UNIVERSIDAD NACIONAL

DE CAJAMARCA
FACULTAD DE INGENIERÍA

E.A.P. INGENIERÍA DE SISTEMAS

GESTIÓN DE RIESGOS Y
SEGURIDAD DE LA INFORMACIÓN

Trabajo: Proyecto de gestión de riegos en la empresa

“Academia Pre-Universitaria: CABRERA”

Docente: Ing. BAZÁN DÍAZ LAURA SOFÍA

Integrantes: BARBOZA VILLANUEVA, Erlin

CONDORLUYCHO GOICOCHEA, Walter
MENDOZA CARRASCO, Bryan
QUISPE YOPLA, Wilman
ROMERO YALLE, Jhonatan
VENTURA MENDOZA, Sandro

Cajamarca 2019
Índice

I. Introducción ............................................................................... 2

II. Datos de la empresa .................................................................. 3

III. Objetivos ................................................................................. 4

Objetivo general ........................................................................... 4

Objetivos específicos .................................................................... 4

IV. Metodología de gestión de riesgos .......................................... 4

A. Inventario y valorización Activos de Información .................. 5

B. Análisis del Riesgo ............................................................... 7

C. Evaluación del Riesgo ........................................................ 10

D. Tratamiento del Riesgo ...................................................... 12

 Proyecto de gestión de riegos en la empresa
“Academia Pre-Universitaria: CABRERA”
-----------------------------------------------------------------------------------------------------------------------------------

I. Introducción

La gestión de riesgos está presente, con mayor o menor protagonismo, en

distintos ámbitos de la sociedad y la empresa. Los responsables de las empresas
son conscientes de la existencia de amenazas que suponen un peligro para la
consecución de sus objetivos. Dedican esfuerzos y recursos a mantener estos
riesgos por debajo de un límite.

En el presente documento se presentará una empresa, como cualquier otra

empresa expuesta a diversos riesgos. En la cual aplicaremos la gestión de
riesgos correspondiente y debido, según los procesos que se aprendió en el
desarrollo de clases.

2
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

II. Datos de la empresa

Nombre: Academia pre-universitaria CABRERA

Servicio: Brinda a los estudiantes de la localidad de Cajamarca una

educación integral, en calidad y nivel necesario para que los
alumnos puedan competir en cualquier región del país.

Área a estudiar: Diferentes áreas de la empresa

Dirección: Jr. San Martin #239

3
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

III. Objetivos
Objetivo general
Implementación de la metodología de Gestión de Riesgos; en la empresa
“Academia CABRERA”.

Objetivos específicos
Registrar activos y riesgos, que se ubiquen en las diferentes áreas de la
empresa.

IV. Metodología de gestión de riesgos

La metodología estudiada en clases consta de 4 partes:

A. Inventario de activos de información

B. Análisis del riesgo (al que están expuestos los activos de información)
C. Evaluación del riesgo
D. Tratamiento del riesgo

4
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

A. Inventario y valorización Activos de Información

Inventario de Activos

Inventario de los activos de información que son obtenidos, utilizados,

procesados y/o entregados por los procesos que forman parte del alcance del
sistema SGSI. Por cada activo se deben definir:

Nombre del Activo

Proceso al que pertenece
Clasificación (en el caso de información)
Propietario del Activo

PROCESO
NOMBRE DEL PROPIETARIO
AL QUE CLASIFICACIÓN TIPO
ACTIVO PERTENECE DEL ACTIVO

Administración Administración
Inventarios Confidencial Físico
de bienes y gerencia
Gerencia y Restringida y Word (físico
Contratos Gerencia
administración confidencial virtual)
Sistema de Control y
control de asistencia de Restringida Secretaria Software
asistencia alumnos
Reporte de
Administración Información
notas de Restringida Administración
académica lógica
alumnos
Administración
Nómina de Recursos Información
de recursos confidencial
trabajadores humanos lógica
humanos
Planes y
Gerencia y Información
programas Confidencial Gerencia
administración lógica
institucionales
Evaluaciones y Administración
Restringida Secretaria Word pdf
controles académica

5
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

Valorización de Activos

PROCESO
NOMBRE DEL Importancia de
AL QUE TIPO
ACTIVO PERTENECE ACTIVO

C I D TOTAL

Administración
Inventarios Físico 4 3 4 4
de bienes
Gerencia y Word (físico
Contratos 5 5 5 5
administración virtual)
Sistema de Control y
control de asistencia de Software 2 4 4 4
asistencia alumnos
Reporte de
Administración Información
notas de 4 3 4 4
académica lógica
alumnos
Administración
Nómina de Información
de recursos 3 4 4 4
trabajadores lógica
humanos
Planes y
Gerencia y Información
programas 4 3 4 4
administración lógica
institucionales
Evaluaciones y Administración
Word pdf 3 3 3 3
controles académica

6
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

B. Análisis del Riesgo

Identificación de las Amenazas, Vulnerabilidades y Controles Existentes

Por cada activo de Información proveniente del Inventario de Activos que pasó a
la fase de Análisis de Riesgos se genera la siguiente información:

Las Amenazas a las que está expuesto el activo de información.

Las Vulnerabilidades que expone el activo y que podrían ser
aprovechadas por la amenaza
Los Controles existentes para prevenir la materialización de la amenaza,
disuadir al agente, detectar la amenaza o corregir el daño sufrido.

NOMBRE DEL CONTROLES

AMENAZA VULNERABILIDAD
ACTIVO ACTUALES

Falta de ética
Alteración y/o perdida de Backup, control y
profesional. Falta de
Inventarios documento de control de acceso
capacidad de
inventarios restringido
personal
Falta de ética
Alteración de información
profesional. Falta Backup, control y
y o datos de proveedores
Contratos de capacidad de acceso
u otros terceros en la
personal y restringido
empresa
profesional (gerente)
Sistema de control Fallo técnico, error Falta de capacidad control y acceso
de asistencia humano de personal restringido
Backup, control y
Reporte de notas Error humano, perdida Falta de capacidad
acceso
de alumnos de documentos de personal
restringido
Nómina de Alteración de datos e Falta de ética control y acceso
trabajadores información profesional. restringido

7
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

Seguimiento
Procesos y diario a las
Planes y Realizarse una Funciones no bien proyecciones
programas inadecuada planificación definidas que no presupuestales,
institucionales incumpliendo tiempos. permiten el trabajo realizadas en el
estratégico. sistema
informático.
Backup, control y
Evaluaciones y Falta de capacidad
Perdida de documentos acceso
controles de personal
restringido

Determinación del valor de Degradación

Determinación del valor de Impacto Determinación de la Probabilidad

Determinación del Valor del Riesgo

8
 Proyecto de gestión de riegos en la empresa
“Academia Pre-Universitaria: CABRERA”
-----------------------------------------------------------------------------------------------------------------------------------

PROCESO Valor
NOMBRE DEL PROBA
ACTIVO
AL QUE TIPO Degradación del IMPACTO RIESGO
PERTENECE BILIDAD
activo
Max
C I D
degrad
Administración
Inventarios Físico 2 3 2 3 4 3 3 3
de bienes
Gerencia y Word (físico
Contratos 3 3 3 3 5 5 3 4
administración virtual)
Sistema de Control y
control de asistencia de Software 3 3 4 4 4 4 4 4
asistencia alumnos
Reporte de
Administración Información
notas de 2 2 3 3 4 3 2 3
académica lógica
alumnos
Administración
Nómina de Información
de recursos 2 2 3 3 4 3 4 3
trabajadores lógica
humanos

1
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

Planes y
Gerencia y Información
programas 3 2 3 3 4 3 4 3
administración lógica
institucionales
Evaluaciones y Administración
Word pdf 2 3 2 3 3 3 3 3
controles académica

C. Evaluación del Riesgo

Luego de efectuado el cálculo del valor del riesgo, se debe determinar cuáles son aquellas amenazas cuyos riesgos son los más
significativos, desde el punto de vista de la organización, para poder jerarquizarlos por su importancia. A continuación, se muestran
algunos Criterios de Evaluación del Riesgo que pueden ser utilizados por la organización para evaluar la importancia del riesgo:

2
 Implementación de una solución SIEM (OSSIM) en ambiente de prueba
UNC Norte del Perú

De acuerdo a las expuestas amenazas y vulnerabilidades, y según el nivel de riesgo; se determinó:

NOMBRE DEL ACTIVO CRITERIO DE EVALUACION DE RIESGO

ECONOMICO CONTINUIDAD LEGAL CONTRACTUAL

Contratos X X X

Sistema de control de
X
asistencia
Reporte de notas de
X X
alumnos
Nómina de
X X X
trabajadores
Planes y programas
X X
institucionales
Evaluaciones y
X X
controles

3
 Proyecto de gestión de riegos en la empresa
“Academia Pre-Universitaria: CABRERA”
-----------------------------------------------------------------------------------------------------------------------------------

D. Tratamiento del Riesgo

Se enfocará en los riesgos que tengan un valor de riesgo mayor. Para los cuales
se procederán a efectuar, los procesos adecuados con el fin de reducir el nivel
de riesgo que posean.