Actividad 3. Análisis de riesgos

SEGURIDAD 1

UNIDAD 1

ACTIVIDAD 3

Análisis de riesgos

Actividad 3. Análisis de riesgos

De acuerdo al caso propuesto por tu Facilitador(a) deberás realizar un análisis de riesgos, además de vincularlo a las políticas de seguridad.

Análisis de Riesgo

La empresa con giro comercial de caja de ahorro y  préstamo, la cual esta estructura de la siguiente manera:

1. En el área de TI, cuenta con 2 programadores, un administrador de la base de datos, 1 administrador de la red y servidores, y 1 de soporte técnico.
2. EL servidor de archivos tiene el sistema operativo Windows server 2008, 45 PC´s, 3 laptops, 2 routers, 3 switch, 2 acces point, un enlace a internet.
3. Las  30 PC´s cuentan con sistema operativos Windows 7 a 32 bits, Office 2010, y una aplicación desarrollada para el control de los clientes, el sistema gestor de la base de datos es SQL Server.
4. Todos las Pc’s y Laptops cuentan con licenciamiento al igual que el office y antivirus
5. Los usuarios tienen acceso a su propio correo asignado, con dominio de la empresa y acceso a Internet.
6. Se realizan respaldos diarios del sistema de información, dependiendo de  último que se retira del departamento de TI.
7. Uno de los programadores desarrolla software para otras compañías con diferente giro por su propia cuenta.

1.-Identifica los pasos a seguir para el análisis de riesgos.

En un proceso de análisis del riesgo debe considerarse la siguiente terminología:

1. Activo: es todo aquello con valor para una organización y que necesita protección –datos infraestructura, hardware, software, personal y su experiencia, información, servicios.

1. Riesgo: posibilidad de sufrir algún daño o pérdida.

1. Aceptación del riesgo: decisión para aceptar un riesgo.

1. Análisis de riesgo: uso sistemático de información disponible para identificar las fuentes y para estimar qué tan seguido determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. Uso sistemático de la información para describir y calcular el riesgo (ver tabla 5.3). Evaluación de amenazas y vulnerabilidades de la información y su impacto (ver tabla 5.4) en el procesamiento de la información así como su frecuencia de ocurrencia (ver tabla 5.5).

Tabla 5.3 Un ejemplo de la escala del riesgo

[pic 2]

1. Como ya conoces cuales son los activos que manejan las empresas, contesta las siguientes preguntas.
3. 2.- ¿Que se Busca Proteger? Dentro de la empresa o Institución.

Confidencialidad: el mensaje no puede ser leído por personas no autorizadas.

• Integridad: el mensaje no puede ser alterado sin autorización.

• Autentificación: se puede verificar que el mensaje ha sido enviado por una persona, y recibido por otra.

 • No repudio: significa que después de haber enviado un mensaje, no se puede negar que el mensaje no es tuyo.

 Cifrado y descifrado de un mensaje El emisor cifra su mensaje utilizando una clave y un algoritmo de cifrado. Este mensaje cifrado es transmitido por la red al receptor. Este, utilizando la clave y un algoritmo de descifrado puede obtener el mensaje original. De esta forma, aunque un intruso intercepte el mensaje no lo podrá descifrar si no sabe el algoritmo de descifrado y la clave. El cifrado es necesario entre otras funciones para:

• Proteger la información almacenada en un ordenador

• Proteger la información transmitida desde un ordenador a otro.

• Asegurar la integridad de un fichero.

3.- Investiga que son las políticas de seguridad, y defínela con tus propias palabras

La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.

Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.

...