Seguridad Juridica Proyectos de Los Programas Informaticos
Seguridad Juridica Proyectos de Los Programas Informaticos
Seguridad Juridica Proyectos de Los Programas Informaticos
Análisis de Riesgos
Informáticos
Actividades
Análisis de Riesgos
Informáticos
1. Objetivo
2. Alcance
Todos los procesos que involucren el manejo de activos propiedad del cliente como
propósito para el cual la compañía fue contratada, el cual principalmente es el
mantenimiento de equipos de cómputo.
Se deberán identificar aquellos procesos y activos en los cuales la empresa como parte
del desarrollo de sus actividades tenga contacto con información del cliente.
- Procesos
Análisis de Riesgos
Informáticos
- Activos
Análisis de Riesgos
Informáticos
Análisis de Riesgos
Informáticos
Almacenamiento
Bajo
Medio
Para efectos de esta actividad no existen controles previos, se tendrán que determinar
una vez evaluados los riesgos para su tratamiento.
Análisis de Riesgos
Informáticos
Extorsión
Plagio
Propiedad Piratería
Intelectual
Violación de los secretos industriales
Análisis de Riesgos
Informáticos
Vulnerabilidad Amenazas
Falta de capacitación del personal Pérdida de
Daño de equipos
técnico información
Falta de medidas de seguridad en
Robo
los vehículos de servicio
Falta de medidas de seguridad Pérdida /
para manipular equipo Daño de equipos Modificación de
electrónico información
Fuga de información
Deficiente o falta de control de Plagio
Robo de equipos Daño intencional
acceso al laboratorio de trabajo Violación del secreto
industrial
Fuga de información
Inadecuada supervisión y Robo Errores por falta de
Plagio
monitoreo del personal Piratería personal competente
Fraude
Filtros de reclutamiento Fraude
Robo Fuga de información
deficientes Plagio
Fuga de información
Deficiente o inexistente seguridad
Plagio
física en las instalaciones de Robo Daño de equipos
Violación del secreto
almacenamiento
industrial
Falta de medidas de protección
Pérdida de
medioambientales (incendio, Daño de equipos
información
inundaciones)
Procesos de respaldo de Plagio
Pérdida de
información sin documentar y Fuga de información Violación del secreto
información
auditar industrial
Falta de procedimientos en la Fuga de Pérdida de Violación del secreto
destrucción de equipos información información industrial
Análisis de Riesgos
Informáticos
Grado Efecto
1. Insignificante Impacto insignificante
2. Menor Consecuencias visibles, pero con pocos efectos que reestablecer
3. Moderado Consecuencia visible, esfuerzos significativos para recuperar y restaurar
la operación normal.
4. Alto Consecuencia y costos de restablecimiento altos
5. Catastrófico Imposibilidad de desarrollar el proceso o reponer el activo en el corto
plazo
Análisis de Riesgos
Informáticos
El primer valor para obtener deberá ser el Factor de Riesgo, el cual obtenemos con el
impacto y la probabilidad de ocurrencia mediante la siguiente operación
Impacto
1 2 3 4 5
Probabilidad
Análisis de Riesgos
Informáticos
Información
no relevante relevante
confidencial
16 20
-Robo de
8
equipo con
4 4 -Robo de 12
información
Probable equipos sin
confidencial
información
-Plagio
Fraude
12 15
6
-Daño de
-Daño de
3 3 9 equipos con
equipos sin
Posible información
información
confidencial
relevante
-Fraude
2 2 4 6 8 10
Remota
1 1 2 3 4 5
Improbable
Para obtener el nivel de riesgo, lo calcularemos tomando en cuenta el valor del activo o
proceso y el factor de riesgo, de la siguiente manera
Factor de Riesgo
Bajo Medio Importante
Análisis de Riesgos
Informáticos
Muy Importante
Importante -Información
Alto Medio
confidencial / Uso
interno
Importante
Valor del activo
-Mantenimiento de
Medio
Medio Bajo equipos
-Servidores
-Destrucción de
equipos
Bajo
-Información
Bajo Bajo pública Medio
-Equipos sin
información
Con base en la tabla anterior podremos determinar qué tipo de medidas implementar
para el tratamiento del riesgo
Muy importante Es vital el implementar las medidas de seguridad para tratar el riesgo
Importante Es altamente recomendado implementar medidas de seguridad para el
tratamiento del riesgo
Medio Las medidas de seguridad a implementar se determinarán caso por caso
Bajo Algunas medidas de seguridad podrían mejorar el nivel de riesgo
Análisis de Riesgos
Informáticos
Una vez obtenido el listado de riesgos y escenarios es necesario establecer las medidas
específicas para cada uno de ellos con el objetivo de reducirlos al mínimo posible de
aceptación. Mencionaremos los riesgos evaluados de Medio a Muy Importante
Análisis de Riesgos
Informáticos
Análisis de Riesgos
Informáticos
Debido a que los riesgos no se pueden eliminar, debemos trazar una estrategia de
aceptación y tratamiento del riesgo residual, la cual será la siguiente
Análisis de Riesgos
Informáticos
5. Referencias