Actividad Sumativa Dos Boris Vesga

UNIVERSIDAD NACIONAL
ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

ACTIVIDAD SUMATIVA 2 UNIDAD I

PRESENTADO POR. BORIS BERNARDA VESGA CARDOZO

PRESENTADO A. LORENA SUAREZ

20 DE ABRIL DE 2014
ESPECIALIZACION EN SEGURIDAD INFORMATICA
CEAD LA DORADA

TABLA DE CONTENIDO
Introduccin ............................................................................................................................................ 3
Objetivos .................................................................................................................................................. 4
Empresa modelo ...................................................................................................................................... 5
Activos ...................................................................................................................................................... 6
Valoracin de activos .............................................................................................................................. 7
Escala de valoracin.............................................................................................................................. 10
Identificacin de amenazas .................................................................................................................. 11
Valoracin de amenazas ....................................................................................................................... 15
Anlisis de riesgo y estimacin del impacto ........................................................................................ 19
Costos que la empresa tendra que asumir en caso de que se materialicen las amenazas ............. 24
Conclusiones .......................................................................................................................................... 28
Bibliografa ............................................................................................................................................ 29

INTRODUCCIN

En el presente documento se elabora el anlisis de riesgos de la institucin educativa Tecnocomputo
que se dedica a la formacin para el trabajo y el desarrollo humano, est ubicada en el municipio de
La Dorada Caldas. El anlisis de riesgos se realiza utilizando la metodologa Margerit que permite el
anlisis y gestin de riesgos.

OBJETIVOS

Realizar la identificacin y valoracin de los activos de la institucin educativa
Tecnocomputo.
Efectuar la identificacin y valoracin de las amenazas.
Determinar el impacto que sufriran los activos en caso que se materialice una amenaza.
Realizar una estimacin cuantitativa que la institucin debera asumir en caso que se
materialice una amenaza.

EMPRESA MODELO

Instituto educativo Tecnocomputo

El instituto educativo Tecnocomputo se dedica a la formacin para el trabajo y el desarrollo humano,
est ubicado en La Dorada Caldas. La infraestructura orgnica se describe a continuacin:

rea Descripcin
Direccin Esta rea se encarga de liderar, planear, evaluar y ejecutar todos los
procesos administrativos y acadmicos.
Coordinacin
acadmica
Esta rea se encarga de liderar, planear, evaluar y ejecutar todos los
procesos acadmicos y coordinar el personal docente.
Personal docente Esta rea se encarga de ejecutar las diferentes formaciones que
ofrece el instituto educativo.
Administrativa Esta rea en coordinacin con el director y el coordinador
acadmico se encarga de ejecutar todos los procesos de
administracin de las distintas formaciones adems de coordinar
aspectos contables y financieros.
Contabilidad Esta rea en coordinacin con el contador que es una persona
externa se encarga de ejecutar funciones contables y financieras.
Recepcin Se encarga de la atencin al cliente
TI Esta rea es la encargada del diseo, desarrollo, implementacin y
soporte de la infraestructura TI del instituto educativo.

Director
Coordinador
academico
Personal
docente
Auxiliar
administrativo
Auxiliar
contable
Recepcionista
Administrador
de TI
Tcnico de TI
Contador
ACTIVOS

Tipo Nombre del activo
Datos/Informacin
[BD_Estudiantes] Base de datos estudiantes
[BD_Empleados] Base de datos empleados
[BD_EjecucionFormacion] Base de datos ejecucin de la
formacin
[BD_EjecucionLaboresAcademicas] Base de datos
componente virtual
[BD_InfoCorporativa] Base de datos gestin corporativa
[AF_ArchivoFisico] Almacn de datos fsico
[BACKUPS] Copias de respaldo

Servicios
[EMAIL] Mensajera electrnica
[FTP] Transferencia de archivos
[WEB] Alojamiento sitios web.
[DNS] Resolucin de nombres de dominio
[FILE] Ficheros en red NFS
[TELNET] Acceso remoto

Aplicaciones
[SW_ES] Gestin de estudiantes
[SW_EM] Gestin de empleados
[SW_EF] Ejecucin de la formacin
[SW_AVA] Software AVA
[SW_SITIO] Sitio web
[SW_GC] Gestin corporativa
[SW_SO] Sistema operativo

Hardware
[HD_EQU] Equipos clientes
[HD_Server] Servidor
[HD_IMP] Impresora

Comunicaciones
[COM_LAN] Red de rea local
[COM_WLAN] Red inalmbrica

Equipo auxiliar
[UPS] Sistemas de alimentacin ininterrumpida
[EQU_CLIMA] Equipos de climatizacin
[CABLEADO] Cableado de datos
[INST_ELECTRICAS] Instalaciones elctricas

Instalaciones [CC] Cuarto de comunicaciones
[DIR] Direccin
[CA] Coordinacin acadmica
[AD] rea administrativa
[RC] Recepcin
[SP] Sala de profesores
[SSI] Sala sistemas I
[SSII] Sala sistemas II
[BIBLIO] Biblioteca
[TI] Tecnologas de la informacin

Personal
[D] Director
[CA] Coordinador acadmico
[AC] Auxiliar contable
[AD] Auxiliar administrativo
[RC] Recepcionista
[C] Contador (Externo)
[PD] Personal docente
[CE] Comunidad estudiantil
[ATI] Administrador de TI
[ATI] Tcnico de TI

VALORACIN DE ACTIVOS

Dimensiones de valoracin
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad de la informacin
[A] Autenticidad
[T] Trazabilidad

Tabla de valoracin de activos
valor criterio
10 Extremo Dao extremadamente grave
9 Muy alto Dao muy grave
6-8 Alto Dao grave
3-5 Medio Dao importante
1-2 Bajo Dao menor
0 Despreciable Irrelevante a efectos prcticos
Tipo Nombre del activo
Dimensiones de Seguridad
[D] [I] [C] [A] [T]
Datos/Informacin
[BD_Estudiantes] Base de datos estudiantes 3
[3.da ]
9
[9.lg.b]
7
[7.lro]
9
[9.si]

[BD_Empleados] Base de datos empleados 3
[3.da ]
6
[6.pi1 ]
7
[7.lro]
9
[9.si]

[BD_EjecucionFormacion] Base de datos ejecucin de la formacin 5
[5.da ]
9
[9.cei.b]
9
[9.adm]
9
[9.si]

[BD_EjecucionLaboresAcademicas] Base de datos componente virtual 4
[4.pi1]
7
[7.cei.d]
9
[9.si]

[BD_InfoCorporativa] Base de datos gestin corporativa 3
[3.da ]
9
[9.cei.b]
9
[9.adm]
9
[9.si]

[AF_ArchivoFisico] Almacn de datos fsico 10
[10.si]

[BACKUPS] Copias de respaldo 10
[10.si]

[D] [I] [C] [A] [T]
Servicios
[EMAIL] Mensajera electrnica 3
[3.da ]
10
[10.si]
6
[6.pi1 ]
7
[7.si ]
9
[9.si]

[FTP] Transferencia de archivos 3
[3.da ]

9
[9.cei.a]

[WEB] Alojamiento sitios web. 7
[7.lg.b]

7
[7.si ]

[DNS] Resolucin de nombres de dominio 3
[3.da ]

9
[9.si]

[FILE] Ficheros en red NFS 3
[3.da ]

9
[9.cei.a]

[TELNET] Acceso remoto 3
[3.da ]
10
[10.si]

9
[9.si]

[D] [I] [C] [A] [T]
Aplicaciones
[SW_ES] Gestin de estudiantes 3
[3.da ]
6
[6.pi1 ]
7
[7.lro]
10
[10.si]

[SW_EM] Gestin de empleados 3
[3.da ]
6
[6.pi1 ]
7
[7.lro]

[SW_EF] Ejecucin de la formacin 5
[5.da ]
9
[9.cei.b]
9
[9.adm]

[SW_CV] Software AVA 4
[4.pi1]
7
[7.cei.d]
9
[9.si]

[SW_SITIO] Sitio web 9
[9.cei.b]

[SW_GC] Gestin corporativa 5
[5.da ]
9
[9.cei.b]
9
[9.adm]

[SW_SO] Sistema operativo 3
[3.da ]

9
[9.olm]

[D] [I] [C] [A] [T]
Hardware
[HD_EQU_ESCRITORIO] Equipos clientes. 3
[3.adm]

7
[7.si ]

[HD_Server] Servidor 3
[3.adm]
9.cei.b 7
[7.si ]

[HD_IMP] Impresora 3
[3.adm]

[D] [I] [C] [A] [T]
Comunicaciones
[COM_LAN] Red de rea local 3
[3.adm]

10
[10.si]

[COM_WLAN] Red inalmbrica 3
[3.adm]

10
[10.si]

[D] [I] [C] [A] [T]
Equipo auxiliar
[UPS] Sistemas de alimentacin ininterrumpida 3
[3.da]

[EQU_CLIMA] Equipos de climatizacin 3
[3.da]

[CABLEADO] Cableado de datos 3
[3.da]

[INST_ELECTRICAS] Instalaciones elctricas 3
[3.da]

[D] [I] [C] [A] [T]
Instalaciones
[CC] Cuarto de comunicaciones

10
[10.si]

[DIR] Direccin

10
[10.si]


3
[3.si]


10
[10.si]

[RC] Recepcin

3
[3.si]


1
[1.si]


1
[1.si]


1
[1.si]

[BIBLIO] Biblioteca

1
[1.si]


3
[3.si]

[D] [I] [C] [A] [T]
Personal
[D] Director

10
[10.si]

[COA] Coordinador acadmico

3
[3.si]


3
[3.si]

[ADD] Auxiliar administrativo

7
[7.si ]

[RCP] Recepcionista

3
[3.si]

[CON] Contador

10
[10.si]


1
[1.si]


10
[10.si]

[TTI] Tcnico de TI

10
[10.si]

ESCALA DE VALORACIN

[pi] Informacin de carcter personal
6
6.pi1
Probablemente afecte gravemente a un grupo de individuos
4
4.pi1
probablemente afecte a un grupo de individuos

[lpo] Obligaciones legales
7 7.lro Probablemente cause un incumplimiento grave de una ley o regulacin

[lg] Prdida de confianza (reputacin)
9 9.lg.b
Probablemente causara una publicidad negativa generalizada por afectar de forma
excepcionalmente grave a las relaciones a las relaciones con el pblico en general
7 7.lg.b
Probablemente causara una publicidad negativa generalizada por afectar gravemente
a las relaciones con el pblico en general.

[da] Interrupcin del servicio
5 5.da
Probablemente cause la interrupcin de actividades propias de la Organizacin con
impacto en otras organizaciones.
3 3.da Probablemente cause la interrupcin de actividades propias de la Organizacin.
1 1.da Pudiera causar la interrupcin de actividades propias de la Organizacin.

[cei] Intereses comerciales o econmicos
9
9.cei.a De enorme inters para la competencia.
9.cei.b De muy elevado valor comercial
7 7.cei.d Proporciona ganancias o ventajas desmedidas a individuos u organizaciones

[adm] Administracin y gestin
9 9.adm
Probablemente impedira seriamente la operacin efectiva de la Organizacin,
pudiendo llegar a su cierre.
3 3.adm Probablemente impedira la operacin efectiva de una parte de la Organizacin.

[si] Seguridad
10 10.si
Probablemente sea causa de un incidente excepcionalmente serio de seguridad o
dificulte la investigacin de incidentes excepcionalmente serios.
9 9.si
Probablemente sea causa de un serio incidente de seguridad o dificulte la
investigacin de incidentes serios
7 7.si
Probablemente sea causa de un grave incidente de seguridad o dificulte la
investigacin de incidentes graves.
3 3.si
Probablemente sea causa de una merma en la seguridad o dificulte la investigacin
de un incidente.
1 1.si Pudiera causar una merma en la seguridad o dificultar la investigacin de un incidente

[olm] Operaciones
9 9.olm
Probablemente cause un dao serio a la eficacia o seguridad de la misin operativa o
logstica.
1 1.olm
Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance
local)

IDENTIFICACIN DE AMENAZAS

Dimensiones de valoracin
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad de la informacin
[A] Autenticidad
[T] Trazabilidad

Amenazas
[I.5] Avera de origen fsico o lgico [D] disponibilidad
[I.7] Condiciones inadecuadas de temperatura o
humedad
[D] disponibilidad
[E.2] Errores del administrador [D] disponibilidad [I] integridad [C] confidencialidad
[E.8] Difusin de software daino [D] disponibilidad [I] integridad [C] confidencialidad
[E.19] Fugas de informacin [C] confidencialidad
[E.20] Vulnerabilidades de los programas
(software)
[D] disponibilidad [I] integridad [C] confidencialidad
[E.24] Cada del sistema por agotamiento de
recursos
[D] disponibilidad
[A.5] Suplantacin de la identidad del usuario [C] confidencialidad [A] autenticidad [I] integridad
[A.7] Uso no previsto [D] disponibilidad [I] integridad [C] confidencialidad
[A.11] Acceso no autorizado [C] confidencialidad [I] integridad
[A.13] Repudio [I] integridad (trazabilidad)
[A.15] Modificacin deliberada de la
informacin
[I] integridad
[A.18] Destruccin de informacin [D] disponibilidad
[A.24] Denegacin de servicio [D] disponibilidad
[A.30] Ingeniera social (picaresca) [D] disponibilidad [I] integridad [C] confidencialidad

Tipo /Activo Nombre del activo
[D] [I] [C] [A] [T]
Datos/Informacin
[BD_Estudiantes] Base de datos estudiantes [A.18]

[A.15]
[A.11] [A.5]
[BD_Empleados] Base de datos empleados [A.18]

[A.15]
[A.11] [A.5]
[BD_EjecucionFormacion] Base de datos
ejecucin de la formacin
[A.18]

[A.15]
[A.11] [A.5]
[BD_EjecucionLaboresAcademicas] Base de
datos componente virtual
[A.18]

[A.15]
[A.11] [A.5]
[BD_InfoCorporativa] Base de datos gestin
corporativa
[A.18]

[A.15]
[A.11] [A.5]
[AF_ArchivoFisico] Almacn de datos fsico [A.18] [E.19]
[BACKUPS] Copias de respaldo [A.18] [E.19]
[D] [I] [C] [A] [T]
Servicios

[A.24]
[A.13] [A.11] [A.5] [A.13]
[E.24]

[A.5]


[A.24]
[A.5]

[DNS] Resolucin de nombres de dominio

[A.24]
[A.5]

[E.24]

[A.5]


[A.24]
[A.11]

[A.5]

[D] [I] [C] [A] [T]
Aplicaciones
[SW_ES] Gestin de estudiantes [E.8] [A.11] [E.20] [A.5]

[SW_EM] Gestin de empleados [E.8] [A.11] [E.20]

[SW_EF] Ejecucin de la formacin [E.8] [A.11] [E.20]

[SW_CV] Software AVA [E.8] [A.11] [A.5]
[SW_SITIO] Sitio web [E.8]

[SW_GC] Gestin corporativa [E.8] [A.11] [E.20]

[SW_SO] Sistema operativo [E.8]

[A.5]
[D] [I] [C] [A] [T]
Hardware
[HD_EQU_ESCRITORIO] Equipos clientes. [I.5]

[A.7]

[HD_Server] Servidor [I.7] [A.11] [E.2]

[HD_IMP] Impresora [I.5]

[D] [I] [C] [A] [T]
Comunicaciones
[E.24]
[A.11]

[E.24]
[A.11]

[D] [I] [C] [A] [T]
Equipo auxiliar
[UPS] Sistemas de alimentacin ininterrumpida [I.5]

[EQU_CLIMA] Equipos de climatizacin [I.5]

[CABLEADO] Cableado de datos [I.5]

[INST_ELECTRICAS] Instalaciones elctricas [I.5]

[D] [I] [C] [A] [T]
Instalaciones
[CC] Cuarto de comunicaciones

[A.11]

[DIR] Direccin

[A.11]


[A.11]


[A.11]

[RC] Recepcin

[E.19]


[E.19]


[E.19]


[E.19]

[BIBLIO] Biblioteca

[E.19]


[A.11]

[D] [I] [C] [A] [T]
Personal
[D] Director

[A.30]

[COA] Coordinador acadmico

[A.30]


[A.30]

[ADD] Auxiliar administrativo

[A.30]

[RCP] Recepcionista

[A.30]

[CON] Contador

[A.30]


[A.30]


[A.30]

[TTI] Tcnico de TI

[A.30]

VALORACIN DE AMENAZAS

Frecuencia de Amenazas
Valor Criterio
100 Muy frecuente MF A diario
10 Frecuente F Mensualmente
1 Normal FN Una vez al ao
1/10
Poco
frecuente
PF Cada varios aos

Valor Criterio
90% - 100% Degradacin muy considerable del activo
25% 89% Degradacin medianamente considerable del activo
1% - 24% Degradacin poco considerable del activo

Amenaza Frecuencia
[D] [I] [C] [A] [T]
[A.5] Suplantacin de la identidad del usuario 1 90%
[A.7] Uso no previsto 1 50%
[A.11] Acceso no autorizado 1 90% 90%
[A.13] Repudio 1 90%
[A.15] Modificacin deliberada de la informacin 1/10 90% 90%
[A.18] Destruccin de informacin 1 90%
[A.24] Denegacin de servicio 1 70%
[A.30] Ingeniera social (picaresca) 1 30%
[E.2] Errores del administrador 1/10 50%
[E.8] Difusin de software daino 10 60%
[E.19] Fugas de informacin 1/10 90%
[E.20] Vulnerabilidades de los programas (software) 10 80%
[E.24] Cada del sistema por agotamiento de recursos 10 30%
[I.5] Avera de origen fsico o lgico 1 30%
[I.7] Condiciones inadecuadas de temperatura o humedad 1/10 10%

[A.5]. En la dimensin de autenticidad se considera el valor del 90%, porque causara un serio
incidente de seguridad que expone a la organizacin a un riesgo para la continuidad de sus actividades.

[A.7]. En la dimensin de confidencialidad se considera el valor del 50%, porque si los usuarios
utilizan los equipos para realizar actividades personales omitiendo las polticas de seguridad podra
ocasionar un incidente de seguridad poniendo en riesgo la confidencialidad de la informacin crtica
de la organizacin.

[A.11]. En la dimensin de integridad y confidencialidad se considera el valor del 90%, porque si se
presenta un ataque de acceso no autorizado ocasionara posibles consecuencias como la prdida de
datos, ocasionando trastornos en las actividades de la organizacin y el robo de informacin sensible
y confidencial llevando al incumplimiento de la legislacin actual por cuestiones de proteccin de
datos generando multas millonarias e inclusive el cierra de la propia organizacin.

[A.13]. En la dimensin de autenticidad se considera el valor del 90%, porque es necesario probar la
participacin de los actores en una comunicacin; especialmente en los servicios de mensajera
electrnica.

[A.15]. En la dimensin de integridad y trazabilidad se considera el valor del 90%, porque si se
presenta la modificacin de informacin ocasionara trastornos en las actividades de la organizacin
y puede llevar al incumplimiento de la legislacin actual generando multas millonarias e inclusive el
cierra de la propia organizacin.

[A.18]. En la dimensin de disponibilidad se considera el valor del 90%, porque causara un serio
incidente de seguridad que pondra en riesgo la continuidad del negocio con consecuencias negativas
para la organizacin.

[A.24]. En la dimensin de disponibilidad se considera el valor del 70%, porque ocasionara impactos
negativos en las actividades propias de la organizacin.

[A.30]. En la dimensin de confidencialidad se considera el valor del 30%, porque un delincuente
informtico lograra manipular a un empleado este podra revelar informacin sensible de la
organizacin, aunque es poco favorable que esto ocurra por los contratos de confidencialidad que se
emplean.

[E.2]. En la dimensin de confidencialidad se considera el valor del 50%, porque la mala configuracin
de los activos de hardware y software podran ocasionar brechas en la seguridad de la organizacin.

[E.8]. En la dimensin de disponibilidad se considera el valor del 60%, porque la intrusin de software
malicioso podra repercutir negativamente al acceso de los servicios ofrecidos por la organizacin.

[E.19]. En la dimensin de confidencialidad se considera el valor del 90%, porque si ocurren fugas de
informacin puede quedar al descubierto informacin crtica de la organizacin.

[E.20]. En la dimensin de confidencialidad se considera el valor del 80%, Porque cualquier
vulnerabilidad de software permitira la ejecucin de cdigo arbitrario con la consecuencia que el
atacante podr ejecutar cualquier programa en el sistema objetivo y realizar cualquier accin,
entonces estara "comprometido".

[E.24]. En la dimensin de disponibilidad se considera el valor del 30%, porque ocasionara la no
disponibilidad de los recursos o servicios necesarios para realizar labores propias de la organizacin.

[I.5]. En la dimensin de disponibilidad se considera el valor del 30%, porque ocasionara la
interrupcin de las funciones de algn funcionario.

[I.7]. En la dimensin de disponibilidad se considera el valor del 30%, porque ocasionara la
interrupcin de las funciones propias de la organizacin, pero esta amenaza es fcil de controlar porque
existen sistemas de climatizacin que permite disminuir el riesgo.

ANLISIS DE RIESGO Y ESTIMACIN DEL IMPACTO

Riesgo = Probabilidad * Impacto

M
a
g
n
i
t
u
d

d
e

d
a
o

4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
Probabilidad de amenaza

Magnitud de dao

Riesgo Probabilidad
12-16 Extremo 1 Insignificante 1
Poco
frecuente
Cada varios aos
8-9 Intolerable 2 Baja 2 Normal Una vez al ao
1-6 Tolerable 3 Mediano 3 Frecuente Mensual
4 Alto 4
Muy
frecuente
A diario

Anlisis de riesgo y estimacin del impacto riesgos [Riesgo = Probabilidad de Amenaza x Magnitud de
Dao]
Activos
Dimensiones de
Seguridad
Magnitud
del dao
Probabilidad de amenaza [1= insignificante, 2=Baja,
3=Mediana, 4= Alta]
[A] Ataques intencionados
[E] Errores y
fallos no
intencionados
Desastr
es
industr
iales
1=
Insignifican
te
2=Bajo
3=Mediano
4=Alto
[
A
.
5
]

S
u
p
l
a
n
t
a
c
i
n

d
e

l
a

i
d
e
n
t
i
d
a
d

d
e
l

u
s
u
a
r
i
o

[
A
.
7
]

U
s
o

n
o

p
r
e
v
i
s
t
o

[
A
.
1
1
]

A
c
c
e
s
o

n
o

a
u
t
o
r
i
z
a
d
o

[
A
.
1
3
]

R
e
p
u
d
i
o

[
A
.
1
5
]

M
o
d
i
f
i
c
a
c
i
n

d
e
l
i
b
e
r
a
d
a

d
e

l
a

i
n
f
o
r
m
a
c
i
n

[
A
.
1
8
]

D
e
s
t
r
u
c
c
i
n

d
e

i
n
f
o
r
m
a
c
i
n

[
A
.
2
4
]

D
e
n
e
g
a
c
i
n

d
e

s
e
r
v
i
c
i
o

[
A
.
3
0
]

I
n
g
e
n
i
e
r
a

s
o
c
i
a
l

(
p
i
c
a
r
e
s
c
a
)

[
E
.
2
]

E
r
r
o
r
e
s

d
e
l

a
d
m
i
n
i
s
t
r
a
d
o
r

[
E
.
8
]

D
i
f
u
s
i
n

d
e

s
o
f
t
w
a
r
e

d
a
i
n
o

[
E
.
1
9
]

F
u
g
a
s

d
e

i
n
f
o
r
m
a
c
i
n

[
E
.
2
0
]

V
u
l
n
e
r
a
b
i
l
i
d
a
d
e
s

d
e

l
o
s

p
r
o
g
r
a
m
a
s

(
s
o
f
t
w
a
r
e
)

[
E
.
2
4
]

C
a
d
a

d
e
l

s
i
s
t
e
m
a

p
o
r

a
g
o
t
a
m
i
e
n
t
o

d
e

r
e
c
u
r
s
o
s

[
I
.
5
]

A
v
e
r
a

d
e

o
r
i
g
e
n

f
s
i
c
o

o

l
g
i
c
o

[
I
.
7
]

C
o
n
d
i
c
i
o
n
e
s

i
n
a
d
e
c
u
a
d
a
s

d
e

t
e
m
p
e
r
a
t
u
r
a

o

h
u
m
e
d
a
d

D I C A T 2 2 2 2 1 2 2 2 1 3 1 3 3 2 1
Datos/Informacin
[BD_Estudiantes] Base de datos
estudiantes
X X X X 4 8 8 4 8
[BD_Empleados] Base de datos
empleados
X X X X 4 8 8 4 8
[BD_EjecucionFormacion] Base
de datos ejecucin de la
formacin.
X X X X 4 8 8 4 8
[BD_EjecucionLaboresAcademi
cas] Base de datos componente
virtual.
X X X 4 8 8 4 8
[BD_InfoCorporativa] Base de
datos gestin corporativa.
X X X X 4 8 8 4 8
[AF_ArchivoFisico] Almacn de
datos fsico
X 2 4 2
[BACKUPS] Copias de respaldo X 2 4 2
Servicios D I C A T
[EMAIL] Mensajera electrnica X X X X X 4 8 8 8 8
[FTP] Transferencia de archivos X X 2 4 6
[WEB] Alojamiento sitios web. X X 3 6 6
[DNS] Resolucin de nombres
de dominio
X X 2 4 4
[FILE] Ficheros en red NFS X X 2 4 6
[TELNET] Acceso remoto X X X 4 8 8 8
Aplicaciones D I C A T
[SW_ES] Gestin de estudiantes X X X X 4 8 8 12 12
[SW_EM] Gestin de empleados X X X 3 6 9 9
[SW_EF] Ejecucin de la
formacin
X X X 4 8 12 12
[SW_AVA] Software AVA X X X 4 8 8 12
[SW_SITIO] Sitio web X 2 6
[SW_GC] Gestin corporativa X X X 4 8 12 12
[SW_SO] Sistema operativo X X 2 4 6
Hardware D I C A T
[HD_EQU] Equipos clientes X X 2 4 4
[HD_Server] Servidor X X X 4 8 4 4
[HD_IMP] Impresora X 1 2
Comunicaciones D I C A T
[COM_LAN] Red de rea local X X 3 6 9
[COM_WLAN] Red inalmbrica X X 3 6 9
Equipo auxiliar D I C A T
[UPS] Sistemas de alimentacin
ininterrumpida
X 1 2
[EQU_CLIMA] Equipos de
climatizacin
X 1 2
[CABLEADO] Cableado de
datos
X 1 2
[INST_ELECTRICAS]
Instalaciones elctricas
X 1 2
Instalaciones D I C A T
[CC] Cuarto de comunicaciones X 2 4
[DIR] Direccin X 2 4
[CA] Coordinacin acadmica X 1 2
[AD] rea administrativa X 2 4
[RC] Recepcin X 1 1
[SP] Sala de profesores X 1 1
[SSI] Sala sistemas I X 1 1
[SSII] Sala sistemas II X 1 1
[BIBLIO] Biblioteca X 1 1
[TI] Tecnologas de la
informacin
X 1 2
Personal D I C A T
[D] Director X 2 4
[CA] Coordinador acadmico X 1 2
[AC] Auxiliar contable X 1 2
[AD] Auxiliar administrativo X 1 2
[RC] Recepcionista X 2 4
[C] Contador (Externo) X 1 2
[PD] Personal docente X 2 4
[ATI] Administrador de TI X 2 4
[ATI] Tcnico de TI X 2 4

COSTOS QUE LA EMPRESA TENDRA QUE ASUMIR EN CASO DE QUE SE MATERIALICEN LAS AMENAZAS

[A] Ataques intencionados
[E] Errores y fallos no
intencionados
Desastres
industriales
[
A
.
5
]

S
u
p
l
a
n
t
a
c
i
n

d
e

l
a

i
d
e
n
t
i
d
a
d

d
e
l

u
s
u
a
r
i
o

[
A
.
7
]

U
s
o

n
o

p
r
e
v
i
s
t
o

[
A
.
1
1
]

A
c
c
e
s
o

n
o

a
u
t
o
r
i
z
a
d
o

[
A
.
1
3
]

R
e
p
u
d
i
o

[
A
.
1
5
]

M
o
d
i
f
i
c
a
c
i
n

d
e
l
i
b
e
r
a
d
a

d
e

l
a

i
n
f
o
r
m
a
c
i
n

[
A
.
1
8
]

D
e
s
t
r
u
c
c
i
n

d
e

i
n
f
o
r
m
a
c
i
n

[
A
.
2
4
]

D
e
n
e
g
a
c
i
n

d
e

s
e
r
v
i
c
i
o

[
A
.
3
0
]

I
n
g
e
n
i
e
r
a

s
o
c
i
a
l

(
p
i
c
a
r
e
s
c
a
)

[
E
.
2
]

E
r
r
o
r
e
s

d
e
l

a
d
m
i
n
i
s
t
r
a
d
o
r

[
E
.
8
]

D
i
f
u
s
i
n

d
e

s
o
f
t
w
a
r
e

d
a
i
n
o

[
E
.
1
9
]

F
u
g
a
s

d
e

i
n
f
o
r
m
a
c
i
n

[
E
.
2
0
]

V
u
l
n
e
r
a
b
i
l
i
d
a
d
e
s

d
e

l
o
s

p
r
o
g
r
a
m
a
s

(
s
o
f
t
w
a
r
e
)

[
E
.
2
4
]

C
a
d
a

d
e
l

s
i
s
t
e
m
a

p
o
r

a
g
o
t
a
m
i
e
n
t
o

d
e

r
e
c
u
r
s
o
s

[
I
.
5
]

A
v
e
r
a

d
e

o
r
i
g
e
n

f
s
i
c
o

o

l
g
i
c
o

[
I
.
7
]

C
o
n
d
i
c
i
o
n
e
s

i
n
a
d
e
c
u
a
d
a
s

d
e

t
e
m
p
e
r
a
t
u
r
a

o

h
u
m
e
d
a
d

Datos/Informacin
[BD_Estudiantes] Base de datos
estudiantes
3.1
M a
5M
3.1 M
a 5M
3.1
M a
5M
3.1
M a
5M
0M
a
3M
3.1
M a
5M
3.1
M a
5M
3.1
M a
5M
3.1
M a
5M
3.1
M a
5M
3.1
M a
5M
3.1
M a
5M
3.
1
M
a
3.1
M a
5M
3.1
M a
5M
5
M
[BD_Empleados] Base de datos
empleados
3.1
M a
5M

3.1
M a
5M

0M
a
3M
3.1
M a
5M

[BD_EjecucionFormacion] Base de
datos ejecucin de la formacin.
3.1
M a
5M

3.1
M a
5M

0M
a
3M
3.1
M a
5M

[BD_EjecucionLaboresAcademicas
] Base de datos componente virtual.
3.1
M a
5M

3.1
M a
5M

0M
a
3M
3.1
M a
5M

[BD_InfoCorporativa] Base de
datos gestin corporativa.
3.1
M a
5M

3.1
M a
5M

0M
a
3M
3.1
M a
5M

[AF_ArchivoFisico] Almacn de
datos fsico

0M a
3M

0M
a
3M

[BACKUPS] Copias de respaldo
0M a
3M

0M
a
3M

Servicios
3.1
M a
5M

3.1
M a
5M
3.1
M a
5M

3.1
M a
5M

0M a
3M

0
M
a
3
M

0M a
3M

0M a
3M

[DNS] Resolucin de nombres de
dominio
0M a
3M

0M a
3M

0
M

a
3
M
3.1
M a
5M

3.1
M a
5M

3.1
M a
5M

Aplicaciones
[SW_ES] Gestin de estudiantes
3.1
M a
5M

3.1
M a
5M

>
5.1M

>
5.1M

[SW_EM] Gestin de empleados
0M a
3M

3.1
M a
5M

3.1
M a
5M

[SW_EF] Ejecucin de la
formacin

3.1
M a
5M

>
5.1M

>
5.1M

[SW_AVA] Software AVA
3.1
M a
5M

3.1
M a
5M

>
5.1M

[SW_SITIO] Sitio web
0M a
3M

[SW_GC] Gestin corporativa
3.1
M a
5M

>
5.1M

>
5.1M

[SW_SO] Sistema operativo
0M a
3M

0M a
3M

Hardware
[HD_EQU] Equipos clientes
0M a
3M

0M a
3M

[HD_Server] Servidor
3.1
M a
5M

0M a
3M

0M a
3M
[HD_IMP] Impresora
0M a
3M

Comunicaciones
0M a
3M

3.
1
M
a
5
M

0M a
3M

3.
1
M
a
5
M

Equipo auxiliar
[UPS] Sistemas de alimentacin
ininterrumpida

0M a
3M

[EQU_CLIMA] Equipos de
climatizacin

0M a
3M

[CABLEADO] Cableado de datos
0M a
3M

[INST_ELECTRICAS]
Instalaciones elctricas

0M a
3M

CONCLUSIONES

Cuando las organizaciones soportan sus procesos de negocio en las TI estn expuestas a muchos
riesgos que vienen inmersos en estas tecnologas.
La metodologa Margerit es una herramienta fundamental para el anlisis de riesgos provenientes de
las tecnologas de la informacin y comunicacin porque permite establecer el estado actual de una
organizacin en temas de seguridad.
La gestin de los riesgos en una organizacin es fundamental y debe ser un compromiso de todos los
actores de la organizacin en cabeza de sus directivos y deben de estar alineados con la misin y los
objetivos estratgicos.
El conocimiento de los riesgos permite tomar decisiones acertadas para la gestin de estos para
alcanzar el equilibrio entre costo y beneficio.

BIBLIOGRAFA

PAe. (Junio de 2006). MAGERIT v.3 : Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
- Libro I : Mtodo.- 1. (PAE, Ed.) Espaa. Recuperado el 10 de Abril de 2014, de
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.U1QSF_mSwqc
- Libro II: Catlogo de Elementos. (PAE, Ed.) Espaa. Recuperado el 10 de Abril de 2014, de
t.html#.U1QSF_mSwqc
- Libro III: : Gua de Tcnicas. (PAE, Ed.) Recuperado el 10 de Abril de 2014, de
t.html#.U1QSF_mSwqc

Actividad Sumativa Dos Boris Vesga

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Actividad Sumativa Dos Boris Vesga

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD NACIONAL

ABIERTA Y A DISTANCIA UNAD

Potrebbero piacerti anche