Seguridad Informatica
Enviado por maousuga • 10 de Diciembre de 2014 • 1.156 Palabras (5 Páginas) • 515 Visitas
VALORACION DE RIESGOS
Identificación de Riesgos
Teniendo en cuenta el Inventario de Activos de la Empresa de Simón, el cual es relativamente pequeño aplicaremos la identificación de riesgos a todos los Activos y encontramos los siguientes riesgos y amenazas los cuales describimos a continuación realizando el análisis correspondiente:
1. Desastres Naturales
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta.
Amenazas que pueden materializar el riesgo:
• Desastres Naturales
• Incendios e Inundaciones
Dimensión de la Amenaza:
• Disponibilidad, trazabilidad se Servicios y Datos.
Controles:
• Implementar Plan de Emergencia y Plan de Continuidad
Evaluación del Control de Riesgo:
Teniendo en cuenta la evaluación del riesgo y según la consideración podemos definir:
Cualificación
Consideración
Eficiencia
Marginalidad
Muy adecuado El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad
90% 0.1
Probabilidad de que ocurra la Amenaza:
Teniendo en cuenta el riesgo es complejo definir la probabilidad de que ocurra pero por trazabilidad podemos definir qué:
Valor
Frecuencia
Ocurrencia
0.6 Normal
Sucede una vez al año
Estimación del Impacto:
Realizando la estimación del impacto podemos decir que:
Valor
Degradación
Ocurrencia
0.8 Mayor
El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación
Riesgo Inherente:
Realizando el cálculo y teniendo en cuenta la formula obtenemos
Riesgo_ Inherente = Frecuencia * Degradación
= 0.6 * 0.8
= 0.48
Riesgo Marginal:
Realizando el cálculo y teniendo en cuenta la formula obtenemos
Riesgo_ Marginal = Riesgo_Inherente * Marginalidad
= 0.48 * 0.1
= 0.048
2. De Origen Industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada.
Amenazas que pueden materializar el riesgo:
• Desastres Industriales: explosiones, derrumbes, contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, accidentes de tráfico.
• Contaminación Mecánica: vibraciones, polvo, suciedad.
• Contaminación electromagnética: interferencias de radio, campos magnéticos, luz ultravioleta.
• Avería de origen físico o lógico: fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen o sobrecargo de la línea eléctrica durante el funcionamiento del sistema.
• Corte del suministro eléctrico: cese de la fuente de alimentación de potencia
Dimensión de la Amenaza:
• Disponibilidad, trazabilidad se Servicios y Datos.
Controles:
• Implementar Plan de Emergencia y Plan de Continuidad con el respectivo seguimiento y documentación de los mismos, Implementar sistemas de Seguridad Electrónica en las Instalaciones(Sistemas de Alarma, Detección de Incendio, CCTV)
Evaluación del Control de Riesgo:
Teniendo en cuenta la evaluación del riesgo y según la consideración podemos definir:
Cualificación
Consideración
Eficiencia
Marginalidad
Muy adecuado El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad
90% 0.1
Probabilidad de que ocurra la Amenaza:
Teniendo en cuenta el riesgo es complejo definir la probabilidad de que ocurra pero por trazabilidad podemos definir qué:
Valor
Frecuencia
Ocurrencia
0.8 Frecuente
Sucede Mensualmente
Estimación del Impacto:
Realizando la estimación del impacto podemos decir que:
Valor
Degradación
Ocurrencia
0.8 Mayor
El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación
Riesgo Inherente:
Realizando el cálculo y teniendo en cuenta la formula obtenemos
Riesgo_ Inherente = Frecuencia * Degradación
= 0.8 * 0.8
= 0.64
Riesgo Marginal:
Realizando el cálculo y teniendo en cuenta la formula obtenemos
Riesgo_ Marginal = Riesgo_Inherente * Marginalidad
= 0.64 * 0.1
= 0.064
3. Errores y Fallos no intencionales
Fallos no intencionales causados por personas.
Amenazas que pueden materializar el riesgo:
• Errores de Usuarios: Equivocaciones de los usuarios cuando usan los servicios.
• Errores de Administrador: Equivocaciones de personas con responsabilidades de Instalación y Operación.
• Errores de Monitorización: Inadecuado registro de actividades: falta de registros, registros incompletos, registros incorrectamente fechados, registros incorrectamente atribuidos.
• Errores de Configuración: Introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc.
• Difusión de Software Dañino: propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
Dimensión
...