analisis riesgos empresa real

58
61 CAPITULO 3 “ANALISIS DE RIESGOS MEDIANTE LA METODOLOGIA MECI”

Upload: krlos17

Post on 24-Oct-2015

22 views

Category:

Documents


0 download

TRANSCRIPT

61

CAPITULO 3 “ANALISIS DE RIESGOS MEDIANTE LA

METODOLOGIA MECI”

62

3.1 ENTENDIMIENTO DEL NEGOCIO DE LA EMPRESA

Por razones de confidencialidad omitiremos algunos detalles con respecto a las

actividades comerciales de la empresa.

La empresa de producción cuencana para la cual se desarrolla este proyecto se

dedica al diseño y producción artículos, a nivel nacional e internacional. Su principal

objetivo es brindar productos de calidad a sus clientes, sin descuidar la protección del

medio ambiente, y de esta forma mantenerse como líder en la industria.

Con miras a mantenerse y potenciar su desarrollo, esta empresa cuencana de

producción ha decidido administrar su negocio con un Sistema de Gestión de Calidad

basado en las normas ISO 9000.

3.2 IDENTIFICACIÓN DE LOS DOMINIOS DE APLICACIÓN DE SEGURIDAD

En la empresa de estudio, existen cuatro dominios de gran importancia ya

definidos, que son: Software, Telecomunicaciones, Hardware y Sistema Eléctrico.

Sobre estos dominios que la empresa plantea se pretende llevar el control e

implementación el sistema de seguridad informática.

63

SEGURIDAD INFORMATICA

SIST.ELECTRICOSOFTWARE

REDESHARDWARE

Figura 3 Dominios de seguridad informática manejadas por la empresas de producción cuencana.

La norma ISO 27001 propone once áreas de control como ya se profundizó en

el capítulo uno, los cuales deben ser elegidos de acuerdo a los requerimientos de la

empresa, para el diseño de un SGSI completo se deberían tomar en cuenta todas las

áreas; sin embargo, para el desarrollo de nuestra tesina elegiremos los dominios que

abarquen las necesidades mas urgentes de la empresa en estudio, y de acuerdo a

estos se implementará el sistema de seguridad informática.

La norma ISO 27001 nos da la libertad de elegir los dominios de aplicación de

la seguridad informática que mas le convenga a la empresa; tomando en cuenta este

factor decidimos mantener los dominios presentados por la empresa, sin embargo

notamos la necesidad de incluir dos dominios importantes dentro del esquema

propuesto, que son: dominio de talento humano y dominio de datos.

64

SIST.

ELECTRICO

REDE

SY

TELE

COM

HARDWARE

TALE

NTOHUM

ANO

Figura 4 Dominios de seguridad informática sugeridos para la empresa en estudia.

3.3 IDENTIFICACIÓN DE ACTIVOS DE LA EMPRESA

Ahora ponemos en práctica lo aprendido acerca de la identificación de activos,

es importante la colaboración de la empresa para poder disponer de la información

que nos ayude a identificar sus activos.

Otro factor importante para la identificación de activos es entender el negocio

de la empresa, pues solo así podremos saber que bienes de la organización son de

valor o imprescindibles.

La información recolectada sobre los activos identificados se muestran en el

ANEXO 2, a continuación se presentan los resultados obtenidos al analizar dicha

información, para la ponderación de los activos nos basamos en el valor dado por sus

propietarios y en nuestro criterio según el estudio realizado.

65

Hemos clasificado los activos en cuatro grupos:

� Activos de valoración baja: son los equipos y servicios con prestaciones menos

importantes y que no intervienen en el proceso de producción, los mismos

que pueden ser reemplazados fácilmente, o simplemente prescindir de ellos.

� Activos de valoración media: son los equipos y servicios que apoyan

indirectamente el proceso de producción de la empresa.

� Activos de valoración alta: son los que tienen relación directa con el sistema de

registro de los procesos de producción y demás servicios de gran importancia.

� Activos de valoración extremadamente alta: son aquellos bienes

imprescindibles para la empresa, su ausencia impedirían la continuidad del

negocio, a este grupo pertenecen los sistemas usados para el control de la

maquinaria de procesos de producción.

3.3.1 Tipos de Activos

Debido a que no todos los activos de la empresa son de la misma especie es

vital determinar su tipo, es decir, podemos clasificar la información dentro de los

siguientes parámetros:

� Pública. Es aquel tipo de información a la cual todos pueden acceder o conocer

ya sean personal de la empresa o no.

� Privada. Es aquella información a la cual solo debe tener acceso el personal de

la empresa.

� Confidencial. Es la información a la cual solo pueden tener acceso personal

autorizado, la misma que debe ser manejada con prudencia.

� Secreta. A este tipo de información solo pueden acceder personal de la alta

dirección, no puede ser divulgada ya que pondría en riesgo la estabilidad de

la organización.

66

3.3.2 Dependencias

Los activos más críticos de toda empresa son los datos y los servicios; pero

estos activos dependen de otros activos menos importantes como pueden ser los

equipos, las comunicaciones o las frecuentemente olvidadas personas que trabajan

con aquellos. Por ello aparece como importante el concepto de “dependencias entre

activos” o la medida en que un activo superior se vería afectado por un incidente de

seguridad en un activo inferior. 18

Se dice que un “activo superior” depende de otro “activo inferior” cuando las

necesidades de seguridad del superior se reflejan en las necesidades de seguridad del

inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el

activo inferior tiene como consecuencia un perjuicio sobre el activo superior.

Aunque en cada caso hay que adaptarse a la organización objeto del análisis,

con frecuencia se puede estructurar el conjunto de activos en capas, a continuación

presentamos un modelo que nos ayudará en el proceso de identificación de

dependencias, donde las capas superiores dependen de las inferiores.

� Capa 1, El entorno, activos que se precisan para garantizar las capas

superiores.

• Equipamiento y suministros: energía, climatización, comunicaciones

• Personal: de dirección, de operación, de desarrollo, etc.

• Otros: edificios, mobiliario, etc.

� Capa 2, El Sistema de información.

• Hardware

• Software

• Comunicaciones

• Soportes de información: discos, cintas, etc.

� Capa 3: La información.

• Datos

18 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAÑA, MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 20 de junio de 2006, http://publicaciones.administracion.es

67

• Meta-datos: estructuras, índices, claves de cifra, etc.

� Capa 4: Las funciones de la empresa que justifican la existencia del

sistema de información y le dan finalidad.

• Objetivos y misión

• Bienes y servicios producidos

� capa 5: Otros activos

• Credibilidad o buena imagen

• Conocimiento acumulado

• Independencia de criterio o actuación

• Intimidad de las personas

• Integridad física de las personas

3.3.3 Dimensiones

Existen unos parámetros que podemos tomar en cuenta para detallar de mejor

manera los activos de la empresa, entre estos tenemos:

� Autenticidad: ¿Qué perjuicio causaría no saber exactamente quien

hace o ha hecho cada cosa?

� Confidencialidad: ¿Qué daño causaría que lo conociera quien no

debe?

� Integridad: ¿Qué perjuicio causaría que estuviera dañado o corrupto?

� Disponibilidad: ¿Qué perjuicio causaría no tenerlo o no poder

utilizarlo?

Es importante tomar en cuenta dichos aspectos y responder las preguntas

planteadas con el fin de llenar un informe completo sobre los activos de la empresa y

todos los demás factores que intervienen.

68

3.3.4 Valoración

Un activo no se estima por lo que cuesta, sino por lo que vale, si algo no vale

para nada, prescíndase de ello y si no se puede prescindir impunemente de un activo,

es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.19

El valor del activo puede ser propio, o puede ser acumulado. Se dice que los

activos inferiores en un esquema de dependencias, acumulan el valor de los activos

que se apoyan en ellos.

Es importante valorar los activos, pues así sabremos cuales se deben proteger

de mejor forma, desde luego, no tendría sentido una inversión grande para

salvaguardar un activo que no lo vale.

La valoración es la determinación del costo que supondría salir de una

incidencia que destrozara el activo; para estimar el valor de los activos podemos

ayudarnos de los siguientes criterios.

� Costo de reposición; adquisición e instalación.

� Costo de mano de obra especializada invertida en recuperar el valor

del activo.

� Lucro cesante: pérdida de ingresos.

� Capacidad de operar: confianza de los usuarios y proveedores que se

traduce en una pérdida de actividad o en peores condiciones económicas.

� Sanciones por incumplimiento de la ley u obligaciones contractuales.

� Daño a otros activos, propios o ajenos.

� Daño a personas.

� Daños medioambientales.

19 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAÑA, MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 20 de junio de 2006, http://publicaciones.administracion.es

69

3.3.5 Identificación de activos de la empresa

Ahora ponemos en práctica lo aprendido acerca de la identificación de activos, es

importante la colaboración de la empresa para poder disponer de la información que

nos ayude a identificar sus activos.

A continuación se muestran los activos ordenados de mayor a menor valoración.

70

Num

ero

Nom

bre

Act

ivo

Dom

inio

D

epen

denc

ias

Valo

raci

ónD

imen

sion

es

Tota

l A

uten

t. C

onfid

. In

teg.

D

ispo

n.

1C

ompu

tado

res

espe

cial

es p

ara

man

ejo

de p

roce

sos

Har

dwar

eM

áqui

nas

de p

rodu

cció

n X

-Alta

5

5 5

5 5

2S

oftw

are

espe

cial

es p

ara

man

ejo

de

cont

rol d

e pr

oces

os d

e pr

oduc

ción

S

oftw

are

Máq

uina

s pr

oduc

ción

X

-Alta

5

5 5

5 5

3D

atos

de

aplic

acio

nes

de s

oftw

are

de

proc

esos

de

prod

ucci

ón

Dat

os

Pro

ceso

s de

man

ufac

tura

X

-Alta

5

5 5

5 5

4 D

atos

de

back

up d

e us

uario

s D

atos

P

roce

sos

adm

inis

trativ

os y

de

man

ufac

tura

X

-Alta

4

5 5

5 5

5 R

oute

r Dat

os

Red

es y

Te

leco

m

Aplic

ativ

os d

e ne

goci

os, e

-mai

l int

erno

, e-

mai

l ext

erno

Gua

yaqu

il y

Qui

to

Alta

3

2 5

5 4

6 R

oute

r Int

erne

t R

edes

y

Tele

com

E

-mai

l ext

erno

Cue

nca,

Gua

yaqu

il y

Qui

to,

Nav

egac

ión

de In

tern

et, M

onito

reo

de

Enl

aces

, Fire

wal

l, W

ebS

erve

r A

lta

3 2

5 5

4

7 S

witc

hes

Red

es y

Te

leco

m

Aplic

ativ

os d

e ne

goci

os, e

-mai

l int

erno

y

exte

rno,

cct

v, te

lefo

nía

ip, v

ideo

tele

foní

a,

back

ups,

File

& P

rint S

erve

r A

lta

3 2

5 5

4

8C

able

ado

de d

atos

en

cobr

e y

fibra

óp

tica

(Bac

kbon

e y

Term

inal

es)

Red

es y

Te

leco

m

Todo

s lo

s se

rvic

ios

de in

form

ació

n A

lta

3 2

5 5

4

9 S

ervi

dor d

e ap

licac

ione

s de

BD

H

ardw

are

Sof

twar

e de

Bas

e de

Dat

os

Alta

3

2 4

4 3

10

Ser

vido

r de

corre

o el

ectró

nico

H

ardw

are

Sof

twar

e de

Cor

reo

Ele

ctró

nico

A

lta

3 2

5 5

4

11

AV

Ser

ver

Har

dwar

eAc

tual

izac

ione

s de

ant

iviru

s, N

aveg

ació

n de

In

tern

et fi

ltrad

o A

lta

2 4

3 3

3

12

Com

puta

dora

s de

usu

ario

s H

ardw

are

Sof

twar

e de

Apl

icac

ione

s, d

atos

de

aplic

acio

nes

offic

e, d

atos

de

corre

o el

ectró

nico

A

lta

4 4

4 4

4

13

Sof

twar

e de

Apl

icac

ione

s B

D

Sof

twar

e In

form

ació

n tra

nsac

cion

al d

el n

egoc

io

Alta

4

5 5

5 5

14

Sof

twar

e de

Cor

reo

elec

tróni

co

Sof

twar

e M

ensa

jería

y c

olab

orac

ión

del n

egoc

io

Alta

4

5 5

5 5

15

Sis

tem

as O

pera

tivos

Win

dow

s 20

00/2

003

Serv

er

Sof

twar

eS

oftw

are

de a

plic

acio

nes

de B

D, S

oftw

are

de

Cor

reo

Ele

ctró

nico

, Dat

os d

e Fi

le &

Prin

t S

erve

r A

lta

4 5

5 5

5

71

16

Gen

erad

or E

léct

rico

Sis

t. El

éctri

co

Com

puta

dore

s se

rvid

ores

, est

acio

nes

de

traba

jo, e

quip

os d

e re

d LA

N, e

quip

os d

e re

d W

AN

Alta

4

5 4

5 5

17

UP

S p

ara

cuar

to d

e Te

leco

mun

icac

ione

s y

Ser

vido

res

Sis

t. El

éctri

co

Com

puta

dore

s se

rvid

ores

, equ

ipos

de

red

LAN

, equ

ipos

de

red

WA

N

Alta

4

5 4

5 5

18

Inst

alac

ione

s E

léct

ricas

aco

ndic

iona

das

para

equ

ipos

de

com

puta

ción

S

ist.

Eléc

trico

C

ompu

tado

res

serv

idor

es, e

stac

ione

s de

tra

bajo

, equ

ipos

de

red

LAN

, equ

ipos

de

red

WA

NA

lta

4 5

4 5

5

19

Dat

os d

e B

ase

de D

atos

D

atos

P

roce

sos

adm

inis

trativ

os y

de

man

ufac

tura

A

lta

4 4

5 5

5

20

Dat

os d

e B

acku

p de

ser

vido

res

Dat

os

Pro

ceso

s ad

min

istra

tivos

y d

e m

anuf

actu

ra

Alta

4

5 5

5 5

21

Bac

kup

de C

onfig

urac

ione

s de

equ

ipos

de

com

unic

acio

nes

Dat

os

Pro

ceso

s de

com

unic

ació

n y

cola

bora

ción

A

lta

3 5

4 4

4

22

Fire

wal

l R

edes

y

Tele

com

E

-mai

l ext

erno

Cue

nca,

Gua

yaqu

il y

Qui

to,

Nav

egac

ión

de In

tern

et, M

onito

reo

de

Enl

aces

, Web

Ser

ver

Med

io

3 2

4 4

3

23

Cen

tralill

a Te

lefó

nica

R

edes

y

Tele

com

Se

rvic

io d

e te

lefo

nía

inte

rna

y ex

tern

a M

edio

3

2 5

5 4

24

Cab

lead

o de

Tel

éfon

os (B

ackb

one

y te

rmin

ales

) R

edes

y

Tele

com

To

dos

los

serv

icio

s de

info

rmac

ión

Med

io

3 2

5 5

4

25

Com

pone

ntes

pas

ivos

de

cabl

eado

es

truct

urad

o R

edes

y

Tele

com

To

dos

los

serv

icio

s de

info

rmac

ión

Med

io

3 2

5 5

4

26

Sto

rage

Sys

tem

H

ardw

are

Sof

twar

e de

Bas

e de

Dat

os, D

atos

de

corr

eo

elec

tróni

co

Med

io

3 2

5 5

4

27

File

Ser

ver d

e D

iseñ

o G

rafic

o H

ardw

are

Info

rmac

ión

de a

rchi

vos

de D

iseñ

o G

ráfic

o M

edio

3

2 5

5 4

28

Sis

tem

as O

pera

tivos

Win

dow

s X

P

Sof

twar

e In

form

ació

n de

los

usua

rios

y de

con

trol d

e pr

oces

os d

e pr

oduc

ción

M

edio

3

4 5

5 4

29

Otro

s S

iste

mas

Ope

rativ

os

Sof

twar

e In

form

ació

n tra

nsac

cion

al d

el n

egoc

io

Med

io

4 5

5 5

5

30

Sof

twar

e de

Ant

i-X

Sof

twar

e In

form

ació

n de

usu

ario

s y

serv

idor

es

Med

io

2 4

4 4

4

31

Sof

twar

e pa

ra m

anej

o de

Bac

kup

Sof

twar

e In

form

ació

n de

usu

ario

s y

serv

idor

es

Med

io

4 5

4 5

5

32

UP

S p

ara

usua

rios

Sis

t. E

stac

ione

s de

trab

ajo,

equ

ipos

de

red

LAN

, M

edio

4

5 4

5 5

72

Eléc

trico

eq

uipo

s de

red

WA

N

33

Dat

os d

e co

rreo

ele

ctró

nico

D

atos

P

roce

sos

adm

inis

trativ

os y

de

man

ufac

tura

M

edio

4

4 5

5 5

34

Arc

hivo

s de

fax

reci

bido

s y

envi

ados

D

atos

P

roce

sos

adm

inis

trativ

os

Med

io

3 4

4 4

4

35

Dat

os d

e ap

licac

ione

s O

ffice

D

atos

P

roce

sos

adm

inis

trativ

os y

de

man

ufac

tura

M

edio

2

3 3

4 3

36

Bas

e de

Dat

os d

e co

noci

mie

nto

y so

porte

técn

ico

Dat

os

Pro

ceso

s ad

min

istra

tivos

y d

e se

rvic

io e

n Ti

M

edio

3

3 4

4 4

37

Fax

Ser

ver

Red

es y

Te

leco

m

Ser

vido

r de

fax

Med

io

3 2

3 4

3

38

Ser

vici

o W

irele

ss

Red

es y

Te

leco

m

Apl

icat

ivo

de n

egoc

ios,

tele

foní

a ip

, cct

v B

ajo

3 2

3 4

3

39

Man

ejad

or d

e Ll

amad

as

Red

es y

Te

leco

m

Tele

foní

a ip

, Vid

eo T

elef

onía

B

ajo

3 2

3 4

3

40

File

& P

rint S

erve

r H

ardw

are

Arc

hivo

s de

bac

kup

de u

suar

ios

y se

rvic

ios

de im

pres

ión

Baj

o 3

2 4

4 3

41

Web

serv

er

Har

dwar

ePa

gina

web

y s

ervi

cios

de

intra

net

Baj

o 3

2 3

3 3

42

Cct

v S

erve

r H

ardw

are

Cám

aras

IP p

ara

cctv

B

ajo

2 4

3 3

3

43

Cám

aras

ip p

ara

cctv

H

ardw

are

Cct

v S

erve

r B

ajo

2 4

3 3

3

44

Ser

vido

r de

aplic

acio

nes

varia

s H

ardw

are

Arc

hivo

s de

man

ejo

de p

roce

sos

de

prod

uctiv

idad

y re

curs

os h

uman

os

Baj

o 2

2 3

3 3

45

Impr

esor

as

Har

dwar

eS

ervi

dor F

ile &

Prin

t Ser

ver

Baj

o 3

3 3

4 3

46

Dat

os d

e trá

fico

tele

fóni

co

Dat

os

Pro

ceso

s ad

min

istra

tivos

B

ajo

3 3

2 2

3

47

Imág

enes

del

cct

v D

atos

P

roce

sos

adm

inis

trativ

os y

de

segu

ridad

in

dust

rial

Baj

o 3

3 2

2 3

48

Sof

twar

e de

man

ejo

de te

lefo

nía

IP

Sof

twar

e S

ervi

dor d

e te

lefo

nía

ip, t

eléf

onos

ip y

vid

eo

tele

foní

aB

ajo

3 3

4 4

4

49

Sof

twar

e pa

ra c

ontro

l de

cent

ralill

a S

oftw

are

Ope

rado

ra, t

eléf

onos

de

usua

rios

e B

ajo

4 3

4 4

4

73

info

rmac

ión

de e

xten

sion

es

50

Sof

twar

e de

dis

eño

gráf

ico

Sof

twar

e M

áqui

nas

prod

ucci

ón

Baj

o 4

3 4

4 4

51

Sof

twar

e de

Web

serv

er

Sof

twar

e In

form

ació

n ex

pues

ta e

n el

Inte

rnet

par

a cl

ient

es

Baj

o 3

3 4

4 3

52

Otro

s S

oftw

are

Sof

twar

e In

form

ació

n us

ada

para

pro

ceso

s de

pr

oduc

ción

y c

ontro

l B

ajo

2 3

4 4

3

Tabl

a 4

List

a de

act

ivos

de

la e

mpr

esa

recl

asifi

cado

s

74

3.4 IDENTIFICACIÓN DE VULNERABILIDADES

Este punto es importante para determinar el estado actual de la empresa, así

podremos identificar los equipos, dispositivos y servicios que están funcionando

perfectamente, además de aquellos que presenten debilidades que puedan

comprometer la seguridad del activo y por lo tanto de la empresa.

3.4.1 Levantamiento de datos

Podemos definir el levantamiento de datos como el medio a través del cual nos

relacionaremos con los aspectos mas importantes de los activos de la empresa, para

así obtener la información necesaria que nos permita avanzar con el desarrollo de

nuestra tesina.

Para identificar las posibles vulnerabilidades a las que la empresa de

producción cuencana en estudio, esta expuesta, es imprescindible recolectar la mayor

cantidad de datos posibles acerca de sus activos. Los datos a recoger deben abarcar

aspectos como:

� Ambiente: Entorno físico en el que se encuentra el activo

� Configuración: Propiedades que regulan el funcionamiento del activo

� Uso: Forma en la que se manipula el activo

� Responsable: Persona o personas que tienen acceso al activo

3.4.1.1 Métodos para el levantamiento de datos

Existen varias técnicas que nos permiten recolectar datos, para nuestro caso

hemos elegido tres, las cuales se detallan a continuación.

75

3.4.1.1.1 La entrevista

Consiste en una interacción entre dos personas, en la cual el investigador

formula determinadas preguntas relativas al tema en investigación, mientras que el

investigado proporciona verbalmente o por escrito la información que le es

solicitada.

Dicha metodología implica la planificación de una reunión con el personal de la

empresa que se considere necesario, por supuesto, debido al trabajo que los

empleados realizan dentro de la organización no fue posible entrevistarlos a todos,

sin embargo, esta técnica es de gran utilidad con el personal que tiene disponibilidad

de tiempo.

3.4.1.1.2 El cuestionario

Lo podemos definir como un método para obtener información de manera clara

y precisa, donde existe un formato estandarizado de preguntas que el informante

deberá responder.

Esta técnica fue usada con aquellos empleados que no pudieron ser

entrevistados por razones de disponibilidad de tiempo. El formato del cuestionario

fue realizado a manera de checklist binario, el cual registra respuestas de si o no.

3.4.1.1.3 La observación

Es percibir activamente la realidad exterior mediante el uso esquemático de

nuestros sentidos, con el propósito de obtener los datos que previamente han sido

definidos de interés para la investigación.

La observación fue realizada mediante visitas a las instalaciones de la empresa,

en donde distinguimos dos ambientes: la parte de administración donde están

ubicadas las oficinas y la parte de planta donde funciona la maquinaria de

76

producción. Con estas visitas se identificaron detalles que pudieron pasar

desapercibidos o simplemente no fueron tomados en cuenta con las metodologías

anteriores.

Usamos tres técnicas de recolección de datos diferentes por el simple hecho de

que una metodología complementa a la anterior, de esta forma pretendemos manejar

la información lo mas precisa posible.

3.4.1.2 Recolección de datos de los dominios identificados.

En esta sección se pone en práctica la teoría revisada sobre la recolección de datos.

Dividimos la recolección de datos en tres etapas:

1. Entrevista

Este fue el primer paso para iniciar el desarrollo de nuestra tesina debido a que

nosotros no conocíamos mayor información sobre la empresa objeto de nuestro

análisis.

Mediante la primera entrevista pudimos conocer el funcionamiento del

negocio, entendimos los ocho pasos que se consideran desde el pedido hasta su

despacho, estos ocho pasos son generales ya que existen variantes que dependerán

del pedido o del cliente.

Con la segunda entrevista comprendimos los servicios que el departamento

informático realiza dentro de los procesos empresariales, las actividades que realizan

y su importancia dentro del sistema de producción.

2. Cuestionario

Como se mencionó anteriormente está técnica se llevará a cabo a través de un

checklist binario. Para elaborar el checklist nos basamos en los activos de la

77

empresa, desarrollando un conjunto de preguntas para cada uno de ellos, estas

preguntas fueron respondidas por las personas a cargo de dichos activos.

La información obtenida de los checklist se muestra en el ANEXO 3.

3. Observación

Esta técnica se llevó a cabo mediante la visita a las instalaciones de la empresa,

hicimos un recorrido por todos los lugares en los que se encuentran los equipos

informáticos desde el área administrativa hasta las plantas de producción, en los que

íbamos tomando nota de los detalles más sobresalientes.

La información obtenida mediante estos tres métodos de levantamiento de

datos nos dieron las pautas necesarias para empezar con el análisis de riesgos.

3.5 INFORME DE VULNERABILIDADES DETECTADAS

A continuación se presentan las vulnerabilidades detectadas luego de haber

analizado los datos recolectados.

3.5.1 Vulnerabilidades del dominio de redes y telecomunicaciones

� Los equipos informáticos muestran información propia de la empresa ya sea en

su configuración o de forma física (banners y etiquetas).

� No se siguen políticas de administración de contraseñas para la configuración

segura de los equipos informáticos.

� Los puertos y protocolos del router que no son usados no han sido bloqueados.

� No existe documentación sobre la configuración de los switches.

78

� No se han creado VLAN’s para facilitar la administración y fortalecer la

seguridad de la red.

� No se han configurado ACL’s para fortalecer la seguridad de la red.

� No todos los gabinetes o racks que protegen los equipos de red se encuentran

en una ubicación apropiada.

� Existen dispositivos sin protecciones y que están en lugares de difícil acceso lo

cual impide la disponibilidad para su control o mantenimiento.

� No todos los dispositivos poseen una alimentación de energía auxiliar

(switches, servicio wireless, etc.).

� La persona que realiza las configuraciones de los switches no tiene una

certificación que garantice su trabajo.

� Los puertos del switch en uso y los libres no están bloqueados.

� El servicio de conexión redundante proporcionado a través de la red

inalámbrica no es óptimo debido a que presenta interrupciones y cortes.

� No existe un mecanismo que permita el reemplazo de la centralilla telefónica

en el caso de que esta colapse.

� No todo el cableado de la red de la organización posee certificación, por lo

tanto los cables que no han sido certificados tampoco han sido probados

adecuadamente.

� No existen enlaces redundantes para las conexiones más importantes.

79

� No existe un enlace redundante para la transmisión de datos a través de

Internet.

� No existe una herramienta que verifique el uso del correo electrónico

� Existen puntos de acceso a la red que no están protegidos apropiadamente.

� Los dispositivos de red inalámbricos (access point y tarjetas) no están

protegidos físicamente de forma correcta.

� Los access point no están ubicados de una forma que facilite su

mantenimiento.

� Existen dispositivos de red que están ubicados muy cerca de equipos de alta

tensión.

� No existen políticas que restrinjan el uso debido de Internet debido a la falta de

información que especifique su uso dentro de la empresa.

� Los usuarios desconocen las amenazas existentes en la Internet debido a la falta

de información dentro de la empresa.

� El servicio de correo electrónico no es usado únicamente para labores de

trabajo.

� Los cables utilizados para unir los dispositivos de red están desorganizados

dentro de los gabinetes y racks.

� Existen cables de red sueltos que no dan ninguna utilidad y aun así están

conectados a los dispositivos de red.

80

� La ubicación de los racks y gabinetes dentro del cuarto de servidores no es la

optima (algunas puertas no se pueden abrir por completo, lo cual complica su

operación) en cuanto a espacio físico.

� No existe una instalación de respaldo acondicionada adecuadamente para

equipos de cómputo en caso de que estos deban ser trasladados.

3.5.2 Vulnerabilidades del dominio de hardware

� No existe un procedimiento formal para realizar mantenimiento periódico a los

equipos y dispositivos de la empresa.

� Las cámaras ip y proyectores no están ubicadas en un lugar seguro frente a

desastres naturales u otras eventualidades.

� El storage system no está en una ubicación segura que lo proteja de

eventualidades como desastres naturales.

� No existe documentación sobre la configuración actual de los computadores de

usuario.

� No existen extintores cercanos y apropiados para todos los dispositivos y

equipos informáticos de la organización.

� No existen letreros de advertencia que informen sobre el uso restringido de los

computadores de planta.

� No existen protecciones adecuadas para los periféricos (teclados y ratones) de

los computadores usados en planta.

� No todos los equipos que se encuentran dentro del cuarto de servidores están

correctamente protegidos.

81

� Existe demasiada información publicada en varios equipos y dispositivos a

través de etiquetas.

� No existen mecanismos de vigilancia en el cuarto de servidores que controlen

actividades realizadas por terceros.

� En el cuarto de servidores no se encuentran protegidos debidamente las

extensiones y equipo que provee energía eléctrica a los dispositivos.

� No se ha considerado la seguridad física en lo referente a puertas dañadas,

ventanas desprotegidas y demás medios de acceso.

� No se realizan revisiones periódicas a las PC’s de usuario para detectar

programas no autorizados.

� No existe un procedimiento a seguir para facilitar el mantenimiento de las

PC´s.

3.5.3 Vulnerabilidades del dominio de software

� No existe un proceso formal que controle la inactividad de los computadores de

usuario, las sesiones permanecen abiertas sin sus operarios.

� Los accesos remotos a servidores no son seguros, debido a que no se han usado

los protocolos adecuados y tampoco la información que circula está cifrada,

además existen puntos de acceso a la red que no están protegidos

adecuadamente.

� No existe una política para administración de usuarios, porque no existe un

mecanismo que controle su creación, modificación y eliminación.

82

� No existe encriptación en el proceso de autenticación al momento de acceder al

servicio de correo electrónico.

� No se realizan revisiones para evaluar el funcionamiento del software de los

servidores.

� No se actualiza periódicamente el software de los servidores.

� No todos los programas nuevos son probados y revisados antes de ponerlos en

funcionamiento.

� Los mensajes de error del software para manejo de control de procesos de

producción no son claros.

� No existe un manual técnico del software para manejo de control de procesos

de producción.

3.5.4 Vulnerabilidades del dominio de datos

� Los datos de respaldo no se almacenan en un lugar adecuado en cuanto a

protección física se refiere.

� No existe una persona que lleve y almacene los respaldos de datos de una

forma segura.

� La información respaldada no se revisa periódicamente.

� No existen mecanismos de seguridad apropiados que administren el

almacenamiento y el acceso a: datos, licencias, instaladores, etc. dentro del

departamento de sistemas.

83

� No existe una bitácora que registre el acceso y modificación de los datos

almacenados en la BD.

� No existe una bitácora que registre las personas que acceden o modifican la

información digital de mayor importancia para la empresa.

� Los documentos impresos y digitales no están almacenados correctamente, ni

se controla el acceso a estos.

� No se verifica la integridad de los datos de fax, correo electrónico y respaldos

de configuración de equipos, información transmitida vía telefónica o

Internet.

� No existe un método adecuado para eliminar los documentos impresos y

digitales.

� No se realizan revisiones periódicas a la información almacenada para verificar

su estado.

� No existe una clasificación adecuada de la información de acuerdo a la

importancia y al nivel de seguridad que esta requiere.

3.5.5 Vulnerabilidades d el dominio del sistema eléctrico

� No existe un mecanismo de control que restrinja el acceso al generador

eléctrico.

� El generador eléctrico no se encuentra ubicado en un lugar seguro frente a

desastres naturales.

� No se realizan revisiones periódicas al generador eléctrico para verificar su

funcionamiento.

84

� No están protegidas adecuadamente las tomas y equipos (UPS) que proporciona

el servicio de energía eléctrica a los dispositivos de la empresa.

� Existen cables de poder que están cerca de los nodos de la red y no están

debidamente aislados.

3.5.6 Vulnerabilidades para el dominio de talento humano

� Los usuarios no tienen conocimiento sobre la importancia de la seguridad para

la organización debido a que no se les ha informado sobre ello.

� Los usuarios no tienen conocimiento sobre el buen uso del correo electrónico

debido a la falta de información sobre su uso.

� Los usuarios no tienen conocimiento sobre los activos de mayor importancia

para la empresa debido a que no se les ha informado de ello.

� Los usuarios no tienen conocimiento sobre las funciones o responsabilidades

sobre la información manipulada ya que no se les ha capacitado.

� Los usuarios están en libertad de instalar cualquier aplicación en sus

computadores.

� Los empleados de la empresa fijos y outsourcing no han firmado contratos de

no divulgación.

� Empleados outsourcing acceden a información sensible para de la empresa ya

que no se les ha restringido el acceso.

85

� Los empleados desconocen de políticas sobre manipulación de alimentos cerca

de los computadores y maquinarias de planta debido a que no se les ha

capacitado con respecto a este tema.

3.5.7 Vulnerabilidades externas

� La empresa esta ubicada en una zona propensa a desastres naturales y además

se encuentra en un área industrial.

� La empresa esta propensa a incendios ya que usa papel en sus procesos de

producción.

3.6 IDENTIFICACIÓN DE AMENAZAS

Según las vulnerabilidades identificadas exponemos las posibles amenazas que

podrían presentarse.

3.6.1 Amenazas para el dominio de redes y telecomunicaciones

� Terceras personas pueden conocer información que describa la red de la

empresa, así como también los dispositivos de red utilizados, lo cuál

facilitaría posibles ataques valiéndose de las falencias de fábrica.

� Fácil acceso de terceros o usuarios mal intencionados a: Software (Sistemas

operativos, sistemas de manejo de controles de procesos, sistema de pedidos

y otras aplicaciones), Redes y telecomunicaciones (configuración de routers,

switchs, y servicios de red).

� Los usuarios están expuestos a perder el acceso a dispositivos y aplicaciones

debido al cambio de claves realizado por terceros.

� La confidencialidad e integridad de los datos puede ser comprometida.

86

� Motiva e incrementa ataques mal intencionados por parte de personal interno

así también como de personas externas a la empresa.

� Personal de la empresa fijo, outsourcing o terceras personas pueden conectar

dispositivos propios a la red de la empresa.

� Se pueden producir ataques involuntarios por parte de usuarios de la red de la

empresa.

� Terceras personas pueden interceptar conexiones o conectarse remotamente a

los servidores de la empresa, para robar información u ocasionar daños en la

red.

� Perdida de tiempo al momento de configurar un switch por no poseer

documentación de su configuración.

� Si el encargado de configurar los switches de la empresa no se encuentra

disponible, a la persona que lo reemplace le resultara complejo entender la

configuración actual del switch.

� Cualquier análisis de la red implicaría manipular el switch debido a que no

existe documentación sobre su configuración, lo cual disminuirá el

desempeño del equipo, y también se puede cambiar la configuración

accidentalmente.

� Si colapsa un punto de la red, este podría afectar la red en su totalidad debido a

que no se han creado VLAN’s.

� Si se infecta alguna PC con virus, este se puede propagar debido a que la red no

se encuentra segmentada.

87

� Si un tercero se conecta a un punto de red, este tendrá acceso a todos los

dispositivos de la red.

� No se podrá realizar una administración correcta de la red, pues no esta

segmentada.

� La red esta propensa a un ataque de denegación de servicios.

� Servicios de la red pueden caerse por mala administración del ancho de banda

disponible de la red.

� Debido a la falta de ACL’s cualquier tipo de tráfico puede ingresar o salir de la

red fácilmente.

� Facilita la realización de ataques ya que el router permite el uso de cualquier

protocolo en la red.

� Dificultad al dar mantenimiento a algunos equipos de red, ya que los gabinetes

en los que se guardan están mal ubicados (altura, poco espacio para

manipularlos, lugares peligrosos, etc.) o sus cables están desorganizados.

� No se tiene disponibilidad para manipular algunos equipos de red en caso de

emergencia ya que se encuentran ubicados en departamentos o dependencias

de otros propietarios bajo llave.

� Avería de algunos equipos de red debido a daños causados por eventualidades

como fugas de agua, campos magnéticos (dispositivos cercanos a maquinaria

que opera con alto voltaje) o desastres naturales, ya que no tienen la

protección necesaria.

� Fallos en la red debido daño o falla de algún dispositivo.

� Fallo de los dispositivos o equipos de red debido a corte de energía eléctrica.

88

� La configuración del switch puede presentar errores y hacer que la red colapse.

� En caso de que la red que interconecta los computadores de las máquinas de

producción falle, la transmisión redundante a través de la red inalámbrica no

será adecuada.

� En caso de que la centralilla telefónica colapse su servicio se interrumpirá por

tiempo indefinido.

� Al no existir enlaces redundantes en las conexiones de red más importantes

podría desencadenar una suspensión indefinida de los servicios de la red

interna.

� Al no existir un enlace redundante en la red de transmisión de datos a través de

Internet se podría desencadenar una suspensión indefinida de los servicios de

la red.

� Pérdida de integridad al transmitir datos a través de medios físicos debido a que

estos están cercanos a maquinaria que genera fuertes campos magnéticos.

� Las transacciones realizadas a través de la red de la empresa tardarán más de lo

habitual debido a que los empleados pueden dar mal uso al servicio de

Internet (descargas de videos, música, etc.).

� Mal uso del correo electrónico interno y externo pueden saturar la red, debido a

que no existen políticas o herramientas que controlen su uso.

� Descargas de código malicioso a través de Internet que puedan desencadenar la

proliferación de virus, gusanos y troyanos, lo cuál podría comprometer el

estado de la red.

� En caso de una catástrofe en la empresa se suspenderán indefinidamente las

labores informáticas, debido a que no se cuenta con una instalación de

89

respaldo acondicionada para dar continuidad al funcionamiento de los

principales equipos de cómputo.

3.6.2 Amenazas para el dominio de hardware

� Para de las maquinas de producción

� Los equipos tienen un menor tiempo de vida útil o pueden presentar averías

frecuentes debido a que no se realiza un mantenimiento periódico a estos.

� Los equipos pueden averiarse o destruirse debido a que no se encuentran en una

ubicación adecuada que las proteja.

� Complicaciones al momento de reparar, configurar o agregar una PC, debido a

la falta de documentación que muestre su estado actual o deseado.

� No se podrá controlar rápida y adecuadamente un incendio debido a que no hay

extintores apropiados y cercanos a todos los dispositivos de red y demás

equipos.

� Empleados de la empresa y terceras personas pueden desconfigurar o manipular

equipos situados en áreas de acceso público debido a que estos equipos no

están protegidos adecuadamente o no existe ningún tipo de señal que restrinja

su uso.

� Tanto las computadoras de usuario como las computadoras que intervienen en

los procesos de producción pueden averiarse debido a que no se realiza un

mantenimiento periódico de tipo hardware ni actualizaciones de software.

� Podrían manipularse de forma inadecuada los computadores de control de

procesos de producción debido a que no existe un manual técnico que

describa el correcto uso de este software.

90

� Pueden ocasionarse daños o averías de los equipos, por parte de los empleados

ya que estos desconocen políticas de buen uso de estos y de su

comportamiento (manipulación de alimentos) cerca de estos dispositivos.

3.6.3 Amenazas para el dominio de software

� Suplantación de identidad debido a que algunos equipos se encuentran solos y

con sus sesiones abiertas.

� Los recursos de la empresa pueden ser mal usados por sus propietarios, debido

a que no existen procesos que controlen las aplicaciones que se instalan en

sus PC’s.

� Podrían existir fallas en los procesos de producción o confusión entre los

operarios de estas computadoras debido a que los mensajes de error que

presenta su software no son lo suficientemente claros.

� Personal ajeno a la empresa y empleados outsourcing con acceso al cuarto de

servidores pueden robar información, dañar o desconfigurar algún equipo sin

que sus propietarios se enteren, debido a que no existe ningún control que

registre las actividades realizadas dentro de este lugar.

� Usuarios de la empresa con privilegios mal asignados pueden ocasionar pérdida

de integridad o divulgación de la información a la que tienen acceso.

� Pueden existir usuarios con privilegios de los empleados que ya no son parte

del personal de la empresa facilitando su acceso.

� Terceras personas pueden conocer fácilmente los usuarios y contraseñas de

correo electrónico debido a que esta información circula por la red en texto

plano.

91

� Los servicios de la red podrían suspenderse indefinidamente debido a que los

software de los servidores no son revisados y actualizados periódicamente.

� Mal funcionamiento de aplicaciones debido a que estas no han sido probadas o

revisadas antes de ponerlas en funcionamiento.

� El encargado de mantenimiento y actualización de software se ausente.

3.6.4 Amenazas para el dominio de datos

� Posible robo o destrucción de los respaldos debido a que estos no están

almacenados en un lugar seguro, ni son transportados adecuadamente.

� Pérdida o deterioro de los datos y respaldos almacenados, debido a que estos no

son revisados ya sea al momento de su creación y periódicamente.

� Pérdida o robo de información impresa, licencias, instaladores y demás activos

de este tipo debido a que estos no están almacenados de forma segura.

� Pérdida de integridad, divulgación y robo de la información, además de que no

se podrá identificar quien realizó estos actos ya sean intencionales o no,

debido a que no se lleva un registro de los accesos tanto a la información

digital de mayor importancia como a la BD.

� La información dada de baja puede ser mal utilizada debido a que dicha

información no es eliminada de la forma correcta.

� No se puede llevar una correcta administración de la información debido a que

esta no está clasificada adecuadamente impidiendo su control, ya que existe

información que requiere mayor seguridad.

92

3.6.5 Amenazas para el dominio del sistema eléctrico

� La falta de protección en algunas tomas eléctricas y UPS podrían ocasionar la

inactividad de equipos de red y provocar la baja de servicios.

� Cables de poder no protegidos adecuadamente pueden generar cortocircuitos

cerca de dispositivos de red y demás equipos, que ocasionen averías o daños

irreparables en personas y equipos de la empresa.

� Posibles averías o daños ocasionados por empleados o terceras personas que

acceden al generador eléctrico sin debida autorización.

� Posibles averías o daños ocasionados por falta de mantenimiento periódico al

generador eléctrico.

3.6.6 Amenazas para el dominio de talento humano

� Los empleados pueden realizar acciones indebidas ya sean estas intencionales o

no debido a que desconocen la importancia de la seguridad para la

organización.

� Los empleados no tienen lineamientos que los oriente sobre lo que está correcto

o no realizar con los recursos, activos e información de la empresa.

� Divulgación de información sensible para la empresa ocasionada por

empleados fijos y outsourcing que acceden a esta y no han firmado contratos

de confidencialidad y no divulgación.

93

3.6.7 Amenazas externas

� Desastres naturales como temblores, terremotos, inundaciones y principalmente

incendios.

� Posible huelgas internas que imposibiliten el acceso de los empleados

administrativos a las instalaciones de la empresa.

3.7 IDENTIFICACIÓN DE IMPACTOS

Los siguientes, son algunos impactos determinados, para ello se ha tomando en

cuenta, tanto las vulnerabilidades como las amenazas identificadas:

� Perdidas económicas por paralización de los procesos de producción.

� Perdidas de tiempo al momento de recuperación de fallos.

� Inconformidad o pérdida de clientes provocada por retardos en la entrega de

pedidos.

� Pérdida de comunicación entre sucursales asociadas a la empresa.

� Mala imagen de la empresa hacia sus clientes, proveedores y la sociedad en

general.

� Pérdida de integridad de los datos.

� Pérdidas económicas ocasionadas por terceros (chantajes, competencia, etc.).

� Pérdidas económicas por reparación o reemplazo de equipos y maquinaria

defectuosos.

94

� Inconformidad de empleados de la empresa.

� Suplantación de identidad.

� Suspensión indefinida de los servicios de red.

� Para de los servicios administrativos.

3.8 IDENTIFICACIÓN DE RIESGOS

Para la identificación de riesgos nos basamos en la tabla expuesta en el capitulo

2.

95

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

SER

VIC

IOS

DE

L D

OM

INO

DE

RE

DE

S Y

TE

LE

CO

MU

NIC

AC

ION

ES

OB

JET

IVO

DE

L

SER

VIC

IO

CA

USA

S R

IESG

OS

DE

SCR

IPC

IÓN

IM

PAC

TO

S

Este

ser

vici

o pe

rmite

la

co

nect

ivid

ad

entre

lo

s eq

uipo

s de

la

em

pres

a ta

nto

inte

rna

com

o ex

tern

amen

te.

En

este

se

rvic

io

inte

rvie

nen

los

equi

pos

y di

spos

itivo

s de

re

d,

cabl

eado

y

serv

icio

s in

alám

bric

os

que

perm

iten

la

trans

mis

ión

de v

oz y

da

tos.

Ayu

dan

a in

crem

enta

r la

se

gurid

ad

en

la

orga

niza

ción

.

Rie

sgos

Tec

noló

gico

s

Ata

ques

re

aliz

ados

po

r te

rcer

as p

erso

nas.

Pu

blic

ació

n de

ba

nner

s a

travé

s de

di

spos

itivo

s de

re

d pu

eden

m

ostra

r in

form

ació

n de

est

a y

de lo

s di

spos

itivo

s ut

iliza

dos,

lo c

ual

faci

lita

el a

taqu

e de

te

rcer

os.

�Pé

rdid

a de

int

egrid

ad d

e lo

s da

tos.

�Pé

rdid

a de

co

mun

icac

ión

entre

suc

ursa

les

asoc

iada

s a

la e

mpr

esa.

�Pe

rdid

as

econ

ómic

as

ocas

iona

das

por

terc

eros

(c

hant

ajes

, com

pete

ncia

).

�Su

plan

taci

ón d

e id

entid

ad.

�Su

spen

sión

ind

efin

ida

de l

os

serv

icio

s de

red.

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

Ata

ques

in

tern

os

invo

lunt

ario

s. N

o ex

iste

n pr

otec

cion

es e

n la

red

de

la

empr

esa

(VLA

N’s

, AC

L’s)

que

evi

ten

el

acce

so a

ser

vido

res,

la p

rolif

erac

ión

de

viru

s y sa

tura

ción

de

la re

d.

Falla

s en

la re

d.

Se

prod

ucen

po

r av

ería

s de

eq

uipo

s, co

rtes

de e

nerg

ía, m

ala

conf

igur

ació

n de

di

spos

itivo

s, vi

rus,

falla

o

falta

de

en

lace

s re

dund

ante

s, m

ala

adm

inis

traci

ón

de

anch

o de

ba

nda

y ac

ceso

a In

tern

et.

Acc

eso

de te

rcer

os o

usu

ario

s m

al in

tenc

iona

dos.

No

exis

te u

n co

ntro

l so

bre

el u

so d

e co

ntra

seña

s, lo

cua

l fa

cilit

a el

acc

eso

a di

spos

itivo

s o

aplic

acio

nes

y m

odifi

caci

ón d

e in

form

ació

n.

Dañ

os d

e eq

uipo

s. N

o se

en

cuen

tran

prot

egid

os

adec

uada

men

te,

no

se

real

iza

man

teni

mie

nto

perió

dico

y m

al u

so p

or

parte

de

los u

suar

ios.

96

Difi

culta

d de

man

teni

mie

nto.

A

l co

nfig

urar

dis

posi

tivos

deb

ido

a qu

e no

ex

iste

do

cum

enta

ción

, al

guno

s eq

uipo

s es

tán

ubic

ados

en

zo

nas

prot

egid

as p

or o

tros

depa

rtam

ento

s co

n di

fícil

acce

so,

falta

de

l pe

rson

al

que

conf

igur

ó lo

s eq

uipo

s o

deso

rden

de

los

disp

ositi

vos y

sus c

onex

ione

s.

Inte

rrup

ción

de

l se

rvic

io

de

tele

foní

a in

tern

a.

Por

falla

s:

en

el

cabl

eado

, en

la

ce

ntra

lilla

tel

efón

ica

o en

el

serv

icio

de

tele

foní

a IP

.

Para

de

lo

s se

rvic

ios

info

rmát

icos

. N

o ex

iste

una

ins

tala

ción

de

resp

aldo

ac

ondi

cion

ada

adec

uada

men

te

para

eq

uipo

s de

cóm

puto

.

Rob

o de

Info

rmac

ión.

La

s con

exio

nes r

emot

as n

o so

n se

gura

s.

Tabl

a 5

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

de re

des y

tele

com

unic

acio

nes

97

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

AC

TIV

OS

DE

L D

OM

INO

DE

HA

RD

WA

RE

OB

JET

IVO

DE

LO

S A

CT

IVO

S C

AU

SAS

RIE

SGO

S D

ESC

RIP

CIÓ

N

IMPA

CT

OS

Apo

ya lo

s pro

ceso

s in

form

átic

os, a

barc

a eq

uipo

s y d

ispo

sitiv

os

desd

e el

pun

to d

e vi

sta

físic

o, a

dem

ás d

e la

m

aqui

naria

de

prod

ucci

ón.

Rie

sgos

Tec

noló

gico

s

Dañ

os

de

equi

pos

info

rmát

icos

. N

o se

en

cuen

tran

prot

egid

os

adec

uada

men

te,

no

se

real

iza

man

teni

mie

nto

perió

dico

, m

al u

so p

or

parte

de

los

usua

rios,

fal

los

eléc

trico

s,

falta

de

seña

lizac

ión

o de

scui

do e

n la

m

anip

ulac

ión

de a

limen

tos.

�Pé

rdid

as

econ

ómic

as

por

para

lizac

ión

de l

os p

roce

sos

de p

rodu

cció

n.

�Pé

rdid

as

econ

ómic

as

por

repa

raci

ón

o re

empl

azo

de

equi

pos

y m

aqui

naria

de

fect

uosa

.

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

�In

conf

orm

idad

o

pérd

ida

de

clie

ntes

pr

ovoc

ada

por

reta

rdos

en

la

en

trega

de

pe

dido

s.

Difi

culta

d de

man

teni

mie

nto.

A

l co

nfig

urar

dis

posi

tivos

deb

ido

a qu

e no

ex

iste

do

cum

enta

ción

, fa

lta

del

pers

onal

que

con

figur

ó lo

s eq

uipo

s o

deso

rden

de

lo

s di

spos

itivo

s y

sus

cone

xion

es.

Des

trucc

ión

de

los

equi

pos

.info

rmát

icos

. En

ca

so

de

ince

ndio

no

ex

iste

n ex

tinto

res c

erca

nos a

todo

s los

equ

ipos

.

Dañ

os

de

maq

uina

ria

de

prod

ucci

ón.

Deb

ido

al m

al u

so p

or p

arte

de

usua

rios

o el

des

cuid

o en

la

man

ipul

ació

n de

al

imen

tos.

Tabl

a 6

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

de h

ardw

are

98

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

SER

VIC

IOS

DE

L D

OM

INO

DE

SO

FTW

AR

E

OB

JET

IVO

DE

L

SER

VIC

IO

CA

USA

S R

IESG

OS

DE

SCR

IPC

IÓN

IM

PAC

TO

S

Softw

are

y ap

licac

ione

s qu

e ay

udan

a

man

ejar

el

ha

rdw

are

y lo

s di

spos

itivo

s de

red

es;

tam

bién

ag

ilita

n el

pr

oces

o de

pr

oduc

ción

.

Ayu

dan

a pr

oteg

er l

os

activ

os d

e la

em

pres

a.

Rie

sgos

Tec

noló

gico

s

Acc

eso

de te

rcer

os o

usu

ario

s m

al in

tenc

iona

dos.

No

exis

te u

n co

ntro

l so

bre

el u

so d

e co

ntra

seña

s y

man

ejo

de s

esio

nes,

lo

cual

fac

ilita

el

acce

so a

dis

posi

tivos

o

aplic

acio

nes,

mod

ifica

ción

de

in

form

ació

n,

desc

onfig

urac

ión

de

equi

pos,

mal

a ad

min

istra

ción

de

us

uario

s.

�Pé

rdid

a de

int

egrid

ad d

e lo

s da

tos.

�Pe

rdid

as

econ

ómic

as

ocas

iona

das

por

terc

eros

(c

hant

ajes

, com

pete

ncia

).

�Su

plan

taci

ón d

e id

entid

ad.

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

�Pé

rdid

as

econ

ómic

as

por

para

lizac

ión

de l

os p

roce

sos

de p

rodu

cció

n.

�In

conf

orm

idad

o p

érdi

da d

e cl

ient

es

prov

ocad

a po

r re

tard

os

en

la

entre

ga

de

pedi

dos.

�M

ala

imag

en d

e la

em

pres

a ha

cia

sus

clie

ntes

,

Uso

in

adec

uado

de

lo

s re

curs

os.

No

exis

te

un

cont

rol,

sobr

e la

s ap

licac

ione

s qu

e lo

s us

uario

s in

stal

an e

n su

s PC

’s, n

i el u

so d

e lo

s ser

vici

os.

Falla

s en

lo

s pr

oces

os

de

prod

ucci

ón.

Los

men

saje

s de

er

ror

no

son

lo

sufic

ient

emen

te c

laro

s.

Rob

o de

info

rmac

ión.

N

o ex

iste

ci

frad

o de

us

uario

s y

cont

rase

ñas

de

corr

eo

elec

tróni

co,

adm

inis

traci

ón

inco

rrec

ta

de

usua

rios

(rol

es y

priv

ilegi

os).

Erro

res

dura

nte

el

uso

de

aplic

acio

nes.

Prod

ucid

os p

orqu

e es

tos

no h

an s

ido

prob

adas

o r

evis

adas

ant

es d

e po

nerla

s en

fun

cion

amie

nto

y ta

mbi

én p

orqu

e no

ha

n si

do a

ctua

lizad

as p

erió

dica

men

te.

99

Difi

culta

d de

man

teni

mie

nto.

El

per

sona

l en

carg

ado

de e

sta

activ

idad

se

enc

uent

ra a

usen

te.

prov

eedo

res

y la

soc

ieda

d en

ge

nera

l.

�In

conf

orm

idad

de

empl

eado

s de

la e

mpr

esa.

Tabl

a 7

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

de so

ftwar

e

100

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

AC

TIV

OS

DE

L D

OM

INO

DE

DA

TO

S

OB

JET

IVO

DE

LO

S A

CT

IVO

S C

AU

SAS

RIE

SGO

S D

ESC

RIP

CIÓ

N

IMPA

CT

OS

Son

dato

s qu

e ge

nera

n in

form

ació

n,

los

cual

es s

irven

par

a da

r so

porte

a l

a to

ma

de

deci

sion

es

en

la

empr

esa.

Esto

s in

fluye

n en

los

pr

oces

os

info

rmát

icos

y

de p

rodu

cció

n.

Rie

sgos

Tec

noló

gico

s

Rob

o, p

érdi

da,

dest

rucc

ión

o de

terio

ro

de

resp

aldo

s di

gita

les.

Esto

s no

se

encu

entra

n al

mac

enad

os e

n un

lug

ar s

egur

o, n

o so

n tra

nspo

rtado

s ad

ecua

dam

ente

, ni

re

visa

dos

perió

dica

men

te.

�Pé

rdid

a de

int

egrid

ad d

e lo

s da

tos.

�Pe

rdid

as

econ

ómic

as

ocas

iona

das

por

terc

eros

(c

hant

ajes

, com

pete

ncia

).

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

�In

conf

orm

idad

de

empl

eado

s de

la e

mpr

esa.

�M

ala

imag

en d

e la

em

pres

a ha

cia

sus

clie

ntes

, pr

ovee

dore

s y

la s

ocie

dad

en

gene

ral.

Rob

o, p

érdi

da,

dest

rucc

ión

o de

terio

ro

de

docu

men

tos

impr

esos

, lic

enci

as

o in

stal

ador

es.

Esto

s ac

tivos

no

está

n al

mac

enad

os e

n un

lug

ar s

egur

o, n

o ex

iste

n co

ntro

les

sobr

e el

acc

eso

a el

los

y ta

mpo

co e

xist

en

proc

esos

que

indi

quen

la fo

rma

adec

uada

de

elim

inar

los.

Difi

culta

d y

perd

ida

de ti

empo

al

mom

ento

de

adm

inis

trar l

os

dato

s.

No

exis

te u

na c

lasi

ficac

ión

apro

piad

a de

lo

s da

tos

y de

la in

form

ació

n qu

e fa

cilit

e su

con

trol y

man

teni

mie

nto.

Difi

culta

d pa

ra

dete

ctar

ag

reso

res e

n la

BD

. N

o se

llev

a un

reg

istro

par

a co

ntro

lar

el

acce

so a

la B

D, p

or lo

tant

o es

to im

pide

co

noce

r qui

en re

aliz

ó el

ata

que.

Tabl

a 8

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

de d

atos

101

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

SER

VIC

IOS

DE

L D

OM

INO

DE

L S

IST

EM

A E

LE

CT

RIC

O

OB

JET

IVO

DE

L

SER

VIC

IO

CA

USA

S R

IESG

OS

DE

SCR

IPC

IÓN

IM

PAC

TO

S

Equi

pam

ient

o de

stin

ado

a su

min

istra

r el

ser

vici

o el

éctri

co

cont

inuo

a

los

disp

ositi

vos

y m

aqui

naria

de

la

em

pres

a,

aun

cuan

do

la

empr

esa

eléc

trica

in

terr

umpa

el

serv

icio

in

defin

ida

o te

mpo

ralm

ente

.

Rie

sgos

Tec

noló

gico

s

Inac

tivid

ad

de

equi

pos

info

rmát

icos

. La

falta

de

prot

ecci

ón d

e ca

bles

, tom

as y

di

spos

itivo

s el

éctri

cos

(UPS

) oca

sion

aría

el

cor

te d

el s

ervi

cio

que

sum

inis

tra,

ya

sea

este

inte

ncio

nal o

no.

�Pé

rdid

as

econ

ómic

as

por

repa

raci

ón

o re

empl

azo

de

equi

pos

y m

aqui

naria

de

fect

uoso

s.

�In

conf

orm

idad

o p

érdi

da d

e cl

ient

es

prov

ocad

a po

r re

tard

os

en

la

entre

ga

de

pedi

dos.

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

�Pé

rdid

as

econ

ómic

as

por

para

lizac

ión

de l

os p

roce

sos

de p

rodu

cció

n.

�Su

spen

sión

ind

efin

ida

de l

os

serv

icio

s de

red.

Cor

toci

rcui

to.

Los

cabl

es y

tom

as d

e po

der

que

no

esté

n ai

slad

os

adec

uada

men

te

pued

en

ocas

iona

r est

e pe

ligro

.

Dañ

os

en

el

gene

rado

r el

éctri

co y

equ

ipos

aux

iliar

les

UPS

.

No

exis

te

un

cont

rol

de

acce

so

y m

anip

ulac

ión

a es

tos

disp

ositi

vos,

adem

ás

esto

s di

spos

itivo

s no

re

cibe

n m

ante

nim

ient

o pe

riódi

co.

Tabl

a 9

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

del s

iste

ma

eléc

tric

o

102

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

SER

VIC

IOS

DE

L D

OM

INO

DE

TA

LE

NT

O H

UM

AN

O

OB

JET

IVO

DE

L

SER

VIC

IO

CA

USA

S R

IESG

OS

DE

SCR

IPC

IÓN

IM

PAC

TO

S

Cap

acid

ad in

tele

ctua

l y

man

o de

obr

a qu

e la

bora

en

la e

mpr

esa,

pa

rtici

pand

o di

rect

a e

indi

rect

amen

te e

n lo

s pr

oces

os d

e pr

oduc

ción

.

Rie

sgos

Tec

noló

gico

s

Ata

ques

in

tern

os

invo

lunt

ario

s. El

des

cono

cim

ient

o de

la im

porta

ncia

de

la s

egur

idad

den

tro d

e la

org

aniz

ació

n pu

ede

ocas

iona

r fa

llas

hum

anas

qu

e de

sem

boqu

en e

n pr

oble

mas

gra

ves.

�Pé

rdid

as

de

tiem

po

al

mom

ento

de

recu

pera

ción

de

fallo

s.

�M

ala

imag

en d

e la

em

pres

a ha

cia

sus

clie

ntes

, pr

ovee

dore

s y

soci

edad

en

ge

nera

l.

�Pé

rdid

as

econ

ómic

as

ocas

iona

das p

or te

rcer

os.

�Pé

rdid

as

econ

ómic

as

por

repa

raci

ón

o re

empl

azo

de

equi

pos

y m

aqui

naria

de

fect

uoso

s.

�Su

spen

sión

ind

efin

ida

de l

os

serv

icio

s de

red.

�Pé

rdid

as

econ

ómic

as

por

para

lizac

ión

de l

os p

roce

sos

de p

rodu

cció

n.

Dañ

o de

eq

uipo

s y

desc

onfig

urac

ión

de so

ftwar

e.

El d

esco

noci

mie

nto

de la

util

idad

y b

uen

uso

de

los

recu

rsos

pu

ede

ocas

iona

r pé

rdid

as o

ave

rías d

e es

tos.

Rob

o de

info

rmac

ión

sens

ible

. A

lgun

os e

mpl

eado

s fij

os y

out

sour

cing

tie

nen

acce

so a

inf

orm

ació

n de

licad

a,

sien

do p

osib

le q

ue la

div

ulgu

en d

ebid

o a

que

no

han

firm

ados

co

ntra

tos

de

conf

iden

cial

idad

.

Tabl

a 10

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s del

dom

ino

de ta

lent

o hu

man

o

103

IDE

NT

IFIC

AC

ION

DE

RIE

SGO

S

SER

VIC

IOS

DE

TO

DA

LA

EM

PRE

SA

OB

JET

IVO

DE

L

SER

VIC

IO

CA

USA

S R

IESG

OS

DE

SCR

IPC

IÓN

IM

PAC

TO

S

Man

tene

r la

inte

grid

ad

de la

em

pres

a y

sus

proc

esos

pro

ducc

ión.

Fa

ctor

es E

xter

nos

Des

astre

s nat

ural

es.

Toda

s la

s em

pres

as

cuen

cana

s se

en

cuen

tran

expu

esta

s a

desa

stre

s na

tura

les

del

tipo

tem

blor

es,

terr

emot

os

debi

do a

la

ubic

ació

n ge

ográ

fica

de l

a ci

udad

, ade

más

de

posi

bles

inun

daci

ones

de

pend

iend

o de

l clim

a.

�Pé

rdid

as

econ

ómic

as

por

repa

raci

ón

o re

empl

azo

de

equi

pos

y m

aqui

naria

de

fect

uoso

s.

�Pé

rdid

as

econ

ómic

as

por

para

lizac

ión

de l

os p

roce

sos

de p

rodu

cció

n.

�M

ala

imag

en d

e la

em

pres

a ha

cia

sus

clie

ntes

, pr

ovee

dore

s y

la s

ocie

dad

en

gene

ral.

�In

conf

orm

idad

o

pérd

ida

de c

lient

es

prov

ocad

a po

r re

tard

os e

n la

ent

rega

de

pedi

dos.

�Pa

ra

de

los

serv

icio

s ad

min

istra

tivos

.

Des

astre

s ind

ustri

ales

. La

s em

pres

as

ubic

adas

en

el

pa

rque

in

dust

rial

está

n ex

pues

tas

a in

cend

ios

o ex

plos

ione

s, m

ás

aún

cuan

do

esta

em

pres

a ut

iliza

com

o pr

inci

pal

mat

eria

pr

ima

el p

apel

.

Fact

ores

Ope

rativ

os

Hue

lgas

inte

rnas

. Lo

s em

plea

dos

que

labo

ran

en la

pla

nta

podr

ían

para

lizar

su

s ac

tivid

ades

, im

pidi

endo

el

ac

ceso

de

lo

s de

más

em

plea

dos a

la e

mpr

esa.

Tabl

a 11

Tab

la p

ara

la id

entif

icac

ión

de ri

esgo

s ext

erno

104

3.9 CALIFICACIÓN Y EVALUACIÓN DE RIESGOS

Como se revisó en el capítulo 2, la calificación de los riesgos se realizará

tomando en cuenta dos aspectos: el primero es el valor de probabilidad, y el segundo

es el valor de impacto, los cuales serán ponderados de la siguiente manera:

Valores de probabilidad:

Alta 3

Media 2

Baja 1

Valores de impacto:

Leve 5

Moderado 10

Catastrófico 20

A continuación se procede a la calificación de cada uno de los riesgos

identificados sin tomar ningún orden en particular:

3.9.1 Calificación de riesgos del dominio de redes y telecomunicaciones:

Ataques realizados por terceras personas

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 10 Moderado

Valor Total 10

105

Ataques internos involuntarios

Calificación:

Factores Valor Equivalente

Probabilidad 3 Alta

Impacto 20 Moderado

Valor Total 60

Fallas en la red

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 20 Catastrófico

Valor Total 40

Acceso de terceros o usuarios mal intencionados

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 10 Leve

Valor Total 10

106

Daños de equipos

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Dificultad de mantenimiento

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 5 Leve

Valor Total 5

Interrupción del servicio de telefonía interna

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 5 Leve

Valor Total 5

107

Para de los servicios informáticos

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 20 Catastrófico

Valor Total 20

Robo de Información

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

3.9.2 Calificación de riesgos del dominio de hardware:

Daños de equipos informáticos

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 20 Catastrófico

Valor Total 40

108

Dificultad de mantenimiento

Calificación:

Factores Valor Equivalente

Probabilidad 2 Alta

Impacto 10 Moderado

Valor Total 20

Destrucción de los equipos informáticos

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Daños de maquinaria de producción.

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 20 Catastrófico

Valor Total 40

109

3.9.3 Calificación de riesgos del domino de software:

Acceso de terceros o usuarios mal intencionados

Calificación:

Factores Valor Equivalente

Probabilidad 3 Alta

Impacto 10 Moderado

Valor Total 30

Uso inadecuado de los recursos

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Fallas en los procesos de producción

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 20 Catastrófico

Valor Total 20

110

Robo de información

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Errores durante el uso de aplicaciones

Calificación:

Factores Valor Equivalente

Probabilidad 1 Moderado

Impacto 10 Moderado

Valor Total 10

Dificultad de mantenimiento

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 5 Leve

Valor Total 10

111

3.9.4 Calificación de riesgos del dominio de datos:

Robo, pérdida, destrucción o deterioro de respaldos digitales

Calificación:

Factores Valor Equivalente

Probabilidad 3 Alta

Impacto 10 Moderado

Valor Total 30

Robo, pérdida, destrucción o deterioro de documentos impresos, licencias o

instaladores

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Dificultad y perdida de tiempo al momento de administrar los datos

Calificación:

Factores Valor Equivalente

Probabilidad 3 Alta

Impacto 5 Leve

Valor Total 15

112

Dificultad para detectar agresores en la BD

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

3.9.5 Calificación de riesgos del domino del sistema eléctrico:

Inactividad de equipos informáticos

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

Cortocircuito

Calificación:

Factores Valor Equivalente

Probabilidad 1 Bajo

Impacto 10 Moderado

Valor Total 10

113

Daños en el generador eléctrico y equipos auxiliarles UPS

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 20 Catastrófico

Valor Total 40

3.9.6 Calificación de riesgos del domino de talento humano:

Ataques internos involuntarios

Calificación:

Factores Valor Equivalente

Probabilidad 3 Alta

Impacto 20 Catastrófico

Valor Total 60

Daño de equipos y desconfiguración de software

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderado

Valor Total 20

114

Robo de información sensible

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 10 Moderada

Valor Total 20

3.9.7 Calificación de riesgos provocados por factores externos:

Desastres naturales

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 20 Catastrófico

Valor Total 20

Desastres industriales

Calificación:

Factores Valor Equivalente

Probabilidad 2 Media

Impacto 20 Catastrófico

Valor Total 40

115

Huelgas internas

Calificación:

Factores Valor Equivalente

Probabilidad 1 Baja

Impacto 20 Catastrófico

Valor Total 20

3.10 PRESENTACIÓN DE RESULTADOS MEDIANTE LA MATRIZ DE

RIESGOS

Una vez calificados, los riesgos identificados deben ser interpretados, para

ello nos valemos de la matriz de calificación, evaluación y respuesta a los riesgos;

como se profundizó en el capitulo 2, esta matriz nos ayudará a entender la gravedad

de los riesgos, ubicándolos en zonas según la calificación obtenida, para cada zona

hay diferentes sugerencias sobre como responder al riesgo.

116

Prob

abili

dad

Val

or

Alta

3

15ZO

NA

DE

RIE

SGO

M

OD

ER

AD

O

30ZO

NA

DE

RIE

SGO

IM

POR

TA

NT

E

60ZO

NA

DE

RIE

SGO

IN

AC

EPT

AB

LE

� �

Difi

culta

d y

perd

ida

de ti

empo

al

Mom

ento

de

adm

inis

trar l

os d

atos

(D)�

� �A

cces

o de

terc

eros

o u

suar

ios m

al

inte

ncio

nado

s (Sw

)�� �

Rob

o, p

érdi

da, d

estru

cció

n o

dete

rioro

de

resp

aldo

s dig

itale

s (D

)��

� �A

taqu

es in

tern

os in

volu

ntar

ios (

TH)�

�A

taqu

es in

tern

os in

volu

ntar

ios (

RT)

Med

ia

2

10ZO

NA

DE

RIE

SGO

T

OL

ER

AB

LE

20

ZON

A D

E R

IESG

O

MO

DE

RA

DO

40

ZON

A D

E R

IESG

O

IMPO

RT

AN

TE

� �

Difi

culta

d de

man

teni

mie

nto

(Sw

)��

Dañ

os d

e eq

uipo

s (R

T)�

� �R

obo

de In

form

ació

n (R

T)�

� �D

estru

cció

n de

los e

quip

os

info

rmát

icos

(Hw

)�� �

Difi

culta

d de

man

teni

mie

nto

(Hw

)�

�U

so in

adec

uado

de

los r

ecur

sos (

Sw)�

� �R

obo

de in

form

ació

n (S

w)�

� �R

obo,

pér

dida

, des

trucc

ión

o de

terio

ro

de d

ocum

ento

s im

pres

os, l

icen

cias

o

inst

alad

ores

(D)�

�Fa

llas e

n la

red

(RT)

�� �

Dañ

os d

e eq

uipo

s y m

áqui

nas d

e pr

oduc

ción

(Hw

)�� �

Dañ

os e

n el

gen

erad

or e

léct

rico

y eq

uipo

s aux

iliar

les U

PS (S

E)

�D

esas

tres i

ndus

trial

es (F

E)

117

� �D

ificu

ltad

para

det

ecta

r agr

esor

es e

n la

B

D (D

)�� �

Inac

tivid

ad d

e eq

uipo

s inf

orm

átic

os

(SE)

�� �

Dañ

o de

equ

ipos

y d

esco

nfig

urac

ión

de so

ftwar

e (T

H)�

� �R

obo

de in

form

ació

n se

nsib

le (T

H)�

� D

años

de

maq

uina

ria d

e pr

oduc

ción

(H

w)

�H

uelg

as in

tern

as (F

E)

Baj

a 1

5ZO

NA

DE

RIE

SGO

A

CE

PTA

BL

E

10ZO

NA

DE

RIE

SGO

T

OL

ER

AB

LE

20

ZON

A D

E R

IESG

O

MO

DE

RA

DO

�D

ificu

ltad

de m

ante

nim

ient

o (R

T)�

� �In

terr

upci

ón d

el se

rvic

io d

e te

lefo

nía

inte

rna

(RT)

�� �

�A

taqu

es re

aliz

ados

por

terc

eras

pe

rson

as (R

T)�

� �A

cces

o de

terc

eros

o u

suar

ios m

al

inte

ncio

nado

s (R

T)�

� �C

orto

circ

uito

(SE)

�� �

Erro

res d

uran

te e

l uso

de

aplic

acio

nes

(Sw

)��

�Pa

ra d

e lo

s ser

vici

os in

form

átic

os (R

T)�

� �Fa

llas e

n lo

s pro

ceso

s de

prod

ucci

ón

(Sw

)�� �

Des

astre

s nat

ural

es (F

E)�

Impa

cto

Lev

e M

oder

ado

Cat

astr

ófic

o V

alor

5 10

20

Ta

bla

12 M

atri

z de

calif

icac

ión,

eva

luac

ión

y re

spue

sta a

los r

iesg

os c

on in

form

ació

n de

la e

mpr

esa

118

3.11 ANÁLISIS DE RESULTADOS

Luego de ubicar los riesgos dentro de la matriz, sabremos el orden de estos de

acuerdo a su gravedad, es importante recalcar que para la empresa sujeto de nuestro

de análisis, lo peor que le podría pasar es que deje de producir, dejando la parte

informática y la información en un segundo plano ya que solo son usadas para

apoyar la producción.

Según lo observado en la matriz podemos afirmar que la empresa se encuentra

en un estado relativamente bueno, si bien es cierto no tienen políticas de seguridad

implementadas, pero sus prácticas han sido adecuadas en la mayoría de sus procesos,

tanto informáticos como de producción.

La empresa esta consciente de que no se encuentra en zona de peligro, sin

embargo lo mas apropiado seria combatir los riesgos identificados; es importante

aclarar que los riesgos no pueden ser eliminados, pero si pueden ser reducidos.

La empresa deberá iniciar mitigando todos los riesgos que se presentaron en la

matriz de análisis, la idea de este proceso es disminuir su nivel de gravedad, para lo

cual proponemos tratar en primera instancia aquellos riesgos de mayor gravedad.

Este proceso dependerá de los recursos que la empresa disponga, para lo cual se

debe realizar un análisis del costo vs. beneficio, pues no tendría sentido invertir en la

seguridad de un activo más de lo que este vale.