EVALUACION DE RIESGO

[pic 1]

Tabla de contenido

INDICE DE FIGURAS        2

INDICE DE TABLAS        2

INTRODUCCIÓN        3

1.        DESCRIPCION DEL PROYECTO        4

1.1        Requerimientos del sistema.        4

2.        OBJETIVOS        6

Objetivo Principal        6

Objetivos Secundarios        6

OCTAVE ALLEGRO        7

FASES OCTAVE        7

CRITERIOS DE MEDICION DEL RIESGO        8

IDENTIFICACION DEL RIESGO        9

IMPACTO GENERADO        11

INDICE DE FIGURAS

FIG 1. ESQUEMA DE LA EMPRESA

FIG 2. ORGANIGRAMA DE LA EMPRESA

INDICE DE TABLAS

TAB 1. Grado De Impacto        

TAB 2. Definición De la Probabilidad

TAB 3. Clasificacion Activos

TAB 4. Identificación De Las Amenazas

TAB 5. Nivel De Impacto

TAB. 6 Prioridad De Los Riesgos

TAB 7. Resultados

INTRODUCCIÓN

Se ve necesaria la transmisión de datos en una empresa del área productiva, ya que es necesario estar archivando información acerca de los distintos clientes y diferentes datos particulares de los vehículos que posee la empresa, para esto se ve necesaria una buena conexión de cliente-servidor que cuente con una transmisión entre las distintas áreas de la empresa, empezando por el área gerencial y terminando con los diferentes jefes de mantención y personal con autoridad; también se debe tener en cuenta una correcta evaluación de impacto o de riesgos que cualquier empresa posee en diferentes grados, en donde se identificaran los diferentes activos que pueden generar pérdidas mayores o incluso detener el servicio que se le está brindando a la comunidad y por otro lado se analizan los escenarios que pueden amenazar a la compañía al igual que los resultados en los que pueden finalizar. Octave en este caso es el método que se va a emplear para tener en cuenta cada uno de los aspectos que son más relevantes a la hora de la producción, esto es debido a que se quiere prevenir cada diferente escenario y disminuir el porcentaje de riesgo de la empresa teniendo en cuenta que se quiere reducir el costo a lo más mínimo.

1. DESCRIPCION DEL PROYECTO

El proyecto es un diseño de una red que se implementará en el edificio principal de trabajo de una empresa de automóviles, en este caso de FORD MOTOR COMPANY con el objetivo de diseñar una red confiable y bajo una estructura escalable y altamente disponible.

El tipo de red que se utilizara en esta empresa es de área local, el objetivo es optimizar  y administrar los recursos informáticos para la empresa de automóviles teniendo en cuenta el soporte de crecimiento que se va a manejar en el edificio de  gran tamaño y que al momento de administrar la red o de agregar nuevos dispositivos, esto no afecte su rendimiento.

Respecto al sistema de gestión de seguridad de la información, se tendrá claro un respectivo análisis de riesgo para los diferentes activos o dispositivos que tiene la empresa para lograr su continuo funcionamiento y lograr una adecuada gestión de riesgos y así conocer las vulnerabilidades de esta compañía y tomar medidas preventivas que puedan permitirle funcionar de manera efectiva.

1. Requerimientos del sistema.

• El edificio principal cuenta con 3 pisos en donde se encuentran los diferentes grupos de trabajo, en donde cada uno cuenta con 9 habitaciones  y tiene un tamaño de 24x16 teniendo así espacio para variedad de recursos informáticos.

[pic 2]Fig.1 Esquema Empresa

• El ancho de banda que requiere la empresa en el edificio principal es mínimo dentro de las diferentes áreas de trabajo debido a que la información que es enviada, son simplemente documentos e imágenes, aun así se debe incorporar ancho de banda adicional para futuros aumentos de tráfico.
• El centro de cableado principal se debe hallar en el 3 piso del edificio principal y este necesitara de un centro de cableado secundario en el último piso. Ambos aseguran la confiabilidad de la red y permiten el respaldo suficiente  para un buen uso de la red.
• Una configuración cliente-servidor para permitir intercambiar archivos de gran tamaño con los miembros de la empresa, en donde se decide quien ve la información y quien es dado de alta.
• Los sectores de la empresa estarán definidos en el organigrama.

[pic 3]Fig 2. Organigrama de la empresa

1. OBJETIVOS

Objetivo Principal

Diseñar una red estructurada en un edificio para la empresa de automóviles FORD MOTOR COMPANY, y generar un informe de evaluación de riesgo para la empresa aplicando la metodología de OCTAVE ALLEGRO.

Objetivos Secundarios

• Realizar un esquema de la compañía donde se va a diseñar la red e incluir la acomodación de los recursos informáticos, al igual que la cantidad de dispositivos a tener en cuenta.
• Diseñar la conexión de los dispositivos en el software CISCO Packet Tracer y especificar la configuración utilizada para su correcta implementación al igual que los modelos, tarjetas, sistemas operativos y material utilizado para  su construcción.
• Desarrollar una réplica de la red estructurada en el programa Sketch Up que defina como se va a realizar la conexión y como estará organizada la empresa al momento de realizar las conexiones.
• Categorizar los diferentes activos que va a tener la empresa de automóviles y realizar el examen de impacto para cada uno de ellos.
• Presentar los diferentes escenarios que puede sufrir la empresa al momento de su funcionamiento, y sus respectivas soluciones y posibles resultados.

METODOLOGIAS UTILIZADAS

Estas metodologías simplemente son utilizadas para controlar la salud y seguridad de un negocio haciendo uso de un control de estos riesgos en tu lugar de trabajo, para esto se necesita analizar todo tipo de escenarios que pueden causar daño a la disponibilidad, confidencialidad, integridad e incluso a los trabajadores y clientes de la empresa para luego tomar los pasos más razonables para no permitir que esto suceda, es conocido como evaluación de riesgo y es algo que es requerido por la ley, por tal razón se tiene que llevar acabo.

Los pasos básicos de todo tipo de metodología son:

• Identificar las amenazas.
• Decidir quién o qué puede ser afectado y como.
• Evaluar los riesgos y proponer precauciones.
• Documentar los diferentes aspectos encontrados.
• Revisión del análisis y actualización del documento (si es necesario).

CRAMM

Método de análisis de riesgo diseñado por el gobierno británico para análisis de sistemas de información, la principal función de este como muchos otros de los métodos existentes es evaluar los riesgos y proponer medidas eficaces para la solución de estos y diferentes planes de contingencia

• 31 amenazas
• 8 impactos
• 3000 contramedidas

ETAPAS:

• Identificación de activos y valoración.
• Amenazas y evaluación de vulnerabilidades
• Contramedidas

OCTAVE ALLEGRO

• Operationally Critial Threat, Assets and Vulnerability Evaluation

Técnica de evaluación de riesgo a implementar en este trabajo , mediante una definición de los activos, diferentes herramientas, técnicas y métodos para esta evaluación del riesgo, es utilizada para las grandes empresas por su fuerte enfoque a la mitigación y mejora de actividades, así mismo equilibrar los riesgos operativos, prácticas de seguridad y tecnología, para tomar decisiones de protección de información con base en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados con la información crítica de la compañía. En su versión original, esta cuenta con 3 fases y en su versión de Allegro con 4 fases.

Involucrar todos los niveles de la organización que conforman la empresa, para identificar las diferentes vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y procesos de la empresa.

FASES OCTAVE

• Criterios de medicion de riesgos.
• Desarrollar un perfil de activos de información.
• Identificar, areas de preocupación.
• Identificar escenarios de amenaza.
• Identificar riesgos.
• Analizar riesgos.
• Seleccionar un enfoque de mitigación.

CRITERIOS DE MEDICION DEL RIESGO

La postura de la empresa frente a su capacidad para verse afectado por las diferentes amenazas.

En donde la importancia de la Reputación y confianza del cliente está entre la más relevante y propenso a amenaza.

[pic 4]Tab. 1 Grado de Impacto

La información del cliente tiene la mayor prioridad ya que si esto se ve afectado y el cliente pierde la confianza, puede que la empresa pierda ventas y de este modo todo lo demás se ve afectado.

...