Informe: Análisis de caso Simón III

Alumno:

WILDER JEFRY GOMEZ RIVERA

Profesor:

JAVIER PÉREZ CAMPO

SERVICIO NACIONAL DE APRENDIZAJE

SISTEMAS DE INFORMACIÓN

GESTIÓN DE LA SEGURIDAD INFORMÁTICA

BOGOTÁ D.C.

2019

1
 Tabla de Contenido

Ítem
Estudio de Caso: “Simón: Parte 3” ............................................................................................3
1. Activos de Información: ....................................................................................................3
1.1. Activos Puros ...................................................................................................................3
1.1.1. Riesgos en los Activos Puros .............................................................................4
1.2. Activos Físicos ................................................................................................................5
1.2.1. Riesgos de los Activos Físicos ...........................................................................6
1.3. Activos Humanos ............................................................................................................6
1.3.1. Riesgos de los Activos Humanos...........................................................................6
2. Control de Riesgos .................................................................................................................7

2
Estudio de Caso: “Simón: Parte 3”

Simón junto con 3 (tres) amigos iniciaron con un negocio de consultoría para llevar
la contabilidad de microempresas, su trabajo ha tenido tan buena aceptación que
otras empresas mucho más grandes los han contactado para contratar sus
servicios, Simón y sus socios ven que su negocio está creciendo y que todo lo que
hacían manualmente necesitan de apoyo tecnológico, el problema es que ellos no
entienden de tecnología, ni de software y tampoco saben en qué tipo de modelo
de negocio están.

Decidieron averiguar e invertir en infraestructura tecnológica. Para el personal que

piensan contratar, compraron 6 (seis) equipos de cómputo tipo escritorio. Cuando
les llegó la tecnología, muy contentos empezaron a destapar las cajas pero se
encontraron con unos equipos que no sabían cómo instalarlos, unos CD con unos
aplicativos del cual no entendían cuál sería la función que cumplirían dentro de su
negocio y adicional a esto, debían hacer la instalación de una red para conectar
sus ordenadores, navegar en la Internet y estar en contacto con los clientes.

Siguiendo con el caso de Simón, y como asesor de la empresa y habiendo

identificado los activos de información en la semana 3, Simón desea saber cuál es
la valoración del riesgo presente en cada uno de los activos de la empresa y de
qué manera puede aplicar las normas y metodologías de seguridad informática.

De acuerdo a ello, Elabore un documento en Word donde mencione y explique los

riesgos presentes en cada uno de los activos de la empresa.

1. Activos de Información:

1.1. Activos Puros

De acuerdo con el negocio de Simón, los activos puros que se evidencian son los
siguientes:

3
- Datos Digitales: Bases de datos, documentaciones digitales como
manuales y/o instructivos del manejo de las aplicaciones adquiridas,
Licencias de los Sistemas Operativos y de aplicaciones, manejos
financieros de las pequeñas y grandes empresas que manejan,
documentos digitales legales del negocio, comerciales, entre otros.

- Activos Tangibles: Los CD donde contienen los driver de los equipos de

cómputo, Libros Financieros, Magnéticos para realizar copias de seguridad,
llaves de oficinas, copias de archivos físicos del manejo financiero de las
pequeñas y grandes empresas, etc.

- Activos Intangibles: Conocimientos Financieros de Simón como de los

tres amigos, experiencias comerciales, de administración, productividad y
contraseñas de acceso a las aplicaciones

- Software de aplicación: Herramientas ofimáticas, gestor de base de datos,

aplicaciones adquiridas para el negocio.

- Sistemas operativos: Windows Server, Windows 10 profesional, Ubuntu.

1.1.1. Riesgos en los Activos Puros

1- Especificación inadecuada/incompleta
2- Testeo inadecuado/insuficiente
3- Diseño de aplicación de regla inadecuado
4- Control de acceso inadecuado
5- Control inadecuado de versión
6- Uso impropio/no controlado
7- Contraseñas no protegidas, claves, certificadas
8- Administración deficiente de contraseña

4
9- Instalación/Desinstalación no controlada
10- Incompatibilidad
11- Falta de documentación
12- Uso de parches de software
13- Administración de encriptación inadecuada
14- Corrupción
15- Falta de protección contra virus y código malicioso
16- Control de material de origen
17- Administración de configuración inadecuada
18- Locación-almacenamiento no protegido
19- Susceptibilidad de daño en almacenamiento de medios
20- Datos, archivos temporales no retirados de los discos duros locales
21- Control inadecuado de base de datos
22- Almacenamiento de datos no estructurado
23- Disponibilidad de datos respaldados
24- Respaldo de datos

1.2. Activos Físicos

- Infraestructura: La casa o el edificio donde está situado el negocio,

habitaciones de los equipos y servidores de red, armarios (racks) de red o
cableado, oficinas de los empleados y de los 3 amigos, escritorios, cajones,
archivadores, salas de almacenamiento de medios físicos y cajas de
seguridad, dispositivos de identificación y autentificación, control acceso del
personal, etc.

- Controles del entorno: Equipos de alarma de los Servidores de red,

supresión contra incendio, sistemas de alimentación ininterrumpida (SAI) de
la RED estructurada del negocio y refrigeradores para el control de
temperatura.

5
- Hardware: computadoras de escritorio adquiridas por Simón y sus amigos,
estaciones de trabajo, portátiles, equipos de mano (tabletas), servidores,
etc.

- Activos de servicios: Conectividad a internet, servidores proxy, servicios

de red, antispam, anti-virus adquiridos por Simón y sus amigos para el
negocio, correo electrónico, servicios web, contratos de soporte y
mantenimiento de software.

1.2.1. Riesgos de los Activos Físicos

1- Infección de sistemas a través de unidades portables sin escaneo

2- Exposición o extravío de equipo, unidades de almacenamiento, etc.
3- Perdida de datos por error de hardware
4- Falta de mantenimiento físico (proceso, repuestos e insumos)
5- Falla suministro de energía
6- Falla suministro de energía de respaldo
7- Subidas de voltaje/fluctuaciones
8- Carga electrostática

1.3. Activos Humanos

- Empleados: personal contratado para el negocio, Simón y sus amigos

- Externos: Proveedores de los servicios, clientes de las peñas y grandes

empresas que brindan el servicio de contabilidad.

1.3.1. Riesgos de los Activos Humanos

1- Ausentismo personal insuficiente
2- Control inadecuado de reclutamiento
3- Definición de rol inadecuada

6
 4- Falta de conciencia de seguridad
5- Falta de capacitación de trabajo
6- Falta de mecanismos de monitoreo
7- Falta de políticas/normas/procedimientos
8- Falta de delegación/participación/sucesión de funciones
9- Medioambiente adverso - calefacción, humedad, ruido, iluminación,
olor, etc.
10- Recursos insuficientes, inadecuados, incompatibles
11- Horas de trabajo incompatibles

2. Control de Riesgos

En base a los datos obtenidos en el análisis de riesgo, se determinara un

control de riesgos para cada activo, este control de riesgo va a ser la base para
poder mitigar, implementar y controlar los riesgos más impactantes o
categorizados como un alto nivel de impacto.

7
8
9