Martes, 15 - 17 de marzo

ANÁLISIS DE RIESGO

Fase 1 - El alcance: el aula de informática

 

Fase 2 - Activos: 

• Físicos: proyector, ordenador y sus componentes, portátiles personales, altavoces, webcam, puerta y servicios de seguridad
• Información: software...
• Servicios: Aula Virtual, Excel, Word...
• Humanos: alumnos, profesor, servicios de limpieza...
• Nosotros vamos a utilizar 3: A1=ordenadores, A2=alumnos, A3=documentos del PC.
  

Fase 3 - Amenazas: hackeo, cortocircuito eléctrico, virus (malware), caída del sistema por sobrecarga, robo, incendio, ingeniería social, inundación, errores de mantenimiento. 

• Las 3 amenazas que vamos a escoger para el siguiente análisis: a1=inundación,a2= robo, a3=malware.

Fase 4 - Vulnerabilidades y salvaguardas

 

Fase 5 - Evaluar riesgo:

A1=ordenadores

A2=alumnos

A3=documentos de PC

 

a1=inundación

a2=malware

a3=robo

 

Riesgo=R=P·I

A1a1=improbabilidad · mayor=alto (8)

A1a2=muy probable · mayor=extremo (16)

A1a3=posible · mayor=extremo (12)

TOTAL=36

A2a1=N/A o Improbable · Menor=bajo (4)

A2a2=N/A · N/A=N/A

A2a3=posible · mayor=extremo (12)

TOTAL=16

A3a1=improbable · mayor=alto (8)

A3a2=muy probable · mayor=extremo (16)

A3a3=posible · insignificante=bajo (3)

TOTAL=27

TOTAL RIESGO DE CLASE=79

 

Fase 6 - Tratar riesgo: Declaración de aplicabilidad, cogemos cada riesgo y le aplicamos una salvaguarda, que es un control de seguridad que nos encontramos en la ISO 27000 ( Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI).