Actividad No.

09
Matriz de riesgos informáticos

Asignatura
Informática Empresarial

Presenta
Luz Yeimy Urrea Walteros
ID 000599107

Docente
Andrés Rubiano Cucarían.
NRC 4796

Bogotá  D.C Agosto  de 2017

MATRIZ DE RIESGOS INFORMATICOS
 EMPRESA JACKLUZ
RIESGO AMENAZA/RIESGO IMPACTO PLAN DE ACCION

ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN:

 Un buen plan seria el Servicio de Vigilancia,

este se encargaría del control de acceso de
todas las personas a la empresa.
Las empresa que han intentado implementar
 A las personal ajenas se le solicitará
programas de seguridad de alto nivel, han
completar un formulario de datos
 Sabotaje (ataque físico y encontrado que la protección contra el
ALTO personales, los motivos de la visita, hora de
electrónico). saboteador es uno de los retos más duros, ya
ingreso y de egreso, etc.
que este puede ser un empleado o un sujeto
ajeno a la propia empresa  Y para el ingreso a las bases de datos, se les
entregaría una identificación o PIN (Personal
Identification Number) único, el cual se
almacena en una base de datos para su
posterior seguimiento, si fuera necesario.
 En toda empresa las computadoras son
posesiones valiosas, ya que ellas contienen  Un buen plan seria, en asegurar que los
toda la información importante y están recursos del sistema de información (material
expuestas, al robo. Esta información es informático o programas) de la empresa, sean
 Robo / Hurto de muy importante y confidencial y puede ser utilizados de una manera segura, que solo las
información electrónica fácilmente copiada. ALTO personas autorizadas, tengan acceso a esa
 Intrusión a Red interna.  Hasta la instrucción a la red interna, sin información, los demás usuarios, deberán
protección podrían entrar muy fácilmente tener acceso restringido a la red, y hasta
y sustraer información privada, también cierto punto, para no permitir a los hackers,
las cintas y discos podrían ser fácilmente ingresar.
copiados sin dejar ningún rastro.
MEDIO  En este caso, el software de seguridad usual,
son herramientas de protección necesarias.
El problema en este caso es que pese a que  El mejor plan que debe dar las empresas es,
todas reciben ataques día a día, la mayoría precisamente, identificar las amenazas que
de las empresas no se dan cuenta de que han hay, los riesgos que enfrenta y las
 Infiltración.
sido infiltradas. Cuando lo hacen, ya es muy vulnerabilidades que tiene.
tarde, se han infiltrado y robando  El objetivo es resolver estas debilidades en lo
información importante de la compañía. inmediato y diseñar estrategias de largo plazo
basadas en las mejores prácticas de la
 industria.
 El acceso no autorizado a un sistema
informático, sin autorización o contra  Mantener siempre actualizados los antivirus,
derecho a un sistema de información, con que estén utilizando en la empresa.
el fin de obtener una satisfacción  En este caso es necesario, informar a los
voluntaria de curiosear o divertirse, empleados, sobre estas intrusiones no
infringiendo medidas de seguridad autorizadas.
 Virus / Ejecución no
destinadas a proteger los datos contenidos  No ingresar a enlaces que sean sospechosos.
autorizado de programas ALTO
en ella.  Se debe estar haciendo una actualización
 De esta manera, pueden llegar a descargar permanente ya que los hackers y virus, andan
virus, que en fracción de segundos, puede mucha rapidez, destruyendo todo.
destruir todos los archivos y computadores
de una empresa que estén por medio de
una red.

La magnitud del problema no es tan grave,  El mejor plan, es tener personal que tenga
dados los posible miles de titulares de ideas nuevas, creen publicidad y proyectos,
 Violación a derechos de derechos, a los que solicitar autorización, los que sean solo de la empresa, eso aparte de
autor múltiples tipos de información y BAJO evitarle problemas a la empresa le ahorrara
procedimientos de concesión y pago de mucho dinero, que se invertiría en compra de
licencias y autorización del titular, del derechos.
derecho de autor.

SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y MALAS DECISIONES

 Falta de inducción, La empresa que no implementa un plan de  Tener personal, disponible y capacitado, para
capacitación y inducción y capacitación, para sensibilizar al darle inducción a todo el personal de los
sensibilización sobre personal, de los riesgos a que esto conlleva, ALTA riesgos a los que se puede llegar, por tomar
riesgos puede hacerle perder mucho dinero a la malas decisiones, y ser negligentes con la
empresa. red.

 En este caso se deben tomar, medidas que

 Mal manejo de sistemas y Esto puede causar gran riesgo, para la ofrece la misma tecnología, como controles
herramientas empresa, en el área operacional, financiero, MEDIO de seguridad, sobre el manejo de datos
y reputación de la misma. importantes de la empresa, y llevar un control
de lo que cada empleado puede y debe saber.
 Utilización de programas Utilizar programas no autorizados, conlleva
no autorizados / software a grades consecuencias, delitos contra la
propiedad intelectual y multas demasiado ALTA  En este caso, lo mejor es adquirir los
pirateado
altas para la empresa, o persona jurídica programas o software, legalmente,
encargada de esta área. comprando la licencia y llevando todo por lo
legal.
 Debemos determinar un sistema de
seguridad, y posesos internos más adecuados
para maximizar la seguridad.
Esto es un gran problema para una empresa,  Limitar el uso de los correos electrónicos y
sea grande o pequeña, perder datos redes sociales de cada empleado.
importantes, como registro e información ALTA  No dejar usar soportes para la información,
 Perdida de datos privada de la empresa y ventas. Puede llegar que puedan ser robados, en discos duros
a ocasionar muchas pérdidas, económicas y portátiles, o memorias extraíbles.
el punto de quiebra de una empresa.  Permitir el acceso al sistema de la empresa y
base de datos, solo a las personas a las que se
les haya dado una contraseña, y se haga
responsable de cuidarla.
 Se debe prohibir el ingreso de memorias o
 Infección de sistemas a Esto sería un gran problema, ya que al discos duros extraíbles, a la empresa, ya que
través de unidades introducir una memoria USB o conectar un por medio de esto podrían llevarse
portables sin escaneo celular a cualquier computador de la MEDIO información o ingresar virus u otros
empresa, sin ser revisado y vacunado antes problemas.
de conectarlo, podría ingresar virus a los  Si se autoriza el ingreso se debe, hacer un
computadores, y esto dañaría toda la escaneó antes de ser abierto en cualquier
información de la empresa. computador de la empresa.

 Una de las maneras más fáciles de manejar

estas contraseñas, es no poniendo números,
 Manejo inadecuado de sino oraciones fáciles de recordar, donde
 Es de un alto riesgo, el manejo inadecuado utilice mayúsculas y minúsculas, que
contraseñas (inseguras, o compartir las contraseñas, que son
no cambiar, compartidas, compliquen al ladrón conseguirla o
designadas en una empresa, para el adivinarla.
BD centralizad, manejo de información privada, ya que ALTA  Dividir las cuentas en dos grupos, las que
 Compartir contraseñas o existen cibercriminales, siempre listos en contengan información importante y las que
permisos a terceros no robarlas, y llevarse toda la información de no. Y las contraseñas complicadas según la
autorizados la empresa. importancia de la cuenta.
 Esto haría poner en peligro la seguridad de  Mantener cerrada las cuentas mientras no se
la empresa y robar la identidad del estén utilizando, así no se le dará tiempo al
 usuario. ladrón robar la información.
 Tener personal especializado, en el
 Falta de mantenimiento Aunque no es tan grave la falta de este mantenimiento de maquinaria, de
físico (proceso, repuestos mantenimiento, si no se mantiene al día, BAJA computadores e insumos de cada uno.
e insumos) podría ocasionar daños a la empresa.  Estar reportando cualquier falla, para ser
revisada en el momento.
 Tener un ingeniero y un área de sistemas,
 Fallas en permisos de Esto complicaría, el funcionamiento de los siempre a disposición en momentos en que
usuarios (acceso a trabajos en la empresa, no tener acceso a los MEDIA se necesiten.
archivos) archivos, atrasaría el rendimiento diario y  Estar todos los días sincronizando el sistema
ocasionaría perdidas a la empresa. para que la información este actualizada y a
disposición del personal autorizado.
 Un plan para solucionar esto, seria: estar
 Falta de actualización de Es complicado para una empresa, no estar revisando el software constantemente, y
software (proceso y actualizando el software, ya que no BAJA resolver los problemas en el momento de ser
recursos) entregará los resultados esperados, y podría ubicados.
estar dando información atrasada.  Mantener un sistema de información en la
empresa siempre eficiente.
 Primero se debe detectar del punto de red
Esto dejaría vulnerable y expuesta al peligro vulnerable, y el ingeniero o responsable de la
 Red inalámbrica expuesta la seguridad de la red de la empresa, y ALTA red, dará la solución de inmediato.
al acceso no autorizado expuesta al mundo exterior. Y de esta forma  Y estar siempre, y cada día revisando que no
robarse gran información importante de la hayan puntos de red, que sean de peligro para
empresa. la información privada de la empresa.
Referencias

Análisis y gestión de riesgos de la seguridad de los sistemas de información

Pdf, Uniminuto

Video plan de seguridad Informatica

Recuperado de: http://youtu.be/B8_movcilDX8
Uniminuto

La observancia del derecho de autor en la empresa privada: problemas y soluciones

Recuperado de: http://www.wipo.int/wipo_magazine/es/2011/03/article_0007.html

Control mediante permiso de acceso

Recuperado de: http://www.dataprius.com