Informe de Análisis de Riesgos

Transcripción

1 Informe de Análisis de Riesgos

2 Introducción Ahora que cuentas con toda la información necesaria para proponer algunas medidas de seguridad, en ésta ayuda de estudio conocerás la estructura que debe tener tu informe. Las partes que lo conformarán son: Portada Introducción Cuerpo Conclusiones

3 Portada (presentación del informe) La portada del informe debe incluir los siguientes datos: Título, es un dato importante ya que debe expresar de manera clara y breve, de que trata o qué se está informando y sobre quién o qué se está informando, considerando a la persona que lo leerá. Autor, la persona que elabora el informe. Fecha de entrega del informe.

4 Introducción Como introducción debes explicar de manera breve el motivo y objetivo del análisis. Debido al crecimiento reciente de la compañía, tanto en la cantidad de trabajadores como de producción, se ha hecho evidente la necesidad de incrementar la seguridad de sus activos. Esto con la finalidad evitar incidentes que atenten contra la operación de la organización y la privacidad de su información y sus trabajadores. Éste análisis de riesgos permitirá identificar que activos mejor medidas de seguridad y de que tipo deberán ser dichas medidas.

5 Cuerpo (valoración de activos) A partir de éste punto debes agregar la información que recopilaste durante el análisis. No olvides las escalas de valoración de cada etapa. de riesgos permitirá identificar que activos mejor medidas de seguridad y de que tipo deberán ser dichas medidas. La escala de valoración de activos es de 1 a 5, siendo 1 el menos importante 5 el más importante. Código Activo Confidencialidad Disponibilidad Integridad Total SU01 Servidor de usuarios

6 Cuerpo (identificación de vulnerabilidades) La escala de vulnerabilidad es de 1 a 5, siendo 1 poco vulnerable y 5 completamente vulnerable. Código Activo Valor del activo Vulnerabilidad SU01 Servidor 4 Acceso vía de internet usuarios Ventilación deficiente Falta de mantenimiento Falta de planta de emergencia Nivel de vulnerabilidad

7 Cuerpo (impacto de amenazas) Impacto de las Valor amenazas Nulo 1 Bajo 2 Medio 3 Alto 4 Código Activo SU01 Servidor de usuarios Valor Vulnerabilidad del activo 5 Acceso vía internet Ubicación física del servidor Calor generado por el hardware Suministro eléctrico Nivel de vulnerabilidad Amenaza 5 Ataques informáticos 4 Acceso de personas ajenas 3 Ventilación y mantenimiento deficientes 3 Cortes de energía eléctrica Impacto

8 Ataques informáticos Acceso de personas ajenas Cortes de energía eléctrica Ventilación y mantenimiento deficientes Ayuda de Estudio Cuerpo (matriz de riesgos) MATRÍZ DE ANÁLISIS DE RIESGOS Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta] Elementos de Información (activos) Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Criminalidad Sucesos físicos Negligencia Sistema informático Servidor de usuarios Activo Activo

9 Conclusión (tabla de medidas propuestas) De acuerdo al análisis realizado, se proponen las siguientes medidas de control de seguridad: Código Activo Amenaza Medida propuesta SU01 Servidor de usuarios Ataques informáticos Acceso de personas ajenas Ventilación y mantenimiento deficientes Implementar HIDS e HIPS Mejorar reglas de Firewall Implementar mejores antivirus a Controlar acceso a la zona mediante biometría o tarjetas ID. Implementar video-vigilancia. Instalar sistema de enfriamiento con alarmas de ventana. Implementar políticas de mantenimiento preventivo y correctivo. Cortes de energía eléctrica Instalar una planta de emergencia. Implementar de administración de la energía en caso de falla eléctrica.

10 Conclusión (medidas adicionales) Al concluir las propuestas de medidas de control debes revisar que éstas hayan cubierto todos los riesgos identificados, de no ser así elabora una segunda tabla con medidas adicionales que cubran esos riesgos residuales.