Download docx - MGP Planificacion

“AÑO DE LA INVERSION PARA EL DESARROLLO RURAL Y LA SEGURIDAD ALIMENTARIA”

MAESTRIA EN INGENIERIA SEGURIDAD INFORMATICA

CURSO FUNDAMENTOS DE LAS TICS

DOCENTEDR. OSWALDO PELAES LEON

CICLO I

2013-2

TEMASISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

EN LA ETAPA DE PLANIFICACION.CASO COMANDANCIA DE LA FUERZA DE

SUBMARINOS - MGP

INTEGRANTES

ING. BECERRA MAYTA CESARING. CABRERA GARCIA CESAR

ING. MAGAÑO MACHALLA JOSE LUIS

AÑO 2013

INDICE

INTRODUCCION..................................................................3

MISION MGP.......................................................................4

VISION MGP........................................................................4

ORGANIGRAMA...........................................................................5

COMANDANCIA DE FUERZA DE SUBMARINOS....................6

UNIDADES SUBMARINAS..................................................12

ESCUELA DE SUBMARINOS...............................................15

CAPACITACION ACADÈMICA.............................................16

ANALISIS DE LAS TI..................................................................17

PLAN SGSI........................................................................20

GESTION DE RIESGOS PARA LOS STI................................22

METODOLOGIA DE ANALISIS DE RIESGO OCTAVE............29

SISTEMA DE SEGURIDAD DE LA INFORMACION COMFASUB30

PLAN OPERATIVO.............................................................41

RIESGOS...........................................................................45

INTRODUCCION

La Marina de Guerra del Perú, es una institución surgida en el contexto del

proceso de independencia.

La Marina de Guerra del Perú es el órgano de ejecución del Ministerio de

Defensa, encargado de la defensa marítima, fluvial y lacustre. Forma parte de

las Fuerzas Armadas y como tal integra el Comando Conjunto de las Fuerzas

Armadas del Perú, se encuentra ubicado en la Av. Contralmirante Mora S/N

Callao.

En la actualidad la Marina de Guerra del Perú no es ajena los cambios

tecnológicos, es por ello que cuenta con la Dirección de Telemática la cual es

el encargado de Planear, normar, dirigir, operar y evaluar los Sistemas de

Comunicaciones e Informática de la Marina de Guerra del Perú, con la finalidad

de garantizar a las Unidades y Dependencias enlaces seguros e invulnerables,

los cuales interconectados mediante sistemas de procesamiento de

información contribuyen a la eficiencia en la toma de decisiones y al ejercicios

oportuno y efectivo del comando.

Desde el año 2010, la Dirección de Telemática enfrentó el reto de recuperar el

liderazgo Institucional en las áreas de Comunicaciones e Informática,

principalmente en base a un cambio en la mente de sus integrantes.

En ese sentido, se han logrado importantes avances, aunque queda un

importante tramo por recorrer en el camino hacia la excelencia en el servicio

que prestamos a nuestra institución.

MISIÓN DE LA MGP

3

"Ejercer la vigilancia y protección de los intereses nacionales en el ámbito

marítimo, fluvial y lacustre, y apoyar la política exterior del Estado a través del

Poder Naval; asumir el control del orden interno, coadyuvar en el desarrollo

económico y social del país y participar en la Defensa Civil de acuerdo a ley;

con el fin de contribuir a garantizar la independencia, soberanía e integridad

territorial de la República y el bienestar general de la población".

VISIÓN DE LA MGP

"Poder Naval capaz de actuar con éxito donde lo requieran los intereses

nacionales"

ORGANIGRAMA

4

COMANDANCIA DE FUERZA DE SUBMARINOS

HISTORIA

5

El primer sumergible en la historia de la Marina de Guerra del Perú fue

concebido por el ingeniero Federico Blume Othon en 1866 y construido en

Piura el año 1879. Exitosas pruebas en Paita y el Callao demostraron que era

posible navegar bajo superficie con un triple sistema de propulsión que

incorporaba la acción humana, máquina a vapor y botellas de aire comprimido.

Lamentablemente, el desenlace de la Guerra del Pacífico no permitió utilizarlo

con éxito y se debió hundir en enero de 1881.

Muchos de los oficiales que combatieron en la Guerra del Pacífico y que

conocieron la versatilidad del bote submarino de Blume apostaron por adquirir

sumergibles treinta años más tarde. A principios de la década de 1910 el Perú

ordenó la construcción de dos sumergibles tipo Labeuf en Francia, unidades

que antes de la Primera Guerra Mundial sólo poseían las potencias navales. Por

ello la tradición submarinista en nuestro país se inicia cuando el 19 de agosto

del año 1911 se recepciona en los astilleros franceses Scheneider du Chalons,

Sur Saone, los sumergibles Ferré y Palacios, nombres que evocan a Diego

Ferré Sosa y Enrique Palacios Mendiburu oficiales que sirvieron a bordo del

monitor Huáscar y que con su comandante Miguel Grau murieron en el

combate de Angamos el 8 de octubre de 1879.

Los sumergibles Ferré y Palacios tenían un desplazamiento de 300 y 400

toneladas respectivamente y contaban con 1 tubo lanzatorpedos en proa,

motores diésel Scheneider Carels con una potencia nominal de 400 y 200 H.P.

para cada unidad, velocidad 12 y 9 nudos en superficie y 7 y 5 nudos en

inmersión. Radio de acción: 2,000 millas a 10 nudos. Dotación: 19 hombres.

En el año 1926 se incorporaron en nuestra flota los submarinos tipo “R”

construidos por The Electric Boat Co. de Groton, Connecticut, Estados Unidos

de América, entregándose inicialmente en abril de 1926 el R1 y en mayo de

1928 el último de la serie: el R4. Las dos primeras unidades serían bautizadas

6

como BAP Casma y BAP Islay. Los R3 y R4 recibieron los nombres BAP Pacocha

y BAP Arica.

Las características principales de estos submarinos eran las siguientes:

desplazamiento en superficie 576 toneladas, en inmersión 755 toneladas.

Propulsión: 2 máquinas principales diésel Nelseco y motores eléctricos con una

potencia nominal de 1,000 H.P. Eslora 186.5 pies, manga 17.5 pies, calado 15

pies. Velocidad en superficie 14.5 nudos y en inmersión 9.5 nudos. Armamento

4 tubos lanzatorpedos en proa un montaje simple de 3 pulgadas en cubierta.

Radio de acción a velocidad económica 8,000 millas. Dotación: 30 hombres.

Los flamantes buques conformaron la primera División de Submarinos,

verdadera viga maestra de una escuela que en el transcurso de 30 años,

formalizó instrucción, entrenamiento y experiencia, concatenando así en su

conjunto una formación profesional que da a los submarinistas peruanos lugar

de especial reconocimiento profesional en el mundo.

Es del caso recordar lo que el periódico The New London Day publicó el 21 de

abril de 1928 respecto a uno de estos buques: The `R-3’ at the time is skidded

down the ways, was the fines and most modern submarine in the world,

huelgan comentarios en relación a este importante dato que recogiera el

contralmirante Federico Salmón de la Jara el año 1950 con motivo del retorno

de los submarinos tipo R a los astilleros de su construcción, es importante

capítulo de la historia submarinista nacional. Con el Almirante Salmón -por

entonces capitán de fragata- integraron la Comisión oficiales de singular

prestigio como: los capitanes de corbeta Luis E. Vargas Caballero, Miguel

Rotalde, Alfredo Batistini, Carlos Llosa, Luis López de Castilla y con ellos los

tenientes primero: Ramón Arróspide, Luis E Villena, Manuel Piqueras, Enrique

Gamero, Gastón Herrera y Luis Vargas B. (SN). tenientes segundo: Pedro

Mazuré, Francisco Mariátegui, Juan Egúsquiza, Pedro Gálvez U., Antonio

7

Miranda, Luis Díaz, Hugo Sommerkamp, Enrique Fernández Dávila, y Enrique

Alejandro Marchini. Las dotaciones de los buques y Comandancia de la División

prestaron, todos ellos y su personal subalterno, patriótico e invalorable

servicio a la nación, labor plural a la que se sumaron en New London el

teniente primero Alberto Indacochea Queirolo y el teniente primero Francisco

Quiroz Tafur.

Constituyó un tercer hito, en los últimos años de la década del 50, dentro de

los planes de renovación de unidades navales, la adquisición de nuevos

submarinos tipo “Sierra”: BAP 2 de Mayo, BAP Abtao, BAP Angamos y BAP

Iquique que fueron construidos también en los astilleros de The Electric Boat

Co., Groton, Connecticut, de los Estados Unidos. Estos buques desplazaban

825 toneladas en superficie y 1,400 toneladas en inmersión. Propulsión:

máquinas principales 2 motores diésel General Motors 278A y motores

eléctricos acoplados a dos ejes con una potencia nominal de 2,400 HP.

Armamento: 4 tubos lanzatorpedos de 21 pulgadas en proa y 2 en popa, un

montaje simple de 5 pulgadas en cubierta (sólo en los submarinos 2 de Mayo y

Abtao). Eslora: 243 pies, manga 22 pies, calado 14 pies. Velocidad: 16 nudos

en superficie y 10 nudos en inmersión. Radio de acción: 5,000 millas a 10

nudos. Dotación: 40 hombres.

Inicialmente los nombres de estos buques fueron Lobo, Tiburón, Atún y Merlín,

se mantuvieron en servicio durante cuarenta años y consolidaron una tradición

que hace bien a la espiritualidad submarinista de nuestra Marina de Guerra.

Hoy el BAP Abtao constituido en Museo Submarino, único de su tipo en

América del Sur, rinde implícito homenaje a la saga submarinista que integró.

El año 1974 se adquirió de la Marina de los Estados Unidos de América dos

submarinos tipo “Guppy”. Las características principales de estas unidades

bautizadas con los nombres Pacocha y La Pedrera eran las siguientes:

8

desplazamiento en superficie 1,870 toneladas, en inmersión 2,440 toneladas.

Propulsados por 3 motores diésel en superficie con una potencia nominal de

4,800 H.P y dos motores eléctricos en inmersión para 5,400 H.P. acoplados a

dos ejes. Armamento: 6 tubos lanzatorpedos de 21 pulgadas en proa y 4 en

popa. Eslora: 93.8 metros, manga 8.2 metros y calado 5.2 metros. Velocidad:

18 nudos en superficie y 15 nudos en inmersión. Dotación: 85 hombres.

La presencia de estas unidades en nuestra Marina significó importantes tareas

de acondicionamiento que realizó el Servicio Industrial de la Marina y el propio

personal submarinista cuyas virtudes en el aspecto técnico quedaron

demostradas en la operatividad alcanzada, especialmente en el caso del BAP

Pacocha. Justamente esta unidad protagoniza en la larga historia de los

submarinos peruanos y los hombres que sirven a bordo, dramático episodio

que tuvo lugar el 26 de agosto de 1988 cuando el barco pesquero Kyowa Maru

embistió el Pacocha por la aleta de babor a las 18:40 horas de aquel día

ocasionando que el buque se fuera a pique. Murieron ocho marinos aquella

tarde de agosto: capitán de fragata Daniel Nieva Rodríguez, teniente segundo

Luis Roca Sara, técnico 2do. Orlando Valdez Pacheco, técnicos 3ro. Carlos

Orosco León, Rigoberto Gonzales Pisfil y Walter García Morales, oficial de mar

lro. Juan Oré Rojas y oficial de mar 2do. Carlos Grande Rengifo.

Durante once meses, desde el 30 de agosto de 1988 hasta el 23 de julio de

1989, la Marina peruana realizó un trabajo de salvamento que tiene en sí

mismo un significado (…) heroico. Porque se puede ser héroe también,

trabajando infatigablemente en demanda de un objetivo en tiempo de paz. La

operación de reflotamiento del BAP Pacocha, constó de seis fases que se

iniciaron con una preliminar de inspección y evaluación para terminar en la

fase de soplado final.

9

“Ciento cincuenta hombres, setenta de ellos buzos pertenecientes al Servicio

de Salvamento laboraron ochocientas horas, doscientas de inspección

preliminar y seiscientas de buceo efectivo antes de reflotar el buque que se

encontraba a ciento diez pies de profundidad.

“Dotaciones de la Fuerza de Superficie, BAP Paita; de la Fuerza de Submarinos,

BAP Iquique; helicópteros de la Fuerza de Aviación Naval; los remolcadores

BAP Unánue, BAP Mejía y BAP Guardián Ríos participaron activamente en las

diversas tareas de reflotamiento. Especial protagonismo cupo al remolcador

BAP Dueñas que actuó como plataforma de buceo. El esfuerzo mancomunado

de los hombres junto con la eficaz administración de los recursos asignados

por la Marina, propiciaron que el domingo 23 de julio de 1989, exactamente a

las 14 horas y 35 minutos la proa del BAP. Pacocha preludiara la hazaña.

A las 16 horas y 28 minutos, el BAP Pacocha emergió y tras una pronunciada

escora a estribor, se estabilizó y quedó perfectamente bien adrizado en

superficie.

Los BAP Islay y Arica, submarinos tipo 209 construidos en los astilleros

Howaldtswerke Deutsche Werft R. G., de Kiel, Alemania arribaron al Callao en

los años 1974 y 1975, constituyendo los primeros buques de su tipo en arribar

a nuestras costas de un total de seis que incrementaron la Fuerza de

Submarinos. Al iniciarse la década del 80 arribaron dos buques más del tipo

209: BAP Casma y BAP Antofagasta. Finalmente el año 1983 arribaron el BAP

Chipana y el BAP Pisagua, completando el número de unidades previsto por la

Institución y que constituyen hoy el pilar de esta Fuerza próxima a cumplir 100

años.

Las características de los submarinos tipo 209 son: desplazamiento 1,180

toneladas en superficie y 1,285 en inmersión. La planta propulsora consta de 4

motores diésel MTU tipo 12V493AZ80 y un motor eléctrico Siemens acoplados

10

a un eje. Velocidad 11 nudos en superficie y 21 nudos en inmersión. La

autonomía a 4 nudos es 11,300 millas. Ocho tubos lanzatorpedo de 533

milímetros y capacidad para 14 torpedos filoguiados SST 4 conforman la

capacidad armamentista de estas formidables unidades. La eslora es 55.90

metros, manga 6.30 metros y calado 5.50 metros. Los sensores y sistemas de

control de tiro son de última generación. La dotación: 35 hombres.

Prueba de este prestigio son los operativos anuales internacionales que se

llevan a cabo en la costa atlántica de los Estados Unidos, donde nuestras

unidades participan en ejercicios con los buques norteamericanos.

La necesidad de efectuar un especial mantenimiento y cambio de baterías en

los submarinos tipo 209 constituyó un reto para el Servicio Industrial de la

Marina. Desde el año 1968 el astillero realiza trabajos de gran envergadura en

este tipo de naves. Basado en su larga experiencia, el SIMA ha logrado

desarrollar eficientes procedimientos que han sido utilizados incluso por otras

marinas, como fue el caso del recorrido realizado al submarino colombiano

tipo 209 Tayrona entre abril y mayo de 1997.

UNIDADES SUBMARINAS

11

12

13

ESCUELA DE SUBMARINOS

La Escuela de Submarinos es el Alma Mater de los submarinistas

peruanos y es la encargada de la preparación y formación del personal

que conformará las dotaciones de nuestras unidades submarinas. En

1915 se implementó el B.A.P. Lima para que en él se dictaran

inicialmente charlas de mantenimiento y operación de submarinos. Es en

marzo de 1939 fecha que se crea oficialmente los programas de

14

instrucción, con la infraestructura necesaria para la formación de los

futuros submarinistas. Desde que se dictó el primer curso para

submarinistas -el primero en su género en América Latina-, en esta

Escuela se han formado 147 promociones, de ellas 63 son de Oficiales de

Comando y 84 de Oficiales de Mar.

Dado el prestigio adquirido de esta escuela, en 1959 egresa la primera

promoción de Oficiales y tripulantes de la República de Venezuela; en

1972 y 1973 se gradúan las dos primeras promociones de Oficiales y

tripulantes de la República de Colombia, y también se han instruido

alumnos becados de Brasil y Argentina. Por la vasta trayectoria de este

centro de estudios navales, repúblicas hermanas siguen enviando

oficiales para su capacitación en nuestro país.

La Escuela de Submarinos se encuentra ubicada en el área de la Estación

Naval de Submarinos, cuyo local fue inaugurado en diciembre de 1989, el

cual está dotado de amplias aulas y con la infraestructura que facilita una

adecuada instrucción a sus alumnos.

Capacitación académica

En la Escuela de Submarinos se imparten cursos de Calificación en

Submarinos para Oficiales y Personal Subalterno, los mismos que tienen

una duración de dos años académicos. En el primer año se desarrolla la

parte teórica del curso combinada con ejercicios prácticos en la mar. En

el siguiente se realiza a bordo de las unidades submarinas. En esta fase

15

los alumnos cumplen con las exigencias de la parte práctica. Al término,

de la intensa y ardua preparación son calificados en arma.

Adicionalmente, en la Escuela se dictan cursos de capacitación y

entrenamiento, para mantener permanentemente entrenadas a las

dotaciones de nuestros submarinos, así como estar actualizados en los

últimos desarrollos tecnológicos.

1. Mástil del radar de navegación y búsqueda de superficie calypso III.

2. Mástil del periscopio de ataque

3. Mástil de antena de mage

4. Mástil de antenas de comunicaciones

5. Mástil del snorkel

6. Mástil del periscopio de búsqueda.

Los Oficiales submarinistas, pueden calificarse en Ingeniería Mecánica,

Electrónica y Comunicaciones, Ingeniería de Sistemas y Armas

Submarinas.

Asimismo, el personal subalterno de nuestros submarinos se capacita en

distintos cursos dentro y fuera de la Marina de Guerra, en ramas como:

Electrónica, Motores, Máquinas Eléctricas, Sistemas, Electrónica digital,

Sistemas Sincronizados, Sistemas de Control y Monitoreo de ingeniería,

Principios y aplicaciones de equipos de análisis vibracional, Sistema de

Ingeniería para Submarinos, entre otros.

ANALISIS A LAS TECNOLOGIAS DE LA INFORMACIÓN

Tabla N° 1.- Antivirus desactualizado por Departamento / Oficina

Departamento / Ofici-na

Actualizado No Actualizado Total

COMFASUB 3 0 3

JEMSUB 2 0 2

16

PERSONAL 1 2 3

INTELIGENCIA 2 0 2

OPERACIONES 2 6 8

LOGISTICA 1 2 3

COMUNICACIONES 2 5 7

SECRETARIA GENERAL 2 3 5

SISTEMAS 2 0 2

TOTAL 17 18 35

Cuadro de barras de los antivirus desactualizados por

Departamento / Oficina

COMFASUB

JEMSUB

PERSONAL

INTELIGENCIA

OPERACIONES

LOGISTICA

COMUNICACIONES

SECRETARIA GENERAL

SISTEMAS

0 1 2 3 4 5 6

3

2

1

2

2

1

2

2

2

0

0

2

0

6

2

5

3

0

No ActualizadoActualizado

Figura Nro. 1.- Cuadro de barras de los sistemas de cómputo que el antivirus esta desactualizado; según Departamento/Oficina

Se observa que la Comandancia de la Fuerza de Submarinos el 51.42% de del total de sus Pc’s el antivirus se encuentra desactualizado.

Tabla N° 2.- Número de Sistemas de Cómputo que presentan anomalías en la red; según áreas


Anomalías Sin Anomalías Total

COMFASUB 3 0 3JEMSUB 2 0 2PERSONAL 0 3 3INTELIGENCIA 0 2 2OPERACIONES 2 6 8LOGISTICA 1 2 3

17

COMUNICACIONES 2 5 7SECRETARIA GENE-RAL

1 4 5

SISTEMAS 1 1 2TOTAL 12 23 35

Las anomalías de red son causa de cables deteriorados, conectores

desgastados

Cuadro de barras de los Sistemas de Cómputo que presentan anomalías en la red; según áreas

0

1

2

3

4

5

6

3

2

0 0

2

1

2

1 1

0 0

3

2

6

2

5

4

1

AnomalíasSin Anomalías

Figura Nro. 2.- Cuadro de barras de los Sistemas de Cómputo que

presentan anomalías en la red; según áreas.

Tabla N° 3.- Número de Sistemas de Cómputo con Licencia de Windows; según áreas


Licenciado No Licenciado Total

COMFASUB 1 2 3JEMSUB 1 1 2PERSONAL 0 3 3INTELIGENCIA 2 0 2OPERACIONES 2 6 8

18

LOGISTICA 0 3 3COMUNICACIONES 4 3 7SECRETARIA GENE-RAL

3 2 5

SISTEMAS 1 1 2TOTAL 14 21 35

Cuadro de barras de los Sistemas de Cómputo con Licencia de Windows; según

áreas.

0

5

10

15

20

25

Licenciado; 14

No Licenciado; 21

Figura N° 3.- Cuadro de barras de los Sistemas de Cómputo con Licencia de

Windows; según áreas.

PLAN DE SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION

DEFINICIONES

Gestión Seguridad Información ISO-27001:2005

“La información es un activo que, como otros activos comerciales

importantes, tiene valor para la organización y, en consecuencia,

necesita ser protegido adecuadamente”

19

Demuestre su compromiso con la seguridad de la información

La información mantiene un constante procesos desde el suministro a la

consolidación. Cierta información que habitualmente es utilizada para el

uso interno y exclusivo de la organización puede ser difundida

fácilmente para el conocimiento público. Este es el motivo por lo que

necesita gestionar activamente la seguridad de los sistemas de

información.

Mantenga a buen recaudo su información

La certificación de los Sistemas de Gestión de Seguridad de la

Información (SGSI) de la norma ISO 27001:2005 demostrar compromiso

con la seguridad de la información.

Beneficios de ISO 27001:2005

La reputación de ISO y la certificación de la norma internacional ISO

27001:2005 aumentan la credibilidad de cualquier organización. La

norma claramente demuestra la validez de su información y un

compromiso real de mantener la seguridad de la información. La

importancia de la seguridad, además de mejorar el nivel ético y

profesional de los empleados y la noción de la confidencialidad en el

puesto de trabajo.

Por qué SGSI?

Obtener la certificación de su Sistema de Gestión de Seguridad de la

Información con SGS ayudará a su organización a desarrollar y mejorar

el rendimiento del sistema.

Su certificado ISO 27001:2005 obtenido por SGS le permite demostrar

niveles altos en la seguridad de la información en el momento de

competir por contratos en cualquier ámbito internacional o en

actividades de expansión local con objeto de dar cabida a nuevas

actividades de negocio.

También obtendrá el beneficio de una mejora significativa en la

motivación, nivel de cumplimiento y entendimiento de la plantilla y su

responsabilidad en la seguridad de la información

20

GUÍA DE GESTIÓN DE RIESGOS PARA SISTEMAS DE TECNOLOGÍA DE LA INFORMACIÓN (NIST SP 800-30)

El NIST (National Institute of Standards and Technology) ha dedicado una serie

de publicaciones especiales, la SP 800 a la seguridad de la información. Esta

serie incluye una metodología para el análisis y gestión de riesgos de seguri-

dad de la información, alineada y complementaria con el resto de documentos

de la serie.

21

PLANEstablecer el

SGSI

HACERImplementar

y operar el SGSI

CHEQUEARMonitorear y

revisar el SGSI

ACTUARMantener y mejorar el

SGSI

Desarrollar, mantener y

mejorar el ciclo

Partes Interesadas

Requerimientos y expectativas de la seguridad de

información

Partes Interesadas

Seguridad de Información manejada

El proceso de análisis de riesgos definido en la metodología NIST SP 800-30 se

puede resumir en el siguiente gráfico [NIST800-30.02]:

Proceso de análisis de riegos de NIST SP800-30

22

El proceso de gestión de riesgos definido en la metodología NIST SP 800-30

puede resumirse en el siguiente gráfico:

Proceso de gestión de riesgo de NIST SP 800-30

JUSTIFICACIÓN POR LO QUE SE ELIGE ESTA METODOLOGÍA:

23

NombreOrigen

Descripción Organización País Año1

OCTAVEOperationally Critical Threat, Asset and Vulnerability Evaluation

Universidad deCarnegie Mellon1

EstadosUnidos

2001 -2007

CRAMMCCTA Risk Analysis andManagement Method

CCTA - Central Computing and Telecommunications Agency23

Reino Unido 2003

NIST SP800 – 30

Guía de gestión de riesgos para sistemas de tecnología de información

NIST - National Institute of Standards and Technology

EstadosUnidos

2002

IRAMInformation Risk AnalysisMethodologies

ISF – InformationSecurity Forum

Internacional(Reino Unido)

2006

CORASCOnstruct a platform for Risk Analysis of Security critical systems

SINTEF y otros.Europeo(Noruega)

2001-2007

SOMAPSecurity Officers Management & Analysis Project

SOMAP.orgInternacional

(Suiza)Beta4

FAIRFactor Analysis ofInformation Risk

Risk ManagementInsight

EstadosUnidos

2005

Tabla comparativa de metodologías de análisis de riesgos – Responsables.

24

25

26

27

28

METODOLOGIA DE ANALISIS DE RIESGO OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), es

un método de análisis de riesgos orientado a activos, desarrollado por el CERT

Coordination Center del Software Engineering Institute de la Universidad

Carnegie Mellon de Pensilvania, Estados Unidos.

En OCTAVE, los activos incluyen personas, hardware y software, información y

sistemas. Los activos se ordenan según la importancia que tienen para los

objetivos de la organización, y las posibles amenazas y vulnerabilidades

asociadas a dichos activos, así como el impacto que causaría un problema en

cada activo.

El objetivo de OCTAVE es desarrollar una perspectiva de seguridad dentro de

una organización, teniendo en cuenta perspectivas de todos los niveles para

asegurarse que las soluciones puedan implementarse con facilidad.

OCTAVE fue desarrollada pensando en empresas, está diseñada para ser

flexible y poder adaptarse a cualquier entorno.

Principales elementos de Octave:

Medidas de probabilidad considerando un rango de frecuencias.

Análisis del límite entre niveles de probabilidad.

Este proceso se divide en tres fases:

Fase 1- Construir perfiles de amenazas basados en los activos

Fase 2- Identificar vulnerabilidades en la infraestructura.

Fase 3- Desarrollar estrategias y planes de seguridad

SISTEMA DE SEGURIDAD DE INFORMACIÓN COMFASUB

29

Se realiza una plataforma de gestión que asegure que las estrategias de segu-

ridad de la información estén alineadas con el tratamiento de la información

(datos estadísticos).

A través del Sistema de Seguridad de Información se busca desarrollar un sis-

tema a través del cual la Comandancia de la Fuerza de Submarinos pueda con-

trolar e integrar la seguridad de información en un contexto de la tecnología

de información.

El Sistema de Seguridad de Información comprende el desarrollo e integración

de una estructura administrativa y de organización, con reporte de los proce-

sos que abarcan todos los aspectos de un programa de seguridad exitoso, lo

cual permitirá una administración de negocios efectiva, y que a su vez admi-

nistre y gestione los riesgos relacionados.

Las principales tareas que se deben desarrollar dentro de un Sistema de Segu-

ridad de Información son:

• Desarrollar una estrategia de seguridad de información que le de soporte a

las comunicaciones entre los Departamentos y/o oficinas dentro de la Co-

mandancia de la Fuerza de Submarinos.

• Obtener el apoyo y compromiso de la Comandancia General de Operacio-

nes del Pacifico así como de la Dirección de Telemática de la Marina.

• Definir claramente los roles y responsabilidades en lo relacionado a la segu-

ridad de información dentro de la Comandancia de la Fuerza de Submari-

nos.

• Identificar las actuales normas como Directivas, Ordenes Internas a las que

se encuentra sujeta la Comandancia de la Fuerza de Submarinos, evaluan-

do la manera como pueden afectar la gestión de la seguridad de informa-

ción.

• Elaborar una política de seguridad de información en la Comandancia de la

Fuerza de Submarinos.

• Desarrollo de normas y procedimientos que den soporte a las políticas de

seguridad de información.

De esta manera el Sistema de Seguridad de Información se convierte en una

serie de actividades que buscan asegurar que los activos de información cuen-

ten con un nivel de protección acorde con el valor.

Para que la seguridad de información sea efectiva debe direccionar los proce-

sos íntegramente. Para asegurar que todos los elementos relevantes de segu-

ridad sean conducidos en una estrategia de seguridad organizacional, las sec-

30

ciones del ISO 27001:2005 pueden ser útiles como plataforma base. Normas y

procedimientos se deben desarrollar.

Cuando un Sistema de Seguridad de Información es apropiadamente imple-

mentado debe dar como resultado:

ALINEAMIENTO ESTRATÉGICO:

Requerimientos de seguridad implementados de acuerdo a las necesidades

de la Comandancia de la Fuerza de Submarinos, los cuales brindan una

guía de lo que debe realizarse y una medida de cuando se logró.

Soluciones de seguridad a la medida de los procesos, las cuales toman en

cuenta la cultura, estilo de administración, tecnología y estructura de la or-

ganización.

Inversiones en seguridad de información alienadas con la estrategia del ne-

gocio.

ENTREGA DE VALOR:

Un conjunto de prácticas estándar de seguridad, requerimientos base de

seguridad que siguen prácticas adecuadas y proporcionales al riesgo.

Soluciones completas que abarcan toda la organización, procesos y tecno-

logía.

Un continuo mejoramiento de la cultura basado en el entendimiento de que

la seguridad es un proceso.

ADMINISTRACIÓN DE RIESGOS:

Entendimiento colectivo del perfil de riesgo de la organización en relación a

sus amenazas y vulnerabilidades.

Conocimiento de las prioridades en la administración de riesgos basadas en

las consecuencias potenciales.

MEDIDA DEL DESEMPEÑO:

31

Conjunto de métricas definidas y aceptadas, las cuales se encuentran apro-

piadamente para la Comandancia de la Fuerza de Submarinos.

Proceso de medición para identificar brechas y brindará retroalimentación

del progreso que se vaya obteniendo.

Los activos digitales comprometen la mayor parte del valor de una organiza-

ción. Debe existir un esfuerzo por reconocer esta situación y priorizar la pro-

tección de estos activos.

COMPROMISO DE LA DIRECCION DE TELEMATICA DE LA MARINA

Obtener el compromiso como respaldo a la seguridad de información es impe-

rativo para el éxito de sus actividades. Cualquier iniciativa que afecte a tantas

personas y tantos procesos de negocio no puede tener éxito sin el soporte y

respaldo de la administración gerencial.

Es imperativo que la Dirección de Telemática de la Marina como Organo Técni-

co vea a la seguridad de información como un tema muy serio y brinde los re-

cursos apropiados. Es ella la que debe aprobar la estrategia de seguridad plan-

teada. Para ello, dicha Dirección deberá capacitar a los Técnicos en temas de

alto nivel relacionados a la seguridad de información.

La Dirección de Telemática debe tener un compromiso en los siguientes aspec-

tos:

• Implementando altos estándares de gobierno corporativo.

• Tratando a la seguridad de información como un aspecto crítico y creando

un ambiente positivo de seguridad.

• Implantando principios fundamentales implementando controles que sean

proporcionales al riesgo y señalando responsabilidades individuales.

La Dirección de Telemática debe demostrar su compromiso con la seguridad

de información de la siguiente manera:

• Involucrándose directamente en decisiones de alto nivel relacionadas a la


• Ejerciendo un control a alto nivel.

• Destinando recursos necesarios.

• Revisando periódicamente la efectividad de la seguridad de información.32

ROLES Y RESPONSABILIDADES

Asegurar que las definiciones de los roles y responsabilidad es dentro de la ins-

titución incluyan actividades de gestión de seguridad de información. Es im-

portante que se encuentren claramente definidas en el manual de organiza-

ción y funciones de cada Dependencia las cuales deben asegurar los siguien-

tes aspectos:

• Las Dependencias de la Marina de Guerra del Perú con respecto a la seguri-

dad se rigen de acuerdo a las normas establecidas por la Dirección de Tele-

mática de la Marina.

• En las Dependencias de la Marina debe existir un esfuerzo coordinado entre

el personal de sistemas, redes, recursos humanos, operaciones, auditoría

interna y otro grupo que se considere necesario.

• Identificación de objetivos de protección consistentes con el plan estratégi-

co institucional.

• Identificación de elementos clave de seguridad.

• Políticas, estándares y procedimientos globales sean desarrollados e imple-

mentados para asegurar el mantenimiento de la seguridad.

• Identificación de controles de seguridad apropiados.

• Implementación coordinada de los controles con el personal de administra-

ción de procesos.

• Todos los planes de capacitación sean implementados de tal forma que in-

cluyan sesiones para todos los niveles del negocio, incluyendo ejecutivos,

técnicos, analistas, consultores, personal de soporte, etc.

CANALES DE COMUNICACIÓN.

Establecer canales de comunicación asegurando el buen desempeño de sus

actividades.

Con la finalidad de emplear una metodología de reportes en base a métricas,

el administrador de seguridad de información debe identificarlas de acuerdo a

la realidad además de relacionarlas con la seguridad integral de información

de la institución, y buscar una manera de medirlas.

En el siguiente cuadro se presentan algunas métricas que pueden dar una

Base para desarrollar otras de acuerdo a la realidad. Se mencionan sus venta-

jas y desventaja.

33

MÉTRICA VENTAJAS DESVENTAJAS

Vulnerabilidades deSistemas

Identifica las vulnerabilidadesreales de un sistema quepueden ser explotadas

No tiene en cuenta laaccesibilidad del sistema, ypor tanto el riesgo de que lavulnerabilidad realmenteafecte

Violación a las políticasde configuración

Identifica cómo losAdministradores configuran los sistemas.

No identifica el potencialpara una penetraciónExitosa.

Número de empleados enUn programa de capacitación.

Identifica que tan bien losempleados siguen lasDirectivas en el curso de capacitación.

No muestra si losempleados ponen enPráctica lo aprendido.

Intentos fallidos deAcceso a sistemas o archivos electrónicos.

Identifica una potencial amenaza

No toma en cuentaAccidentes o errores.

POLÍTICAS DE SEGURIDAD DE INFORMACIÓN

La tarea de establecer y mantener las políticas de seguridad de información

corresponde al administrador de seguridad de información, quien debe imple-

mentar procesos para lograr ello. Se deben considerar ser revisados con regu-

laridad para asegurar se mantengan actualizados ante cualquier cambio (tec-

nológico, organizacional, de procesos, etc.).

Se debe formalizar la periodicidad de revisión de las políticas y los criterios

para dicha revisión. Además éstas deben alinearse apropiadamente a los obje-

tivos de Institucionales. Algunos métodos para lograr este último propósito se

citan a continuación.

• Determinar si las inversiones en seguridad de información son

proporcionales.

• Determinar la clasificación de la información requerida para la institución,

con la finalidad de implementar las políticas necesarias.

34

• Determinar si las políticas de seguridad han sido adecuadamente

diseñadas, implementadas y reforzadas para proteger la información de la

institución.

SER REFORMULADAS CADA VEZ QUE CAMBIA LA TECNOLOGÍA

Las políticas deben centrarse en las necesidades del negocio y deberían dar

respuesta a preguntas clave como:

• ¿Qué información se administrará?

• ¿Qué tan confidencial es la información?

• ¿Qué tan importante es la integridad de la información?

• ¿Qué controles deben implementarse para la gestión de la información?

• ¿Cuál es el nivel de riesgo aceptable para la institución?

Un programa de seguridad de información integral puede incluir los siguientes

elementos esenciales:

• Políticas: Enunciados de alto nivel en concepto y extensión.

• Estándares: Métricas o procesos usados para determinar si los

procedimientos cumplen con los requerimientos de las políticas.

Generalmente un estándar debe brindar los parámetros y límites

suficientes de tal manera que un procedimiento no ambiguo cumpla con los

requerimientos de una política relevante.

• Procedimientos: Contienen pasos detallados necesarios para cumplir

tareas específicas. Deben contener las salidas esperadas y mostrar las

condiciones necesarias para la adecuada ejecución del procedimiento.

Asimismo deben contener los pasos necesarios para resultados

inesperados. Deben ser exactos y no ambiguos.

• Guías: Contienen información que ayudarán en la ejecución de los

procedimientos. Pueden incluir sugerencias y ejemplos, explicaciones de

los Procedimientos, información de apoyo, herramientas que se pueden

usar, etc.

35

MISIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

La misión de la seguridad de la información se caracteriza por la preservación

de:

• CONFIDENCIALIDAD: La información está protegida de personas no

autorizadas.

• INTEGRIDAD: La información está como se pretende, sin modificaciones

inapropiadas.

• DISPONIBILIDAD: Los usuarios tienen acceso a la información y a los

activos asociados cuando lo requieran.

La organización deberá realizar la mejora continua de la seguridad de la

información a través del uso de las políticas de seguridad, los objetivos de

seguridad, resultados y análisis de los monitoreos realizados. Para esto deberá

implementar acciones

36

• Denominadas correctivas (medidas tendientes a eliminar no conformidades

detectadas)

• Denominadas preventivas (medidas orientadas a eliminar potenciales no

conformidades).

Como conclusión podemos decir que este estándar contiene los elementos

necesarios para tener en operatividad la seguridad de la información,

estableciendo qué pasos debe seguir una organización que pretende cumplir

este estándar, lo cual abarca aspectos de planificación, implementación,

control y mejora de los procesos involucrados

FUNCIONES

Asegurar que las definiciones de los roles y responsabilidades dentro de la ins-

titución incluyan actividades de gestión de seguridad de información. Es im-

portante que se encuentren claramente definidas en el manual de organiza-

ción y funciones deben asegurar los siguientes aspectos:

• La línea de reporte debe direccionar a un jefe de sistemas. Mientras mayor

sea el nivel del jefe de sistemas, será más conveniente pues tendrá la

influencia necesaria para asegurar que sus administrados implementen la


• Debe existir un esfuerzo coordinado entre el personal de sistemas, redes,

recursos humanos, operaciones, departamento legal y otro grupo que se

considere necesario.

• Identificación de objetivos de protección consistentes con el plan

estratégico institucional.

• Identificación de elementos clave de seguridad.

• Políticas, estándares y procedimientos globales sean desarrollados e

implementados para asegurar el mantenimiento de la seguridad.

• Identificación de controles de seguridad apropiados.

• Implementación coordinada de los controles con el personal de

administración de procesos.

• Todos los planes de capacitación sean implementados de tal forma que

incluyan sesiones para todos los niveles del negocio, incluyendo ejecutivos,

técnicos, analistas, consultores, personal de soporte, etc.

PLAN ESTRATÉGICO37

El desarrollo de una estrategia de seguridad de información como soporte para

la estrategia de negocios es una tarea vital, dado el volumen de información

que maneja de sus clientes. Su desarrollo debe realizarse por el administrador

de seguridad de información, el cual tendrá un papel primordial en el sistema

de seguridad de información. Los procesos de tecnología de información se ha-

llen alineados con los procesos de negocios.

De esta manera la seguridad de información se convierte en parte integral

dela entidad corporativa.

Un conjunto de objetivos de seguridad, procesos, herramientas y técnicas

constituyen conjuntamente una estrategia de seguridad.

Brindar soporte a los objetivos de negocio y maximizar el valor entregado a los

usuarios.

Además, una estrategia de seguridad debe combinar, de la mejor manera,

prácticas de seguridad en cada proceso y área de negocio. La capacitación y

educación es primordial en la estrategia, pues la seguridad es a menudo débil

al nivel del usuario final: es en este nivel que se deben desarrollar metodolo-

gías y procesos que permitan a las políticas, estándares y procedimientos ser

fáciles de seguir, implementar y monitorear.

La propuesta de seguridad en capas de nivel de control se presenta definién-

dose lo que cada capa busca controlar:

DEFENSAS EN CONTRA DE COMPROMISO DE LOS SISTEMAS

POLÍTICAS, ESTÁNDARES,PROCEDIMIENTOS Y

TECNOLOGÍA

Prevención

AutenticaciónAutorizaciónEncriptamientoFirewallsEtiquetado/ manipuleo/retenciónAdministraciónSeguridad FísicaPrevención de IntrusosEscaneo permanente de virusSeguridad PersonalCapacitación

Contención

AutorizaciónPrivacidad de informaciónFirewalls/ seguridad de dominiosSegmentación de redesSeguridad Física

38

Detección/notificación

MonitoreoMétricasAuditoriaDetección de intrusosDetección de virus

Reacción

Respuesta ante incidentesPolítica/procedimiento de cambiosMecanismos adicionales deseguridadNuevos/mejores controles

Recolección de evidencias/ Rastreo de

Eventos

AuditoriaMonitoreo/ GestiónNo RepudioAnálisis Forense

Recuperación/ RestituciónRespaldosContinuidad de Negocios/ Plan deRecuperación de Desastres

Los elementos que se incluyen en una estrategia de seguridad son:

• Enlaces con la estrategia de negocio: todas las decisiones deben ser

filtradas en el modelo de negocios. Es imprescindible la participación de la

administración a nivel gerencial.

• Mejores prácticas: Para ello debe realizarse una medida apropiada del valor

de activos que quiere protegerse, y analizar si las medidas que se tomen

no son más costosas que los mismos activos.

• Políticas: deben ser formales, más aún siendo esto normado por el ente

regulador. Todas las políticas y procedimientos deben documentarse,

comunicados y actualizados con la regularidad apropiada.

• Estándares: deben desarrollarse para proporcionar las métricas necesarias

que evalúen si un procedimiento o práctica particular cumple con las

políticas establecidas. A su vez los estándares son importantes para los

propósitos de brindar una base para la auditoria de sistemas.

• Autenticación: es el proceso de establecer la identidad de un usuario de un

sistema de información.

• Administración: gestionar y administrar todas las actividades requieren un

esfuerzo significativo. Una función efectiva de seguridad requiere una

adecuada administración de sus políticas de privacidad, autenticación,

autorización y recuperación de procesos.

39

• Servicios de Soporte: cumpla con todos los requerimientos para las

númerosas actividades y proyectos.

• Tecnología: existen muchas tecnologías con los mecanismos de seguridad

necesarios para una estrategia exitosa. Entre ellas se puede citar:

o Tecnología Firewall.

o Tecnología de intrusión y detección de intrusos.

o Tecnología antivirus.

o Tecnología de encriptamiento.

o Tecnología de acceso remoto.

El uso e interrelación de mecanismos de seguridad deben ser definidos por

una arquitectura de seguridad que implemente los requerimientos de las políti-

cas previamente establecidas

PLAN OPERATIVO

MISIÓN DE LA SEGURIDAD INFORMATICA

Misión de la Gerencia Informática es gestionar las tecnologías de información

para el logro de los objetivos y metas de la Institución, brindando mejores pro-

cesos con soluciones integrales a medida y de calidad sostenible.

VISIÓN DE LA SEGURIDAD INFORMÁTICA

Visión de la Gerencia Informática mediante el uso permanente de los avances

tecnológicos de información y comunicaciones, forjando una visión de lideraz-

go asumiendo una posición de una seguridad eficaz

TECNOLOGÍA

El sector tecnológico consta de equipos informáticos tales como:

SIGLAS PC

COMP01 Dual Core 2.26ghz Memoria Ram 1gb ddr2 Disco duro de 160gb

40

Placa HP Monitor 17 pulgadas LCD Teclado y mouse HP PS/2

AREA CANTIDAD PC

COMFASUB 3 Comp01

JEMSUB 2 Comp01

PERSONAL 3 Comp01

INTELIGENCIA 2 Comp01

OPERACIONES 8 Comp01

LOGISTICA 3 Comp01

COMUNICACIO-NES

7 Comp01

SECRETARIA GE-NERAL

5 Comp01

SISTEMAS 2 Comp01

TOTAL 35 Comp01

SITUACIÓN

SITUACIÓN ACTUAL - RECURSOS HUMANOS (Oficina de Sistemas)

Nº CARGOS CANTIDAD1 Técnico en Informática 2

SITUACIÓN ACTUAL-RECURSOS TECNOLÓGICOS E INFORMÁTICOS

EXISTENTES

Nº HARDWARE CANTIDAD

41

1 Impresoras 92 Scanner 3

Nº SOFTWARE CANTI-DAD

Sistemas Operativos1 Windows XP 35

De Oficina2 Office 2007 35

SITUACIONES ACTUALES

SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL DEBILIDADES

Nº LISTADO DE DEBILIDADES1 Cualquier cambio a los Sistemas deberá comunicarse a

DIRTEL.2 Falta de recursos humanos capacitados en Seguridad In-

formática3 No se cuenta oportunamente con los recursos suficien-

tes para una actualización tecnológica permanente

SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL FORTALEZAS

Nº LISTADO DE FORTALEZAS1 Personal con experiencia en temas de soporte de Pc’s

SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL AMENAZAS

Nº LISTADO DE AMENAZAS

1Que no se obtengan los recursos suficientes para financiar las inversiones necesarias que faltan para asegurar la esta-bilidad del servicio informático

SITUACIÓN ACTUAL – PROBLEMÁTICA ACTUAL OPORTUNIDADES

Nº LISTADO DE OPORTUNIDADES1 Buena imagen ante la comunidad

2Desarrollo de procesos en base a nuevas tecnologías de la información

ALINEAMIENTO

ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS SECTORIALES

Nº LISTADO DE OBJETIVOS

42

1Cumplir con desarrollar nuestras actividades según nuestro Plan Estratégico Institucional.

2 Cumplir los postulados de la Norma ISO 27001.

ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS

INSTITUCIONALES


1Ser una administración moderna que brinde servicios de cali-dad

2Modernización institucional fortalecimiento y consolidando los sistemas estadísticos

ALINEAMIENTO CON EL PLAN ESTRATÉGICO - OBJETIVOS ESPECÍFICOS


1Programa de mantenimiento preventivo y correctivo de PCs e Impresoras más configuración de equipos

2 Soporte y Servicio de Redes

3Servicio de Internet, Extranet, Portal Web, Comunicaciones, Cableado Estructurado y Seguridad Informática

ESTRATEGIA

ESTRATEGIA PARA EL LOGRO DE LAS METAS DEL PLAN OPERATIVO

INFORMÁTICO

Nº LISTADO DE ESTRATEGIAS

1Continuar con el reemplazo de equipos obsoletos, según lo per-mita los recursos asignados

2Capacitación de nuestro personal informático por medio de las empresas proveedoras más representativas y entidades especia-lizadas.

ALCANCES

Activos de Información y sus Respectivos Propietarios

Activos de Información Propietarios

1.- Datos de cada Departamento y/o

OficinaDepartamento y/o Oficinas

2.- Backup Departamento y/o Oficinas

Tasación de activos de información

Donde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5

“muy alto”. En la Tabla 2, se observa la asignación de valores de los activos en

43

cuanto a su confidencialidad, integridad y disponibilidad. El campo Total se

obtiene de la suma de los puntos asignados al activo dividido entre 3.

Activos de

Información

Confidencialida

dIntegridad

Disponibilida

d

Tota

l

Datos de cada

Departamento y/o

Oficina

5 3 3 4

Backup 4 3 3 3

Los activos de la información son los datos estadísticos en general alojados en

las áreas de la empresa como base datos (folleto, encuestas, actas, índice del

precio de consumidor), copias de respaldo y equipo de cómputo.

Se clasifica los valores de los activos de información en base a la misión de la

seguridad de información: confidencialidad (proteger), integridad (información

consolidada) y disponibilidad (acceso) en la ponderación es el resultado de la

suma de ellos entre 3 para ver el grado de misión que existe.

Es importante conocer donde se encuentra el ENEI-ICA, en cuanto al nivel de

seguridad. No se puede hacer una buena gestión si se desconoce qué se tiene

que gestionar.

RIESGOS

Es importante clasificar las amenazas para facilitar su ubicación pueden

clasificar en:

44

Las amenazas se pueden originar por eventos o fuentes accidentales o

intencionales.

1. (F) Robo o destrucción de los activos

2. (N) Naturales (inundaciones, terremotos, incendios)

3. (HW) Dispositivos para ultraje de información

4. (SW) Programa ,spam , virus

5. (MA) Discos externos, memoria USB.

6. (CO) intercepción telefónica

7. (H) Humanas (pérdida de clave personal)

Cálculo de Amenazas y Vulnerabilidades


“muy alto”

Activos AmenazasProbabilidad

OcurrenciaVulnerabilidad

Posible

Explotación de

Vulnerabilidad

Total

A1

F

N

SW

MA

H

1

2

3

4

1

V1

V1

V2

V4

V1

2

2

3

4

1

2

2

3

4

1

A2

F

N

SW

MA

H

1

2

3

4

1

V1

V1

V2

V4

V1

2

2

3

4

1

2

2

3

4

1

45

Con el análisis del riesgo se pretende identificar y calcular los riesgos basados

en la identificación de los activos, en el cálculo de las amenazas y sus

vulnerabilidades.

La organización debe decidir qué método va a usar para hacer el cálculo del

riesgo. El método aquí recomendado provee un medio para poder priorizar los

riesgos e identificar aquellos otros riesgos que son más problemáticos para la

organización.

Método para el Cálculo del Riesgo


“muy alto”

Activos Amenaza

Impacto

de la

Amenaza

Posibilidad

de

Ocurrencia

Medición

del RiesgoPriorización

A1 4 4 4 4 4

A2 3 5 2 2 3

Escala de riesgo para evaluar su importanciaDonde el valor 1 significa “muy poco”, 2: poco, 3: medio, 4: alto y el nivel 5

“muy alto”

Riesgo Criterios para Evaluar la Importancia del Riesgo

Activos

Amenazas Impacto Económico

Tiempo de recuperación

Probabilidad de

Ocurrencia

Probabilidad de

interrumpir actividades

Total

A1 4 4 3 3 5 3

A2 3 4 3 3 5 4

TRATAR EL RIESGO

Ya realizado el análisis y evaluación de riesgo, se debe decidir cuáles son las

acciones que se han de tomar respectos a estos activos que están sujetos a

probabilidad de ser atacados. Estos riesgos, de acuerdo a ISO 27001:2005, se 46

pueden manejar aplicando controles para la detección y prevención, y de esa

manera reducir la inseguridad.

Se propone usar los siguientes criterios

Impacto económico

Tiempo de recuperación de la organización, área, departamento o direc-

ción

Posibilidad de ocurrencia del riesgo

Posibilidad de interrumpir las actividades

Plan de Tratamiento del Riesgo

Áreas Actividades Control Activo

Responsable

DEPARTAMENTOS

INDICADOR1INDICADOR2

INDICADOR3 INDICADOR4

ContinuoA1A2

ING. BECERRA MAYTA CESARING. CABRERA GARCIA CESAR

ING. MAGAÑO MACHALLA JOSE LUIS

47