“AÑO DE LA INVERSION PARA EL DESARROLLO RURAL Y LA SEGURIDAD ALIMENTARIA”
MAESTRIA EN INGENIERIA SEGURIDAD INFORMATICA
CURSO FUNDAMENTOS DE LAS TICS
DOCENTEDR. OSWALDO PELAES LEON
CICLO I
2013-2
TEMASISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
EN LA ETAPA DE PLANIFICACION.CASO COMANDANCIA DE LA FUERZA DE
SUBMARINOS - MGP
INTEGRANTES
ING. BECERRA MAYTA CESARING. CABRERA GARCIA CESAR
ING. MAGAÑO MACHALLA JOSE LUIS
AÑO 2013
INDICE
INTRODUCCION..................................................................3
MISION MGP.......................................................................4
VISION MGP........................................................................4
ORGANIGRAMA...........................................................................5
COMANDANCIA DE FUERZA DE SUBMARINOS....................6
UNIDADES SUBMARINAS..................................................12
ESCUELA DE SUBMARINOS...............................................15
CAPACITACION ACADÈMICA.............................................16
ANALISIS DE LAS TI..................................................................17
PLAN SGSI........................................................................20
GESTION DE RIESGOS PARA LOS STI................................22
METODOLOGIA DE ANALISIS DE RIESGO OCTAVE............29
SISTEMA DE SEGURIDAD DE LA INFORMACION COMFASUB30
PLAN OPERATIVO.............................................................41
RIESGOS...........................................................................45
INTRODUCCION
La Marina de Guerra del Perú, es una institución surgida en el contexto del
proceso de independencia.
La Marina de Guerra del Perú es el órgano de ejecución del Ministerio de
Defensa, encargado de la defensa marítima, fluvial y lacustre. Forma parte de
las Fuerzas Armadas y como tal integra el Comando Conjunto de las Fuerzas
Armadas del Perú, se encuentra ubicado en la Av. Contralmirante Mora S/N
Callao.
En la actualidad la Marina de Guerra del Perú no es ajena los cambios
tecnológicos, es por ello que cuenta con la Dirección de Telemática la cual es
el encargado de Planear, normar, dirigir, operar y evaluar los Sistemas de
Comunicaciones e Informática de la Marina de Guerra del Perú, con la finalidad
de garantizar a las Unidades y Dependencias enlaces seguros e invulnerables,
los cuales interconectados mediante sistemas de procesamiento de
información contribuyen a la eficiencia en la toma de decisiones y al ejercicios
oportuno y efectivo del comando.
Desde el año 2010, la Dirección de Telemática enfrentó el reto de recuperar el
liderazgo Institucional en las áreas de Comunicaciones e Informática,
principalmente en base a un cambio en la mente de sus integrantes.
En ese sentido, se han logrado importantes avances, aunque queda un
importante tramo por recorrer en el camino hacia la excelencia en el servicio
que prestamos a nuestra institución.
MISIÓN DE LA MGP
3
"Ejercer la vigilancia y protección de los intereses nacionales en el ámbito
marítimo, fluvial y lacustre, y apoyar la política exterior del Estado a través del
Poder Naval; asumir el control del orden interno, coadyuvar en el desarrollo
económico y social del país y participar en la Defensa Civil de acuerdo a ley;
con el fin de contribuir a garantizar la independencia, soberanía e integridad
territorial de la República y el bienestar general de la población".
VISIÓN DE LA MGP
"Poder Naval capaz de actuar con éxito donde lo requieran los intereses
nacionales"
ORGANIGRAMA
4
COMANDANCIA DE FUERZA DE SUBMARINOS
HISTORIA
5
El primer sumergible en la historia de la Marina de Guerra del Perú fue
concebido por el ingeniero Federico Blume Othon en 1866 y construido en
Piura el año 1879. Exitosas pruebas en Paita y el Callao demostraron que era
posible navegar bajo superficie con un triple sistema de propulsión que
incorporaba la acción humana, máquina a vapor y botellas de aire comprimido.
Lamentablemente, el desenlace de la Guerra del Pacífico no permitió utilizarlo
con éxito y se debió hundir en enero de 1881.
Muchos de los oficiales que combatieron en la Guerra del Pacífico y que
conocieron la versatilidad del bote submarino de Blume apostaron por adquirir
sumergibles treinta años más tarde. A principios de la década de 1910 el Perú
ordenó la construcción de dos sumergibles tipo Labeuf en Francia, unidades
que antes de la Primera Guerra Mundial sólo poseían las potencias navales. Por
ello la tradición submarinista en nuestro país se inicia cuando el 19 de agosto
del año 1911 se recepciona en los astilleros franceses Scheneider du Chalons,
Sur Saone, los sumergibles Ferré y Palacios, nombres que evocan a Diego
Ferré Sosa y Enrique Palacios Mendiburu oficiales que sirvieron a bordo del
monitor Huáscar y que con su comandante Miguel Grau murieron en el
combate de Angamos el 8 de octubre de 1879.
Los sumergibles Ferré y Palacios tenían un desplazamiento de 300 y 400
toneladas respectivamente y contaban con 1 tubo lanzatorpedos en proa,
motores diésel Scheneider Carels con una potencia nominal de 400 y 200 H.P.
para cada unidad, velocidad 12 y 9 nudos en superficie y 7 y 5 nudos en
inmersión. Radio de acción: 2,000 millas a 10 nudos. Dotación: 19 hombres.
En el año 1926 se incorporaron en nuestra flota los submarinos tipo “R”
construidos por The Electric Boat Co. de Groton, Connecticut, Estados Unidos
de América, entregándose inicialmente en abril de 1926 el R1 y en mayo de
1928 el último de la serie: el R4. Las dos primeras unidades serían bautizadas
6
como BAP Casma y BAP Islay. Los R3 y R4 recibieron los nombres BAP Pacocha
y BAP Arica.
Las características principales de estos submarinos eran las siguientes:
desplazamiento en superficie 576 toneladas, en inmersión 755 toneladas.
Propulsión: 2 máquinas principales diésel Nelseco y motores eléctricos con una
potencia nominal de 1,000 H.P. Eslora 186.5 pies, manga 17.5 pies, calado 15
pies. Velocidad en superficie 14.5 nudos y en inmersión 9.5 nudos. Armamento
4 tubos lanzatorpedos en proa un montaje simple de 3 pulgadas en cubierta.
Radio de acción a velocidad económica 8,000 millas. Dotación: 30 hombres.
Los flamantes buques conformaron la primera División de Submarinos,
verdadera viga maestra de una escuela que en el transcurso de 30 años,
formalizó instrucción, entrenamiento y experiencia, concatenando así en su
conjunto una formación profesional que da a los submarinistas peruanos lugar
de especial reconocimiento profesional en el mundo.
Es del caso recordar lo que el periódico The New London Day publicó el 21 de
abril de 1928 respecto a uno de estos buques: The `R-3’ at the time is skidded
down the ways, was the fines and most modern submarine in the world,
huelgan comentarios en relación a este importante dato que recogiera el
contralmirante Federico Salmón de la Jara el año 1950 con motivo del retorno
de los submarinos tipo R a los astilleros de su construcción, es importante
capítulo de la historia submarinista nacional. Con el Almirante Salmón -por
entonces capitán de fragata- integraron la Comisión oficiales de singular
prestigio como: los capitanes de corbeta Luis E. Vargas Caballero, Miguel
Rotalde, Alfredo Batistini, Carlos Llosa, Luis López de Castilla y con ellos los
tenientes primero: Ramón Arróspide, Luis E Villena, Manuel Piqueras, Enrique
Gamero, Gastón Herrera y Luis Vargas B. (SN). tenientes segundo: Pedro
Mazuré, Francisco Mariátegui, Juan Egúsquiza, Pedro Gálvez U., Antonio
7
Miranda, Luis Díaz, Hugo Sommerkamp, Enrique Fernández Dávila, y Enrique
Alejandro Marchini. Las dotaciones de los buques y Comandancia de la División
prestaron, todos ellos y su personal subalterno, patriótico e invalorable
servicio a la nación, labor plural a la que se sumaron en New London el
teniente primero Alberto Indacochea Queirolo y el teniente primero Francisco
Quiroz Tafur.
Constituyó un tercer hito, en los últimos años de la década del 50, dentro de
los planes de renovación de unidades navales, la adquisición de nuevos
submarinos tipo “Sierra”: BAP 2 de Mayo, BAP Abtao, BAP Angamos y BAP
Iquique que fueron construidos también en los astilleros de The Electric Boat
Co., Groton, Connecticut, de los Estados Unidos. Estos buques desplazaban
825 toneladas en superficie y 1,400 toneladas en inmersión. Propulsión:
máquinas principales 2 motores diésel General Motors 278A y motores
eléctricos acoplados a dos ejes con una potencia nominal de 2,400 HP.
Armamento: 4 tubos lanzatorpedos de 21 pulgadas en proa y 2 en popa, un
montaje simple de 5 pulgadas en cubierta (sólo en los submarinos 2 de Mayo y
Abtao). Eslora: 243 pies, manga 22 pies, calado 14 pies. Velocidad: 16 nudos
en superficie y 10 nudos en inmersión. Radio de acción: 5,000 millas a 10
nudos. Dotación: 40 hombres.
Inicialmente los nombres de estos buques fueron Lobo, Tiburón, Atún y Merlín,
se mantuvieron en servicio durante cuarenta años y consolidaron una tradición
que hace bien a la espiritualidad submarinista de nuestra Marina de Guerra.
Hoy el BAP Abtao constituido en Museo Submarino, único de su tipo en
América del Sur, rinde implícito homenaje a la saga submarinista que integró.
El año 1974 se adquirió de la Marina de los Estados Unidos de América dos
submarinos tipo “Guppy”. Las características principales de estas unidades
bautizadas con los nombres Pacocha y La Pedrera eran las siguientes:
8
desplazamiento en superficie 1,870 toneladas, en inmersión 2,440 toneladas.
Propulsados por 3 motores diésel en superficie con una potencia nominal de
4,800 H.P y dos motores eléctricos en inmersión para 5,400 H.P. acoplados a
dos ejes. Armamento: 6 tubos lanzatorpedos de 21 pulgadas en proa y 4 en
popa. Eslora: 93.8 metros, manga 8.2 metros y calado 5.2 metros. Velocidad:
18 nudos en superficie y 15 nudos en inmersión. Dotación: 85 hombres.
La presencia de estas unidades en nuestra Marina significó importantes tareas
de acondicionamiento que realizó el Servicio Industrial de la Marina y el propio
personal submarinista cuyas virtudes en el aspecto técnico quedaron
demostradas en la operatividad alcanzada, especialmente en el caso del BAP
Pacocha. Justamente esta unidad protagoniza en la larga historia de los
submarinos peruanos y los hombres que sirven a bordo, dramático episodio
que tuvo lugar el 26 de agosto de 1988 cuando el barco pesquero Kyowa Maru
embistió el Pacocha por la aleta de babor a las 18:40 horas de aquel día
ocasionando que el buque se fuera a pique. Murieron ocho marinos aquella
tarde de agosto: capitán de fragata Daniel Nieva Rodríguez, teniente segundo
Luis Roca Sara, técnico 2do. Orlando Valdez Pacheco, técnicos 3ro. Carlos
Orosco León, Rigoberto Gonzales Pisfil y Walter García Morales, oficial de mar
lro. Juan Oré Rojas y oficial de mar 2do. Carlos Grande Rengifo.
Durante once meses, desde el 30 de agosto de 1988 hasta el 23 de julio de
1989, la Marina peruana realizó un trabajo de salvamento que tiene en sí
mismo un significado (…) heroico. Porque se puede ser héroe también,
trabajando infatigablemente en demanda de un objetivo en tiempo de paz. La
operación de reflotamiento del BAP Pacocha, constó de seis fases que se
iniciaron con una preliminar de inspección y evaluación para terminar en la
fase de soplado final.
9
“Ciento cincuenta hombres, setenta de ellos buzos pertenecientes al Servicio
de Salvamento laboraron ochocientas horas, doscientas de inspección
preliminar y seiscientas de buceo efectivo antes de reflotar el buque que se
encontraba a ciento diez pies de profundidad.
“Dotaciones de la Fuerza de Superficie, BAP Paita; de la Fuerza de Submarinos,
BAP Iquique; helicópteros de la Fuerza de Aviación Naval; los remolcadores
BAP Unánue, BAP Mejía y BAP Guardián Ríos participaron activamente en las
diversas tareas de reflotamiento. Especial protagonismo cupo al remolcador
BAP Dueñas que actuó como plataforma de buceo. El esfuerzo mancomunado
de los hombres junto con la eficaz administración de los recursos asignados
por la Marina, propiciaron que el domingo 23 de julio de 1989, exactamente a
las 14 horas y 35 minutos la proa del BAP. Pacocha preludiara la hazaña.
A las 16 horas y 28 minutos, el BAP Pacocha emergió y tras una pronunciada
escora a estribor, se estabilizó y quedó perfectamente bien adrizado en
superficie.
Los BAP Islay y Arica, submarinos tipo 209 construidos en los astilleros
Howaldtswerke Deutsche Werft R. G., de Kiel, Alemania arribaron al Callao en
los años 1974 y 1975, constituyendo los primeros buques de su tipo en arribar
a nuestras costas de un total de seis que incrementaron la Fuerza de
Submarinos. Al iniciarse la década del 80 arribaron dos buques más del tipo
209: BAP Casma y BAP Antofagasta. Finalmente el año 1983 arribaron el BAP
Chipana y el BAP Pisagua, completando el número de unidades previsto por la
Institución y que constituyen hoy el pilar de esta Fuerza próxima a cumplir 100
años.
Las características de los submarinos tipo 209 son: desplazamiento 1,180
toneladas en superficie y 1,285 en inmersión. La planta propulsora consta de 4
motores diésel MTU tipo 12V493AZ80 y un motor eléctrico Siemens acoplados
10
a un eje. Velocidad 11 nudos en superficie y 21 nudos en inmersión. La
autonomía a 4 nudos es 11,300 millas. Ocho tubos lanzatorpedo de 533
milímetros y capacidad para 14 torpedos filoguiados SST 4 conforman la
capacidad armamentista de estas formidables unidades. La eslora es 55.90
metros, manga 6.30 metros y calado 5.50 metros. Los sensores y sistemas de
control de tiro son de última generación. La dotación: 35 hombres.
Prueba de este prestigio son los operativos anuales internacionales que se
llevan a cabo en la costa atlántica de los Estados Unidos, donde nuestras
unidades participan en ejercicios con los buques norteamericanos.
La necesidad de efectuar un especial mantenimiento y cambio de baterías en
los submarinos tipo 209 constituyó un reto para el Servicio Industrial de la
Marina. Desde el año 1968 el astillero realiza trabajos de gran envergadura en
este tipo de naves. Basado en su larga experiencia, el SIMA ha logrado
desarrollar eficientes procedimientos que han sido utilizados incluso por otras
marinas, como fue el caso del recorrido realizado al submarino colombiano
tipo 209 Tayrona entre abril y mayo de 1997.
UNIDADES SUBMARINAS
11
12
13
ESCUELA DE SUBMARINOS
La Escuela de Submarinos es el Alma Mater de los submarinistas
peruanos y es la encargada de la preparación y formación del personal
que conformará las dotaciones de nuestras unidades submarinas. En
1915 se implementó el B.A.P. Lima para que en él se dictaran
inicialmente charlas de mantenimiento y operación de submarinos. Es en
marzo de 1939 fecha que se crea oficialmente los programas de
14
instrucción, con la infraestructura necesaria para la formación de los
futuros submarinistas. Desde que se dictó el primer curso para
submarinistas -el primero en su género en América Latina-, en esta
Escuela se han formado 147 promociones, de ellas 63 son de Oficiales de
Comando y 84 de Oficiales de Mar.
Dado el prestigio adquirido de esta escuela, en 1959 egresa la primera
promoción de Oficiales y tripulantes de la República de Venezuela; en
1972 y 1973 se gradúan las dos primeras promociones de Oficiales y
tripulantes de la República de Colombia, y también se han instruido
alumnos becados de Brasil y Argentina. Por la vasta trayectoria de este
centro de estudios navales, repúblicas hermanas siguen enviando
oficiales para su capacitación en nuestro país.
La Escuela de Submarinos se encuentra ubicada en el área de la Estación
Naval de Submarinos, cuyo local fue inaugurado en diciembre de 1989, el
cual está dotado de amplias aulas y con la infraestructura que facilita una
adecuada instrucción a sus alumnos.
Capacitación académica
En la Escuela de Submarinos se imparten cursos de Calificación en
Submarinos para Oficiales y Personal Subalterno, los mismos que tienen
una duración de dos años académicos. En el primer año se desarrolla la
parte teórica del curso combinada con ejercicios prácticos en la mar. En
el siguiente se realiza a bordo de las unidades submarinas. En esta fase
15
los alumnos cumplen con las exigencias de la parte práctica. Al término,
de la intensa y ardua preparación son calificados en arma.
Adicionalmente, en la Escuela se dictan cursos de capacitación y
entrenamiento, para mantener permanentemente entrenadas a las
dotaciones de nuestros submarinos, así como estar actualizados en los
últimos desarrollos tecnológicos.
1. Mástil del radar de navegación y búsqueda de superficie calypso III.
2. Mástil del periscopio de ataque
3. Mástil de antena de mage
4. Mástil de antenas de comunicaciones
5. Mástil del snorkel
6. Mástil del periscopio de búsqueda.
Los Oficiales submarinistas, pueden calificarse en Ingeniería Mecánica,
Electrónica y Comunicaciones, Ingeniería de Sistemas y Armas
Submarinas.
Asimismo, el personal subalterno de nuestros submarinos se capacita en
distintos cursos dentro y fuera de la Marina de Guerra, en ramas como:
Electrónica, Motores, Máquinas Eléctricas, Sistemas, Electrónica digital,
Sistemas Sincronizados, Sistemas de Control y Monitoreo de ingeniería,
Principios y aplicaciones de equipos de análisis vibracional, Sistema de
Ingeniería para Submarinos, entre otros.
ANALISIS A LAS TECNOLOGIAS DE LA INFORMACIÓN
Tabla N° 1.- Antivirus desactualizado por Departamento / Oficina
Departamento / Ofici-na
Actualizado No Actualizado Total
COMFASUB 3 0 3
JEMSUB 2 0 2
16
PERSONAL 1 2 3
INTELIGENCIA 2 0 2
OPERACIONES 2 6 8
LOGISTICA 1 2 3
COMUNICACIONES 2 5 7
SECRETARIA GENERAL 2 3 5
SISTEMAS 2 0 2
TOTAL 17 18 35
Cuadro de barras de los antivirus desactualizados por
Departamento / Oficina
COMFASUB
JEMSUB
PERSONAL
INTELIGENCIA
OPERACIONES
LOGISTICA
COMUNICACIONES
SECRETARIA GENERAL
SISTEMAS
0 1 2 3 4 5 6
3
2
1
2
2
1
2
2
2
0
0
2
0
6
2
5
3
0
No ActualizadoActualizado
Figura Nro. 1.- Cuadro de barras de los sistemas de cómputo que el antivirus esta desactualizado; según Departamento/Oficina
Se observa que la Comandancia de la Fuerza de Submarinos el 51.42% de del total de sus Pc’s el antivirus se encuentra desactualizado.
Tabla N° 2.- Número de Sistemas de Cómputo que presentan anomalías en la red; según áreas
Departamento / Ofici-na
Anomalías Sin Anomalías Total
COMFASUB 3 0 3JEMSUB 2 0 2PERSONAL 0 3 3INTELIGENCIA 0 2 2OPERACIONES 2 6 8LOGISTICA 1 2 3
17
COMUNICACIONES 2 5 7SECRETARIA GENE-RAL
1 4 5
SISTEMAS 1 1 2TOTAL 12 23 35
Las anomalías de red son causa de cables deteriorados, conectores
desgastados
Cuadro de barras de los Sistemas de Cómputo que presentan anomalías en la red; según áreas
0
1
2
3
4
5
6
3
2
0 0
2
1
2
1 1
0 0
3
2
6
2
5
4
1
AnomalíasSin Anomalías
Figura Nro. 2.- Cuadro de barras de los Sistemas de Cómputo que
presentan anomalías en la red; según áreas.
Tabla N° 3.- Número de Sistemas de Cómputo con Licencia de Windows; según áreas
Departamento / Ofici-na
Licenciado No Licenciado Total
COMFASUB 1 2 3JEMSUB 1 1 2PERSONAL 0 3 3INTELIGENCIA 2 0 2OPERACIONES 2 6 8
18
LOGISTICA 0 3 3COMUNICACIONES 4 3 7SECRETARIA GENE-RAL
3 2 5
SISTEMAS 1 1 2TOTAL 14 21 35
Cuadro de barras de los Sistemas de Cómputo con Licencia de Windows; según
áreas.
0
5
10
15
20
25
Licenciado; 14
No Licenciado; 21
Figura N° 3.- Cuadro de barras de los Sistemas de Cómputo con Licencia de
Windows; según áreas.
PLAN DE SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION
DEFINICIONES
Gestión Seguridad Información ISO-27001:2005
“La información es un activo que, como otros activos comerciales
importantes, tiene valor para la organización y, en consecuencia,
necesita ser protegido adecuadamente”
19
Demuestre su compromiso con la seguridad de la información
La información mantiene un constante procesos desde el suministro a la
consolidación. Cierta información que habitualmente es utilizada para el
uso interno y exclusivo de la organización puede ser difundida
fácilmente para el conocimiento público. Este es el motivo por lo que
necesita gestionar activamente la seguridad de los sistemas de
información.
Mantenga a buen recaudo su información
La certificación de los Sistemas de Gestión de Seguridad de la
Información (SGSI) de la norma ISO 27001:2005 demostrar compromiso
con la seguridad de la información.
Beneficios de ISO 27001:2005
La reputación de ISO y la certificación de la norma internacional ISO
27001:2005 aumentan la credibilidad de cualquier organización. La
norma claramente demuestra la validez de su información y un
compromiso real de mantener la seguridad de la información. La
importancia de la seguridad, además de mejorar el nivel ético y
profesional de los empleados y la noción de la confidencialidad en el
puesto de trabajo.
Por qué SGSI?
Obtener la certificación de su Sistema de Gestión de Seguridad de la
Información con SGS ayudará a su organización a desarrollar y mejorar
el rendimiento del sistema.
Su certificado ISO 27001:2005 obtenido por SGS le permite demostrar
niveles altos en la seguridad de la información en el momento de
competir por contratos en cualquier ámbito internacional o en
actividades de expansión local con objeto de dar cabida a nuevas
actividades de negocio.
También obtendrá el beneficio de una mejora significativa en la
motivación, nivel de cumplimiento y entendimiento de la plantilla y su
responsabilidad en la seguridad de la información
20
GUÍA DE GESTIÓN DE RIESGOS PARA SISTEMAS DE TECNOLOGÍA DE LA INFORMACIÓN (NIST SP 800-30)
El NIST (National Institute of Standards and Technology) ha dedicado una serie
de publicaciones especiales, la SP 800 a la seguridad de la información. Esta
serie incluye una metodología para el análisis y gestión de riesgos de seguri-
dad de la información, alineada y complementaria con el resto de documentos
de la serie.
21
PLANEstablecer el
SGSI
HACERImplementar
y operar el SGSI
CHEQUEARMonitorear y
revisar el SGSI
ACTUARMantener y mejorar el
SGSI
Desarrollar, mantener y
mejorar el ciclo
Partes Interesadas
Requerimientos y expectativas de la seguridad de
información
Partes Interesadas
Seguridad de Información manejada
El proceso de análisis de riesgos definido en la metodología NIST SP 800-30 se
puede resumir en el siguiente gráfico [NIST800-30.02]:
Proceso de análisis de riegos de NIST SP800-30
22
El proceso de gestión de riesgos definido en la metodología NIST SP 800-30
puede resumirse en el siguiente gráfico:
Proceso de gestión de riesgo de NIST SP 800-30
JUSTIFICACIÓN POR LO QUE SE ELIGE ESTA METODOLOGÍA:
23
NombreOrigen
Descripción Organización País Año1
OCTAVEOperationally Critical Threat, Asset and Vulnerability Evaluation
Universidad deCarnegie Mellon1
EstadosUnidos
2001 -2007
CRAMMCCTA Risk Analysis andManagement Method
CCTA - Central Computing and Telecommunications Agency23
Reino Unido 2003
NIST SP800 – 30
Guía de gestión de riesgos para sistemas de tecnología de información
NIST - National Institute of Standards and Technology
EstadosUnidos
2002
IRAMInformation Risk AnalysisMethodologies
ISF – InformationSecurity Forum
Internacional(Reino Unido)
2006
CORASCOnstruct a platform for Risk Analysis of Security critical systems
SINTEF y otros.Europeo(Noruega)
2001-2007
SOMAPSecurity Officers Management & Analysis Project
SOMAP.orgInternacional
(Suiza)Beta4
FAIRFactor Analysis ofInformation Risk
Risk ManagementInsight
EstadosUnidos
2005
Tabla comparativa de metodologías de análisis de riesgos – Responsables.
24
25
26
27
28
METODOLOGIA DE ANALISIS DE RIESGO OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), es
un método de análisis de riesgos orientado a activos, desarrollado por el CERT
Coordination Center del Software Engineering Institute de la Universidad
Carnegie Mellon de Pensilvania, Estados Unidos.
En OCTAVE, los activos incluyen personas, hardware y software, información y
sistemas. Los activos se ordenan según la importancia que tienen para los
objetivos de la organización, y las posibles amenazas y vulnerabilidades
asociadas a dichos activos, así como el impacto que causaría un problema en
cada activo.
El objetivo de OCTAVE es desarrollar una perspectiva de seguridad dentro de
una organización, teniendo en cuenta perspectivas de todos los niveles para
asegurarse que las soluciones puedan implementarse con facilidad.
OCTAVE fue desarrollada pensando en empresas, está diseñada para ser
flexible y poder adaptarse a cualquier entorno.
Principales elementos de Octave:
Medidas de probabilidad considerando un rango de frecuencias.
Análisis del límite entre niveles de probabilidad.
Este proceso se divide en tres fases:
Fase 1- Construir perfiles de amenazas basados en los activos
Fase 2- Identificar vulnerabilidades en la infraestructura.
Fase 3- Desarrollar estrategias y planes de seguridad
SISTEMA DE SEGURIDAD DE INFORMACIÓN COMFASUB
29
Se realiza una plataforma de gestión que asegure que las estrategias de segu-
ridad de la información estén alineadas con el tratamiento de la información
(datos estadísticos).
A través del Sistema de Seguridad de Información se busca desarrollar un sis-
tema a través del cual la Comandancia de la Fuerza de Submarinos pueda con-
trolar e integrar la seguridad de información en un contexto de la tecnología
de información.
El Sistema de Seguridad de Información comprende el desarrollo e integración
de una estructura administrativa y de organización, con reporte de los proce-
sos que abarcan todos los aspectos de un programa de seguridad exitoso, lo
cual permitirá una administración de negocios efectiva, y que a su vez admi-
nistre y gestione los riesgos relacionados.
Las principales tareas que se deben desarrollar dentro de un Sistema de Segu-
ridad de Información son:
• Desarrollar una estrategia de seguridad de información que le de soporte a
las comunicaciones entre los Departamentos y/o oficinas dentro de la Co-
mandancia de la Fuerza de Submarinos.
• Obtener el apoyo y compromiso de la Comandancia General de Operacio-
nes del Pacifico así como de la Dirección de Telemática de la Marina.
• Definir claramente los roles y responsabilidades en lo relacionado a la segu-
ridad de información dentro de la Comandancia de la Fuerza de Submari-
nos.
• Identificar las actuales normas como Directivas, Ordenes Internas a las que
se encuentra sujeta la Comandancia de la Fuerza de Submarinos, evaluan-
do la manera como pueden afectar la gestión de la seguridad de informa-
ción.
• Elaborar una política de seguridad de información en la Comandancia de la
Fuerza de Submarinos.
• Desarrollo de normas y procedimientos que den soporte a las políticas de
seguridad de información.
De esta manera el Sistema de Seguridad de Información se convierte en una
serie de actividades que buscan asegurar que los activos de información cuen-
ten con un nivel de protección acorde con el valor.
Para que la seguridad de información sea efectiva debe direccionar los proce-
sos íntegramente. Para asegurar que todos los elementos relevantes de segu-
ridad sean conducidos en una estrategia de seguridad organizacional, las sec-
30
ciones del ISO 27001:2005 pueden ser útiles como plataforma base. Normas y
procedimientos se deben desarrollar.
Cuando un Sistema de Seguridad de Información es apropiadamente imple-
mentado debe dar como resultado:
ALINEAMIENTO ESTRATÉGICO:
Requerimientos de seguridad implementados de acuerdo a las necesidades
de la Comandancia de la Fuerza de Submarinos, los cuales brindan una
guía de lo que debe realizarse y una medida de cuando se logró.
Soluciones de seguridad a la medida de los procesos, las cuales toman en
cuenta la cultura, estilo de administración, tecnología y estructura de la or-
ganización.
Inversiones en seguridad de información alienadas con la estrategia del ne-
gocio.
ENTREGA DE VALOR:
Un conjunto de prácticas estándar de seguridad, requerimientos base de
seguridad que siguen prácticas adecuadas y proporcionales al riesgo.
Soluciones completas que abarcan toda la organización, procesos y tecno-
logía.
Un continuo mejoramiento de la cultura basado en el entendimiento de que
la seguridad es un proceso.
ADMINISTRACIÓN DE RIESGOS:
Entendimiento colectivo del perfil de riesgo de la organización en relación a
sus amenazas y vulnerabilidades.
Conocimiento de las prioridades en la administración de riesgos basadas en
las consecuencias potenciales.
MEDIDA DEL DESEMPEÑO:
31
Conjunto de métricas definidas y aceptadas, las cuales se encuentran apro-
piadamente para la Comandancia de la Fuerza de Submarinos.
Proceso de medición para identificar brechas y brindará retroalimentación
del progreso que se vaya obteniendo.
Los activos digitales comprometen la mayor parte del valor de una organiza-
ción. Debe existir un esfuerzo por reconocer esta situación y priorizar la pro-
tección de estos activos.
COMPROMISO DE LA DIRECCION DE TELEMATICA DE LA MARINA
Obtener el compromiso como respaldo a la seguridad de información es impe-
rativo para el éxito de sus actividades. Cualquier iniciativa que afecte a tantas
personas y tantos procesos de negocio no puede tener éxito sin el soporte y
respaldo de la administración gerencial.
Es imperativo que la Dirección de Telemática de la Marina como Organo Técni-
co vea a la seguridad de información como un tema muy serio y brinde los re-
cursos apropiados. Es ella la que debe aprobar la estrategia de seguridad plan-
teada. Para ello, dicha Dirección deberá capacitar a los Técnicos en temas de
alto nivel relacionados a la seguridad de información.
La Dirección de Telemática debe tener un compromiso en los siguientes aspec-
tos:
• Implementando altos estándares de gobierno corporativo.
• Tratando a la seguridad de información como un aspecto crítico y creando
un ambiente positivo de seguridad.
• Implantando principios fundamentales implementando controles que sean
proporcionales al riesgo y señalando responsabilidades individuales.
La Dirección de Telemática debe demostrar su compromiso con la seguridad
de información de la siguiente manera:
• Involucrándose directamente en decisiones de alto nivel relacionadas a la
seguridad de información.
• Ejerciendo un control a alto nivel.
• Destinando recursos necesarios.
• Revisando periódicamente la efectividad de la seguridad de información.32
ROLES Y RESPONSABILIDADES
Asegurar que las definiciones de los roles y responsabilidad es dentro de la ins-
titución incluyan actividades de gestión de seguridad de información. Es im-
portante que se encuentren claramente definidas en el manual de organiza-
ción y funciones de cada Dependencia las cuales deben asegurar los siguien-
tes aspectos:
• Las Dependencias de la Marina de Guerra del Perú con respecto a la seguri-
dad se rigen de acuerdo a las normas establecidas por la Dirección de Tele-
mática de la Marina.
• En las Dependencias de la Marina debe existir un esfuerzo coordinado entre
el personal de sistemas, redes, recursos humanos, operaciones, auditoría
interna y otro grupo que se considere necesario.
• Identificación de objetivos de protección consistentes con el plan estratégi-
co institucional.
• Identificación de elementos clave de seguridad.
• Políticas, estándares y procedimientos globales sean desarrollados e imple-
mentados para asegurar el mantenimiento de la seguridad.
• Identificación de controles de seguridad apropiados.
• Implementación coordinada de los controles con el personal de administra-
ción de procesos.
• Todos los planes de capacitación sean implementados de tal forma que in-
cluyan sesiones para todos los niveles del negocio, incluyendo ejecutivos,
técnicos, analistas, consultores, personal de soporte, etc.
CANALES DE COMUNICACIÓN.
Establecer canales de comunicación asegurando el buen desempeño de sus
actividades.
Con la finalidad de emplear una metodología de reportes en base a métricas,
el administrador de seguridad de información debe identificarlas de acuerdo a
la realidad además de relacionarlas con la seguridad integral de información
de la institución, y buscar una manera de medirlas.
En el siguiente cuadro se presentan algunas métricas que pueden dar una
Base para desarrollar otras de acuerdo a la realidad. Se mencionan sus venta-
jas y desventaja.
33
MÉTRICA VENTAJAS DESVENTAJAS
Vulnerabilidades deSistemas
Identifica las vulnerabilidadesreales de un sistema quepueden ser explotadas
No tiene en cuenta laaccesibilidad del sistema, ypor tanto el riesgo de que lavulnerabilidad realmenteafecte
Violación a las políticasde configuración
Identifica cómo losAdministradores configuran los sistemas.
No identifica el potencialpara una penetraciónExitosa.
Número de empleados enUn programa de capacitación.
Identifica que tan bien losempleados siguen lasDirectivas en el curso de capacitación.
No muestra si losempleados ponen enPráctica lo aprendido.
Intentos fallidos deAcceso a sistemas o archivos electrónicos.
Identifica una potencial amenaza
No toma en cuentaAccidentes o errores.
POLÍTICAS DE SEGURIDAD DE INFORMACIÓN
La tarea de establecer y mantener las políticas de seguridad de información
corresponde al administrador de seguridad de información, quien debe imple-
mentar procesos para lograr ello. Se deben considerar ser revisados con regu-
laridad para asegurar se mantengan actualizados ante cualquier cambio (tec-
nológico, organizacional, de procesos, etc.).
Se debe formalizar la periodicidad de revisión de las políticas y los criterios
para dicha revisión. Además éstas deben alinearse apropiadamente a los obje-
tivos de Institucionales. Algunos métodos para lograr este último propósito se
citan a continuación.
• Determinar si las inversiones en seguridad de información son
proporcionales.
• Determinar la clasificación de la información requerida para la institución,
con la finalidad de implementar las políticas necesarias.
34
• Determinar si las políticas de seguridad han sido adecuadamente
diseñadas, implementadas y reforzadas para proteger la información de la
institución.
SER REFORMULADAS CADA VEZ QUE CAMBIA LA TECNOLOGÍA
Las políticas deben centrarse en las necesidades del negocio y deberían dar
respuesta a preguntas clave como:
• ¿Qué información se administrará?
• ¿Qué tan confidencial es la información?
• ¿Qué tan importante es la integridad de la información?
• ¿Qué controles deben implementarse para la gestión de la información?
• ¿Cuál es el nivel de riesgo aceptable para la institución?
Un programa de seguridad de información integral puede incluir los siguientes
elementos esenciales:
• Políticas: Enunciados de alto nivel en concepto y extensión.
• Estándares: Métricas o procesos usados para determinar si los
procedimientos cumplen con los requerimientos de las políticas.
Generalmente un estándar debe brindar los parámetros y límites
suficientes de tal manera que un procedimiento no ambiguo cumpla con los
requerimientos de una política relevante.
• Procedimientos: Contienen pasos detallados necesarios para cumplir
tareas específicas. Deben contener las salidas esperadas y mostrar las
condiciones necesarias para la adecuada ejecución del procedimiento.
Asimismo deben contener los pasos necesarios para resultados
inesperados. Deben ser exactos y no ambiguos.
• Guías: Contienen información que ayudarán en la ejecución de los
procedimientos. Pueden incluir sugerencias y ejemplos, explicaciones de
los Procedimientos, información de apoyo, herramientas que se pueden
usar, etc.
35
MISIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La misión de la seguridad de la información se caracteriza por la preservación
de:
• CONFIDENCIALIDAD: La información está protegida de personas no
autorizadas.
• INTEGRIDAD: La información está como se pretende, sin modificaciones
inapropiadas.
• DISPONIBILIDAD: Los usuarios tienen acceso a la información y a los
activos asociados cuando lo requieran.
La organización deberá realizar la mejora continua de la seguridad de la
información a través del uso de las políticas de seguridad, los objetivos de
seguridad, resultados y análisis de los monitoreos realizados. Para esto deberá
implementar acciones
36
• Denominadas correctivas (medidas tendientes a eliminar no conformidades
detectadas)
• Denominadas preventivas (medidas orientadas a eliminar potenciales no
conformidades).
Como conclusión podemos decir que este estándar contiene los elementos
necesarios para tener en operatividad la seguridad de la información,
estableciendo qué pasos debe seguir una organización que pretende cumplir
este estándar, lo cual abarca aspectos de planificación, implementación,
control y mejora de los procesos involucrados
FUNCIONES
Asegurar que las definiciones de los roles y responsabilidades dentro de la ins-
titución incluyan actividades de gestión de seguridad de información. Es im-
portante que se encuentren claramente definidas en el manual de organiza-
ción y funciones deben asegurar los siguientes aspectos:
• La línea de reporte debe direccionar a un jefe de sistemas. Mientras mayor
sea el nivel del jefe de sistemas, será más conveniente pues tendrá la
influencia necesaria para asegurar que sus administrados implementen la
seguridad de información.
• Debe existir un esfuerzo coordinado entre el personal de sistemas, redes,
recursos humanos, operaciones, departamento legal y otro grupo que se
considere necesario.
• Identificación de objetivos de protección consistentes con el plan
estratégico institucional.
• Identificación de elementos clave de seguridad.
• Políticas, estándares y procedimientos globales sean desarrollados e
implementados para asegurar el mantenimiento de la seguridad.
• Identificación de controles de seguridad apropiados.
• Implementación coordinada de los controles con el personal de
administración de procesos.
• Todos los planes de capacitación sean implementados de tal forma que
incluyan sesiones para todos los niveles del negocio, incluyendo ejecutivos,
técnicos, analistas, consultores, personal de soporte, etc.
PLAN ESTRATÉGICO37
El desarrollo de una estrategia de seguridad de información como soporte para
la estrategia de negocios es una tarea vital, dado el volumen de información
que maneja de sus clientes. Su desarrollo debe realizarse por el administrador
de seguridad de información, el cual tendrá un papel primordial en el sistema
de seguridad de información. Los procesos de tecnología de información se ha-
llen alineados con los procesos de negocios.
De esta manera la seguridad de información se convierte en parte integral
dela entidad corporativa.
Un conjunto de objetivos de seguridad, procesos, herramientas y técnicas
constituyen conjuntamente una estrategia de seguridad.
Brindar soporte a los objetivos de negocio y maximizar el valor entregado a los
usuarios.
Además, una estrategia de seguridad debe combinar, de la mejor manera,
prácticas de seguridad en cada proceso y área de negocio. La capacitación y
educación es primordial en la estrategia, pues la seguridad es a menudo débil
al nivel del usuario final: es en este nivel que se deben desarrollar metodolo-
gías y procesos que permitan a las políticas, estándares y procedimientos ser
fáciles de seguir, implementar y monitorear.
La propuesta de seguridad en capas de nivel de control se presenta definién-
dose lo que cada capa busca controlar:
DEFENSAS EN CONTRA DE COMPROMISO DE LOS SISTEMAS
POLÍTICAS, ESTÁNDARES,PROCEDIMIENTOS Y
TECNOLOGÍA
Prevención
AutenticaciónAutorizaciónEncriptamientoFirewallsEtiquetado/ manipuleo/retenciónAdministraciónSeguridad FísicaPrevención de IntrusosEscaneo permanente de virusSeguridad PersonalCapacitación
Contención
AutorizaciónPrivacidad de informaciónFirewalls/ seguridad de dominiosSegmentación de redesSeguridad Física
38
Detección/notificación
MonitoreoMétricasAuditoriaDetección de intrusosDetección de virus
Reacción
Respuesta ante incidentesPolítica/procedimiento de cambiosMecanismos adicionales deseguridadNuevos/mejores controles
Recolección de evidencias/ Rastreo de
Eventos
AuditoriaMonitoreo/ GestiónNo RepudioAnálisis Forense
Recuperación/ RestituciónRespaldosContinuidad de Negocios/ Plan deRecuperación de Desastres
Los elementos que se incluyen en una estrategia de seguridad son:
• Enlaces con la estrategia de negocio: todas las decisiones deben ser
filtradas en el modelo de negocios. Es imprescindible la participación de la
administración a nivel gerencial.
• Mejores prácticas: Para ello debe realizarse una medida apropiada del valor
de activos que quiere protegerse, y analizar si las medidas que se tomen
no son más costosas que los mismos activos.
• Políticas: deben ser formales, más aún siendo esto normado por el ente
regulador. Todas las políticas y procedimientos deben documentarse,
comunicados y actualizados con la regularidad apropiada.
• Estándares: deben desarrollarse para proporcionar las métricas necesarias
que evalúen si un procedimiento o práctica particular cumple con las
políticas establecidas. A su vez los estándares son importantes para los
propósitos de brindar una base para la auditoria de sistemas.
• Autenticación: es el proceso de establecer la identidad de un usuario de un
sistema de información.
• Administración: gestionar y administrar todas las actividades requieren un
esfuerzo significativo. Una función efectiva de seguridad requiere una
adecuada administración de sus políticas de privacidad, autenticación,
autorización y recuperación de procesos.
39
• Servicios de Soporte: cumpla con todos los requerimientos para las
númerosas actividades y proyectos.
• Tecnología: existen muchas tecnologías con los mecanismos de seguridad
necesarios para una estrategia exitosa. Entre ellas se puede citar:
o Tecnología Firewall.
o Tecnología de intrusión y detección de intrusos.
o Tecnología antivirus.
o Tecnología de encriptamiento.
o Tecnología de acceso remoto.
El uso e interrelación de mecanismos de seguridad deben ser definidos por
una arquitectura de seguridad que implemente los requerimientos de las políti-
cas previamente establecidas
PLAN OPERATIVO
MISIÓN DE LA SEGURIDAD INFORMATICA
Misión de la Gerencia Informática es gestionar las tecnologías de información
para el logro de los objetivos y metas de la Institución, brindando mejores pro-
cesos con soluciones integrales a medida y de calidad sostenible.
VISIÓN DE LA SEGURIDAD INFORMÁTICA
Visión de la Gerencia Informática mediante el uso permanente de los avances
tecnológicos de información y comunicaciones, forjando una visión de lideraz-
go asumiendo una posición de una seguridad eficaz
TECNOLOGÍA
El sector tecnológico consta de equipos informáticos tales como:
SIGLAS PC
COMP01 Dual Core 2.26ghz Memoria Ram 1gb ddr2 Disco duro de 160gb
40
Placa HP Monitor 17 pulgadas LCD Teclado y mouse HP PS/2
AREA CANTIDAD PC
COMFASUB 3 Comp01
JEMSUB 2 Comp01
PERSONAL 3 Comp01
INTELIGENCIA 2 Comp01
OPERACIONES 8 Comp01
LOGISTICA 3 Comp01
COMUNICACIO-NES
7 Comp01
SECRETARIA GE-NERAL
5 Comp01
SISTEMAS 2 Comp01
TOTAL 35 Comp01
SITUACIÓN
SITUACIÓN ACTUAL - RECURSOS HUMANOS (Oficina de Sistemas)
Nº CARGOS CANTIDAD1 Técnico en Informática 2
SITUACIÓN ACTUAL-RECURSOS TECNOLÓGICOS E INFORMÁTICOS
EXISTENTES
Nº HARDWARE CANTIDAD
41
1 Impresoras 92 Scanner 3
Nº SOFTWARE CANTI-DAD
Sistemas Operativos1 Windows XP 35
De Oficina2 Office 2007 35
SITUACIONES ACTUALES
SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL DEBILIDADES
Nº LISTADO DE DEBILIDADES1 Cualquier cambio a los Sistemas deberá comunicarse a
DIRTEL.2 Falta de recursos humanos capacitados en Seguridad In-
formática3 No se cuenta oportunamente con los recursos suficien-
tes para una actualización tecnológica permanente
SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL FORTALEZAS
Nº LISTADO DE FORTALEZAS1 Personal con experiencia en temas de soporte de Pc’s
SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL AMENAZAS
Nº LISTADO DE AMENAZAS
1Que no se obtengan los recursos suficientes para financiar las inversiones necesarias que faltan para asegurar la esta-bilidad del servicio informático
SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL OPORTUNIDADES
Nº LISTADO DE OPORTUNIDADES1 Buena imagen ante la comunidad
2Desarrollo de procesos en base a nuevas tecnologías de la información
ALINEAMIENTO
ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS SECTORIALES
Nº LISTADO DE OBJETIVOS
42
1Cumplir con desarrollar nuestras actividades según nuestro Plan Estratégico Institucional.
2 Cumplir los postulados de la Norma ISO 27001.
ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS
INSTITUCIONALES
Nº LISTADO DE OBJETIVOS
1Ser una administración moderna que brinde servicios de cali-dad
2Modernización institucional fortalecimiento y consolidando los sistemas estadísticos
ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS ESPECÍFICOS
Nº LISTADO DE OBJETIVOS
1Programa de mantenimiento preventivo y correctivo de PCs e Impresoras más configuración de equipos
2 Soporte y Servicio de Redes
3Servicio de Internet, Extranet, Portal Web, Comunicaciones, Cableado Estructurado y Seguridad Informática
ESTRATEGIA
ESTRATEGIA PARA EL LOGRO DE LAS METAS DEL PLAN OPERATIVO
INFORMÁTICO
Nº LISTADO DE ESTRATEGIAS
1Continuar con el reemplazo de equipos obsoletos, según lo per-mita los recursos asignados
2Capacitación de nuestro personal informático por medio de las empresas proveedoras más representativas y entidades especia-lizadas.
ALCANCES
Activos de Información y sus Respectivos Propietarios
Activos de Información Propietarios
1.- Datos de cada Departamento y/o
OficinaDepartamento y/o Oficinas
2.- Backup Departamento y/o Oficinas
Tasación de activos de información
Donde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5
“muy alto”. En la Tabla 2, se observa la asignación de valores de los activos en
43
cuanto a su confidencialidad, integridad y disponibilidad. El campo Total se
obtiene de la suma de los puntos asignados al activo dividido entre 3.
Activos de
Información
Confidencialida
dIntegridad
Disponibilida
d
Tota
l
Datos de cada
Departamento y/o
Oficina
5 3 3 4
Backup 4 3 3 3
Los activos de la información son los datos estadísticos en general alojados en
las áreas de la empresa como base datos (folleto, encuestas, actas, índice del
precio de consumidor), copias de respaldo y equipo de cómputo.
Se clasifica los valores de los activos de información en base a la misión de la
seguridad de información: confidencialidad (proteger), integridad (información
consolidada) y disponibilidad (acceso) en la ponderación es el resultado de la
suma de ellos entre 3 para ver el grado de misión que existe.
Es importante conocer donde se encuentra el ENEI-ICA, en cuanto al nivel de
seguridad. No se puede hacer una buena gestión si se desconoce qué se tiene
que gestionar.
RIESGOS
Es importante clasificar las amenazas para facilitar su ubicación pueden
clasificar en:
44
Las amenazas se pueden originar por eventos o fuentes accidentales o
intencionales.
1. (F) Robo o destrucción de los activos
2. (N) Naturales (inundaciones, terremotos, incendios)
3. (HW) Dispositivos para ultraje de información
4. (SW) Programa ,spam , virus
5. (MA) Discos externos, memoria USB.
6. (CO) intercepción telefónica
7. (H) Humanas (pérdida de clave personal)
Cálculo de Amenazas y Vulnerabilidades
Donde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5
“muy alto”
Activos AmenazasProbabilidad
OcurrenciaVulnerabilidad
Posible
Explotación de
Vulnerabilidad
Total
A1
F
N
SW
MA
H
1
2
3
4
1
V1
V1
V2
V4
V1
2
2
3
4
1
2
2
3
4
1
A2
F
N
SW
MA
H
1
2
3
4
1
V1
V1
V2
V4
V1
2
2
3
4
1
2
2
3
4
1
45
Con el análisis del riesgo se pretende identificar y calcular los riesgos basados
en la identificación de los activos, en el cálculo de las amenazas y sus
vulnerabilidades.
La organización debe decidir qué método va a usar para hacer el cálculo del
riesgo. El método aquí recomendado provee un medio para poder priorizar los
riesgos e identificar aquellos otros riesgos que son más problemáticos para la
organización.
Método para el Cálculo del Riesgo
Donde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5
“muy alto”
Activos Amenaza
Impacto
de la
Amenaza
Posibilidad
de
Ocurrencia
Medición
del RiesgoPriorización
A1 4 4 4 4 4
A2 3 5 2 2 3
Escala de riesgo para evaluar su importanciaDonde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5
“muy alto”
Riesgo Criterios para Evaluar la Importancia del Riesgo
Activos
Amenazas Impacto Económico
Tiempo de recuperación
Probabilidad de
Ocurrencia
Probabilidad de
interrumpir actividades
Total
A1 4 4 3 3 5 3
A2 3 4 3 3 5 4
TRATAR EL RIESGO
Ya realizado el análisis y evaluación de riesgo, se debe decidir cuáles son las
acciones que se han de tomar respectos a estos activos que están sujetos a
probabilidad de ser atacados. Estos riesgos, de acuerdo a ISO 27001:2005, se 46
pueden manejar aplicando controles para la detección y prevención, y de esa
manera reducir la inseguridad.
Se propone usar los siguientes criterios
Impacto económico
Tiempo de recuperación de la organización, área, departamento o direc-
ción
Posibilidad de ocurrencia del riesgo
Posibilidad de interrumpir las actividades
Plan de Tratamiento del Riesgo
Áreas Actividades Control Activo
Responsable
DEPARTAMENTOS
INDICADOR1INDICADOR2
INDICADOR3 INDICADOR4
ContinuoA1A2
ING. BECERRA MAYTA CESARING. CABRERA GARCIA CESAR
ING. MAGAÑO MACHALLA JOSE LUIS
47
Recommended