Anlisis de caso: Simn III

Integrante:
Carlos Ariel Castao Londoo

Curso Virtual:
GESTIN DE LA SEDURIAD INFORMATICA (Ficha: 1305784)

Fecha:
Manizales, Caldas
06-11-2016

Profesor:
Geovanny Zambrano Londoo
Introduccin:

En el siguiente plan de trabajo se ilustrarn con la metodloga de magerit cules

son los diferentes riesgos que inciden en los activos de la organizacin de Simn,
adems, de la estimacin del grado de exposicin a que una amenaza se
materialice en uno a ms activos.
Cuerpo del trabajo:

Informe: Anlisis de caso: Simn III

Siguiendo con el caso de Simn, y como asesor de la empresa y habiendo

identificado los activos de informacin en la semana 3, Simn desea saber cul
es la valoracin del riesgo presente en cada uno de los activos de la
empresa y de qu manera puede aplicar las normas y metodologas de
seguridad informtica.
Para ello, realice lo siguiente:
1. Analice el objeto de aprendizaje (OA) "Valoracin de riesgos, el cual se
encuentra en la ruta:
-Opcin del men del curso Materiales del programa
-Subcarpeta Materiales de formacin
-Subcarpeta Materiales Actividad de aprendizaje 4
2. Puede documentarse con el material de apoyo para la semana 4.
3. Una vez termine de documentarse debe entregar como evidencia lo siguiente:
-Elabore un documento en Word donde mencione y explique los riesgos presentes
en cada uno de los activos de la empresa.
-Debe tener presente las normas ICONTEC en su ltima versin para la
elaboracin de documentos escritos.

Solucin:
Teniendo en cuanta los activos de informacin mencionados en el anterior plan de
trabajo, primero debemos de conocer los conceptos relacionados con el anlisis
de riesgos y la seguridad en la informacin:

Amenaza: Es la causa potencial de un dao a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una

amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrnseco: clculo del dao probable a un activo si se encontrara

desprotegido.

Salvaguarda: Medida tcnica u organizativa que ayuda a disminuir el riesgo.

Riesgo residual: Riesgo remanente tras la aplicacin de salvaguardas

Inventario de la organizacin mencionado en la actividad anterior:

Metodologa de Magerit:

Magerit es una metodologa de anlisis y gestin de riesgos de los Sistemas de

Informacin elaborada por el Consejo Superior de Administracin Electrnica para
minimizar los riesgos de la implantacin y uso de las Tecnologas de la
Informacin. Con base en eso podemos mencionar los siguientes activos de la

informacin en la organizacin de Simn:

Para realizar este tipo de inventarios podemos utilizar herramientas como PILAR,
los cuales contienen interfaces agiles y fciles de utilizar y proporcionar
capacidades tiles en este proceso:
Valoracin cuantitativa: Dinero

Valoracin cualitativa: bajo, Medio, Alto o de 0 a 10. Basados en un criterio se

puede utilizar caractersticas principales de la informacin: Integridad,
Confidencialidad y disponibilidad.

Existen muchas formas de valorar activos: La entrevista y La encuesta son los

ms utilizados, seleccionando un muestreo del personal de la organizacin.

Se puede abordar el anlisis de riesgos con varios enfoques dependiendo del

grado de profundidad con el que se quiera o pueda realizar el anlisis:

1. Enfoque de Mnimos:
Se escoge un conjunto mnimo de activos y se hace un anlisis conjunto, de
manera que se emplean una cantidad mnima de recursos, consumiendo poco
tiempo y por lo tanto tiene el coste es menor.
2. Enfoque informal:
Con este enfoque, no se necesita formacin especial para realizarlo ni necesita de
tantos recursos de tiempo y personal como el anlisis detallado.

3. Enfoque detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los
que se enfrenta la organizacin.

4. Enfoque combinado:
Con un enfoque de alto nivel al principio, permite determinar cules son los activos
en los que habr que invertir ms antes de utilizar muchos recursos en el anlisis.

Identificar amenazas

Una vez identificado los activos de la organizacin podemos definir cules son las
vulnerabilidades de los activos:

Atendiendo a su origen, existen dos tipos de amenazas:

Externas: Que son las causadas por alguien (hackers, proveedores, clientes, etc.)
o algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo
son los virus y las tormentas:

Internas: Estas amenazas son causadas por alguien que pertenece a la

organizacin, por ejemplo, errores de usuario o errores de configuracin.
 Normatividad de la seguridad informtica en la empresa de Simn:

Lo primero que se debe de hacer es determinar con la junta directiva que la

seguridad informtica de su organizacin debe de hacer parte de sus procesos y
procedimientos, esto aumentara la efectividad del proceso de SGSI determinando
que los objetivos marcados se cumplan y que se minimicen el impacto de los
riesgos que pueda correr la organizacin:

Como normas a implantar tenemos:

ISO: Organizacin internacional de normalizacin

IEC: Comisin Electrotcnica Internacional

ISO/IEC 27001: Estas normas permiten:

-Establecer
-Implementar
-Operar
-Supervisar
-Revisar
-Mantener
-Mejorar

Admitiendo de esta forma certificar a la empresa de Simn en el cumplimiento de

sus caractersticas marcadas en la norma.

Segn las normas de la informacin en Colombia estas son: Ley 527/1999, Dec
2364/2012, Ley 1273/2009, Ley 1581/2012, Dec 1377/2013 y Ley 1341/2009.
Conclusin:

Identificando los diferentes activos de la informacin y analizando el impacto que

tienen las diferentes amenazas podemos determinar el impacto que puede
generar en la organizacin si es riesgo llega a consumirse.

Con base en lo anterior podemos es posible utilizar otras metodologas para

implantar un anlisis de riesgos en una organizacin y que sean implantados con
un buen SGSI, algunos son:

Anlisis holands A&K.

CRAMM.
EBIOS.
IT-GRUNDSCHUTZ (Manual de proteccin bsica de TI)
Manual de Seguridad de TI Austriaco.
MARION MEHARI.
Mtodos ISF para la evaluacin y gestin de riesgos.
Norma ISO/IEC IS 27005.
OCTAVE.
SP800-30 NIST Risk Management Guide for Information Technology
Systems.