Analisis De Riesgos

Del Análisis de Riesgos

De acuerdo a los requerimientos de VECTOR SF se realiza la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgo que ha sido desarrollado con el propósito de determinar cuáles de los activos de la institución que cuentan con mayor vulnerabilidad ante factores externos o internos puedan ser detectados, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser controlado.

Para generar esta información se desempeñaron las siguientes actividades:

a. Identificación de los activos de La empresa: se evaluaron los distintos activos físicos y de software de la organización, generando un inventario de aquellos que son considerados como vitales para su desenvolvimiento seguro.

b. Asignación de importancia a los activos: los activos fueron clasificados según el impacto que sufriría la organización si faltase o fallara tal activo.

c. Identificación de amenazas: acto seguido se listaron los factores de riesgo relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.

d. Descripción de consecuencias y salvaguardas: se generó una descripción de las consecuencias que podría sufrir La empresa si los activos son afectados por sus respectivas amenazas, detallando la manera en que se protege al activo contra ese ataque en particular, y puntualizando en qué grado son efectivas estas medidas.

e. Asignación de probabilidades de ocurrencia de las amenazas: teniendo en cuenta los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que cada una de las amenazas representaba con respecto a los activos listados, considerando para esta estimación las medidas tomadas por la institución para mitigar su acción.

f. Cálculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se procedió a su análisis. Con toda la información recolectada, se determinó el nivel de vulnerabilidad que se asocia con cada activo listado.

g. Conclusiones: a partir de las actividades anteriormente descritas se pudo evaluar la situación actual de La Institución en relación a los incidentes que pueden afectarla, calculando las vulnerabilidades cubiertas y descubiertos, y un análisis sobre la escala de importancia de los activos.

Lo cual permitió analizar las políticas de seguridad, definir y evaluar los riesgos a los que está expuesta la información y establecer los controles para reducir, eliminar o evitar los riesgos

ANALISIS DE RIESGO PARA EL DIAGNÓSTICO DE LA SEGURIDAD DE INFORMACIÓN Y RIESGOS DE TI .

De acuerdo a las buenas prácticas del ISO 17799 y 27001,VECTOR SF debe contar con un Plan de Seguridad de la Información, en adelante PSI. Sin embargo, a partir de la información proporcionada por personal de VECTOR SF se ha podido establecer que no existe un PSI de seguridad de la información.

Si bien existen controles definidos por el Área de Sistemas con respecto a la seguridad lógica y física de los recursos de Tecnología de información (TI) e información en general, éstos han sido establecidos en gran medida por el conocimiento de mejores prácticas de los responsables de cada una de las plataformas, sin directivas ni guías formales.

INFORME DETALLADO

El presente analisis de riesgo para el diagnóstico de la seguridad de información y riesgos de TI se presenta con la siguiente estructura:

- Introducción.

- Objetivo y alcance del trabajo.

- Metodología.

- Procedimientos utilizados.

- Consideraciones para una adecuada estructura organizacional.

- Análisis de Riesgos.

I. INTRODUCCION

El

...