Gestion Riesgos

Metodologa de
Anlisis del riesgo
INTEGRANTES
CORONADO LLATAS, Miguel

DILAS CORDOVA, Dante
GIL ESPINOZA, Manuel.
ORDOEZ MARN, Csar.
VASQUEZ SAMAN, Csar
El SENATI es una organizacin que ofrece

capacitacin
en
Tecnologas
de
la
Informacin y Comunicaciones, cubriendo
desde el aprendizaje bsico del uso de la
computadora, hasta el manejo y aplicacin
de software especializado, incluido internet,
para el incremento de la productividad en
las diferentes actividades econmicas.
Tiene como Misin Formar y capacitar a las
personas para empleos dignos y de alta
productividad, en apoyo a la industria
nacional en el contexto global, y para
contribuir a la mejora de calidad de vida de
la sociedad.
MODELO
DE LA METODOLOGA
ANLISIS DEL CONTEXTO

En primer lugar, es necesario conocer el contexto en el
que se va a desarrollar. Fundamentalmente conocer las
caractersticas de la organizacin, asegurar el
compromiso del equipo directivo de la institucin y
establecer la infraestructura necesaria para llevar a cabo
las actividades de la gestin de riesgos.
Son las condiciones internas y del entorno, que pueden
generar eventos que originen oportunidades o afecten
negativamente el cumplimiento de la misin y objetivos
de una institucin.
Formato: de Anlisis del

Contexto Interno
GRUPOS - CAPACIDADES
1. CAPACIDAD DIRECTIVA
DEBILIDADES
Uso de anlisis y planes estratgicos
Flexibilidad de la estructura
organizacional
FORTALEZAS
X
La situacin de riesgo relacionada con Ia

estructura organizacional estara
representada en el hecho de que no
existe una estructura dinmica, eficiente
y efectiva que permita realizar Ias
operaciones de los procesos
adecuadamente.
Comunicacin y control gerencial
Experiencia y conocimiento de Directivos

Habilidad para atraer y retener gente
creativa
Habilidad para responder a tecnologas
cambiantes
Habilidad para manejar fluctuaciones
econmicas
Capacidad para enfrentar a la

competencia
SITUACIN DE RIESGO
X
X
X
La situacin de riesgo esta dado que al
no tener una capacidad para enfrentar a
los posibles competidores corre el riesgo
de no sobrevivir en el mercado
Sistemas de control eficaces
Sistemas de tomas de decisiones
DEBILIDADES
FORTALEZAS
SITUACIN DE RIESGO
1. CAPACIDAD TECNOLGICA
Capacidad de innovacin
Nivel de tecnologa utilizada en los

servicios
Mejora de los procesos
Esta situacin afectara Ia operacin

de Ia Gobernacin en los tiempos de
respuesta y en Ia calidad de Ia
atencin a sus clientes y grupos de
inters.
Efectividad en los servicios
Aplicacin de tecnologas informticas
Agilidad en los procesos
DEBILIDADES
FORTALEZAS
SITUACIN DE RIESGO
1. CAPACIDAD TALENTO HUMANO

Nivel acadmico del recurso humano
Experiencia tcnica
Estabilidad
Rotacin interna
Al no existir una rotacin interna se

corre el riesgo de no identificar posibles
fallas en los trabajadores
Motivacin
Nivel de remuneracin
Accidentalidad
Retiros
Suponen un coste muy elevado para la

empresas
Riesgo de perder el conocimiento

invertido en l.
Puede causar molestias e

incomodidades en el
Ausentismo
grupo de trabajo que por causa de la

ausencia laboral de uno o unos de sus
compaeros.
DEBILIDADES
FORTALEZAS
SITUACIN DE RIESGO
1. CAPACIDAD COMPETITIVA
Calidad del servicio, exclusividad
Lealtad y satisfaccin del cliente
Bajos costos del servicio brindado
Inversin en I&D para desarrollo de

nuevos servicios
No se podr brindar nuevos servicios
Grandes barreras de entrada en el

mercado
Administracin de clientes
Ventaja del potencial de crecimiento del

mercado
DEBILIDADES FORTALEZAS SITUACIN DE RIESGO
1. CAPACIDAD FINANCIERA
Acceso a capital cuando lo requiere
Grado de utilizacin de capacidad de

endeudamiento
Rentabilidad, retorno de la inversin
Liquidez, disponibilidad de fondos internos
Al no contar con con

fondos econmicos no se
podr comprar nada al
momento que se necesite.
Estabilidad de costos
Habilidad para competir con precios
Formato: de Anlisis del

Contexto Externo
FACTORES
OPORTUNID
AMENAZAS AD
SITUACIN DE RIESGO
1.ECONMICO
Recesin Econmica
Inflacin acelerada
Altos grados de regulacin o
reglamentacin de las
actividades.
Al haber recesin econmica

se corre el riesgo de perder
alumnos.
Un aumento de los precios de

los servicios, por lo tanto
menor cantidad de alumnos.
FACTOR
AMENAZAS OPORTUNIDAD
SITUACIN DE RIESGO
1.POLTICOS
Una modificacin legal a alguna o

algunas de Ias fuentes de ingresos
de la empresa se convierten en un
factor de riesgo alto para el
cumplimiento de los objetivos
estratgicos de Ia Entidad, pues
afectara de manera importante la
disponibilidad de recursos.
Se corre el riesgo de suspensin

de actividades por huelgas,
rebeliones, terrorismo poltico,
guerra civil, conflictos armados,
entre otros.
Modificaciones legales a Ias fuentes

de
ingresos de Ia Empresa.
Estabilidad Poltica
Acceso a nuevos mercados
Potenciales nuevos inversionistas
FACTOR
AMENAZAS OPORTUNIDAD
SITUACIN DE RIESGO
1. SOCIALES
Situaciones de
desplazamiento social
Moda
Aumento en la sociedad de la cultura

emprendedora.
FACTOR
1.TECNOLOGICOS
Resistencia al cambios
tecnolgico
Eficientes Sistemas de
Comunicacin.
Acceso a nueva tecnologa
AMENAZAS
OPORTUNIDAD
SITUACIN DE RIESGO
EI factor resistencia a cambios tecnolgicos

presenta una situacin de riesgo para Ia la
empresa, ya que el personal rechazara las
nuevas formas de trabajar
La situacin de riesgo estara dada por una

eventual falla tecnolgica que dificultara la
comunicacin al interior de Ia entidad.
X
GRUPOS - CAPACIDADES AMENAZAS OPORTUNIDAD SITUACIN DE RIESGO

1.GEOGRFICOS
Nivel de desarrollo
econmico y social de Ia
regin que rodean Ia
Empresa.
IDENTIFICACIN DE ACTIVOS
Un activo es todo aquello que tiene valor
para la organizacin y que, por lo tanto,
requiere de proteccin. Son bienes,
espacios, procesos y cualquier otro
elemento que tiene valor para la
organizacin, los cuales son susceptibles a
amenazas, por lo que requieren proteccin.
Para la identificacin de los activos es
recomendable tener en cuenta que existen
diferentes tipos de activos.
ACTIVOS DE INFORMACION
C
U
Recurso
C
O
Ubicacin
Interno
Humano
X
X
Externo
Sistemas Elctricos
X
X
Externo
Cd
R1
R2
R3
R4
R301
R302
R303
R304
R304
A
R304
B
R401
R402
R403
R405
R406
R407
R409
R410
R411
R412
R412
A
R5
R7
R8
R9
R701
R702
R703
R801
R802
R803
R804
R805
Dependencia
Cia. Elctrica
Cableado
Sistema
Elctrico
Red de Datos
Router
Mdem
Switchs
Cableado
X
X
X
X
X
X
Externo
Interno
Telefnica
Telefnica
STI
STI
Red
Interno
STI
Internet
Externo
Telefnica
Servidores
Firewall
Cuentas
VPN Interno
Base de Datos SENATI
SQL
Banner
Web
Archivos
Impresiones
Correo Electronico
Interno
Externo
Computadoras
R6
Proveedor
Externo
Sistema
Elctrico
X
X
X
X
X
X
X
X
Interno
Interno
Interno
Interno
Interno
Interno
Interno
Interno
Interno
STI
PNI
STI
STI
STI
STI
STI
STI
X
X
X
Interno
S7PNI
Impresoras
Sistema Banner
Alumno
Exalumno
Finanzas
Sistema Web
Web SENATI
Personal
Egresados
IFPI
Infopymes
Interno
STI
X
X
X
Interno
Interno
Interno
STI
STI
STI
X
X
X
X
X
Interno
Interno
Interno
Interno
Interno
STI
STI
STI
STI
STI
Aire Acondicionado
Interno
STI
Sistema
Elctrico
Sistema
Elctrico,
Computadora
Red de Datos
Red de Datos
Sistema
Elctrico
HUMANO: Personas con las que cuenta la organizacin para desarrollar y ejecutar de manera
correcta las acciones, actividades, labores y tareas que deben realizarse y que han sido solicitadas a
dichas personas.
SISTEMAS ELCTRICOS: Serie de elementos o componentes elctricos, conectados elctricamente
entre s con el propsito de generar, transportar o modificar seales elctricas.
RED DE DATOS: Infraestructura cuyo diseo posibilita la transmisin de informacin a travs del
intercambio de datos. Diseada especficamente para satisfacer sus objetivos, con una arquitectura
determinada para facilitar el intercambio de los contenidos.
SERVIDORES: Aplicacin informtica o programa que realiza algunas tareas en beneficio de otras
aplicaciones llamadas clientes, permiten a los usuarios almacenar y acceder a los archivos de una
computadora y los servicios de aplicaciones, que realizan tareas en beneficio directo del usuario final.
COMPUTADORAS: Mquina o dispositivo electrnico capaz de recibir datos, procesarlos y entregar los
resultados en la forma deseada, ya sea en el monitor o impresos. Los datos son procesados por instrucciones en
forma de programas.
IMPRESORAS: Dispositivo de hardware que imprime grficos o texto en papel.
SISTEMA BANNER: Sistema acadmico que implementa soluciones tecnolgicas a la gestin acadmica,
herramienta amigable de clase mundial, en ella se destaca la transversalidad de todos los procesos acadmicos
y administrativos, facilita la administracin y gestin acadmica que se realiza.
SISTEMA WEB: Sistema que apoya parte de sus procesos a travs de una red de computadoras o la Word Wide
Web.
AIRE ACONDICIONADO:
Proceso que se considera ms completo de tratamiento del aire ambiente de
los locales habitados; consiste en regular las condiciones en cuanto a la temperatura (calefaccim o
refrigeracin), humedad, limpieza (renovacin, filtrado) y el movimiento del aire dentro de los locales.
VALORACIN DE ACTIVOS
La valoracin de los activos se realizar
mediante la determinacin de la
importancia de los activos para la
organizacin. La estimacin del valor se
puede ver desde la perspectiva de la
necesidad de proteger pues cuanto ms
valioso es un activo, mayor nivel de
proteccin requerimos en la dimensin de
seguridad que sean pertinentes
VALORACIONJ CUANTIFICABLE
Resultado obtenido
Nivel de Importancia
26-30
Muy Alto
21-25
Alto
16-20
Medio
11--15
Bajo
1--10
Muy Bajo
No Aplicable
Valoracin de Activos
Aspectos
COD. ACTIVO
Resultados
COD
N de Activo
Confidencialidad
Integridad
Disponibilidad
Auten-ticidad
Traz. del uso

del servicio
Traz. del
acceso a
los datos
Valor
Nivel
R1
R1
12
Bajo
R2
Muy Bajo
R301
5
15
R302
Muy Bajo
R303
Muy Bajo
R304
R304A
R304B
0
0
0
0
0
0
4
5
5
0
5
5
0
4
5
0
0
5
4
14
20
Muy Bajo
Bajo
Medio
R401
10
Muy Bajo
R402
R403
5
2
4
5
4
5
4
5
5
5
5
2
27
24
Muy Alto
Alto
R405
R406
5
2
5
5
5
5
5
5
2
5
5
5
27
27
Muy Alto
R407
R409
R410
R411
R412
R5
0
4
5
3
0
0
2
4
5
1
3
0
2
5
5
3
3
5
0
4
2
5
4
3
0
2
3
3
1
4
0
5
5
3
3
3
4
24
25
18
14
15
Muy Bajo
Alto
Alto
Medio
Bajo
Bajo
R6
R6
R701
0
0
0
0
5
3
0
4
1
5
0
4
6
16
Muy Bajo
Medio
R7
R702
R703
0
5
0
5
1
4
2
4
2
4
2
5
7
27
Muy Bajo
Muy Alto
R8
R801
R802
R803
R804
R805
0
4
2
3
3
1
4
3
2
1
3
2
1
3
2
1
4
3
10
20
12
0
0
Muy Bajo
Medio
Bajo
R9
R9
Muy Bajo
R2
R3
R4
R5
Bajo
Muy Alto
IDENTIFICACIN DE
AMENAZAS
Condicin latente derivada de la posible
ocurrencia de un fenmeno fsico de
origen natural, socio-natural o antrpico
no intencional, que puede causar dao a
la
poblacin
y
sus
bienes,
la
infraestructura, el ambiente y la economa
pblica y privada.
Descripcin de Amenazas
AM1 Corte de Energa Elctrica
La falla de energa elctrica afecta directamente a los equipos
(recursos fsicos) que soportan los servicios de la tecnologa de
informacin que se brindan ocasionando la baja/ cada de los mismos.
Los cortes de energa elctrica que pueden darse de las siguientes
formas:
Corte previsto (informado) por la empresa proveedora de energa
elctrica
Corte previsto por falla o sabotaje de la red externa de energa
elctrica (Torres de alta tensin, equipos de la central de
proveedores, etc)
Corte previsto por el SENATI (Mantenimiento pruebas y simulacin,
etc)
Corte imprevisto por falla , sabotaje o intervencin casual de la red
interna de energa elctrica del SENATI (corto circuito, manipulacin
indebida de las llaves de energa elctrica, etc)
AM2 Acceso no Autorizado

Acceso no autorizado es la intrusin de un
usuario que no cuenta con el debido
permiso para:
Ingresar al centro de cmputo
Acceder a los recursos compartidos:
Archivos/ aplicaciones, impresoras.
Conectarse a la VPN (Interna y Externa)
AM3 Programa mal intencionados

Son archivos que se ejecutan acciones
sin permiso y/o conocimiento de los
usuarios. El fin de estos archivos puede
ser:
Eliminar informacin.
Ocultar Informacin.
Interrumpir las comunicaciones
Toma posesin de los equipos
conectados a la red.
AM 4 Incendio
Es una amenaza producida por cambios qumicos en el medio
ambiente o derivado de la combinacin de eventos que se
conducen a su informacin, cuyo efecto inmediato es
desprender calor.
Tantos los medios de almacenamiento como hardware de los
equipos son susceptibles de daos severos, hasta la
destruccin total.
Un incendio puede presentarse debido a las siguientes causas:
Natural, el material y el medio ambiente que rodea las
instalaciones de la institucin de manera independiente o en
interaccin entre ellos originan un incendio de manera
espontnea.
Derivado Cuando la combinacin o mal funcionamiento de
ciertos componentes que rodean o forman parte de la
institucin originan el incendio (llmese cortos circuitos, por
ejemplo).
AM5 Robo Hurto

Es la sustraccin indebida, desautorizada de equipos,
dispositivos, accesorios o componentes de cualquier equipo
de cmputo y/0 de comunicaciones, para uso y/o beneficio
personal.
AM6 Terremoto
Un terremoto es un movimiento brusco de la tierra que puede
alcanzar niveles destructivos. Estos niveles destructivos
afectan directamente a la infraestructura de una construccin
dando como resultante de la destruccin parcial o total de
todo lo que se encuentre dentro de la edificacin afectada.
Tanto los medios de almacenamiento como el hardware de
los equipos son susceptibles de daos severos, hasta la
destruccin total.
Los terremotos pueden nicamente ser ocasionado por la
fuerza de la naturaleza.
AM 7 Sabotaje
Es la accin mal intencionada de un trabajador del SENATI o
persona de confianza que puede ocasionar la paralizacin de
algunos de los servicios que se brinda en el rea de sistemas.
Todos los recursos son susceptibles al sabotaje, que puede
ocasionar un corte temporal de los servicios, hasta la
paralizacin total de acuerdos a su grado o dimensin
AM 8 Fallo en comunicaciones
Los servicios de TI que brinda en SENATI son accesibles a
travs de internet, el cual es contratado a compaas externas a
la Institucin (comunicacin de sede en sede) y adems, cuenta
con una red interna compuesta de diversos equipos y cableado
que permiten una comunicacin al interior de la sede
AM 9 Falla de Hardware
Son las fallas que pueden ocurrir en cualquier recurso fsico que
da soporte a los servicio.
AM 10 Falla de software
Son las fallas en los sistemas operativos o cualquier otro
software cuya consecuencia es el recorte de los servicios
de prioridad alta, que brindan.
AM11 Error Humano
Es la amenaza ms comn, ya que un problema se
presenta debido al error involuntario de la utilizacin de
hardware o software, de parte del usuario.
Esta falla es muy difcil de verificar, controlar o prevenir,
por lo que se deben buscar medios que faciliten auditar
los sistemas
AM12 Fallas en el Sistema de Enfriamiento
Se produce cuando el equipo de aire acondicionado del
centro de cmputo DN deja de funcionar, ya sea total o
parcialmente.
AM 13 Inundaciones
Una inundacin es un desbordamiento del agua, que
sumerge una superficie; ya sea por un diluvio, una filtracin o
daos en los canales de suministro de agua de una
infraestructura.
tanto los medios de almacenamiento como el hardware de
los equipos son susceptibles de daos severos, hasta la
destruccin
una inundacin puede presentarse debido a las siguientes
causas:
Natural. Lluvias constantes (diluvio), desbordamiento de
los cauces de los ros.
Internacional. Cuando alguna persona en nimo de
sabotaje inicia una inundacin de manera explcita.
Causal, cuando alguna persona por desconocimiento o de
manera totalmente sin intencin origina la inundacin.
Calificacin de la Amenaza por la

Posibilidad de Suceder
Tabla 2. Calificacin de la amenaza por el nivel de ocurrencia
Nivel de Ocurrencia
EVENTO
COMPORTAMIENTO
Poco probable
Es aquel fenmeno que puede suceder o que es factible porque

no existen razones histricas y cientficas para decir que esto no
suceder.
Probable
Es aquel fenmeno esperado del cual existen razones y

argumentos tcnicos cientficos para creer que suceder.
Muy probable
Es aquel fenmeno esperado que tiene alta probabilidad de

ocurrir.
Calificacin de la Amenaza
por el nivel de impacto
Tabla 2. Calificacin de la amenaza por el nivel de impacto
EVENTO
COMPORTAMIENTO
BAJO
Nivel de Impacto
1
Es aquel fenmeno que puede suceder, que afectan a los activos
crticos de la organizacin en nivel bajo.
MEDIO
2
crticos de la organizacin en nivel medio.
ALTO
3
crticos de la organizacin en nivel alto.
Valoracin de la Amenaza
Valor del Riesgo = Nivel de Ocurrencia *
Nivel de Impacto
Cod
Amenaza
Interno /
Externo
AM1
Fludo Elctrico
AN2
Tipo de
Amenaza
Nivel de
Ocurrencia
Nivel de
Impacto
Valor del
Riesgo
Interno
Accidental-Intencional
Accesos No autorizados
Externo/
Interno
Intencional
AM3
Prog. mal intencionados

(virus)
Externo/Inte
rno
Intencional
AM4
Incendio
Interno
AM5
Robo, hurto
Interno/Exte
rno
Intencional
AM6
Terremoto
Externo
Naturales
AM7
Sabotaje
Externo
Intencional
AM8
Falla en comunicaciones
Interno/Exte
rno
AM9
Falla de hardware
Interno
AM10
Falla de software
Interno
AM11
Fallas humanas, errores
Interno
AM12
Falla del Sistema de

Enfriamiento
Interno
AM13
Inundaciones
Accidental-IntencionalNeutral
Externo
Cuadro Resumen del valor de

Riesgo de las Amenazas
Cod
AM1
AN2
AM3
AM4
AM5
AM6
AM7
AM8
AM9
AM10
AM11
AM12
AM13
Valor del Riesgo (VR)

3
3
6
3
3
3
3
6
3
3
9
3
3
NIVEL
Bajo
Bajo
Medio
Bajo
Bajo
Bajo
Bajo
Medio
Bajo
Bajo
Alto
Bajo
Bajo
IDENTIFICACIN DE
VULNERABILIDADES
Caracterstica propia de un elemento o
grupo de elementos expuestos a una
amenaza, relacionada con su incapacidad
fsica, econmica, poltica o social de
anticipar, resistir y recuperarse del dao
sufrido cuando opera dicha amenaza.
Las vulnerabilidades se realiz un
agrupamiento por: Personas, Recursos,
Sistemas y Procesos.
Interpretacin
Interpretacin de la vulnerabilidad por cada aspecto
CALIFICACION
Bueno
CONDICION
Si el nmero de respuestas se encuentra dentro el rango 0,68 a 1
Si el nmero de respuestas se encuentra dentro el rango 0,34 a 0,67
Regular
Malo
Si el nmero de respuestas se encuentra dentro el rango 0 a 0,33
Interpretacin de la vulnerabilidad por cada elemento

RANGO
INTERPRETACION
COLOR
0.0 1.00
ALTA
ROJO
1.01 2.00
MEDIA
AMARILLO
2.01 3.00
BAJA
VERDE
Anlisis de la Vulnerabilidad de las

Personas
PUNTO A EVALUAR
1. Gestion Organizacional
Existe una poltica general en Gestin del
Riesgo donde se indican lineamientos de
emergencias?
Existe un esquema organizacional para la
respuesta a emergencias con funciones y
responsables asignados (Brigadas, Sistema
Comando de Incidentes, entre otros) y se
mantiene actualizado?
Promueve activamente la participacin de sus
trabajadores en un programa de preparacin
para emergencias?
SI
RESPUESTA
NO
PARCIAL
CALIFICACIN
0.5
0.5
La estructura organizacional para la respuesta a

emergencias garantiza la respuesta a los eventos
que se puedan presentar tanto en los horarios
laborales como en los no laborales?
0.5
Han establecido mecanismos de interaccin con

su entorno que faciliten dar respuesta apropiada
a los eventos que se puedan presentar?
(Comits de Ayuda Mutua, Mapa Comunitario de
Riesgos, Sistemas de Alerta Temprana, etc.)
0.5
Existen instrumentos para hacer inspecciones a

las reas para la identificacin de condiciones
inseguras que puedan generar emergencias?
Existe y se mantiene actualizado todos los
componentes del Plan de Emergencias y
Contingencias?
Se comunica al personal sobre la
implementacin tecnolgica llevadas a cabo?
Promedio de Gestin Organizacional
OBSERVACIONES
1
0,500
REGULAR
PUNTO A EVALUAR
SI
RESPUESTA
NO
PARCIAL
CALIFICA
CIN
OBSERVACI
ONES
2. Capacitacion y
Entrenamiento
Se cuenta con un programa
de capacitacin en prevencin
y respuesta a emergencias?
Todos los miembros de la

organizacin se han capacitado
de acuerdo al programa de
capacitacin en prevencin y
respuesta a emergencias?
Se cuenta con un programa

de entrenamiento en respuesta
a emergencias para todos los
miembros de la organizacin?
Se cuenta con mecanismos
de difusin en temas de
prevencin y respuesta a
emergencias?
El personal se capacita
constantemente para asumir
las funciones respectivas a su
cargo?
Promedio Capacitacin y
Entrenamiento
BUENO
RESPUESTA
PUNTO A EVALUAR
SI
NO
PARCIAL
CALIFICA
CIN
OBSERVACI
ONES
3. Caracteristicas de Seguridad
Se ha identificado y
clasificado el personal fijo y
flotante en los diferentes
horarios laborales y no
laborales (menores de edad,
adultos mayores, personas con
discapacidad fsica)?
El personal utiliza todos los
servicios exclusivos del
SENATI?
Existe segregacion de
funciones?
Promedio Caractersticas de
Seguridad
0.5
0,3333333
33
MALO
Resultado de vulnerabilidad
de las personas
Anlisis de vulnerabilidad de los

recursos
PUNTO A EVALUAR
SI
1: Edificaciones
Cuenta con espacio privado para su
principal servidor?
El tipo de construccin es sismo
resistente o cuenta con un refuerzo
estructural?
Existen puertas y muros cortafuego,

puertas antipnico, entre otras
caractersticas de seguridad?
Estn definidas las rutas de
evacuacin y salidas de emergencia,
debidamente sealizadas y con
iluminacin alterna?
Los lugares designados para los
sistemas de Informacin cuentan con
control de ingreso?
Se tienen asegurados o anclados
enseres, gabinetes u objetos que
puedan caer?
RESPUESTA
NO
PARCIAL
0.5
0.5
Promedio de Edificaciones
OBSERVACIO
NES
CALIFICACI
ON
0.5
1
0,33333333
3
MALO
PUNTO A EVALUAR
SI
RESPUESTA
NO
PARCIAL
CALIFICA
CIN
OBSERVACI
ONES
1: Equipos
Se cuenta con sistemas de
deteccin y/o monitoreo de la
amenaza identificada?
Se cuenta con algn sistema de
alarma en caso de emergencia?
Se cuenta con sistemas de
control o mitigacin de las
amenazas identificada?
Se cuenta con un sistema de

comunicaciones internas para la
respuesta a emergencias?
0.5
Se cuenta con medios de

transporte para el apoyo logstico
en una emergencia?
0.5
Se cuenta con programa de

mantenimiento preventivo y
correctivo para los equipos de
emergencia?
Promedio de Equipos
0,6666666
67
BUENO
Resultado de la
vulnerabilidad de los
recursos
Anlisis de vulnerabilidad de
Sistemas y Procesos
RESPUESTA
PUNTO A EVALUAR
SI
NO
PARCI
AL
CALIFICACI
ON
OBSERVACIO
NES
1: Servicio
Se cuenta suministro de energa
permanente?
Tiene normativas de funciones y de

cumplimiento del marco juridico?
Cuenta con sistema de

contingencia de prevencin a las
fallas del sistema actual?
Promedio Servicio
0.5
0,66666666
7
REGULAR
RESPUESTA
PUNTO A EVALUAR
SI
NO
PARCI
AL
CALIFICACI
ON
OBSERVACIO
NES
2: Software
X
Utilizan programas originales para

realizar sus actividades?
Existe un responsable de los

equipos informaticos ?
Cuenta con antivirus actualizados?
Existe una norma que controla la

calidad del software a utilizar?
0.5
Se gestiona el cambio de versiones

de software?
0.5
Se cuenta con los manuales de uso

de los software?
0.5
Los software utilizados para el

registro, presentan los campos
validados?
Promedio Sistemas Alternos
0,571428571
REGULAR
PUNTO A EVALUAR
RESPUESTA
SI
NO
PARCIAL
CALIFICA
CION
OBSERVACI
ONES
3: Base de Datos
Utilizan datos cifrados para el
acceso de cuentas de Usuarios?
Realizan Backups en un rango

de tiempo constantemente?
Cuenta con sus modelos de

base de datos Actualizados?
Existen privilegios de grupos de

Usuarios?
Existe documentacin
actualizada de los cambios
realizados en la Base de Datos?
Cuentan con un administrador

especialista en Base de datos?
Promedio de Equipos
0
0,8333333
33
BUENO
Resultado de la
vulnerabilidad de Sistemas y
Procesos
DETERMINACIN DE
CONTROLES EXISTENTES
AM1 Corte de Energa Elctrica

Centro de Cmputo DN (Direccin Nacional)
El suministro elctrico, los toma corrientes y pozos de toma a tierra, del centro de
cmputo (CC) son independientes del suministro general del edificio de la Direccin
Nacional (DN). [AM1 C1]
Se cuenta con sistemas alimentacin ininterrumpida (UPS) a los que se encuentran
conectados los recursos fsicos centrales. [AM1 C2]
Estos UPS brindan una autonoma de 2 a cuatro horas (incluyendo el tiempo de
autonoma de las bateras) permitiendo que cualquiera sea la forma del corte de energa
elctrica, los servicios sigan disponibles, haciendo transparente para el usuario. [AM1 C3]
Se cuenta con un grupo de electrgeno, cuya puesta en funcionamiento toma entre 15 y
20 minutos. Este tiempo es ms que suficiente dado que el tiempo de autonoma de los
UPS es mayor en ms del 100%. [AM1 C4]
Sedes Zonales / Unidades Operativas
Los tomacorrientes de las computadoras y equipos de cmputo utilizados para labores de
administracin, son independientes a los tomacorrientes que brindan suministros elctrico
a los equipos de enseanza. [AM1 C5]
Existe un pozo a tierra en todas las unidades Operativas que ayuda a dar estabilidad al
suministro elctrico. [AM1 C6]
En las sedes zonales y algunas unidades operativas se cuenta con un grupo electrgeno,
cuya puesta en funcionamiento toma entre 15 a 20 minutos. [AM1 C7]
AM2 Acceso no Autorizado

Centro de Cmputo DN
El acceso al centro de Cmputo es restringido (slo personal autorizado). Para
esto, se tienen nicamente 3 copias de las llaves de acceso. Las copias se
distribuyen: Jefe de sistemas y Administracin de Red. [AM2 C1]
El centro de cmputo siempre se encuentra cerrado con llave. El ingreso de
personas ajenas se realiza bajo supervisin del personal autorizado. [AM2 C2]
Los servidores que se dan servicio a nivel nacional se encuentran dentro del
centro de cmputo. [AM2 C3]
Los recursos compartidos cuentan con niveles de acceso y permisos a los
usuarios. [AM2 C4]
Estos niveles y permisos se activan en base a la autentificacin (nombre de
usuario y contrasea). Una vez validada, el usuario tiene acceso de acuerdo a
los permisos que se han establecido para cada servidor. [AM2 C5]
Sedes Zonales / Unidades Operativas
Los recursos compartidos cuentan con niveles de acceso y permisos a los
usuarios. [AM2 C6]
El servidor de cuentas (de existir) est bajo responsabilidad del programa
Nacional de informtica, que cuenta en sus ambientes con la seguridad
necesaria. [AM2 C7]
La informacin clave se encuentra centralizada en el centro de cmputo DN
[AM2 C8]
AM3 Programa malintencionados

Centro de cmputo y sedes Zonales / Unidades Operativas
Se encuentra con software Antivirus de probada eficacia. Se
tiene Licencia a nivel institucional, por tanto, se encuentra
instalado en todos los servidores de recursos y VPN, as
como en los equipos de los usuarios. [AM3 C1]
El software antivirus es constantemente actualizado, de
manera automtica y manual. [AM3 C2]
AM 4 Incendio
Centro de Cmputo DN
El material con que est construido el Centro de Cmputo es
aislante / resistente al calor. [AM4C1]
El centro de Cmputo est construido en un rea estratgica
lejos de material inflamable. [AM4C2]
No se permite, cerca al Centro de Cmputo, fumar ni utilizar
equipos que aumenten. [AM4C3]
AM5 Robo Hurto

Centro de Cmputo
El acceso al centro de cmputo es restringido. Slo pueden
ingresar personas de confianza que tengan copia de la llave de
ingreso. [AM5C1]
Si por alguna razn es necesario de personas ajenas al centro de
cmputo, estas lo harn en compaa de uno de los responsables.
[AM5C2]
SENATI contrata el servicio de vigilancia, el cual registra a toda
persona que ingresa y sale de la institucin, adems de verificar y
registrar las entradas y salidas de cualquier bien. [AM5C3]
Se realiza Backup de la informacin crtica de acuerdo a las
polticas establecidas.
Sedes zonales / Unidades Operativas
La oficina de patrimonio, cuenta con un inventario actualizado y
detallado de los bienes de SENATI. [AM5C4]
La informacin clave se encuentra centralizada en el centro de
cmputo DN. [AM5C5]
AM6 Terremoto
Centro de computo
El edificio de la direccin de Nacional cuenta con la
tecnologa de construccin antissmica, reduciendo el
riesgo de destruccin en caso de un eventual
terremoto (dependiendo la escala del mismo).
[AM6C1]
Se realiza Backup de la informacin crtica de acuerdo
a la poltica establecida. [AM6C2]
Sedes Zonales
La informacin clave se encuentra centralizada en el
Centro de Cmputo D.N. [AM6C3]
Se realiza Backup de la informacin crtica de acuerdo
a polticas establecidas . [AM6C4]
AM 7 Sabotaje
Las acciones que se toman para evitar los accesos
no autorizados, programas malintencionados y robo,
hurto, son las mismas que se aplican para prevenir
esta amenaza. [AM7C1]
AM 8 Fallo en comunicaciones
Centro de cmputo y sedes Zonales/ Unidades
Operativas
La empresa que nos brinda a internet, tiene
programados mantenimientos preventivos para
evitar cadas. [AM8C1]
Los contratos firmados con la empresa proveedora
del servicio, garantizan el 99.5% de disponibilidad.
[AM8C2]
AM 9 Falla de Hardware
Centro de cmputo y sedes Zonales/ Unidades operativas
En los talleres de mantenimiento y reparacin de
computadoras del programa nacional de informtica, se
realiza el mantenimiento preventivo (peridicamente) y
correctivo de los equipos menos crticos. [AM9C1]
Para servidores crticos (centro de cmputo DN), se tiene
contratados servicios de mantenimiento y garanta con los
respectivos fabricantes. [AM9C2]
Para servidores crticos (Centro de cmputo DN), se cuenta
con un sistema de redundancia de piezas clave dentro de
cada equipo, de tal manera que nos pueda garantizar su
continuo funcionamiento (procesadores, memorias,
ventiladores y discos duros). [AM9C3]
Ante la falla general de algn servidor crtico (centro de
cmputo DN), se cuenta con servidores de respaldo.
[AM9C4]
AM10 Falla de software

Centro de cmputo y Sedes Zonales / Unidades
Operativas
El personal de sistema de TI, mantiene actualizada
la informacin en cuanto a la aparicin de nuevas
versiones, parches, actualizaciones y dems
programas que tengan como finalidad corregir el
cdigo de los programas que se encuentran
operando. [AM10C1]
Se tienen firmando convenios con los fabricantes
del software que soporta los servicios, para contar
siempre con la ltima versin de las licencias y si
es necesario, la intervencin en la solucin de los
problemas que se presenten. [AM10C2]
AM11 Error Humano

Centro de Cmputo y Sedes Zonales / Unidades
Operativas
Se tienen definidos claramente los niveles de acceso
a los sistemas crticos de la institucin. [AM11C1]
Estos sistemas cuentan con herramientas de auditora
que registran los movimientos que han realizado los
usuarios, los cuales son guardados en archivos
denominados logs. [AM11C2]
Los logs son revisados peridicamente para verificar
existencia de eventos extraos dentro del normal
desarrollo de los servicios.
La informacin clave se encuentra centralizada en el
centro de cmputo DN. [AM11C3]
AM12 Fallas en el Sistema de Enfriamiento

Centro de Cmputo
Se cuenta con dos equipos de aire acondicionado,
proporcionando redundancia al sistema de
enfriamiento. [AM12C1]
Se realiza mantenimiento preventivo de los equipos de
manera peridica. [AM12C2]
El centro de cmputo cuenta con detectores de
temperatura y humo que se activan al detectar
incremente en la temperatura estndar dentro del
mismo. [AM13C3]
El personal de sistemas TI, realiza una verificacin
diaria y peridica del funcionamiento de este sistema.
[AM12C4]
AM 13 Inundaciones
Centro de cmputo
El centro de cmputo est ubicado en un
rea estratgica, a una altura lejos del
nivel de la superficie. [AM13C1]
La infraestructura del edificio permite que
la eventualidad de lluvias concurrentes, el
agua no penetre en la construccin.
[AM13C2]
Como parte de esta evaluacin, se ha

confeccionado una matriz en ias que se
cruza los recursos necesarios para el
funcionamiento de los servicios Tl, versus
las amenazas identificadas y se indica el
grado de implementacin de las medidas
de prevencin que deberan considerarse
Grado de implementacin de
controles existentes
Estado de implementacin:
Implementacin Totalmente
Implementacin Parcialmente
Implementacin en procesos
No Implementado
IT
IP
P
NI
R4
R412 A
R5
R6
R7
R8
Interno
R412B
Externo
Computadoras
Impresoras
Sistema Banner
R701
Alumnos
R702
Exalumnos
R703
Finanzas
Sistema Web
R801
Web SENATI
R802
Personal
R803
Egresados
R804
FPI
R805
Infopymes
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
IT
IT
IT
Fallas humanas ,
errores
Fallas en sistemas de
Enfriamiento
Inundaciones
P
P
P
Falla de Software
Sabotaje y Vandalismo
P
P
P
Falla de Hardware
Terremoto
P
P
P
Fallo en Comunicacin
Robo, Urto
Red de Datos
R301
Rauter
R302
Mdem
R303
Switchs/Hubs
R304
Cableado
R304A
Red
R304B
Internet
Servidores
R401
Firewall
R402
Cuentas
R403
VPN Interno
R404
VPM Externo
R405
Bannprin
R406
SQL
R407
Banner 01
R408
Banner 02
R409
Web
R410
Archivos
R411
Impresin
R412
Correo Electrnico
Programa mal
intencionado (Virus)
Incendio
R3
Acceso No Autorizado
Recurso
Fluido Elctrico
Cd
IT
IT
IT
P
P
P
NI
IT
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
IT
IT
IT
IT
IT
IT
IT
IT
IT
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
IT
IP
IT
IT
IT
P
P
P
P
P
P
P
IP
P
P
P
P
P
P
P
P
P
P
P
P
IP
IT
IT
IT
IT
IT
IT
NI
NI
P
P
P
P
P
P
IT
IT
IT
P
P
P
P
P
P
IT
IT
IT
IT
IT
IT
P
P
P
P
P
P
P
P
IT
IT
IT
IT
IT
P
P
P
P
P
P
P
P
P
P
IT
IT
IT
IT
IT
IT
IT
IT
IT
IT
P
P
P
P
P
P
P
P
P
P
PRESENTACIN DE
RESULTADOS
Informe que detalla las amenazas
significativas sobre cada activo,
caracterizndolas por su frecuencia de
ocurrencia y por la degradacin que
causara su materializacin sobre el activo.
Mapa de riesgos
CONCLUSIONES
El acceso no autorizado es una amenaza
que puede intervenir por los sistemas o
procesos llevados a cabo en la
organizacin
Un incendio es una amenaza que puede
afectar los recursos de la organizacin.
Las fallas Humanas son una amenaza que
se presenta en el personal de la
organizacin y tambin por el estado en
que se encuentran los recursos a utilizar.
FIN DE PRESENTACION

Gestion Riesgos

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Gestion Riesgos

Caricato da

Copyright:

Formati disponibili

Metodologa de

Anlisis del riesgo

CORONADO LLATAS, Miguel

El SENATI es una organizacin que ofrece

ANLISIS DEL CONTEXTO

Formato: de Anlisis del

Uso de anlisis y planes estratgicos

La situacin de riesgo relacionada con Ia

Comunicacin y control gerencial

Experiencia y conocimiento de Directivos

Capacidad para enfrentar a la

Sistemas de control eficaces

Sistemas de tomas de decisiones

Nivel de tecnologa utilizada en los

Mejora de los procesos

Esta situacin afectara Ia operacin

Efectividad en los servicios

Aplicacin de tecnologas informticas

Agilidad en los procesos

1. CAPACIDAD TALENTO HUMANO

Al no existir una rotacin interna se

Suponen un coste muy elevado para la

Riesgo de perder el conocimiento

Puede causar molestias e

grupo de trabajo que por causa de la

Calidad del servicio, exclusividad

Lealtad y satisfaccin del cliente

Bajos costos del servicio brindado

Inversin en I&D para desarrollo de

No se podr brindar nuevos servicios

Grandes barreras de entrada en el

Ventaja del potencial de crecimiento del

DEBILIDADES FORTALEZAS SITUACIN DE RIESGO

Acceso a capital cuando lo requiere

Grado de utilizacin de capacidad de

Rentabilidad, retorno de la inversin

Liquidez, disponibilidad de fondos internos

Al no contar con con

Habilidad para competir con precios

Formato: de Anlisis del

Al haber recesin econmica

Un aumento de los precios de

Una modificacin legal a alguna o

Se corre el riesgo de suspensin

Modificaciones legales a Ias fuentes

Potenciales nuevos inversionistas

Aumento en la sociedad de la cultura

EI factor resistencia a cambios tecnolgicos

La situacin de riesgo estara dada por una

GRUPOS - CAPACIDADES AMENAZAS OPORTUNIDAD SITUACIN DE RIESGO

Traz. del uso

AM2 Acceso no Autorizado

AM3 Programa mal intencionados

AM5 Robo Hurto

Calificacin de la Amenaza por la

Es aquel fenmeno que puede suceder o que es factible porque

Es aquel fenmeno esperado del cual existen razones y

Es aquel fenmeno esperado que tiene alta probabilidad de

Prog. mal intencionados

Fallas humanas, errores

Falla del Sistema de

Cuadro Resumen del valor de

Valor del Riesgo (VR)