INVENTARIO DE ACTIVOS

Datos

1. Identificación del activo.

- Códigos
2. Tipo de activo.
- Hardware
- Software
3. Descripción
- Características
4. Propietario
5. Localización.

VALORIZACIÓN DE ACTIVOS (1 AL 5)
 Confidencialidad: nivel de protección contra uso indebido.
 Disponibilidad: nivel de accesibilidad para usarlos.
 Integridad: nivel de restricción de modificaciones al activo por personal no
autorizado.

Código Activo Con. Disp. Int. Total

SU01 Servidor de 3 5 5 4
usuario
BD01 Base de 5 5 5 5
datos cliente
CP01 Computadora 3 5 5 4

RISEGOS
Estimar los riesgos para ubicar dónde se deben implementar controles.
Métodos para estimar riesgos
 Cuantitativo: 1, 2, 3.
 Cualitativo: describir.
 Semicuantitativo: riesgo alto, bajo, medio.
¿Cómo estimar riesgos?
Posibilidad de riesgo= Vulnerabilidad * Impacto del daño de la amenaza.
*Si se usa una escala del 1 al 4, la multiplicación dará un número del 1 al 16.
Riesgo bajo: 1 – 6
Riesgo medio: 7- 11
Riesgo alto: 12 -16

MATRIZ DE RIESGO
PASOS
1. Escribir las amenazas y su probabilidad.
2. Los activos, seguido del impacto.
3. Crear una fórmula que multiplique ambos valores.
4. Agregar un formato condicional que incluya los 3 colores (rojo, amarillo y verde).

Activos Impacto Amenaza

Software % %
Hardware % %

IMPACTO DE AMENAZA (1 AL 4)

Impacto amenaza Valor

Nulo 1
Bajo 2
Medio 3
Alto 4
El daño se refleja en tiempo y costo.

ELABORACIÓN DE UN INFORME
1. Estimación de los riesgos.
2. Vulnerabilidades de los activos.
3. Impacto de las amenazas.
4. Tipos de control que se pueden implementar para resolver el problema.
5. Otra información que complete el Sistema de Gestión de Seguridad de la
Información de la empresa (SGSI).

Estructura del informe

1. Portada
- Fecha de elaboración
- Nombre del autor.
 - Título del informe
2. Introducción
Explicar el motivo y propósito del análisis.
3. Cuerpo
Detallar resultados del análisis, obtenidos de la valoración de activos de los niveles de
vulnerabilidad de los activos y el impacto de las amenazas.
4. Conclusiones
5. Tabla.
Se colocan medidas de seguridad con base en:

 Amenazas detectadas.
 Impacto de los activos.
 Medidas de uno o varios tipos de control.
Controles
1. Controles de incidentes: garantizan la notificación de las debilidades para la
aplicación de medidas preventivas, a través de alarmas de seguridad, avisos de los
puntos vulnerables de seguridad.
2. Controles de adquisición, Desarrollo y Mantenimiento: garantizan la inclusión de
controles de seguridad en el desarrollo o actualización de softwares. Para esto se
realizan: inclusión de requisitos de seguridad, procedimientos de control de
cambios de sistemas, pruebas de funcionalidades durante el desarrollo.
3. Controles de Recursos Humanos: gestiona la entrada y salida de personal de la
organización. Se compone de términos y condiciones del puesto, Investigación de
antecedentes durante la contratación, educación y capacitación del personal, cese
o cambio de puesto.
4. Controles de activos: manejar todos los activos, su ubicación o asignación al
personal. Para esto se realizan inventarios de activos, propiedades de los activos,
devolución y soporte de los activos.

NIVELES DE SEGURIDAD INFORMATICOS.

D) protección mínima.
C) protección discrecional: cada usuario tiene acceso a diferente información.
B) protección obligatoria: reglas de control de acceso. La información tiene un grado de
sensibilidad (secreto, privado, etc.).
A) protección verificada: todos los controles del sistema se prueban, para asegurar la
seguridad de los datos.