I.

I. Estimacin de los Riesgos:

1.1. En cuanto a los activos [D] Datos, que estn conformados por: [I_HIS]
Informacin del HIS, [I_SMEII] Informacin del SMEII y [I_SIEN]
Informacin del SIEN, existe un riesgo medio con respecto las amenazas
del tipo [E] Errores y fallos no intencionados y un riesgo muy alto en la
mayora de los [A] Ataques intencionados.

1.2. Los [S] Servicios, como el [REP_EST] Reportes estadsticos, corre

riesgo de nivel alto con respecto a las amenazas del tipo [E] Errores y fallos
no intencionados y un riesgo muy alto en la mayora de los [A] Ataques
intencionados, sobre todo a la modificacin, destruccin y divulgacin de la
informacin. El otro servicio, que es la de [IMP_REP] Impresin Reportes,
no es afectado casi en nada.

1.3. Las [A] Aplicaciones, como son [HIS] Sistema de Informacin en

Salud, [SMEII] Sistema de Monitoreo y Evaluacin Integral de
Indicadores, [SIEN] Sistema de Informacin del Estado Nutricional y
[SIGA] Sistema Integrado de Gestin Administrativa, el riesgo de muy
alto nivel en lo que respecta a amenazas del tipo [A] Ataques
intencionados.

1.4. El [AV] Antivirus, es afectado casi en nada y no tiene mucha relevancia,

salvo que exista un a [A.8] Difusin de software daino.

1.5. Las bases de datos, como, [BBDD_1] SQL Server 2008 y [BBDD_2]
MySQL 5.1, son ms propensos a sufrir amenazas del tipo [A] Ataques
intencionados, el riesgo es muy alto.

1.6. Los [SERV] Servidores, [SWITCH] Switch, [ACCESS] Access Point y

[FIRE] Firewall debido a la infraestructura y ubicacin del Data Center, se
encuentran en estado crtico, el estudio arroj que este activo es tan
susceptible a sufrir todos os tipos de amenazas, el riesgo est catalogado
como de muy alto nivel.

1.7. Las [PC_PER] Equipos de cmputo, tiene un muy alto riesgo de

sufrir algn robo o algn ataque destructivo. En las [ORD_PER] Laptops, el
riesgo es alto.

1.8. El riesgo de sufrir algn dao por las amenazas para los [SI] Soportes
informticos se encuentra entre media y alta.

1.9. El [EA] Equipo auxiliar tiene un riesgo medio de sufrir daos del tipo
naturales e industriales, pero no se salva de sufrir algn robo o ataque
destructivo, cuyo riesgo es muy alto.

1.10. Las [R] Redes de comunicaciones, el riesgo de sufrir una amenaza del
tipo [E] Errores y fallos no intencionados, oscila entre medio y alto, pero
si es muy alto el riesgo que exista una [A.24] Denegacin de servicio,
[A.19] Divulgacin de informacin y [A.14] Interceptacin de
informacin.
 1.11. Las [I] Instalaciones fsicas slo sufren un [A.26] Ataque
destructivo, cuyo nivel de riesgo es muy alto.

II. Responsabilidad de los activos:

* Proteccin de los activos incluyendo
1.) procedimientos para proteger los activos de la organizacin, incluida la
informacin y el software.
2.) Procedimientos para determinar si ha ocurrido algn incremento del
riesgo de los activos, como la prdida o modificacin de datos.
3.) Medidas de integridad.
4.) Restriccin en la copia o divulgacin de la informacin, la descripcin
del servicio o producto disponible, las diferentes razones, requerimientos
y beneficios para el acceso del cliente de acuerdo sobre control de
accesos.

III. Clasificacin de la informacin:

Los tipos de activos pueden clasificarse de la siguiente forma de acuerdo a su valor requisitos
legales, sensibilidad y criticidad para la organizacin:
Datos que materializan la informacin.
Servicios auxiliares que se necesitan para poder organizar el sistema.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.

IV.Minimizar los Riesgos Utilizando la Norma Tcnica Peruana:

4.1. reas Seguras.
* Seguridad de Oficinas, Despachos y Recursos.
- Se debe tomar en cuenta las regulaciones y estndares de salud y seguridad.

* Acceso Pblico, reas de carga y descarga.

- Se deberan restringir los accesos al DATA CENTER desde el interior de la
organizacin y el exterior nicamente al personal autorizado e identificado.
- El material entrante y saliente se debera ser inspeccionado para evitar posibles
amenazas.

4.2. Seguridad de Equipos.

* Instalacin y proteccin de equipos.
- Los equipos (gabinete, servidores y UPS) se deberas situar donde minimicen los
accesos innecesarios a las reas de trabajo.
- Los Equipos donde se encuentra la informacin de salud se deberan instalar
donde se reduzca el riesgo de que personas no autorizadas vean los procesos
durante su uso.
- La DIRESA Loreto debera incluir en su poltica cuestiones sobre fumar, beber y
comer cerca de los equipos de cmputo que se les es asignado.
 - Se deberan vigilar las condiciones ambientales, como temperatura y humedad,
que puedan afectar negativamente al funcionamiento de los equipos de
tratamiento de informacin.
* Mantenimiento de Los Equipos.
- Se deberan registrar documentalmente todos las fallas, reales o sospechados as
como todo el mantenimiento preventivo y correctivo.

4.3 Proteccin contra software malicioso.

- La DIRESA debera implementar una poltica formal que requiera el cumplimiento
de las licencias de software y la prohibicin del uso de software no autorizado.
- Tambin se debera implementar una poltica formal de proteccin contra los
riesgos asociados a la obtencin de archivos y software de redes externas o
cualquier otro medio, indicando las medidas protectoras a adoptar.
- Los procedimientos para verificar toda la informacin relativa al software
malicioso y asegurarse que los boletines de alerta son precisos e informativos.