Analisis Riesgos Empresa Real

Download Analisis Riesgos Empresa Real

Post on 24-Oct-2015

6 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 61

    CAPITULO 3 ANALISIS DE RIESGOS MEDIANTE LA

    METODOLOGIA MECI

  • 62

    3.1 ENTENDIMIENTO DEL NEGOCIO DE LA EMPRESA

    Por razones de confidencialidad omitiremos algunos detalles con respecto a las

    actividades comerciales de la empresa.

    La empresa de produccin cuencana para la cual se desarrolla este proyecto se

    dedica al diseo y produccin artculos, a nivel nacional e internacional. Su principal

    objetivo es brindar productos de calidad a sus clientes, sin descuidar la proteccin del

    medio ambiente, y de esta forma mantenerse como lder en la industria.

    Con miras a mantenerse y potenciar su desarrollo, esta empresa cuencana de

    produccin ha decidido administrar su negocio con un Sistema de Gestin de Calidad

    basado en las normas ISO 9000.

    3.2 IDENTIFICACIN DE LOS DOMINIOS DE APLICACIN DE SEGURIDAD

    En la empresa de estudio, existen cuatro dominios de gran importancia ya

    definidos, que son: Software, Telecomunicaciones, Hardware y Sistema Elctrico.

    Sobre estos dominios que la empresa plantea se pretende llevar el control e

    implementacin el sistema de seguridad informtica.

  • 63

    SEGURIDAD INFORMATICA

    SIST.ELECTRICOS

    OFTW

    ARE

    REDE

    SHARDWARE

    Figura 3 Dominios de seguridad informtica manejadas por la empresas de produccin cuencana.

    La norma ISO 27001 propone once reas de control como ya se profundiz en

    el captulo uno, los cuales deben ser elegidos de acuerdo a los requerimientos de la

    empresa, para el diseo de un SGSI completo se deberan tomar en cuenta todas las

    reas; sin embargo, para el desarrollo de nuestra tesina elegiremos los dominios que

    abarquen las necesidades mas urgentes de la empresa en estudio, y de acuerdo a

    estos se implementar el sistema de seguridad informtica.

    La norma ISO 27001 nos da la libertad de elegir los dominios de aplicacin de

    la seguridad informtica que mas le convenga a la empresa; tomando en cuenta este

    factor decidimos mantener los dominios presentados por la empresa, sin embargo

    notamos la necesidad de incluir dos dominios importantes dentro del esquema

    propuesto, que son: dominio de talento humano y dominio de datos.

  • 64

    SIST.

    ELECTRICO

    REDE

    SY

    TELE

    COM

    HARDWARE

    TALE

    NTO

    HUM

    ANO

    Figura 4 Dominios de seguridad informtica sugeridos para la empresa en estudia.

    3.3 IDENTIFICACIN DE ACTIVOS DE LA EMPRESA

    Ahora ponemos en prctica lo aprendido acerca de la identificacin de activos,

    es importante la colaboracin de la empresa para poder disponer de la informacin

    que nos ayude a identificar sus activos.

    Otro factor importante para la identificacin de activos es entender el negocio

    de la empresa, pues solo as podremos saber que bienes de la organizacin son de

    valor o imprescindibles.

    La informacin recolectada sobre los activos identificados se muestran en el

    ANEXO 2, a continuacin se presentan los resultados obtenidos al analizar dicha

    informacin, para la ponderacin de los activos nos basamos en el valor dado por sus

    propietarios y en nuestro criterio segn el estudio realizado.

  • 65

    Hemos clasificado los activos en cuatro grupos:

    Activos de valoracin baja: son los equipos y servicios con prestaciones menos

    importantes y que no intervienen en el proceso de produccin, los mismos

    que pueden ser reemplazados fcilmente, o simplemente prescindir de ellos.

    Activos de valoracin media: son los equipos y servicios que apoyan

    indirectamente el proceso de produccin de la empresa.

    Activos de valoracin alta: son los que tienen relacin directa con el sistema de

    registro de los procesos de produccin y dems servicios de gran importancia.

    Activos de valoracin extremadamente alta: son aquellos bienes

    imprescindibles para la empresa, su ausencia impediran la continuidad del

    negocio, a este grupo pertenecen los sistemas usados para el control de la

    maquinaria de procesos de produccin.

    3.3.1 Tipos de Activos

    Debido a que no todos los activos de la empresa son de la misma especie es

    vital determinar su tipo, es decir, podemos clasificar la informacin dentro de los

    siguientes parmetros:

    Pblica. Es aquel tipo de informacin a la cual todos pueden acceder o conocer

    ya sean personal de la empresa o no.

    Privada. Es aquella informacin a la cual solo debe tener acceso el personal de

    la empresa.

    Confidencial. Es la informacin a la cual solo pueden tener acceso personal

    autorizado, la misma que debe ser manejada con prudencia.

    Secreta. A este tipo de informacin solo pueden acceder personal de la alta

    direccin, no puede ser divulgada ya que pondra en riesgo la estabilidad de

    la organizacin.

  • 66

    3.3.2 Dependencias

    Los activos ms crticos de toda empresa son los datos y los servicios; pero

    estos activos dependen de otros activos menos importantes como pueden ser los

    equipos, las comunicaciones o las frecuentemente olvidadas personas que trabajan

    con aquellos. Por ello aparece como importante el concepto de dependencias entre

    activos o la medida en que un activo superior se vera afectado por un incidente de

    seguridad en un activo inferior. 18

    Se dice que un activo superior depende de otro activo inferior cuando las

    necesidades de seguridad del superior se reflejan en las necesidades de seguridad del

    inferior. O, dicho en otras palabras, cuando la materializacin de una amenaza en el

    activo inferior tiene como consecuencia un perjuicio sobre el activo superior.

    Aunque en cada caso hay que adaptarse a la organizacin objeto del anlisis,

    con frecuencia se puede estructurar el conjunto de activos en capas, a continuacin

    presentamos un modelo que nos ayudar en el proceso de identificacin de

    dependencias, donde las capas superiores dependen de las inferiores.

    Capa 1, El entorno, activos que se precisan para garantizar las capas

    superiores.

    Equipamiento y suministros: energa, climatizacin, comunicaciones

    Personal: de direccin, de operacin, de desarrollo, etc.

    Otros: edificios, mobiliario, etc.

    Capa 2, El Sistema de informacin.

    Hardware

    Software

    Comunicaciones

    Soportes de informacin: discos, cintas, etc.

    Capa 3: La informacin.

    Datos

    18 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAA, MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, 20 de junio de 2006, http://publicaciones.administracion.es

  • 67

    Meta-datos: estructuras, ndices, claves de cifra, etc.

    Capa 4: Las funciones de la empresa que justifican la existencia del

    sistema de informacin y le dan finalidad.

    Objetivos y misin

    Bienes y servicios producidos

    capa 5: Otros activos

    Credibilidad o buena imagen

    Conocimiento acumulado

    Independencia de criterio o actuacin

    Intimidad de las personas

    Integridad fsica de las personas

    3.3.3 Dimensiones

    Existen unos parmetros que podemos tomar en cuenta para detallar de mejor

    manera los activos de la empresa, entre estos tenemos:

    Autenticidad: Qu perjuicio causara no saber exactamente quien

    hace o ha hecho cada cosa?

    Confidencialidad: Qu dao causara que lo conociera quien no

    debe?

    Integridad: Qu perjuicio causara que estuviera daado o corrupto?

    Disponibilidad: Qu perjuicio causara no tenerlo o no poder

    utilizarlo?

    Es importante tomar en cuenta dichos aspectos y responder las preguntas

    planteadas con el fin de llenar un informe completo sobre los activos de la empresa y

    todos los dems factores que intervienen.

  • 68

    3.3.4 Valoracin

    Un activo no se estima por lo que cuesta, sino por lo que vale, si algo no vale

    para nada, prescndase de ello y si no se puede prescindir impunemente de un activo,

    es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.19

    El valor del activo puede ser propio, o puede ser acumulado. Se dice que los

    activos inferiores en un esquema de dependencias, acumulan el valor de los activos

    que se apoyan en ellos.

    Es importante valorar los activos, pues as sabremos cuales se deben proteger

    de mejor forma, desde luego, no tendra sentido una inversin grande para

    salvaguardar un activo que no lo vale.

    La valoracin es la determinacin del costo que supondra salir de una

    incidencia que destrozara el activo; para estimar el valor de los activos podemos

    ayudarnos de los siguientes criterios.

    Costo de reposicin; adquisicin e instalacin.

    Costo de mano de obra especializada invertida en recuperar el valor

    del activo.

    Lucro cesante: prdida de ingresos.

    Capacidad de operar: confianza de los usuarios y proveedores que se

    traduce en una prdida de actividad o en peores condiciones econmicas.

    Sanciones por incumplimiento de la ley u obligaciones contractuales.

    Dao a otros activos, propios o ajenos.

    Dao a personas.

    Daos medioambientales.

    19 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAA, MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, 20 de junio de 2006, http://publicaciones.administracion.es

  • 69

    3.3.5 Identificacin de activos de la empresa

    Ahora ponemos en prctica lo aprendido a