Analisis Riesgos Empresa Real
Transcript of Analisis Riesgos Empresa Real
62
3.1 ENTENDIMIENTO DEL NEGOCIO DE LA EMPRESA
Por razones de confidencialidad omitiremos algunos detalles con respecto a las
actividades comerciales de la empresa.
La empresa de producción cuencana para la cual se desarrolla este proyecto se
dedica al diseño y producción artículos, a nivel nacional e internacional. Su principal
objetivo es brindar productos de calidad a sus clientes, sin descuidar la protección del
medio ambiente, y de esta forma mantenerse como líder en la industria.
Con miras a mantenerse y potenciar su desarrollo, esta empresa cuencana de
producción ha decidido administrar su negocio con un Sistema de Gestión de Calidad
basado en las normas ISO 9000.
3.2 IDENTIFICACIÓN DE LOS DOMINIOS DE APLICACIÓN DE SEGURIDAD
En la empresa de estudio, existen cuatro dominios de gran importancia ya
definidos, que son: Software, Telecomunicaciones, Hardware y Sistema Eléctrico.
Sobre estos dominios que la empresa plantea se pretende llevar el control e
implementación el sistema de seguridad informática.
63
SEGURIDAD INFORMATICA
SIST.ELECTRICOSOFTWARE
REDESHARDWARE
Figura 3 Dominios de seguridad informática manejadas por la empresas de producción cuencana.
La norma ISO 27001 propone once áreas de control como ya se profundizó en
el capítulo uno, los cuales deben ser elegidos de acuerdo a los requerimientos de la
empresa, para el diseño de un SGSI completo se deberían tomar en cuenta todas las
áreas; sin embargo, para el desarrollo de nuestra tesina elegiremos los dominios que
abarquen las necesidades mas urgentes de la empresa en estudio, y de acuerdo a
estos se implementará el sistema de seguridad informática.
La norma ISO 27001 nos da la libertad de elegir los dominios de aplicación de
la seguridad informática que mas le convenga a la empresa; tomando en cuenta este
factor decidimos mantener los dominios presentados por la empresa, sin embargo
notamos la necesidad de incluir dos dominios importantes dentro del esquema
propuesto, que son: dominio de talento humano y dominio de datos.
64
SIST.
ELECTRICO
REDE
SY
TELE
COM
HARDWARE
TALE
NTOHUM
ANO
Figura 4 Dominios de seguridad informática sugeridos para la empresa en estudia.
3.3 IDENTIFICACIÓN DE ACTIVOS DE LA EMPRESA
Ahora ponemos en práctica lo aprendido acerca de la identificación de activos,
es importante la colaboración de la empresa para poder disponer de la información
que nos ayude a identificar sus activos.
Otro factor importante para la identificación de activos es entender el negocio
de la empresa, pues solo así podremos saber que bienes de la organización son de
valor o imprescindibles.
La información recolectada sobre los activos identificados se muestran en el
ANEXO 2, a continuación se presentan los resultados obtenidos al analizar dicha
información, para la ponderación de los activos nos basamos en el valor dado por sus
propietarios y en nuestro criterio según el estudio realizado.
65
Hemos clasificado los activos en cuatro grupos:
� Activos de valoración baja: son los equipos y servicios con prestaciones menos
importantes y que no intervienen en el proceso de producción, los mismos
que pueden ser reemplazados fácilmente, o simplemente prescindir de ellos.
� Activos de valoración media: son los equipos y servicios que apoyan
indirectamente el proceso de producción de la empresa.
� Activos de valoración alta: son los que tienen relación directa con el sistema de
registro de los procesos de producción y demás servicios de gran importancia.
� Activos de valoración extremadamente alta: son aquellos bienes
imprescindibles para la empresa, su ausencia impedirían la continuidad del
negocio, a este grupo pertenecen los sistemas usados para el control de la
maquinaria de procesos de producción.
3.3.1 Tipos de Activos
Debido a que no todos los activos de la empresa son de la misma especie es
vital determinar su tipo, es decir, podemos clasificar la información dentro de los
siguientes parámetros:
� Pública. Es aquel tipo de información a la cual todos pueden acceder o conocer
ya sean personal de la empresa o no.
� Privada. Es aquella información a la cual solo debe tener acceso el personal de
la empresa.
� Confidencial. Es la información a la cual solo pueden tener acceso personal
autorizado, la misma que debe ser manejada con prudencia.
� Secreta. A este tipo de información solo pueden acceder personal de la alta
dirección, no puede ser divulgada ya que pondría en riesgo la estabilidad de
la organización.
66
3.3.2 Dependencias
Los activos más críticos de toda empresa son los datos y los servicios; pero
estos activos dependen de otros activos menos importantes como pueden ser los
equipos, las comunicaciones o las frecuentemente olvidadas personas que trabajan
con aquellos. Por ello aparece como importante el concepto de “dependencias entre
activos” o la medida en que un activo superior se vería afectado por un incidente de
seguridad en un activo inferior. 18
Se dice que un “activo superior” depende de otro “activo inferior” cuando las
necesidades de seguridad del superior se reflejan en las necesidades de seguridad del
inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el
activo inferior tiene como consecuencia un perjuicio sobre el activo superior.
Aunque en cada caso hay que adaptarse a la organización objeto del análisis,
con frecuencia se puede estructurar el conjunto de activos en capas, a continuación
presentamos un modelo que nos ayudará en el proceso de identificación de
dependencias, donde las capas superiores dependen de las inferiores.
� Capa 1, El entorno, activos que se precisan para garantizar las capas
superiores.
• Equipamiento y suministros: energía, climatización, comunicaciones
• Personal: de dirección, de operación, de desarrollo, etc.
• Otros: edificios, mobiliario, etc.
� Capa 2, El Sistema de información.
• Hardware
• Software
• Comunicaciones
• Soportes de información: discos, cintas, etc.
� Capa 3: La información.
• Datos
18 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAÑA, MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 20 de junio de 2006, http://publicaciones.administracion.es
67
• Meta-datos: estructuras, índices, claves de cifra, etc.
� Capa 4: Las funciones de la empresa que justifican la existencia del
sistema de información y le dan finalidad.
• Objetivos y misión
• Bienes y servicios producidos
� capa 5: Otros activos
• Credibilidad o buena imagen
• Conocimiento acumulado
• Independencia de criterio o actuación
• Intimidad de las personas
• Integridad física de las personas
3.3.3 Dimensiones
Existen unos parámetros que podemos tomar en cuenta para detallar de mejor
manera los activos de la empresa, entre estos tenemos:
� Autenticidad: ¿Qué perjuicio causaría no saber exactamente quien
hace o ha hecho cada cosa?
� Confidencialidad: ¿Qué daño causaría que lo conociera quien no
debe?
� Integridad: ¿Qué perjuicio causaría que estuviera dañado o corrupto?
� Disponibilidad: ¿Qué perjuicio causaría no tenerlo o no poder
utilizarlo?
Es importante tomar en cuenta dichos aspectos y responder las preguntas
planteadas con el fin de llenar un informe completo sobre los activos de la empresa y
todos los demás factores que intervienen.
68
3.3.4 Valoración
Un activo no se estima por lo que cuesta, sino por lo que vale, si algo no vale
para nada, prescíndase de ello y si no se puede prescindir impunemente de un activo,
es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.19
El valor del activo puede ser propio, o puede ser acumulado. Se dice que los
activos inferiores en un esquema de dependencias, acumulan el valor de los activos
que se apoyan en ellos.
Es importante valorar los activos, pues así sabremos cuales se deben proteger
de mejor forma, desde luego, no tendría sentido una inversión grande para
salvaguardar un activo que no lo vale.
La valoración es la determinación del costo que supondría salir de una
incidencia que destrozara el activo; para estimar el valor de los activos podemos
ayudarnos de los siguientes criterios.
� Costo de reposición; adquisición e instalación.
� Costo de mano de obra especializada invertida en recuperar el valor
del activo.
� Lucro cesante: pérdida de ingresos.
� Capacidad de operar: confianza de los usuarios y proveedores que se
traduce en una pérdida de actividad o en peores condiciones económicas.
� Sanciones por incumplimiento de la ley u obligaciones contractuales.
� Daño a otros activos, propios o ajenos.
� Daño a personas.
� Daños medioambientales.
19 MINISTERIO DE ADMINISTRACIONES PUBLICAS DE ESPAÑA, MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 20 de junio de 2006, http://publicaciones.administracion.es
69
3.3.5 Identificación de activos de la empresa
Ahora ponemos en práctica lo aprendido acerca de la identificación de activos, es
importante la colaboración de la empresa para poder disponer de la información que
nos ayude a identificar sus activos.
A continuación se muestran los activos ordenados de mayor a menor valoración.
70
Num
ero
Nom
bre
Act
ivo
Dom
inio
D
epen
denc
ias
Valo
raci
ónD
imen
sion
es
Tota
l A
uten
t. C
onfid
. In
teg.
D
ispo
n.
1C
ompu
tado
res
espe
cial
es p
ara
man
ejo
de p
roce
sos
Har
dwar
eM
áqui
nas
de p
rodu
cció
n X
-Alta
5
5 5
5 5
2S
oftw
are
espe
cial
es p
ara
man
ejo
de
cont
rol d
e pr
oces
os d
e pr
oduc
ción
S
oftw
are
Máq
uina
s pr
oduc
ción
X
-Alta
5
5 5
5 5
3D
atos
de
aplic
acio
nes
de s
oftw
are
de
proc
esos
de
prod
ucci
ón
Dat
os
Pro
ceso
s de
man
ufac
tura
X
-Alta
5
5 5
5 5
4 D
atos
de
back
up d
e us
uario
s D
atos
P
roce
sos
adm
inis
trativ
os y
de
man
ufac
tura
X
-Alta
4
5 5
5 5
5 R
oute
r Dat
os
Red
es y
Te
leco
m
Aplic
ativ
os d
e ne
goci
os, e
-mai
l int
erno
, e-
mai
l ext
erno
Gua
yaqu
il y
Qui
to
Alta
3
2 5
5 4
6 R
oute
r Int
erne
t R
edes
y
Tele
com
E
-mai
l ext
erno
Cue
nca,
Gua
yaqu
il y
Qui
to,
Nav
egac
ión
de In
tern
et, M
onito
reo
de
Enl
aces
, Fire
wal
l, W
ebS
erve
r A
lta
3 2
5 5
4
7 S
witc
hes
Red
es y
Te
leco
m
Aplic
ativ
os d
e ne
goci
os, e
-mai
l int
erno
y
exte
rno,
cct
v, te
lefo
nía
ip, v
ideo
tele
foní
a,
back
ups,
File
& P
rint S
erve
r A
lta
3 2
5 5
4
8C
able
ado
de d
atos
en
cobr
e y
fibra
óp
tica
(Bac
kbon
e y
Term
inal
es)
Red
es y
Te
leco
m
Todo
s lo
s se
rvic
ios
de in
form
ació
n A
lta
3 2
5 5
4
9 S
ervi
dor d
e ap
licac
ione
s de
BD
H
ardw
are
Sof
twar
e de
Bas
e de
Dat
os
Alta
3
2 4
4 3
10
Ser
vido
r de
corre
o el
ectró
nico
H
ardw
are
Sof
twar
e de
Cor
reo
Ele
ctró
nico
A
lta
3 2
5 5
4
11
AV
Ser
ver
Har
dwar
eAc
tual
izac
ione
s de
ant
iviru
s, N
aveg
ació
n de
In
tern
et fi
ltrad
o A
lta
2 4
3 3
3
12
Com
puta
dora
s de
usu
ario
s H
ardw
are
Sof
twar
e de
Apl
icac
ione
s, d
atos
de
aplic
acio
nes
offic
e, d
atos
de
corre
o el
ectró
nico
A
lta
4 4
4 4
4
13
Sof
twar
e de
Apl
icac
ione
s B
D
Sof
twar
e In
form
ació
n tra
nsac
cion
al d
el n
egoc
io
Alta
4
5 5
5 5
14
Sof
twar
e de
Cor
reo
elec
tróni
co
Sof
twar
e M
ensa
jería
y c
olab
orac
ión
del n
egoc
io
Alta
4
5 5
5 5
15
Sis
tem
as O
pera
tivos
Win
dow
s 20
00/2
003
Serv
er
Sof
twar
eS
oftw
are
de a
plic
acio
nes
de B
D, S
oftw
are
de
Cor
reo
Ele
ctró
nico
, Dat
os d
e Fi
le &
Prin
t S
erve
r A
lta
4 5
5 5
5
71
16
Gen
erad
or E
léct
rico
Sis
t. El
éctri
co
Com
puta
dore
s se
rvid
ores
, est
acio
nes
de
traba
jo, e
quip
os d
e re
d LA
N, e
quip
os d
e re
d W
AN
Alta
4
5 4
5 5
17
UP
S p
ara
cuar
to d
e Te
leco
mun
icac
ione
s y
Ser
vido
res
Sis
t. El
éctri
co
Com
puta
dore
s se
rvid
ores
, equ
ipos
de
red
LAN
, equ
ipos
de
red
WA
N
Alta
4
5 4
5 5
18
Inst
alac
ione
s E
léct
ricas
aco
ndic
iona
das
para
equ
ipos
de
com
puta
ción
S
ist.
Eléc
trico
C
ompu
tado
res
serv
idor
es, e
stac
ione
s de
tra
bajo
, equ
ipos
de
red
LAN
, equ
ipos
de
red
WA
NA
lta
4 5
4 5
5
19
Dat
os d
e B
ase
de D
atos
D
atos
P
roce
sos
adm
inis
trativ
os y
de
man
ufac
tura
A
lta
4 4
5 5
5
20
Dat
os d
e B
acku
p de
ser
vido
res
Dat
os
Pro
ceso
s ad
min
istra
tivos
y d
e m
anuf
actu
ra
Alta
4
5 5
5 5
21
Bac
kup
de C
onfig
urac
ione
s de
equ
ipos
de
com
unic
acio
nes
Dat
os
Pro
ceso
s de
com
unic
ació
n y
cola
bora
ción
A
lta
3 5
4 4
4
22
Fire
wal
l R
edes
y
Tele
com
E
-mai
l ext
erno
Cue
nca,
Gua
yaqu
il y
Qui
to,
Nav
egac
ión
de In
tern
et, M
onito
reo
de
Enl
aces
, Web
Ser
ver
Med
io
3 2
4 4
3
23
Cen
tralill
a Te
lefó
nica
R
edes
y
Tele
com
Se
rvic
io d
e te
lefo
nía
inte
rna
y ex
tern
a M
edio
3
2 5
5 4
24
Cab
lead
o de
Tel
éfon
os (B
ackb
one
y te
rmin
ales
) R
edes
y
Tele
com
To
dos
los
serv
icio
s de
info
rmac
ión
Med
io
3 2
5 5
4
25
Com
pone
ntes
pas
ivos
de
cabl
eado
es
truct
urad
o R
edes
y
Tele
com
To
dos
los
serv
icio
s de
info
rmac
ión
Med
io
3 2
5 5
4
26
Sto
rage
Sys
tem
H
ardw
are
Sof
twar
e de
Bas
e de
Dat
os, D
atos
de
corr
eo
elec
tróni
co
Med
io
3 2
5 5
4
27
File
Ser
ver d
e D
iseñ
o G
rafic
o H
ardw
are
Info
rmac
ión
de a
rchi
vos
de D
iseñ
o G
ráfic
o M
edio
3
2 5
5 4
28
Sis
tem
as O
pera
tivos
Win
dow
s X
P
Sof
twar
e In
form
ació
n de
los
usua
rios
y de
con
trol d
e pr
oces
os d
e pr
oduc
ción
M
edio
3
4 5
5 4
29
Otro
s S
iste
mas
Ope
rativ
os
Sof
twar
e In
form
ació
n tra
nsac
cion
al d
el n
egoc
io
Med
io
4 5
5 5
5
30
Sof
twar
e de
Ant
i-X
Sof
twar
e In
form
ació
n de
usu
ario
s y
serv
idor
es
Med
io
2 4
4 4
4
31
Sof
twar
e pa
ra m
anej
o de
Bac
kup
Sof
twar
e In
form
ació
n de
usu
ario
s y
serv
idor
es
Med
io
4 5
4 5
5
32
UP
S p
ara
usua
rios
Sis
t. E
stac
ione
s de
trab
ajo,
equ
ipos
de
red
LAN
, M
edio
4
5 4
5 5
72
Eléc
trico
eq
uipo
s de
red
WA
N
33
Dat
os d
e co
rreo
ele
ctró
nico
D
atos
P
roce
sos
adm
inis
trativ
os y
de
man
ufac
tura
M
edio
4
4 5
5 5
34
Arc
hivo
s de
fax
reci
bido
s y
envi
ados
D
atos
P
roce
sos
adm
inis
trativ
os
Med
io
3 4
4 4
4
35
Dat
os d
e ap
licac
ione
s O
ffice
D
atos
P
roce
sos
adm
inis
trativ
os y
de
man
ufac
tura
M
edio
2
3 3
4 3
36
Bas
e de
Dat
os d
e co
noci
mie
nto
y so
porte
técn
ico
Dat
os
Pro
ceso
s ad
min
istra
tivos
y d
e se
rvic
io e
n Ti
M
edio
3
3 4
4 4
37
Fax
Ser
ver
Red
es y
Te
leco
m
Ser
vido
r de
fax
Med
io
3 2
3 4
3
38
Ser
vici
o W
irele
ss
Red
es y
Te
leco
m
Apl
icat
ivo
de n
egoc
ios,
tele
foní
a ip
, cct
v B
ajo
3 2
3 4
3
39
Man
ejad
or d
e Ll
amad
as
Red
es y
Te
leco
m
Tele
foní
a ip
, Vid
eo T
elef
onía
B
ajo
3 2
3 4
3
40
File
& P
rint S
erve
r H
ardw
are
Arc
hivo
s de
bac
kup
de u
suar
ios
y se
rvic
ios
de im
pres
ión
Baj
o 3
2 4
4 3
41
Web
serv
er
Har
dwar
ePa
gina
web
y s
ervi
cios
de
intra
net
Baj
o 3
2 3
3 3
42
Cct
v S
erve
r H
ardw
are
Cám
aras
IP p
ara
cctv
B
ajo
2 4
3 3
3
43
Cám
aras
ip p
ara
cctv
H
ardw
are
Cct
v S
erve
r B
ajo
2 4
3 3
3
44
Ser
vido
r de
aplic
acio
nes
varia
s H
ardw
are
Arc
hivo
s de
man
ejo
de p
roce
sos
de
prod
uctiv
idad
y re
curs
os h
uman
os
Baj
o 2
2 3
3 3
45
Impr
esor
as
Har
dwar
eS
ervi
dor F
ile &
Prin
t Ser
ver
Baj
o 3
3 3
4 3
46
Dat
os d
e trá
fico
tele
fóni
co
Dat
os
Pro
ceso
s ad
min
istra
tivos
B
ajo
3 3
2 2
3
47
Imág
enes
del
cct
v D
atos
P
roce
sos
adm
inis
trativ
os y
de
segu
ridad
in
dust
rial
Baj
o 3
3 2
2 3
48
Sof
twar
e de
man
ejo
de te
lefo
nía
IP
Sof
twar
e S
ervi
dor d
e te
lefo
nía
ip, t
eléf
onos
ip y
vid
eo
tele
foní
aB
ajo
3 3
4 4
4
49
Sof
twar
e pa
ra c
ontro
l de
cent
ralill
a S
oftw
are
Ope
rado
ra, t
eléf
onos
de
usua
rios
e B
ajo
4 3
4 4
4
73
info
rmac
ión
de e
xten
sion
es
50
Sof
twar
e de
dis
eño
gráf
ico
Sof
twar
e M
áqui
nas
prod
ucci
ón
Baj
o 4
3 4
4 4
51
Sof
twar
e de
Web
serv
er
Sof
twar
e In
form
ació
n ex
pues
ta e
n el
Inte
rnet
par
a cl
ient
es
Baj
o 3
3 4
4 3
52
Otro
s S
oftw
are
Sof
twar
e In
form
ació
n us
ada
para
pro
ceso
s de
pr
oduc
ción
y c
ontro
l B
ajo
2 3
4 4
3
Tabl
a 4
List
a de
act
ivos
de
la e
mpr
esa
recl
asifi
cado
s
74
3.4 IDENTIFICACIÓN DE VULNERABILIDADES
Este punto es importante para determinar el estado actual de la empresa, así
podremos identificar los equipos, dispositivos y servicios que están funcionando
perfectamente, además de aquellos que presenten debilidades que puedan
comprometer la seguridad del activo y por lo tanto de la empresa.
3.4.1 Levantamiento de datos
Podemos definir el levantamiento de datos como el medio a través del cual nos
relacionaremos con los aspectos mas importantes de los activos de la empresa, para
así obtener la información necesaria que nos permita avanzar con el desarrollo de
nuestra tesina.
Para identificar las posibles vulnerabilidades a las que la empresa de
producción cuencana en estudio, esta expuesta, es imprescindible recolectar la mayor
cantidad de datos posibles acerca de sus activos. Los datos a recoger deben abarcar
aspectos como:
� Ambiente: Entorno físico en el que se encuentra el activo
� Configuración: Propiedades que regulan el funcionamiento del activo
� Uso: Forma en la que se manipula el activo
� Responsable: Persona o personas que tienen acceso al activo
3.4.1.1 Métodos para el levantamiento de datos
Existen varias técnicas que nos permiten recolectar datos, para nuestro caso
hemos elegido tres, las cuales se detallan a continuación.
75
3.4.1.1.1 La entrevista
Consiste en una interacción entre dos personas, en la cual el investigador
formula determinadas preguntas relativas al tema en investigación, mientras que el
investigado proporciona verbalmente o por escrito la información que le es
solicitada.
Dicha metodología implica la planificación de una reunión con el personal de la
empresa que se considere necesario, por supuesto, debido al trabajo que los
empleados realizan dentro de la organización no fue posible entrevistarlos a todos,
sin embargo, esta técnica es de gran utilidad con el personal que tiene disponibilidad
de tiempo.
3.4.1.1.2 El cuestionario
Lo podemos definir como un método para obtener información de manera clara
y precisa, donde existe un formato estandarizado de preguntas que el informante
deberá responder.
Esta técnica fue usada con aquellos empleados que no pudieron ser
entrevistados por razones de disponibilidad de tiempo. El formato del cuestionario
fue realizado a manera de checklist binario, el cual registra respuestas de si o no.
3.4.1.1.3 La observación
Es percibir activamente la realidad exterior mediante el uso esquemático de
nuestros sentidos, con el propósito de obtener los datos que previamente han sido
definidos de interés para la investigación.
La observación fue realizada mediante visitas a las instalaciones de la empresa,
en donde distinguimos dos ambientes: la parte de administración donde están
ubicadas las oficinas y la parte de planta donde funciona la maquinaria de
76
producción. Con estas visitas se identificaron detalles que pudieron pasar
desapercibidos o simplemente no fueron tomados en cuenta con las metodologías
anteriores.
Usamos tres técnicas de recolección de datos diferentes por el simple hecho de
que una metodología complementa a la anterior, de esta forma pretendemos manejar
la información lo mas precisa posible.
3.4.1.2 Recolección de datos de los dominios identificados.
En esta sección se pone en práctica la teoría revisada sobre la recolección de datos.
Dividimos la recolección de datos en tres etapas:
1. Entrevista
Este fue el primer paso para iniciar el desarrollo de nuestra tesina debido a que
nosotros no conocíamos mayor información sobre la empresa objeto de nuestro
análisis.
Mediante la primera entrevista pudimos conocer el funcionamiento del
negocio, entendimos los ocho pasos que se consideran desde el pedido hasta su
despacho, estos ocho pasos son generales ya que existen variantes que dependerán
del pedido o del cliente.
Con la segunda entrevista comprendimos los servicios que el departamento
informático realiza dentro de los procesos empresariales, las actividades que realizan
y su importancia dentro del sistema de producción.
2. Cuestionario
Como se mencionó anteriormente está técnica se llevará a cabo a través de un
checklist binario. Para elaborar el checklist nos basamos en los activos de la
77
empresa, desarrollando un conjunto de preguntas para cada uno de ellos, estas
preguntas fueron respondidas por las personas a cargo de dichos activos.
La información obtenida de los checklist se muestra en el ANEXO 3.
3. Observación
Esta técnica se llevó a cabo mediante la visita a las instalaciones de la empresa,
hicimos un recorrido por todos los lugares en los que se encuentran los equipos
informáticos desde el área administrativa hasta las plantas de producción, en los que
íbamos tomando nota de los detalles más sobresalientes.
La información obtenida mediante estos tres métodos de levantamiento de
datos nos dieron las pautas necesarias para empezar con el análisis de riesgos.
3.5 INFORME DE VULNERABILIDADES DETECTADAS
A continuación se presentan las vulnerabilidades detectadas luego de haber
analizado los datos recolectados.
3.5.1 Vulnerabilidades del dominio de redes y telecomunicaciones
� Los equipos informáticos muestran información propia de la empresa ya sea en
su configuración o de forma física (banners y etiquetas).
� No se siguen políticas de administración de contraseñas para la configuración
segura de los equipos informáticos.
� Los puertos y protocolos del router que no son usados no han sido bloqueados.
� No existe documentación sobre la configuración de los switches.
78
� No se han creado VLAN’s para facilitar la administración y fortalecer la
seguridad de la red.
� No se han configurado ACL’s para fortalecer la seguridad de la red.
� No todos los gabinetes o racks que protegen los equipos de red se encuentran
en una ubicación apropiada.
� Existen dispositivos sin protecciones y que están en lugares de difícil acceso lo
cual impide la disponibilidad para su control o mantenimiento.
� No todos los dispositivos poseen una alimentación de energía auxiliar
(switches, servicio wireless, etc.).
� La persona que realiza las configuraciones de los switches no tiene una
certificación que garantice su trabajo.
� Los puertos del switch en uso y los libres no están bloqueados.
� El servicio de conexión redundante proporcionado a través de la red
inalámbrica no es óptimo debido a que presenta interrupciones y cortes.
� No existe un mecanismo que permita el reemplazo de la centralilla telefónica
en el caso de que esta colapse.
� No todo el cableado de la red de la organización posee certificación, por lo
tanto los cables que no han sido certificados tampoco han sido probados
adecuadamente.
� No existen enlaces redundantes para las conexiones más importantes.
79
� No existe un enlace redundante para la transmisión de datos a través de
Internet.
� No existe una herramienta que verifique el uso del correo electrónico
� Existen puntos de acceso a la red que no están protegidos apropiadamente.
� Los dispositivos de red inalámbricos (access point y tarjetas) no están
protegidos físicamente de forma correcta.
� Los access point no están ubicados de una forma que facilite su
mantenimiento.
� Existen dispositivos de red que están ubicados muy cerca de equipos de alta
tensión.
� No existen políticas que restrinjan el uso debido de Internet debido a la falta de
información que especifique su uso dentro de la empresa.
� Los usuarios desconocen las amenazas existentes en la Internet debido a la falta
de información dentro de la empresa.
� El servicio de correo electrónico no es usado únicamente para labores de
trabajo.
� Los cables utilizados para unir los dispositivos de red están desorganizados
dentro de los gabinetes y racks.
� Existen cables de red sueltos que no dan ninguna utilidad y aun así están
conectados a los dispositivos de red.
80
� La ubicación de los racks y gabinetes dentro del cuarto de servidores no es la
optima (algunas puertas no se pueden abrir por completo, lo cual complica su
operación) en cuanto a espacio físico.
� No existe una instalación de respaldo acondicionada adecuadamente para
equipos de cómputo en caso de que estos deban ser trasladados.
3.5.2 Vulnerabilidades del dominio de hardware
� No existe un procedimiento formal para realizar mantenimiento periódico a los
equipos y dispositivos de la empresa.
� Las cámaras ip y proyectores no están ubicadas en un lugar seguro frente a
desastres naturales u otras eventualidades.
� El storage system no está en una ubicación segura que lo proteja de
eventualidades como desastres naturales.
� No existe documentación sobre la configuración actual de los computadores de
usuario.
� No existen extintores cercanos y apropiados para todos los dispositivos y
equipos informáticos de la organización.
� No existen letreros de advertencia que informen sobre el uso restringido de los
computadores de planta.
� No existen protecciones adecuadas para los periféricos (teclados y ratones) de
los computadores usados en planta.
� No todos los equipos que se encuentran dentro del cuarto de servidores están
correctamente protegidos.
81
� Existe demasiada información publicada en varios equipos y dispositivos a
través de etiquetas.
� No existen mecanismos de vigilancia en el cuarto de servidores que controlen
actividades realizadas por terceros.
� En el cuarto de servidores no se encuentran protegidos debidamente las
extensiones y equipo que provee energía eléctrica a los dispositivos.
� No se ha considerado la seguridad física en lo referente a puertas dañadas,
ventanas desprotegidas y demás medios de acceso.
� No se realizan revisiones periódicas a las PC’s de usuario para detectar
programas no autorizados.
� No existe un procedimiento a seguir para facilitar el mantenimiento de las
PC´s.
3.5.3 Vulnerabilidades del dominio de software
� No existe un proceso formal que controle la inactividad de los computadores de
usuario, las sesiones permanecen abiertas sin sus operarios.
� Los accesos remotos a servidores no son seguros, debido a que no se han usado
los protocolos adecuados y tampoco la información que circula está cifrada,
además existen puntos de acceso a la red que no están protegidos
adecuadamente.
� No existe una política para administración de usuarios, porque no existe un
mecanismo que controle su creación, modificación y eliminación.
82
� No existe encriptación en el proceso de autenticación al momento de acceder al
servicio de correo electrónico.
� No se realizan revisiones para evaluar el funcionamiento del software de los
servidores.
� No se actualiza periódicamente el software de los servidores.
� No todos los programas nuevos son probados y revisados antes de ponerlos en
funcionamiento.
� Los mensajes de error del software para manejo de control de procesos de
producción no son claros.
� No existe un manual técnico del software para manejo de control de procesos
de producción.
3.5.4 Vulnerabilidades del dominio de datos
� Los datos de respaldo no se almacenan en un lugar adecuado en cuanto a
protección física se refiere.
� No existe una persona que lleve y almacene los respaldos de datos de una
forma segura.
� La información respaldada no se revisa periódicamente.
� No existen mecanismos de seguridad apropiados que administren el
almacenamiento y el acceso a: datos, licencias, instaladores, etc. dentro del
departamento de sistemas.
83
� No existe una bitácora que registre el acceso y modificación de los datos
almacenados en la BD.
� No existe una bitácora que registre las personas que acceden o modifican la
información digital de mayor importancia para la empresa.
� Los documentos impresos y digitales no están almacenados correctamente, ni
se controla el acceso a estos.
� No se verifica la integridad de los datos de fax, correo electrónico y respaldos
de configuración de equipos, información transmitida vía telefónica o
Internet.
� No existe un método adecuado para eliminar los documentos impresos y
digitales.
� No se realizan revisiones periódicas a la información almacenada para verificar
su estado.
� No existe una clasificación adecuada de la información de acuerdo a la
importancia y al nivel de seguridad que esta requiere.
3.5.5 Vulnerabilidades d el dominio del sistema eléctrico
� No existe un mecanismo de control que restrinja el acceso al generador
eléctrico.
� El generador eléctrico no se encuentra ubicado en un lugar seguro frente a
desastres naturales.
� No se realizan revisiones periódicas al generador eléctrico para verificar su
funcionamiento.
84
� No están protegidas adecuadamente las tomas y equipos (UPS) que proporciona
el servicio de energía eléctrica a los dispositivos de la empresa.
� Existen cables de poder que están cerca de los nodos de la red y no están
debidamente aislados.
3.5.6 Vulnerabilidades para el dominio de talento humano
� Los usuarios no tienen conocimiento sobre la importancia de la seguridad para
la organización debido a que no se les ha informado sobre ello.
� Los usuarios no tienen conocimiento sobre el buen uso del correo electrónico
debido a la falta de información sobre su uso.
� Los usuarios no tienen conocimiento sobre los activos de mayor importancia
para la empresa debido a que no se les ha informado de ello.
� Los usuarios no tienen conocimiento sobre las funciones o responsabilidades
sobre la información manipulada ya que no se les ha capacitado.
� Los usuarios están en libertad de instalar cualquier aplicación en sus
computadores.
� Los empleados de la empresa fijos y outsourcing no han firmado contratos de
no divulgación.
� Empleados outsourcing acceden a información sensible para de la empresa ya
que no se les ha restringido el acceso.
85
� Los empleados desconocen de políticas sobre manipulación de alimentos cerca
de los computadores y maquinarias de planta debido a que no se les ha
capacitado con respecto a este tema.
3.5.7 Vulnerabilidades externas
� La empresa esta ubicada en una zona propensa a desastres naturales y además
se encuentra en un área industrial.
� La empresa esta propensa a incendios ya que usa papel en sus procesos de
producción.
3.6 IDENTIFICACIÓN DE AMENAZAS
Según las vulnerabilidades identificadas exponemos las posibles amenazas que
podrían presentarse.
3.6.1 Amenazas para el dominio de redes y telecomunicaciones
� Terceras personas pueden conocer información que describa la red de la
empresa, así como también los dispositivos de red utilizados, lo cuál
facilitaría posibles ataques valiéndose de las falencias de fábrica.
� Fácil acceso de terceros o usuarios mal intencionados a: Software (Sistemas
operativos, sistemas de manejo de controles de procesos, sistema de pedidos
y otras aplicaciones), Redes y telecomunicaciones (configuración de routers,
switchs, y servicios de red).
� Los usuarios están expuestos a perder el acceso a dispositivos y aplicaciones
debido al cambio de claves realizado por terceros.
� La confidencialidad e integridad de los datos puede ser comprometida.
86
� Motiva e incrementa ataques mal intencionados por parte de personal interno
así también como de personas externas a la empresa.
� Personal de la empresa fijo, outsourcing o terceras personas pueden conectar
dispositivos propios a la red de la empresa.
� Se pueden producir ataques involuntarios por parte de usuarios de la red de la
empresa.
� Terceras personas pueden interceptar conexiones o conectarse remotamente a
los servidores de la empresa, para robar información u ocasionar daños en la
red.
� Perdida de tiempo al momento de configurar un switch por no poseer
documentación de su configuración.
� Si el encargado de configurar los switches de la empresa no se encuentra
disponible, a la persona que lo reemplace le resultara complejo entender la
configuración actual del switch.
� Cualquier análisis de la red implicaría manipular el switch debido a que no
existe documentación sobre su configuración, lo cual disminuirá el
desempeño del equipo, y también se puede cambiar la configuración
accidentalmente.
� Si colapsa un punto de la red, este podría afectar la red en su totalidad debido a
que no se han creado VLAN’s.
� Si se infecta alguna PC con virus, este se puede propagar debido a que la red no
se encuentra segmentada.
87
� Si un tercero se conecta a un punto de red, este tendrá acceso a todos los
dispositivos de la red.
� No se podrá realizar una administración correcta de la red, pues no esta
segmentada.
� La red esta propensa a un ataque de denegación de servicios.
� Servicios de la red pueden caerse por mala administración del ancho de banda
disponible de la red.
� Debido a la falta de ACL’s cualquier tipo de tráfico puede ingresar o salir de la
red fácilmente.
� Facilita la realización de ataques ya que el router permite el uso de cualquier
protocolo en la red.
� Dificultad al dar mantenimiento a algunos equipos de red, ya que los gabinetes
en los que se guardan están mal ubicados (altura, poco espacio para
manipularlos, lugares peligrosos, etc.) o sus cables están desorganizados.
� No se tiene disponibilidad para manipular algunos equipos de red en caso de
emergencia ya que se encuentran ubicados en departamentos o dependencias
de otros propietarios bajo llave.
� Avería de algunos equipos de red debido a daños causados por eventualidades
como fugas de agua, campos magnéticos (dispositivos cercanos a maquinaria
que opera con alto voltaje) o desastres naturales, ya que no tienen la
protección necesaria.
� Fallos en la red debido daño o falla de algún dispositivo.
� Fallo de los dispositivos o equipos de red debido a corte de energía eléctrica.
88
� La configuración del switch puede presentar errores y hacer que la red colapse.
� En caso de que la red que interconecta los computadores de las máquinas de
producción falle, la transmisión redundante a través de la red inalámbrica no
será adecuada.
� En caso de que la centralilla telefónica colapse su servicio se interrumpirá por
tiempo indefinido.
� Al no existir enlaces redundantes en las conexiones de red más importantes
podría desencadenar una suspensión indefinida de los servicios de la red
interna.
� Al no existir un enlace redundante en la red de transmisión de datos a través de
Internet se podría desencadenar una suspensión indefinida de los servicios de
la red.
� Pérdida de integridad al transmitir datos a través de medios físicos debido a que
estos están cercanos a maquinaria que genera fuertes campos magnéticos.
� Las transacciones realizadas a través de la red de la empresa tardarán más de lo
habitual debido a que los empleados pueden dar mal uso al servicio de
Internet (descargas de videos, música, etc.).
� Mal uso del correo electrónico interno y externo pueden saturar la red, debido a
que no existen políticas o herramientas que controlen su uso.
� Descargas de código malicioso a través de Internet que puedan desencadenar la
proliferación de virus, gusanos y troyanos, lo cuál podría comprometer el
estado de la red.
� En caso de una catástrofe en la empresa se suspenderán indefinidamente las
labores informáticas, debido a que no se cuenta con una instalación de
89
respaldo acondicionada para dar continuidad al funcionamiento de los
principales equipos de cómputo.
3.6.2 Amenazas para el dominio de hardware
� Para de las maquinas de producción
� Los equipos tienen un menor tiempo de vida útil o pueden presentar averías
frecuentes debido a que no se realiza un mantenimiento periódico a estos.
� Los equipos pueden averiarse o destruirse debido a que no se encuentran en una
ubicación adecuada que las proteja.
� Complicaciones al momento de reparar, configurar o agregar una PC, debido a
la falta de documentación que muestre su estado actual o deseado.
� No se podrá controlar rápida y adecuadamente un incendio debido a que no hay
extintores apropiados y cercanos a todos los dispositivos de red y demás
equipos.
� Empleados de la empresa y terceras personas pueden desconfigurar o manipular
equipos situados en áreas de acceso público debido a que estos equipos no
están protegidos adecuadamente o no existe ningún tipo de señal que restrinja
su uso.
� Tanto las computadoras de usuario como las computadoras que intervienen en
los procesos de producción pueden averiarse debido a que no se realiza un
mantenimiento periódico de tipo hardware ni actualizaciones de software.
� Podrían manipularse de forma inadecuada los computadores de control de
procesos de producción debido a que no existe un manual técnico que
describa el correcto uso de este software.
90
� Pueden ocasionarse daños o averías de los equipos, por parte de los empleados
ya que estos desconocen políticas de buen uso de estos y de su
comportamiento (manipulación de alimentos) cerca de estos dispositivos.
3.6.3 Amenazas para el dominio de software
� Suplantación de identidad debido a que algunos equipos se encuentran solos y
con sus sesiones abiertas.
� Los recursos de la empresa pueden ser mal usados por sus propietarios, debido
a que no existen procesos que controlen las aplicaciones que se instalan en
sus PC’s.
� Podrían existir fallas en los procesos de producción o confusión entre los
operarios de estas computadoras debido a que los mensajes de error que
presenta su software no son lo suficientemente claros.
� Personal ajeno a la empresa y empleados outsourcing con acceso al cuarto de
servidores pueden robar información, dañar o desconfigurar algún equipo sin
que sus propietarios se enteren, debido a que no existe ningún control que
registre las actividades realizadas dentro de este lugar.
� Usuarios de la empresa con privilegios mal asignados pueden ocasionar pérdida
de integridad o divulgación de la información a la que tienen acceso.
� Pueden existir usuarios con privilegios de los empleados que ya no son parte
del personal de la empresa facilitando su acceso.
� Terceras personas pueden conocer fácilmente los usuarios y contraseñas de
correo electrónico debido a que esta información circula por la red en texto
plano.
91
� Los servicios de la red podrían suspenderse indefinidamente debido a que los
software de los servidores no son revisados y actualizados periódicamente.
� Mal funcionamiento de aplicaciones debido a que estas no han sido probadas o
revisadas antes de ponerlas en funcionamiento.
� El encargado de mantenimiento y actualización de software se ausente.
3.6.4 Amenazas para el dominio de datos
� Posible robo o destrucción de los respaldos debido a que estos no están
almacenados en un lugar seguro, ni son transportados adecuadamente.
� Pérdida o deterioro de los datos y respaldos almacenados, debido a que estos no
son revisados ya sea al momento de su creación y periódicamente.
� Pérdida o robo de información impresa, licencias, instaladores y demás activos
de este tipo debido a que estos no están almacenados de forma segura.
� Pérdida de integridad, divulgación y robo de la información, además de que no
se podrá identificar quien realizó estos actos ya sean intencionales o no,
debido a que no se lleva un registro de los accesos tanto a la información
digital de mayor importancia como a la BD.
� La información dada de baja puede ser mal utilizada debido a que dicha
información no es eliminada de la forma correcta.
� No se puede llevar una correcta administración de la información debido a que
esta no está clasificada adecuadamente impidiendo su control, ya que existe
información que requiere mayor seguridad.
92
3.6.5 Amenazas para el dominio del sistema eléctrico
� La falta de protección en algunas tomas eléctricas y UPS podrían ocasionar la
inactividad de equipos de red y provocar la baja de servicios.
� Cables de poder no protegidos adecuadamente pueden generar cortocircuitos
cerca de dispositivos de red y demás equipos, que ocasionen averías o daños
irreparables en personas y equipos de la empresa.
� Posibles averías o daños ocasionados por empleados o terceras personas que
acceden al generador eléctrico sin debida autorización.
� Posibles averías o daños ocasionados por falta de mantenimiento periódico al
generador eléctrico.
3.6.6 Amenazas para el dominio de talento humano
� Los empleados pueden realizar acciones indebidas ya sean estas intencionales o
no debido a que desconocen la importancia de la seguridad para la
organización.
� Los empleados no tienen lineamientos que los oriente sobre lo que está correcto
o no realizar con los recursos, activos e información de la empresa.
� Divulgación de información sensible para la empresa ocasionada por
empleados fijos y outsourcing que acceden a esta y no han firmado contratos
de confidencialidad y no divulgación.
93
3.6.7 Amenazas externas
� Desastres naturales como temblores, terremotos, inundaciones y principalmente
incendios.
� Posible huelgas internas que imposibiliten el acceso de los empleados
administrativos a las instalaciones de la empresa.
3.7 IDENTIFICACIÓN DE IMPACTOS
Los siguientes, son algunos impactos determinados, para ello se ha tomando en
cuenta, tanto las vulnerabilidades como las amenazas identificadas:
� Perdidas económicas por paralización de los procesos de producción.
� Perdidas de tiempo al momento de recuperación de fallos.
� Inconformidad o pérdida de clientes provocada por retardos en la entrega de
pedidos.
� Pérdida de comunicación entre sucursales asociadas a la empresa.
� Mala imagen de la empresa hacia sus clientes, proveedores y la sociedad en
general.
� Pérdida de integridad de los datos.
� Pérdidas económicas ocasionadas por terceros (chantajes, competencia, etc.).
� Pérdidas económicas por reparación o reemplazo de equipos y maquinaria
defectuosos.
94
� Inconformidad de empleados de la empresa.
� Suplantación de identidad.
� Suspensión indefinida de los servicios de red.
� Para de los servicios administrativos.
3.8 IDENTIFICACIÓN DE RIESGOS
Para la identificación de riesgos nos basamos en la tabla expuesta en el capitulo
2.
95
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
SER
VIC
IOS
DE
L D
OM
INO
DE
RE
DE
S Y
TE
LE
CO
MU
NIC
AC
ION
ES
OB
JET
IVO
DE
L
SER
VIC
IO
CA
USA
S R
IESG
OS
DE
SCR
IPC
IÓN
IM
PAC
TO
S
Este
ser
vici
o pe
rmite
la
co
nect
ivid
ad
entre
lo
s eq
uipo
s de
la
em
pres
a ta
nto
inte
rna
com
o ex
tern
amen
te.
En
este
se
rvic
io
inte
rvie
nen
los
equi
pos
y di
spos
itivo
s de
re
d,
cabl
eado
y
serv
icio
s in
alám
bric
os
que
perm
iten
la
trans
mis
ión
de v
oz y
da
tos.
Ayu
dan
a in
crem
enta
r la
se
gurid
ad
en
la
orga
niza
ción
.
Rie
sgos
Tec
noló
gico
s
Ata
ques
re
aliz
ados
po
r te
rcer
as p
erso
nas.
Pu
blic
ació
n de
ba
nner
s a
travé
s de
di
spos
itivo
s de
re
d pu
eden
m
ostra
r in
form
ació
n de
est
a y
de lo
s di
spos
itivo
s ut
iliza
dos,
lo c
ual
faci
lita
el a
taqu
e de
te
rcer
os.
�Pé
rdid
a de
int
egrid
ad d
e lo
s da
tos.
�Pé
rdid
a de
co
mun
icac
ión
entre
suc
ursa
les
asoc
iada
s a
la e
mpr
esa.
�Pe
rdid
as
econ
ómic
as
ocas
iona
das
por
terc
eros
(c
hant
ajes
, com
pete
ncia
).
�Su
plan
taci
ón d
e id
entid
ad.
�Su
spen
sión
ind
efin
ida
de l
os
serv
icio
s de
red.
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
Ata
ques
in
tern
os
invo
lunt
ario
s. N
o ex
iste
n pr
otec
cion
es e
n la
red
de
la
empr
esa
(VLA
N’s
, AC
L’s)
que
evi
ten
el
acce
so a
ser
vido
res,
la p
rolif
erac
ión
de
viru
s y sa
tura
ción
de
la re
d.
Falla
s en
la re
d.
Se
prod
ucen
po
r av
ería
s de
eq
uipo
s, co
rtes
de e
nerg
ía, m
ala
conf
igur
ació
n de
di
spos
itivo
s, vi
rus,
falla
o
falta
de
en
lace
s re
dund
ante
s, m
ala
adm
inis
traci
ón
de
anch
o de
ba
nda
y ac
ceso
a In
tern
et.
Acc
eso
de te
rcer
os o
usu
ario
s m
al in
tenc
iona
dos.
No
exis
te u
n co
ntro
l so
bre
el u
so d
e co
ntra
seña
s, lo
cua
l fa
cilit
a el
acc
eso
a di
spos
itivo
s o
aplic
acio
nes
y m
odifi
caci
ón d
e in
form
ació
n.
Dañ
os d
e eq
uipo
s. N
o se
en
cuen
tran
prot
egid
os
adec
uada
men
te,
no
se
real
iza
man
teni
mie
nto
perió
dico
y m
al u
so p
or
parte
de
los u
suar
ios.
96
Difi
culta
d de
man
teni
mie
nto.
A
l co
nfig
urar
dis
posi
tivos
deb
ido
a qu
e no
ex
iste
do
cum
enta
ción
, al
guno
s eq
uipo
s es
tán
ubic
ados
en
zo
nas
prot
egid
as p
or o
tros
depa
rtam
ento
s co
n di
fícil
acce
so,
falta
de
l pe
rson
al
que
conf
igur
ó lo
s eq
uipo
s o
deso
rden
de
los
disp
ositi
vos y
sus c
onex
ione
s.
Inte
rrup
ción
de
l se
rvic
io
de
tele
foní
a in
tern
a.
Por
falla
s:
en
el
cabl
eado
, en
la
ce
ntra
lilla
tel
efón
ica
o en
el
serv
icio
de
tele
foní
a IP
.
Para
de
lo
s se
rvic
ios
info
rmát
icos
. N
o ex
iste
una
ins
tala
ción
de
resp
aldo
ac
ondi
cion
ada
adec
uada
men
te
para
eq
uipo
s de
cóm
puto
.
Rob
o de
Info
rmac
ión.
La
s con
exio
nes r
emot
as n
o so
n se
gura
s.
Tabl
a 5
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
de re
des y
tele
com
unic
acio
nes
97
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
AC
TIV
OS
DE
L D
OM
INO
DE
HA
RD
WA
RE
OB
JET
IVO
DE
LO
S A
CT
IVO
S C
AU
SAS
RIE
SGO
S D
ESC
RIP
CIÓ
N
IMPA
CT
OS
Apo
ya lo
s pro
ceso
s in
form
átic
os, a
barc
a eq
uipo
s y d
ispo
sitiv
os
desd
e el
pun
to d
e vi
sta
físic
o, a
dem
ás d
e la
m
aqui
naria
de
prod
ucci
ón.
Rie
sgos
Tec
noló
gico
s
Dañ
os
de
equi
pos
info
rmát
icos
. N
o se
en
cuen
tran
prot
egid
os
adec
uada
men
te,
no
se
real
iza
man
teni
mie
nto
perió
dico
, m
al u
so p
or
parte
de
los
usua
rios,
fal
los
eléc
trico
s,
falta
de
seña
lizac
ión
o de
scui
do e
n la
m
anip
ulac
ión
de a
limen
tos.
�Pé
rdid
as
econ
ómic
as
por
para
lizac
ión
de l
os p
roce
sos
de p
rodu
cció
n.
�Pé
rdid
as
econ
ómic
as
por
repa
raci
ón
o re
empl
azo
de
equi
pos
y m
aqui
naria
de
fect
uosa
.
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
�In
conf
orm
idad
o
pérd
ida
de
clie
ntes
pr
ovoc
ada
por
reta
rdos
en
la
en
trega
de
pe
dido
s.
Difi
culta
d de
man
teni
mie
nto.
A
l co
nfig
urar
dis
posi
tivos
deb
ido
a qu
e no
ex
iste
do
cum
enta
ción
, fa
lta
del
pers
onal
que
con
figur
ó lo
s eq
uipo
s o
deso
rden
de
lo
s di
spos
itivo
s y
sus
cone
xion
es.
Des
trucc
ión
de
los
equi
pos
.info
rmát
icos
. En
ca
so
de
ince
ndio
no
ex
iste
n ex
tinto
res c
erca
nos a
todo
s los
equ
ipos
.
Dañ
os
de
maq
uina
ria
de
prod
ucci
ón.
Deb
ido
al m
al u
so p
or p
arte
de
usua
rios
o el
des
cuid
o en
la
man
ipul
ació
n de
al
imen
tos.
Tabl
a 6
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
de h
ardw
are
98
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
SER
VIC
IOS
DE
L D
OM
INO
DE
SO
FTW
AR
E
OB
JET
IVO
DE
L
SER
VIC
IO
CA
USA
S R
IESG
OS
DE
SCR
IPC
IÓN
IM
PAC
TO
S
Softw
are
y ap
licac
ione
s qu
e ay
udan
a
man
ejar
el
ha
rdw
are
y lo
s di
spos
itivo
s de
red
es;
tam
bién
ag
ilita
n el
pr
oces
o de
pr
oduc
ción
.
Ayu
dan
a pr
oteg
er l
os
activ
os d
e la
em
pres
a.
Rie
sgos
Tec
noló
gico
s
Acc
eso
de te
rcer
os o
usu
ario
s m
al in
tenc
iona
dos.
No
exis
te u
n co
ntro
l so
bre
el u
so d
e co
ntra
seña
s y
man
ejo
de s
esio
nes,
lo
cual
fac
ilita
el
acce
so a
dis
posi
tivos
o
aplic
acio
nes,
mod
ifica
ción
de
in
form
ació
n,
desc
onfig
urac
ión
de
equi
pos,
mal
a ad
min
istra
ción
de
us
uario
s.
�Pé
rdid
a de
int
egrid
ad d
e lo
s da
tos.
�Pe
rdid
as
econ
ómic
as
ocas
iona
das
por
terc
eros
(c
hant
ajes
, com
pete
ncia
).
�Su
plan
taci
ón d
e id
entid
ad.
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
�Pé
rdid
as
econ
ómic
as
por
para
lizac
ión
de l
os p
roce
sos
de p
rodu
cció
n.
�In
conf
orm
idad
o p
érdi
da d
e cl
ient
es
prov
ocad
a po
r re
tard
os
en
la
entre
ga
de
pedi
dos.
�M
ala
imag
en d
e la
em
pres
a ha
cia
sus
clie
ntes
,
Uso
in
adec
uado
de
lo
s re
curs
os.
No
exis
te
un
cont
rol,
sobr
e la
s ap
licac
ione
s qu
e lo
s us
uario
s in
stal
an e
n su
s PC
’s, n
i el u
so d
e lo
s ser
vici
os.
Falla
s en
lo
s pr
oces
os
de
prod
ucci
ón.
Los
men
saje
s de
er
ror
no
son
lo
sufic
ient
emen
te c
laro
s.
Rob
o de
info
rmac
ión.
N
o ex
iste
ci
frad
o de
us
uario
s y
cont
rase
ñas
de
corr
eo
elec
tróni
co,
adm
inis
traci
ón
inco
rrec
ta
de
usua
rios
(rol
es y
priv
ilegi
os).
Erro
res
dura
nte
el
uso
de
aplic
acio
nes.
Prod
ucid
os p
orqu
e es
tos
no h
an s
ido
prob
adas
o r
evis
adas
ant
es d
e po
nerla
s en
fun
cion
amie
nto
y ta
mbi
én p
orqu
e no
ha
n si
do a
ctua
lizad
as p
erió
dica
men
te.
99
Difi
culta
d de
man
teni
mie
nto.
El
per
sona
l en
carg
ado
de e
sta
activ
idad
se
enc
uent
ra a
usen
te.
prov
eedo
res
y la
soc
ieda
d en
ge
nera
l.
�In
conf
orm
idad
de
empl
eado
s de
la e
mpr
esa.
Tabl
a 7
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
de so
ftwar
e
100
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
AC
TIV
OS
DE
L D
OM
INO
DE
DA
TO
S
OB
JET
IVO
DE
LO
S A
CT
IVO
S C
AU
SAS
RIE
SGO
S D
ESC
RIP
CIÓ
N
IMPA
CT
OS
Son
dato
s qu
e ge
nera
n in
form
ació
n,
los
cual
es s
irven
par
a da
r so
porte
a l
a to
ma
de
deci
sion
es
en
la
empr
esa.
Esto
s in
fluye
n en
los
pr
oces
os
info
rmát
icos
y
de p
rodu
cció
n.
Rie
sgos
Tec
noló
gico
s
Rob
o, p
érdi
da,
dest
rucc
ión
o de
terio
ro
de
resp
aldo
s di
gita
les.
Esto
s no
se
encu
entra
n al
mac
enad
os e
n un
lug
ar s
egur
o, n
o so
n tra
nspo
rtado
s ad
ecua
dam
ente
, ni
re
visa
dos
perió
dica
men
te.
�Pé
rdid
a de
int
egrid
ad d
e lo
s da
tos.
�Pe
rdid
as
econ
ómic
as
ocas
iona
das
por
terc
eros
(c
hant
ajes
, com
pete
ncia
).
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
�In
conf
orm
idad
de
empl
eado
s de
la e
mpr
esa.
�M
ala
imag
en d
e la
em
pres
a ha
cia
sus
clie
ntes
, pr
ovee
dore
s y
la s
ocie
dad
en
gene
ral.
Rob
o, p
érdi
da,
dest
rucc
ión
o de
terio
ro
de
docu
men
tos
impr
esos
, lic
enci
as
o in
stal
ador
es.
Esto
s ac
tivos
no
está
n al
mac
enad
os e
n un
lug
ar s
egur
o, n
o ex
iste
n co
ntro
les
sobr
e el
acc
eso
a el
los
y ta
mpo
co e
xist
en
proc
esos
que
indi
quen
la fo
rma
adec
uada
de
elim
inar
los.
Difi
culta
d y
perd
ida
de ti
empo
al
mom
ento
de
adm
inis
trar l
os
dato
s.
No
exis
te u
na c
lasi
ficac
ión
apro
piad
a de
lo
s da
tos
y de
la in
form
ació
n qu
e fa
cilit
e su
con
trol y
man
teni
mie
nto.
Difi
culta
d pa
ra
dete
ctar
ag
reso
res e
n la
BD
. N
o se
llev
a un
reg
istro
par
a co
ntro
lar
el
acce
so a
la B
D, p
or lo
tant
o es
to im
pide
co
noce
r qui
en re
aliz
ó el
ata
que.
Tabl
a 8
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
de d
atos
101
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
SER
VIC
IOS
DE
L D
OM
INO
DE
L S
IST
EM
A E
LE
CT
RIC
O
OB
JET
IVO
DE
L
SER
VIC
IO
CA
USA
S R
IESG
OS
DE
SCR
IPC
IÓN
IM
PAC
TO
S
Equi
pam
ient
o de
stin
ado
a su
min
istra
r el
ser
vici
o el
éctri
co
cont
inuo
a
los
disp
ositi
vos
y m
aqui
naria
de
la
em
pres
a,
aun
cuan
do
la
empr
esa
eléc
trica
in
terr
umpa
el
serv
icio
in
defin
ida
o te
mpo
ralm
ente
.
Rie
sgos
Tec
noló
gico
s
Inac
tivid
ad
de
equi
pos
info
rmát
icos
. La
falta
de
prot
ecci
ón d
e ca
bles
, tom
as y
di
spos
itivo
s el
éctri
cos
(UPS
) oca
sion
aría
el
cor
te d
el s
ervi
cio
que
sum
inis
tra,
ya
sea
este
inte
ncio
nal o
no.
�Pé
rdid
as
econ
ómic
as
por
repa
raci
ón
o re
empl
azo
de
equi
pos
y m
aqui
naria
de
fect
uoso
s.
�In
conf
orm
idad
o p
érdi
da d
e cl
ient
es
prov
ocad
a po
r re
tard
os
en
la
entre
ga
de
pedi
dos.
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
�Pé
rdid
as
econ
ómic
as
por
para
lizac
ión
de l
os p
roce
sos
de p
rodu
cció
n.
�Su
spen
sión
ind
efin
ida
de l
os
serv
icio
s de
red.
Cor
toci
rcui
to.
Los
cabl
es y
tom
as d
e po
der
que
no
esté
n ai
slad
os
adec
uada
men
te
pued
en
ocas
iona
r est
e pe
ligro
.
Dañ
os
en
el
gene
rado
r el
éctri
co y
equ
ipos
aux
iliar
les
UPS
.
No
exis
te
un
cont
rol
de
acce
so
y m
anip
ulac
ión
a es
tos
disp
ositi
vos,
adem
ás
esto
s di
spos
itivo
s no
re
cibe
n m
ante
nim
ient
o pe
riódi
co.
Tabl
a 9
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
del s
iste
ma
eléc
tric
o
102
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
SER
VIC
IOS
DE
L D
OM
INO
DE
TA
LE
NT
O H
UM
AN
O
OB
JET
IVO
DE
L
SER
VIC
IO
CA
USA
S R
IESG
OS
DE
SCR
IPC
IÓN
IM
PAC
TO
S
Cap
acid
ad in
tele
ctua
l y
man
o de
obr
a qu
e la
bora
en
la e
mpr
esa,
pa
rtici
pand
o di
rect
a e
indi
rect
amen
te e
n lo
s pr
oces
os d
e pr
oduc
ción
.
Rie
sgos
Tec
noló
gico
s
Ata
ques
in
tern
os
invo
lunt
ario
s. El
des
cono
cim
ient
o de
la im
porta
ncia
de
la s
egur
idad
den
tro d
e la
org
aniz
ació
n pu
ede
ocas
iona
r fa
llas
hum
anas
qu
e de
sem
boqu
en e
n pr
oble
mas
gra
ves.
�Pé
rdid
as
de
tiem
po
al
mom
ento
de
recu
pera
ción
de
fallo
s.
�M
ala
imag
en d
e la
em
pres
a ha
cia
sus
clie
ntes
, pr
ovee
dore
s y
soci
edad
en
ge
nera
l.
�Pé
rdid
as
econ
ómic
as
ocas
iona
das p
or te
rcer
os.
�Pé
rdid
as
econ
ómic
as
por
repa
raci
ón
o re
empl
azo
de
equi
pos
y m
aqui
naria
de
fect
uoso
s.
�Su
spen
sión
ind
efin
ida
de l
os
serv
icio
s de
red.
�Pé
rdid
as
econ
ómic
as
por
para
lizac
ión
de l
os p
roce
sos
de p
rodu
cció
n.
Dañ
o de
eq
uipo
s y
desc
onfig
urac
ión
de so
ftwar
e.
El d
esco
noci
mie
nto
de la
util
idad
y b
uen
uso
de
los
recu
rsos
pu
ede
ocas
iona
r pé
rdid
as o
ave
rías d
e es
tos.
Rob
o de
info
rmac
ión
sens
ible
. A
lgun
os e
mpl
eado
s fij
os y
out
sour
cing
tie
nen
acce
so a
inf
orm
ació
n de
licad
a,
sien
do p
osib
le q
ue la
div
ulgu
en d
ebid
o a
que
no
han
firm
ados
co
ntra
tos
de
conf
iden
cial
idad
.
Tabl
a 10
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s del
dom
ino
de ta
lent
o hu
man
o
103
IDE
NT
IFIC
AC
ION
DE
RIE
SGO
S
SER
VIC
IOS
DE
TO
DA
LA
EM
PRE
SA
OB
JET
IVO
DE
L
SER
VIC
IO
CA
USA
S R
IESG
OS
DE
SCR
IPC
IÓN
IM
PAC
TO
S
Man
tene
r la
inte
grid
ad
de la
em
pres
a y
sus
proc
esos
pro
ducc
ión.
Fa
ctor
es E
xter
nos
Des
astre
s nat
ural
es.
Toda
s la
s em
pres
as
cuen
cana
s se
en
cuen
tran
expu
esta
s a
desa
stre
s na
tura
les
del
tipo
tem
blor
es,
terr
emot
os
debi
do a
la
ubic
ació
n ge
ográ
fica
de l
a ci
udad
, ade
más
de
posi
bles
inun
daci
ones
de
pend
iend
o de
l clim
a.
�Pé
rdid
as
econ
ómic
as
por
repa
raci
ón
o re
empl
azo
de
equi
pos
y m
aqui
naria
de
fect
uoso
s.
�Pé
rdid
as
econ
ómic
as
por
para
lizac
ión
de l
os p
roce
sos
de p
rodu
cció
n.
�M
ala
imag
en d
e la
em
pres
a ha
cia
sus
clie
ntes
, pr
ovee
dore
s y
la s
ocie
dad
en
gene
ral.
�In
conf
orm
idad
o
pérd
ida
de c
lient
es
prov
ocad
a po
r re
tard
os e
n la
ent
rega
de
pedi
dos.
�Pa
ra
de
los
serv
icio
s ad
min
istra
tivos
.
Des
astre
s ind
ustri
ales
. La
s em
pres
as
ubic
adas
en
el
pa
rque
in
dust
rial
está
n ex
pues
tas
a in
cend
ios
o ex
plos
ione
s, m
ás
aún
cuan
do
esta
em
pres
a ut
iliza
com
o pr
inci
pal
mat
eria
pr
ima
el p
apel
.
Fact
ores
Ope
rativ
os
Hue
lgas
inte
rnas
. Lo
s em
plea
dos
que
labo
ran
en la
pla
nta
podr
ían
para
lizar
su
s ac
tivid
ades
, im
pidi
endo
el
ac
ceso
de
lo
s de
más
em
plea
dos a
la e
mpr
esa.
Tabl
a 11
Tab
la p
ara
la id
entif
icac
ión
de ri
esgo
s ext
erno
104
3.9 CALIFICACIÓN Y EVALUACIÓN DE RIESGOS
Como se revisó en el capítulo 2, la calificación de los riesgos se realizará
tomando en cuenta dos aspectos: el primero es el valor de probabilidad, y el segundo
es el valor de impacto, los cuales serán ponderados de la siguiente manera:
Valores de probabilidad:
Alta 3
Media 2
Baja 1
Valores de impacto:
Leve 5
Moderado 10
Catastrófico 20
A continuación se procede a la calificación de cada uno de los riesgos
identificados sin tomar ningún orden en particular:
3.9.1 Calificación de riesgos del dominio de redes y telecomunicaciones:
Ataques realizados por terceras personas
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 10 Moderado
Valor Total 10
105
Ataques internos involuntarios
Calificación:
Factores Valor Equivalente
Probabilidad 3 Alta
Impacto 20 Moderado
Valor Total 60
Fallas en la red
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 20 Catastrófico
Valor Total 40
Acceso de terceros o usuarios mal intencionados
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 10 Leve
Valor Total 10
106
Daños de equipos
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Dificultad de mantenimiento
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 5 Leve
Valor Total 5
Interrupción del servicio de telefonía interna
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 5 Leve
Valor Total 5
107
Para de los servicios informáticos
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 20 Catastrófico
Valor Total 20
Robo de Información
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
3.9.2 Calificación de riesgos del dominio de hardware:
Daños de equipos informáticos
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 20 Catastrófico
Valor Total 40
108
Dificultad de mantenimiento
Calificación:
Factores Valor Equivalente
Probabilidad 2 Alta
Impacto 10 Moderado
Valor Total 20
Destrucción de los equipos informáticos
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Daños de maquinaria de producción.
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 20 Catastrófico
Valor Total 40
109
3.9.3 Calificación de riesgos del domino de software:
Acceso de terceros o usuarios mal intencionados
Calificación:
Factores Valor Equivalente
Probabilidad 3 Alta
Impacto 10 Moderado
Valor Total 30
Uso inadecuado de los recursos
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Fallas en los procesos de producción
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 20 Catastrófico
Valor Total 20
110
Robo de información
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Errores durante el uso de aplicaciones
Calificación:
Factores Valor Equivalente
Probabilidad 1 Moderado
Impacto 10 Moderado
Valor Total 10
Dificultad de mantenimiento
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 5 Leve
Valor Total 10
111
3.9.4 Calificación de riesgos del dominio de datos:
Robo, pérdida, destrucción o deterioro de respaldos digitales
Calificación:
Factores Valor Equivalente
Probabilidad 3 Alta
Impacto 10 Moderado
Valor Total 30
Robo, pérdida, destrucción o deterioro de documentos impresos, licencias o
instaladores
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Dificultad y perdida de tiempo al momento de administrar los datos
Calificación:
Factores Valor Equivalente
Probabilidad 3 Alta
Impacto 5 Leve
Valor Total 15
112
Dificultad para detectar agresores en la BD
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
3.9.5 Calificación de riesgos del domino del sistema eléctrico:
Inactividad de equipos informáticos
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
Cortocircuito
Calificación:
Factores Valor Equivalente
Probabilidad 1 Bajo
Impacto 10 Moderado
Valor Total 10
113
Daños en el generador eléctrico y equipos auxiliarles UPS
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 20 Catastrófico
Valor Total 40
3.9.6 Calificación de riesgos del domino de talento humano:
Ataques internos involuntarios
Calificación:
Factores Valor Equivalente
Probabilidad 3 Alta
Impacto 20 Catastrófico
Valor Total 60
Daño de equipos y desconfiguración de software
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderado
Valor Total 20
114
Robo de información sensible
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 10 Moderada
Valor Total 20
3.9.7 Calificación de riesgos provocados por factores externos:
Desastres naturales
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 20 Catastrófico
Valor Total 20
Desastres industriales
Calificación:
Factores Valor Equivalente
Probabilidad 2 Media
Impacto 20 Catastrófico
Valor Total 40
115
Huelgas internas
Calificación:
Factores Valor Equivalente
Probabilidad 1 Baja
Impacto 20 Catastrófico
Valor Total 20
3.10 PRESENTACIÓN DE RESULTADOS MEDIANTE LA MATRIZ DE
RIESGOS
Una vez calificados, los riesgos identificados deben ser interpretados, para
ello nos valemos de la matriz de calificación, evaluación y respuesta a los riesgos;
como se profundizó en el capitulo 2, esta matriz nos ayudará a entender la gravedad
de los riesgos, ubicándolos en zonas según la calificación obtenida, para cada zona
hay diferentes sugerencias sobre como responder al riesgo.
116
Prob
abili
dad
Val
or
Alta
3
15ZO
NA
DE
RIE
SGO
M
OD
ER
AD
O
30ZO
NA
DE
RIE
SGO
IM
POR
TA
NT
E
60ZO
NA
DE
RIE
SGO
IN
AC
EPT
AB
LE
� �
Difi
culta
d y
perd
ida
de ti
empo
al
Mom
ento
de
adm
inis
trar l
os d
atos
(D)�
� �A
cces
o de
terc
eros
o u
suar
ios m
al
inte
ncio
nado
s (Sw
)�� �
Rob
o, p
érdi
da, d
estru
cció
n o
dete
rioro
de
resp
aldo
s dig
itale
s (D
)��
� �A
taqu
es in
tern
os in
volu
ntar
ios (
TH)�
�A
taqu
es in
tern
os in
volu
ntar
ios (
RT)
�
Med
ia
2
10ZO
NA
DE
RIE
SGO
T
OL
ER
AB
LE
20
ZON
A D
E R
IESG
O
MO
DE
RA
DO
40
ZON
A D
E R
IESG
O
IMPO
RT
AN
TE
� �
Difi
culta
d de
man
teni
mie
nto
(Sw
)��
Dañ
os d
e eq
uipo
s (R
T)�
� �R
obo
de In
form
ació
n (R
T)�
� �D
estru
cció
n de
los e
quip
os
info
rmát
icos
(Hw
)�� �
Difi
culta
d de
man
teni
mie
nto
(Hw
)�
�U
so in
adec
uado
de
los r
ecur
sos (
Sw)�
� �R
obo
de in
form
ació
n (S
w)�
� �R
obo,
pér
dida
, des
trucc
ión
o de
terio
ro
de d
ocum
ento
s im
pres
os, l
icen
cias
o
inst
alad
ores
(D)�
�
�Fa
llas e
n la
red
(RT)
�� �
Dañ
os d
e eq
uipo
s y m
áqui
nas d
e pr
oduc
ción
(Hw
)�� �
Dañ
os e
n el
gen
erad
or e
léct
rico
y eq
uipo
s aux
iliar
les U
PS (S
E)
�D
esas
tres i
ndus
trial
es (F
E)
117
� �D
ificu
ltad
para
det
ecta
r agr
esor
es e
n la
B
D (D
)�� �
Inac
tivid
ad d
e eq
uipo
s inf
orm
átic
os
(SE)
�� �
Dañ
o de
equ
ipos
y d
esco
nfig
urac
ión
de so
ftwar
e (T
H)�
� �R
obo
de in
form
ació
n se
nsib
le (T
H)�
�
� D
años
de
maq
uina
ria d
e pr
oduc
ción
(H
w)
�H
uelg
as in
tern
as (F
E)
Baj
a 1
5ZO
NA
DE
RIE
SGO
A
CE
PTA
BL
E
10ZO
NA
DE
RIE
SGO
T
OL
ER
AB
LE
20
ZON
A D
E R
IESG
O
MO
DE
RA
DO
�D
ificu
ltad
de m
ante
nim
ient
o (R
T)�
� �In
terr
upci
ón d
el se
rvic
io d
e te
lefo
nía
inte
rna
(RT)
�� �
�A
taqu
es re
aliz
ados
por
terc
eras
pe
rson
as (R
T)�
� �A
cces
o de
terc
eros
o u
suar
ios m
al
inte
ncio
nado
s (R
T)�
� �C
orto
circ
uito
(SE)
�� �
Erro
res d
uran
te e
l uso
de
aplic
acio
nes
(Sw
)��
�Pa
ra d
e lo
s ser
vici
os in
form
átic
os (R
T)�
� �Fa
llas e
n lo
s pro
ceso
s de
prod
ucci
ón
(Sw
)�� �
Des
astre
s nat
ural
es (F
E)�
Impa
cto
Lev
e M
oder
ado
Cat
astr
ófic
o V
alor
5 10
20
Ta
bla
12 M
atri
z de
calif
icac
ión,
eva
luac
ión
y re
spue
sta a
los r
iesg
os c
on in
form
ació
n de
la e
mpr
esa
118
3.11 ANÁLISIS DE RESULTADOS
Luego de ubicar los riesgos dentro de la matriz, sabremos el orden de estos de
acuerdo a su gravedad, es importante recalcar que para la empresa sujeto de nuestro
de análisis, lo peor que le podría pasar es que deje de producir, dejando la parte
informática y la información en un segundo plano ya que solo son usadas para
apoyar la producción.
Según lo observado en la matriz podemos afirmar que la empresa se encuentra
en un estado relativamente bueno, si bien es cierto no tienen políticas de seguridad
implementadas, pero sus prácticas han sido adecuadas en la mayoría de sus procesos,
tanto informáticos como de producción.
La empresa esta consciente de que no se encuentra en zona de peligro, sin
embargo lo mas apropiado seria combatir los riesgos identificados; es importante
aclarar que los riesgos no pueden ser eliminados, pero si pueden ser reducidos.
La empresa deberá iniciar mitigando todos los riesgos que se presentaron en la
matriz de análisis, la idea de este proceso es disminuir su nivel de gravedad, para lo
cual proponemos tratar en primera instancia aquellos riesgos de mayor gravedad.
Este proceso dependerá de los recursos que la empresa disponga, para lo cual se
debe realizar un análisis del costo vs. beneficio, pues no tendría sentido invertir en la
seguridad de un activo más de lo que este vale.