificaciones
de excepciones de Riesgos, Cumplimientos y Políticas.

 Reportes del negocio e indicadores gráficos

Es momento para impresionar al directorio con Indicadores gráficos orientados al negocio y en tiempo real sobre Riesgos,
Auditoría, Cumplimiento, Utilización de Recursos, Proyectos y Control de Eficiencia.

 Gestión de auditoria

Auditorías sobre Controles de Seguridad, Continuidad de Negocio y Notificaciones a Socios Terceros, Gestión de
Auditorías y Reportería.

 Gestión de proyectos

Tiene muchas ideas y nadie para seguir su implementación? Centralice sus mejoras en una sola herramienta y su tenga
visibilidad clara de su estado.

 Concienciación basada en roles

Automatice las campañas de Concienciación en Seguridad basadas en roles con videos y cuestionarios de selección
múltiple. Asegúrese que todo el personal de su empresa conozca el rol que desempeña en Seguridad de la Información.

 Catálogos de controles de seguridad

Administre un catálogo de Controles de Seguridad. Comprenda cuánto le cuesta mantenerlos, y si funcionan o no, que
hacen y su importancia.

 Gestión de continuidad de negocio

Defina y Audite sus Planes de Continuidad de Negocio, identifique propietarios y esté seguro de su adherencia a través
de notificaciones automatizadas.

 Flujo de trabajo

Eramba le ayuda a asegurar que cada cambio en el sistema es validado, aprobado y cuenta con los registros existentes.

 Iso 27001

Simplifique su proceso de cumplimiento mediante formularios fáciles, reportes y notificaciones que le mantendrán al tanto
de las actualizaciones de los documentos clave.

https://www.bluehatconsultores.com/index.php/es/productos/eramba.html
Especificaciones

 Hardware

a) Microprocesador: 2-4 cores > 2 Ghz


b) RAM: 8 Gb
c) HDD: 10Gb

 Software

a) S.O: Linux distribuciones basadas en DEB y RPM


b) PHP: 5.4 mínimo
c) MySQL: 5.4
d) MariaDB: 5.X
e) Apache: 2
f) Open SSL: 0.9.X

Versiones

 Community, Basada en la versión empresarial actualizada cada año, pero con ciertas limitaciones.

 Enterprise, Se actualiza todas las semanas y tiene los últimos parches y características.

http://www.eramba.org/resources/documentation/

IV. PROBLEMÁTICA
4.1. PLANTEAMIENTO DEL PROBLEMA

En ESESANFER existe actualmente una falta de control relacionado con seguridad de los activos de información en
la infraestructura de red, equipos y dispositivos de comunicación, servidores físicos y virtuales, por las cuales hacen
posible otorgar los servicios que brinda la institución. Por la naturaleza del servicio, se requiere que estos equipos
estén en funcionamiento las 24 horas del día los siete (07) días de la semana.

Actualmente no existen mecanismos implementados que minimicen la ocurrencia o el impacto de las amenazas a
que están expuestos los activos.

4.2. FORMULACION DEL PROBLEMA


¿Qué procesos metodológicos se adapta, para ser aplicados en PILAR y ERAMBA para gestionar los riesgos en el
área de infraestructura de red en la I.E.Pr. SAN FERNANDO?

V. OBJETIVOS

5.1. OBJETIVO GENERAL


Propuesta metodológica para la gestión de riesgos en PILAR y ERAMBA en el área de infraestructura de red en la
I.E.Pr SAN FERNANDO.
5.2. OBJETIVOS ESPECIFICOS
 Conocer y analizar las diferentes metodologías de SGSI (ISO 27005 y Magerit).
 Conocer y analizar las herramientas PILAR y ERAMBA.

 Enlistar y evaluar las los procesos metodológicos de SGSI (ISO 27005 y Magerit).
 Aportar con una propuesta metodológica para la gestión de riesgos en PILAR y ERAMBA.

VI. DESARROLLO DE LA SOLUCION PROPUESTA

6.1. UNIDADES DE NEGOCIO


 Colegio San Fernando
 Preparatoria San Fernando

6.2. ROLES
 Gerente general
 Director de colegio
 Director de preparatoria
 Administrador de red

6.3. PLANIFICACIÓN
6.3.1. Determina el dominio y límites.
El análisis de riesgo y plan de contingencia abarca:
 El funcionamiento del área de infraestructura de red de la empresa ESESANFER S.R.L.
 La gestión de los activos del área de infraestructura de red en la organización.
6.3.2. Estima las dimisiones.

Un activo puede ser valioso desde diferentes puntos de vista. A estos distintos puntos de vista es
a lo que se llama dimensiones.
Un aspecto, diferenciado de otros posibles aspectos, respecto del que podemos medir el valor de
un activo en el sentido del perjuicio que nos causaría su pérdida de valor.

Las dimensiones definidas por Magerit de acuerdo con las especificaciones se dividen en las
siguientes dimensiones.

1. [D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y sus activos asociados.

2. [I] Integridad. Garantía de la exactitud y completitud de la información y los métodos


de su procesamiento.
3. [C] Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos
autorizados a tener acceso.
4. [A_S] Autenticidad de los usuarios del servicio. Aseguramiento de la identidad u origen.
5. [A_D] Autenticidad del origen de los datos. Aseguramiento de la identidad u origen.
6. [T_S] Trazabilidad del servicio. Aseguramiento de que en todo momento podremos
determinar quién hizo qué y en qué momento.
7. [T_D] Trazabilidad de los datos. Aseguramiento de que en todo momento podremos
determinar quién hizo qué y en qué momento.

En el Análisis de Riesgo que se va a realizar, se tendrá en cuenta las dimensiones D, I, C. Estas


son las dimensiones que se tienen en cuenta normalmente en las organizaciones.

Las amenazas que se van a contemplar son las especificadas en Magerit y recomendadas por la UNE-
ISO/IEC 177992. De estas amenazas se van a suprimir las que se consideran no factibles o irrelevantes
para el estudio del sistema.

6.4. Análisis de riesgos

El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados:

1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de


qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.

4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación
de materialización) de la amenaza.

6.4.1. Caracterización de los activos.


El objetivo de las tareas englobadas en esta actividad es reconocer los activos que componen los
procesos, y definir las dependencias entre ellos. Así, y a partir de la información recopilada en las
actividades anteriores, esta actividad profundiza el estudio de los activos con vistas a obtener la
información necesaria para realizar las estimaciones de riesgo.

A la hora de identificar activos hay que saber a qué se puede considerar un activo. Esta actividad
puede llegar a ser una de las más complicadas en todo el Análisis de Riesgo.

Pueden ser Activos


Siempre son Activos
(depende la opinión del Analista)

1. Información. 1. Intangibles.

- Datos Funcionales. 2. Servicios.


2. Aplicaciones (SW). - A usuarios finales.

3. Equipos (HW). - A usuarios intermedios.

4. Comunicaciones (COM). 3. Personas.


5. Personal (P). - Usuarios.
- Operadores.

- Administradores.

- Encargados.
- Desarrolladores.

6.4.1.1. Identifica los activos a proteger.

Basándose en la tabla, los tipos de activos pueden clasificarse de la siguiente


forma:

 Servicios.
 Datos/Información.
 Aplicaciones (software).
 Equipos informáticos (hardware).
 Redes de comunicaciones.
 Equipamiento auxiliar.
 Instalaciones.
 Personal.

Los datos/información es lo que se pretende proteger en última instancia. Por este


motivo la información merece una clasificación más detallada:

[E] Equipamiento.

[SW] Aplicaciones

[HW] Equipos.

[COM] Comunicaciones.
[AUX] Elementos auxiliares.

Los activos en el Área de infraestructura de red en ESESANFER son:

- [IS] Servicios internos.


 [SERV_DB] Servidor de base de datos.
 [SERV_WEB] Servidor WEB.
 [SERV_INTER] Internet.
 [SERV_RED] Red LAN.
 [SERV_RED_WIFI] Red WIFI.
- [E] Equipamiento.
[SW] Aplicaciones
 [SW_BD] MYSQL 5.5.
 [SW_SO_PC] Windows 7 pro.
 [SW_OFFICE] Microsoft Office Professional 2010.
 [SW_TRANSF] FTP.
 [SW_ANTIVIR] 360 total security.
[HW] Equipos.
 [EQ_SERVIDOR] Servidor.
 [EQ_SW_ROUTER] Switch.
 [EQ_ROUTER] Router.
 [EQ_COMPUTADOR] Computador de Usuario.
 [EQ_IMPRESORA] Impresora.
 [EQ_LEC_OP] Lector óptico.
 [EQ_DISP_BIO] Dispositivo biométrico.
 [EQ_VID_VIG] Cámaras de video vigilancia.
 [EQ_FOTOCOPIADORA] Fotocopiadora.
 [EQ_CEL] Teléfono móvil.
 [EQ_PRO] Proyector multimedia.

6.4.1.2. Establece las dependencias.


Una vez que los activos han sido identificados hay que valorar el grado que dependencia
que tienen unos con otros. La dependencia de un activo con otro puede provocar que
los riesgos que posee un activo sean muchos más que los que se creían a priori.

Para realizar esto se tienen en cuenta la tarea de Identificación de los Activos así
como los diagramas de flujo y de procesos realizados en la planificación. La figura
muestra la dependencia entre activos de forma general. Se puede comprobar como los
servicios dados por el sistema de información dependen de forma directa de la
información manejada y las aplicaciones usadas; y de forma indirecta de todos los activos
del sistema. Por este motivo la valoración posterior deberá hacerse en los activos de nivel
superior (servicios e información), dejando que las dependencias den la valoración
al resto de activos.

6.4.1.3. Valora los activos.


Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que
intentar averiguar y proteger. El valor de un activo puede ser propio o acumulado.
Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los
activos que se apoyan en ellos. Se dice que el valor nuclear suele estar en la información (o
datos) que el sistema maneja. Las dependencias entre activos permiten relacionar los demás
activos con datos y servicios.

En un árbol de dependencias, donde los activos superiores dependen de los inferiores, es


imprescindible valorar los activos superiores, los que son importantes por sí mismos.

Automáticamente este valor se acumula en los inferiores, lo que no es óbice para que también
puedan merecer, adicionalmente, su valoración propia.

La valoración es la determinación del coste que supondría salir de una incidencia que
destrozara el activo.

La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna
escala de niveles). Los criterios más importantes a respetar son:

 La homogeneidad: es importante poder comparar valores aunque sean de diferentes


dimensiones a fin de poder combinar valores propios y valores acumulados, así como
poder determinar si es más grave el daño en una dimensión o en otra.

 La relatividad: es importante poder relativizar el valor de un activo en comparación con


otros activos.

La valoración cualitativa busca relativizar el modelo de tal forma que la valoración entre todos
los activos del análisis sea homogénea y comparable. Para ello se ayuda de una escala.

Cada activo, en cada dimensión, recibe un valor en la escala. Esto es así porque cada
dimensión recibe un análisis independiente. Las dimensiones que se van a valorar para área
infraestructura de red en la empresa es:

[D] disponibilidad,

[I] integridad de datos

[C] confidencialidad.

A la hora de hacer un proyecto de análisis y gestión de riesgos, la valoración se hace


únicamente sobre los activos de mayor nivel (servicios y datos) y aquellos que no tengan
relaciones de dependencias con ellos. El resto de activos obtendrán su valoración por las
dependencias existentes.

La escala de valoración que se va a emplear es la siguiente:

VALOR CRITERIO
10 Extremado Daño extremadamente grave
9 Muy Alto Daño muy Grande a la Organización
6-8 Alto Daño Grave a la Organización
3-5 Medio Daño Importante a la Organización
1-2 Bajo Daño Menor a la Organización
0 Despreciable Irrelevante a Efectos Prácticos

En la valoración de los activos del área de informática se detalla todo lo referente a los
activos del área de infraestructura de red. Hay que tener en cuenta que tanto la
caracterización de activos como su valoración, son tareas subjetivas que, a pesar de
tener información para hacerlas, dependen del analista y su forma de entender el sistema.
La valoración de los activos estudiados y clasificados en el área de infraestructura de red
es la que se muestra a continuación:

ACTIVOS [D] [I] [C]


-
[IS] Servicios internos.
 [SERV_DB] Servidor de base de datos. [10] [10] [10]
 [SERV_WEB] Servidor WEB. [10] [10] [10]
 [SERV_INTER] Internet. [10] [7] [8]
 [SERV_RED] Red LAN. [10] [10] [10]
 [SERV_RED_WIFI] Red WIFI. [8] [7] [6]
- [E] Equipamiento.
[SW] Aplicaciones
 [SW_BD] MYSQL 5.5. [10] [10] [10]
 [SW_SO_PC] Windows 7 pro. [7] [8] [6]
 [SW_OFFICE] Microsoft Office Professional [5] [2] [4]
 [SW_TRANSF] FTP. [9] [9] [10]
 [SW_ANTIVIR] Antivirus. [9] [8] [9]
[HW] Equipos.
 [EQ_SERVIDOR] Servidor. [10] [10] [10]
 [EQ_SW_ROUTER] Switch. [10] [10] [8]
 [EQ_ROUTER] Router. [10] [10] [8]
 [EQ_COMPUTADOR] Computador de Usuario. [8] [6] [7]
 [EQ_IMPRESORA] Impresora. [8] [6] [7]
 [EQ_LEC_OP] Lector óptico. [10] [9] [10]
 [EQ_DISP_BIO] Dispositivos biométricos. [10] [10] [10]
 [EQ_VID_VIG] Cámaras de video vigilancia. [10] [10] [10]
 [EQ_FOTOCOPIADORA] Fotocopiadora. [8] [6] [7]
 [EQ_CEL] Teléfonos móviles. [8] [6] [7]
 [EQ_PRO] Proyector multimedia. [9] [6] [7]

6.4.2. Caracterización de las amenazas.

Una amenaza es aquel evento que puede desencadenar un incidente en la Organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.

Estas amenazas se pueden focalizar en un activo en concreto y reaccionar en cadena a través de


las diversas relaciones de dependencia que este posee con el resto de activos.

Las amenazas pueden ser causadas de forma accidental o intencionada. Las causas accidentales
pueden darse por causas:

 naturales (terremotos, inundaciones, rayos, etc.).


 industriales (electricidad, emanaciones, incendio, etc.) o
 humanas (errores u omisiones).

Las causas intencionadas pueden ser robo, fraude, espionaje, intercepción pasiva o activa, etc.

 [E] Errores y fallos no intencionados.


 [A] Ataque intencionados
3.2.2.1. Identifica las amenazas.

Hay varias formas de identificar las amenazas existentes en cada activo. Uno de los métodos es
mediante una clasificación por activos, relacionando cada activo con las amenazas que se cree que
pueden sufrir. Lo bueno de este método es que la relación amenaza-activo es directa.

- [E] Errores y fallos no intencionados


[E.1] Errores de los usuarios

[E.2] Errores del administrador del sistema / de la seguridad

[E.3] Errores de monitorización (log)

[E.4] Errores de configuración

[E.7] Deficiencias en la organización

[E.8] Difusión de software dañino

er [E.9] Errores de [re-]encaminamiento

[E.10] Errores de secuencia

[E.14] Fugas de información (> E.19)

[E.15] Alteración de la información

[E.18] Destrucción de la información

[E.19] Fugas de información

[E.20] Vulnerabilidades de los programas (software)

[E.21] Errores de mantenimiento / actualización de programas (software)

[E.23] Errores de mantenimiento / actualización de equipos (hardware)

[E.24] Caída del sistema por agotamiento de recursos

[E.25] Pérdida de equipos

[E.28] Indisponibilidad del personal

- [A] Ataque deliberados


[A.3] Manipulación de los registros de actividad (log)

[A.4] Manipulación de los ficheros de configuración

[A.5] Suplantación de la identidad

[A.6] Abuso de privilegios de acceso

[A.7] Uso no previsto

[A.8] Difusión de software dañino

[A.9] [Re-]encaminamiento de mensajes

[A.10] Alteración de secuencia

[A.11] Acceso no autorizado

[A.12] Análisis de tráfico

[A.13] Repudio (negación de actuaciones)

[A.14] Interceptación de información (escucha)

[A.15] Modificación de la información

[A.18] Destrucción de la información

[A.19] Revelación de información

[A.23] Manipulación del hardware

[A.24] Denegación de servicio

[A.25] Robo de equipos

[A.26] Ataque destructivo

[A.27] Ocupación enemiga

[A.28] Indisponibilidad del personal

[A.29] Extorsión

[A.30] Ingeniería social (picaresca)


3.2.2.1. Valoración de las amenazas.

Cuando un activo es víctima de una amenaza, no se ve afectado en todas


sus dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay
que estimar cuán vulnerable es el activo, en dos sentidos:

 Degradación: cuán perjudicado resultaría el activo.


 Frecuencia: cada cuánto se materializa la amenaza.

La degradación mide el daño causado por un incidente en el supuesto


de que ocurriera.

La degradación, se suele caracterizar como una fracción del valor del activo
y así aparecen expresiones como que un activo se ha visto “totalmente
degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas
no son intencionales, probablemente baste conocer la fracción físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que
se pierde. Pero cuando la amenaza es intencional, no se puede pensar en
proporcionalidad alguna pues el atacante puede causar muchísimo daño de
forma selectiva.

La frecuencia, pone en perspectiva aquella degradación, pues una amenaza


puede ser de terribles consecuencias pero de muy improbable
materialización; mientras que otra amenaza puede ser de muy bajas
consecuencias, pero tan frecuente como para acabar acumulando un daño
considerable.

La frecuencia se modela como una tasa anual de ocurrencia, siendo valores


típicos

100 Muy Frecuente A Diario


10 Frecuente Mensualmente
1 Normal Una vez al año
1/10 Poco Frecuente Cada varios años
1/100 Muy poco frecuente Siglos

6.4.3. Caracterización del Impacto.


En esta tarea se estima el impacto al que están expuestos los activos del sistema.

 El Impacto Acumulado (potencial), al que está expuesto el Área teniendo en


cuenta el valor de los activos y la valoración de las amenazas; pero no las
salvaguardas actualmente desplegadas.
 El Impacto Repercutido (residual), al que está expuesto el Área teniendo en
cuenta el valor de los activos y la valoración de las amenazas, así como la
eficacia de las salvaguardas actualmente desplegadas.

Hay amenazas que provocan impactos mayores que otras sobre el mismo activo. En
las tablas presentadas a continuación sólo se presentan los activos clasificados
según el impacto que pueden sufrir.

6.4.4. Caracterización del riesgo

En esta tarea se estima el riesgo al que están sometidos los activos del Área:

La caracterización del riesgo es la identificación al que está sometida el Área teniendo en


cuenta el valor de los activos y la valoración de las amenazas; pero no las salvaguardas
desplegadas. La Identificación de las amenazas en el Área infraestructura de red en la
empresa ESESANFER S.R.L.
 El Riesgo Acumulado, se calcula que tomando en consideración el valor
acumulado y el efecto directo de las amenazas sobre el activo. Puesto que hay
dependencias entre activos, los activos inferiores acumulan el valor de los activos
superiores.

El riesgo acumulado es la valoración del daño para la organización, evaluado en


los activos inferiores.
 El Riesgo Repercutido, es el calculado tomando en consideración el valor propio
del activo. Puesto que hay dependencias entre activos, las amenazas sobre los
activos inferiores tienen una consecuencia negativa en los activos superiores.
El riesgo repercutido estima el daño a la organización, calculando el daño en los
activos explícitamente valorados.

Una vez valoradas las amenazas se puede concluir que existe un riesgo intrínseco
(potencial) en el Área de infraestructura de red de la empresa ESESANFER S.R.L es
decir, sin tomar ninguna medida de seguridad:

Existe un grupo de riesgos muy alto de amenazas de:


 Corte del suministro eléctrico
 Condiciones inadecuadas de temperatura y/o humedad
 Fallo de servicios de comunicaciones
 Errores del administrador.
 Caída del sistema por agotamiento de recursos
 Acceso no autorizado

Existe un grupo de riesgos alto de amenazas de:


 Fuego, debido a la concentración de equipos electrónicos y material
inflamable (mobiliario, paredes, etc.)
 Avería de origen físico o lógico, debido a la concentración de equipo que
puede sufrir una avería por su uso continuo o una avería física provocada
por el mal estado de los componentes.
 Destrucción de la información, por una fallo de hardware o un error de
software no probado en la fase de pruebas.
 Errores de mantenimiento / actualización de programas (software)
 Abuso de privilegios de acceso

Existe un grupo de riesgos medio de amenazas de:


 Errores de mantenimiento / actualización de equipos (hardware)
 Indisponibilidad del personal, debido fundamentalmente a la falta de
procedimientos y recursos en las labores claves de mantenimiento,
soporte y monitorización de los servicios.
 Condiciones inadecuadas de temperatura y/o humedad
 Robo de equipos, estando todos concentrados en lugares concretos
dentro del área.

6.5. GESTION DE RIESGOS

6.5.1. Caracterización de las salvaguardas.

Las salvaguardas permiten hacer frente a las amenazas. Hay diferentes


aspectos en los cuales puede actuar una salvaguarda para alcanzar sus objetivos
de limitación y/o mitigación del riesgo

 [PR] procedimientos, que siempre son necesarios; a veces bastan


procedimientos, pero otras veces los procedimientos son un componente de
una salvaguarda más compleja. Se requieren procedimientos tanto para la
operación de las salvaguardas preventivas como para la gestión de
incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir
aspectos tan diversos como van el desarrollo de sistemas, la configuración
del equipamiento o la formalización del sistema.

 [PER] política de personal, que es necesaria cuando se consideran sistemas


atendidos por personal. La política de personal debe cubrir desde las fases de
especificación del puesto de trabajo y selección, hasta la formación continua.

Soluciones técnicas, frecuentes en el entorno de las tecnologías de la


información, que puede ser:

 [SW] aplicaciones (software)


 [HW] dispositivos físicos
 [COM] protección de las comunicaciones
 [FIS] seguridad física, de los locales y áreas de trabajo

La protección integral de un sistema de información requerirá una combinación


de salvaguardas de los diferentes aspectos comentados.
Expresado de otra forma, las salvaguardas se pueden clasificar en los
siguientes grupos:

 Marco de gestión
 Relaciones con terceros
 Servicios
 Datos / Información
 Aplicaciones informáticas (SW)
 Equipos informáticos (HW)
 Comunicaciones
 Elementos auxiliares
 Seguridad física
 Personal

6.5.1.1. Identificación de las salvaguardas.

La siguiente tabla relaciona cada uno de estos tipos de protección con el


modelo anterior de reducción de la degradación y de la probabilidad:

CLASIFICACIÓN DE SALVAGUARDAS
ASPECTO
G Gestión
T Técnico
F Seguridad Física
P Gestión Personal
TIPO DE PROTECCION
PR Prevención
DR Disuasión
EL Eliminación
IM Minimización del Impacto
CR Corrección
RC Recuperación
AD Administración
AW Concienciación
DC Detección
MN Monitorización
PESO
3 Máximo Peso Critica
2 Peso Alto Muy Importante
1 Peso Normal Importante
0 Peso Bajo Interesante
Aseguramiento: Componentes Certificados
Las salvaguardas se caracterizan, además
de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz,
eficacia que combina dos factores:

Desde el punto de vista técnico

 Es técnicamente idónea para enfrentarse al riesgo


que protege
 Se emplea siempre
Desde el punto de vista de operación de la
salvaguarda

 Está perfectamente desplegada, configurada y mantenida


 Existen procedimientos claros de uso normal y en
caso de incidencias
 Los usuarios están formados y concienciados
 Existen controles que avisan de posibles fallos

Entre una eficacia del 0% para aquellas que faltan y el 100% para
aquellas que son idóneas y que están perfectamente implantadas,
se estimará un grado de eficacia real en cada caso concreto. Para
medir los aspectos organizativos, se puede emplear una escala de
madurez que recoja en forma de factor corrector la confianza que
merece el proceso de gestión de la salvaguarda:

Factor Nivel Significado


0% L0 inexistente
L1 inicial / ad hoc
L2 reproducible, pero intuitivo
L3 proceso definido
L4 gestionado y medible
100% L5 optimizado

6.5.1.2. Valoración de las salvaguardas.

Hay que ordenar en el tiempo los programas de seguridad teniendo en


cuenta los siguientes factores:

 La criticidad, gravedad o conveniencia de los impactos y/o riesgos


que se afrontan, teniendo máxima prioridad los programas que
afronten situaciones críticas.

 La disponibilidad del personal propio para


responsabilizarse de la dirección (y, en su caso, ejecución) de las
tareas programadas.
 Otros factores como puede ser la elaboración del presupuesto
anual de la organización, las relaciones con otras organizaciones,
la evolución del marco legal, reglamentario o contractual, etc.

6.5.2. Plan de tratamiento de riesgos para infraestructura de red


Realizar un plan de tratamiento de riesgos para la infraestructura de red es la parte más
compleja de la implantación de la norma ISO 27001. A la vez la evaluación del riesgo es
un paso más importante al comienzo de su proyecto de la infraestructura de red.
A pesar del plan de tratamiento de riesgos para la infraestructura de red, es un trabajo
complejo ya que a menudo se tejen mitos innecesarios. Se expone 6 pasos básicos para
realizar el plan de tratamiento de riesgos para la infraestructura de red de manera
sencilla: [5]

1. Metodología de evaluación del riesgo

Es necesario definir las reglas para llevar a cabo la gestión de riesgo, ya que se
querrá que toda la empresa lo haga de la misma forma, el principal problema
del plan de tratamiento de riesgos para la infraestructura de red es que
la organización lo ejecute de diferente forma en distintas partes de la
organización.

Se debe definir si quiere una evaluación cualitativa o cuantitativa del riesgo,


cuáles son las escalas que se utiliza durante la evaluación cualitativa,
conocer cuál será el nivel aceptable de riesgo, etc. [5]

2. Implantación de la evaluación del riesgo

Una vez que se conocen las reglas, se puede comenzar localizando los
problemas potenciales que pueden ocurrir. Es necesario realizar un listado de
todos los recursos, de las amenazas y vulnerabilidades que se relacionan con
los recursos, evaluar el impacto y la probabilidad de ocurrencia para
cada combinación de recursos, amenazas, vulnerabilidades y finalmente se
debe calcular el nivel de riesgo. [5]
3. Implementar el tratamiento del riesgo
No todos los riesgos tienen el mismo origen, se debe enfocar en los más
importantes, los llamados riesgos no aceptables.
Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.
 Aplicar controles de seguridad obtenidos del Anexo A para disminuir el
riesgo.
 Transferir el riesgo a otras personas, es decir, comprando un seguro con
una compañía aseguradora.
 Evitar riegos al detener la ejecución de la actividad que genera un elevado
riesgo, o al hacerla de forma diferente.
 Aceptar el riesgo, por ejemplo, si el costo de atenuación es mayor que el
daño en sí mismo.
Sería mucho más fácil si su presupuesto fuese ilimitado. [5]
4. Reporte de la evaluación del riesgo en el Sistema de Gestión de la
infraestructura de red
Este es algo más tedioso ya que es necesario documentar todo lo que ha hecho
hasta ahora. No sólo es tedioso para los auditores, ya que usted mismo puede
querer verificar los resultados en uno o dos años. [5]
5. Declaración de aplicabilidad
Este documento muestra el perfil de seguridad de su empresa, basado en los
resultados del tratamiento de riesgos, necesita realizar un listado de todos los
controles que han implementado, por qué los implementó y cómo lo hizo. Este
documento también es muy importante porque el auditor de certificación lo
utilizará como su guía principal durante la auditoría. [5]
6. Plan para el tratamiento de riesgos
Este es el paso en el que tiene que moverse de la teoría a la práctica. Hasta
este momento el trabajo del plan de tratamiento de riesgos para infraestructura
de red ha sido teórico, pero en este momento en donde se deben mostrar los
resultados.
Este es el propósito del plan de tratamiento de riesgos para la infraestructura
de red, es decir, definir de forma exacta quien va a implantar cada control,
cuándo, con qué presupuesto cuenta, etc. Es preferible llamar a este documento
“plan de implementación” o “plan de acción”, pero debemos utilizar la
terminología de la norma ISO 27001.
Es crucial que se obtenga la aprobación de la dirección, ya que llevará tiempo
y esfuerzo para implantar todos los controles que ha planificado. Y sin su
compromiso no obtendrá los recursos necesarios. [5]

6.3.3. Estimación de Riesgos

Riesgo Categoría Probabilidad Impacto

Falta de Experiencias en Entorno de


80% Planificación Marginal
herramientas Desarrollo

Exceso de Usuarios Sistema(Sistema de


40% Rendimiento
Planificados RED)
Tiempo de Ejecución de Sistema(Sistema de
30% Planificación Critica
Proyecto RED)

Cliente cambie los Sistemas (sistema


70% Costos Críticos
requerimientos de Red)

1. Ordenación y Filtrado:

 Ordenamos por Probabilidad


 Despreciar riesgos poco probables y los medianamente probables con poco impacto

VII. RESULTADOS

VIII. CONCLUSIONES

 La metodología propuesta por el grupo de trabajo abarca procesos de los cuales se llega a
tener un mejor entendimiento para su aplicación y sobre todo para darle solución a los
Riesgos que se presentan en una Infraestructura de Red.

 Las herramientas usadas (Magerit, Pilar,Eramba y ISO 27005) en nuestro trabajo se


relacionan mucho y gracias a eso como grupo de trabajo logramos realizar nuestra propia
metodología de gestión de riesgos para la infraestructura de red.

 Se logro indentificar algunas amenazas mas importantes en el Area de Infraestructura de


RED de la IEP San Fernando - Cajamarca y asi se estimo el impacto que estas ha causado
en los ACTIVOS, en el cual esta fue de principal importancia para poder indentificar las
SALVAGUARDAS SUGERIDAS, tambien se logro estimar los Riesgos encontrados.

Vous aimerez peut-être aussi