Definición del alcance de un análisis de riesgos

Definición del alcance de un análisis de riesgos

Introducción

Los cambios tecnológicos traen una nueva forma de vida como también trae consigo múltiples problemas y sobre todo cuando se refiera a la información que se maneja, procesa y almacena bajo los diferentes medios tecnológicos, de tal manera que las empresas deben estar consciente de que se está expuesto por múltiples amenazas y riesgos que logren vulnerar la confidencialidad, integridad y disponibilidad de la información.

1. Objetivos

1.1 General

Evaluar el nivel riesgo de los activos informáticos de una organización mediante el uso de una metodología MAGERIT.

1.2 Específicos

• Determinar la metodología de análisis y gestión de riesgos

2. Contexto de la Organización

Tabla 1. Información institución

Nombre del centro Lugar Dirección correo

Centro de estudios Superiores Informáticos de Colombia Pasto Carrera 12ª No. 44-15 Contacto@Superiores.com

El centro de estudios superiores informáticos de Colombia es una institución educativa de carácter privado, el cual está certificada por ministerio de educación nacional, su infraestructura física se encuentra ubicada en la ciudad de Pasto – Nariño, con la posibilidad de establecer sedes en las diferentes ciudades de orden nacional.

En el anterior organigrama se hace indispensable tener el área de sistemas la cual permite generar la modalidad de educación virtual, cumpliendo con el soporte a la infraestructura tecnológica presente en la institución, a continuación se tiene la estructura organizacional de esta área:

Las funciones a desarrollar del personal de infraestructura del área de sistemas serán:

Cargo Actividades

Coordinador

Planificar, dirigir y controlar el buen funcionamiento de acceso a la red institucional y a internet.

Revisión de diseños de cableado estructurado, el correcto funcionamiento de equipos de cómputo y telecomunicación.

Técnico software y hardware

Realizar el respectivo mantenimiento preventivo y correctivo, dispuesto por el coordinador, de los sistemas de información, sistemas operativos, aplicaciones ofimáticas de los equipos de cómputo.

Configuración, mantenimiento preventivo o correctivo de equipos de cómputo, red de datos, servidores.

3. Análisis de riesgos

3.1. Activos de información

Inicialmente se hace un registro de los activos de información, donde se especifica el área y el responsable del activo y además se le da una valoración cualitativa acá uno de ellos.

Valoración de los Activos de información

A continuación, se procede a generar el cuantitativo del activo según su valor, el cual se mide bajo las dimensiones de Autenticidad, trazabilidad, confidencialidad, integridad y disponibilidad.

Tabla 2. Valoración de los activos

Nombre Riesgo AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD VALOR

[www] Página Web IMPORTANTE 15 15 15 25 25 19

[host] servidor de impresión IMPORTANTE 9 20 20 20 20 18

[host] servidor de archivos FTP CRITICO 9 20 25 25 25 21

[host] servidor aplicación propio CRITICO 20 20 25 25 25 23

[host] servidor DHCP CRITICO 20 20 20 25 25 22

[pc] Computador contabilidad IMPORTANTE 20 15 20 20 15 18

[firewall] Cortafuegos CRITICO 20 20 20 25 25 22

[pc] computador registro y control IMPORTANTE 20 15 20 20 15 18

[pc] computador sala de internet APRECIABLE 15 15 15 15 15 15

[hub] Hub concentrador IMPORTANTE 15 15 20 20 20 18

Switches IMPORTANTE 15 20 20 20 25 20

[wap] punto de acceso inalámbrico APRECIABLE 9 9 15 15 9 11

[print]impresora HP APRECIABLE 9 9 15 15 15 13

[print]impresora Smart APRECIABLE 9 9 15 15 15 13

[ipphone]Teléfono IP IMPORTANTE 15 15 20 15 20 17

[adm]Técnicos mantenimiento IMPORTANTE 20 20 20 20 20 20

[pc] computadores tareas académicas APRECIABLE 15 15 15 15 15 15

[Lan]Red de datos IMPORTANTE 15 20 20 20 25 20

Identificación de las amenazas

Para cada activo de información se realiza el listado de amenazas al que esta expuesto.

Tabla 3.Identificación de amenazas

Activo Amenazas a los que están expuestos

[www] Página Web [E1] Errores de los usuarios

[E20] Vulnerabilidades de los programas (software)

[E21] Errores de mantenimiento / actualización de programas

[A24] Denegación de servicio

[A6] Abuso de privilegios de acceso

[host] servidor de impresión [N.1] Fuego

[N.2] Daños por agua

[I6] Corte del suministro eléctrico

[I.5] Avería de origen físico o lógico

[I.7] Condiciones inadecuadas de temperaturas o humedad

[E4] Errores de configuración

[E2] Errores del administrador

[E23] Errores de mantenimiento / actualización de equipos

[A.11] Acceso no autorizado

[A.4] Errores de configuración

[A25] Robo

[host] servidor de archivos FTP [N.1] Fuego

[N.2] Daños por agua

...