Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 5 vistas

    Analisis de Riesgo1

    Cargado por

    Ce Gi

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Analisis de Riesgo1

    Cargado por

    Ce Gi
    5 vistas9 páginas

    Título original

    Analisis de riesgo1 (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    5 vistas9 páginas

    Analisis de Riesgo1

    Cargado por

    Ce Gi

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 9

    UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

    FACULTAD DE INGENIERIA EN SISTEMAS DE


    INFORMACION
    MAESTRIA EN SEGURIDAD INFORMATICA

    PLANIFICACION DE LA CONTINUIDAD DEL NEGOCIO


    BASADO EN TIC

    ING. Atilio Cifuentes

    Analisis de Riesgo

    Julio César Girón Monroy 2093-07-5823


    Chiquimula marzo de 2020
    Probabilidad Gravedad Valor Nivel de
    RIESGO (Ocurrencia) (Impacto) del Riesgo

    Falta de inducción, capacitación y sensibilización sobre


    4 3 12 Importante
    1 riesgos
    2 Mal manejo de sistemas y herramientas 3 4 12 Importante
    3 Utilización de programas no autorizados / software 'pirateado' 4 3 12 Importante
    4 Falta de pruebas de software nuevo 3 3 9 Importante
    5 Pérdida de datos 2 5 10 Importante
    Infección de sistemas a través de unidades portables sin
    6 2 4 8 Apreciable
    escaneo
    7 Unidades portables con información sin cifrado 2 3 6 Apreciable
    8 Transmisión no cifrada de datos críticos 3 4 12 Importante
    Manejo inadecuado de contraseñas (inseguras, no cambiar,
    2 4 8 Apreciable
    9 compartidas, BD centralizada)
    10 Compartir contraseñas o permisos a terceros no autorizados 2 3 6 Apreciable

    MATRIZ Riesgo muy grave. Requiere medidas preventivas urgentes. No se debe


    DE iniciar el proyecto sin la aplicación de medidas preventivas urgentes y sin
    acotar sólidamente el riesgo.

    RIESGO GRAVEDAD (IMPACTO)


    Riesgo importante. Medidas preventivas obligatorias. Se deben controlar
    S fuertemente llas variables de riesgo durante el proyecto.

    Riesgo apreciable. Estudiar económicamente ai es posible introducir


    MUY BAJO MEDIO ALTO MUY medidas preventivas para reducir el nivel de riesgo. Si no fuera posible,
    BAJO 1 2 3 4 ALTO 5 mantener las variables controladas.
    MUY
    ALTA 5 5 10 15 20 25
    Riesgo marginal.Se vigilará aunque no requiere medidas preventivas de
    ALTA 4 4 8 12 16 20 partida.
    PROBABILIDAD MEDIA 3 3 6 9 12 15
    BAJA 2 2 4 6 8 12
    MUY
    BAJA 1 1 2 3 4 5
    Analisis de riesgo

    Riesgo Evaluación de riesgo Zona de riesgo


    1. Falta de inducción, capacitación y La falta de comunicación entre Todo la organización, accionistas,
    sensibilización sobre riesgos expertos de TI. Y usuarios que utilizan proveedores, clientes
    interna y externamente los sistemas
    informativos hace que se eleve el
    riesgo de materializar las amenazas.

    2. Mal manejo de sistemas y El mal manejo de sistemas y Equipo de TI


    herramientas herramientas hara tomar malas
    decisiones que afecten la lógica del
    negocio y generando un nivel de
    confianza no esperado

    3. Utilización de programas no El desconocimiento al utilizar estos Hardware, información de la empresa y


    autorizados / software software no firmados pueden acarrear equipo de TI
    'pirateado' muchos inconvenientes ya sea de
    ámbito legal, comercial, de confianza,
    de calidad y de productividad.

    4 Falta de pruebas de software la falta de estos controles no Cliente, recurso humano


    nuevo garantizan la calidad del software y si
    existieran errores puden ser reparados
    antes de la puesta en marcha del
    sistema
    5 Pérdida de datos Los datos es uno de los valores mas Empresa, socios, clientes
    importantes de una organización y la
    perdida de estos pueden generar
    problemas legales, fiancieros, morales
    que dañarían exponencialmente las
    metas de la organización

    6 6. infección de sistemas a través de Robo, perdida o manipulación de la Equipo de informática, data, cliente,
    unidades portables sin escaneo información usuario

    7. Unidades portables con Aumentar riesgo de exposición de Equipo de informática, unidades


    información sin cifrado información a persona o sistema no internas y externas
    autorizado.

    8. Transmisión no cifrada de El no tener certificados de cifrado la TI, cliente, organización.


    datos críticos información es vulnerable y pueda ser
    alterada, modificada o eliminada.

    9. Manejo inadecuado de Realizar transacciones sin un Servidores, equipo de TI


    contraseñas (inseguras, no responsable directo, personal dado de
    cambiar, compartidas, BD baja y con aun acceso al sistema
    centralizada)

    10. Compartir contraseñas o Riesgo de fuga de información y Equios internos y externos


    permisos a terceros no autorizados recursos de la empresa
    Riesgo inherente Controles
    1. Falta de inducción, capacitación y sensibilización Agendar visitas con personal especializado para hacer ver al
    sobre riesgos recurso humano la probabilidad y el daño que pueda causar a la
    organización si un riesgo llega a concretarse

    2. Mal manejo de sistemas y herramientas Designar roles y responsabilidades a cada usuario, como también
    capacitar constantemente al personal el uso de equipos físicos y
    sistemáticos de la organización

    3. Utilización de programas no autorizados / software Utilizar únicamente software firmados para poder tener
    'pirateado' actualizaciones y soporte en caso de daños o perdida de
    información
    4.Falta de pruebas de software nuevo Un nuevo producto no sale a producción a menos que pasa todos
    los estándares de prueba y capacitación de personal que utilizara
    el mismo

    5.Pérdida de datos Realizar backups transacciones, mantenimiento constantes de


    equipos (software y hardware), alta disponibilidad de equipos,
    copias en la nube.

    6. infección de sistemas a través de unidades portables Políticas de seguridad, que no se permita el traslado de
    sin escaneo información mediante puertos USB

    7. Unidades portables con información sin cifrado Limitar el uso de unidades portables y que toda unidad sea cifrada
    para disminuir el riesgo de pérdida o alteración de información
    8. Transmisión no cifrada de datos críticos Utilizar algoritmos necesarios para la transferencia de información

    9. Manejo inadecuado de contraseñas (inseguras, no Utilizar las normas internacionales de manejo de contraseñas,
    cambiar, compartidas, BD centralizada) como también utilizar mecanismos alternos como datos
    biométricos, uso de tokens, cambios constantes de contraseñas.

    10. Compartir contraseñas o permisos a terceros no Firmar contratos de confidencialidad y repercusiones penales a los
    autorizados usuarios que compartan información critica de la empresa.
    MAPA DE RIESGOS

    5. Muy Alta

    4. Alta 8
    4
    3
    7 9
    3. Moderada 6 1
    2
    1
    10
    2 9
    7 5
    2. Baja

    5 810
    3 4
    PROBABILIDAD

    1. Muy Baja

    IMPACTO

    1. Inferior 2. Menor 3. Importante 4. Mayor 5. Superior

    Riesgo inherente Riesgo residual

    También podría gustarte