taller de análisis de riesgo
description
Transcript of taller de análisis de riesgo
ANLISIS DE RIESGOSEGURIDAD DE LA INFORMACIN
ANALISIS DE RIESGO
DOCENTE: GUERRA CAMARGO, CESARINTEGRANTES: PAIPAY FAJARDO, MIGUEL VILELA RAMIREZ, GANDHI
SALON: A605 TURNO: NOCHE
2015-I
DESCRIPCIN DEL PROCESO DE NEGOCIOSe toma en cuenta el proceso de registro de cita mdica del seguro social de salud (Essalud) que es un organismo pblico descentralizado, con personera jurdica de derecho pblico interno, adscrito al Sector Trabajo y Promocin Social.
DESCRIPCIN DE LA METODOLOGA UTILIZADAEl mtodo de anlisis de riesgos en la elaboracin del presente documento, es la metodologa indicada en el ISO 27001.Se realizarn los clculos teniendo en cuenta la siguiente ecuacin:
R = P x IDonde:R = RiesgoP = ProbabilidadI = Impacto
ANALISIS DEL RIESGO1. IDENTIFICACIN DE LA INFORMACIN
Basados en los activos que afectan directamente el proceso, hemos identificado los activos que podran ser directa o indirectamente afectados, lo cual nos llevara a un riesgo.2. ANALIZAR AMENAZAS Y VULNERABILIDADES DE ACTIVOSACTIVOTIPODESCRIPCINAMENAZAVULNERABILIDADCONTROLES EXISTENTESCIDP
BD PASCIENTESINFORMATICOINFORMACIN DE PACIENTESINCONSITENCIA DE DATOSREDUNDANCIA DE DATOSMANTENIMIENTO DE LA DATA3232
DATA CENTERINFORMATICOPROCESAMIENTO DE LOS DATOSINGRESO POLVOAMBIENTE NO SELLADOLIMPIEZA Y MANTENIMIENTO3553
FORMATOS DE HISTORIALESINFORMATICOCONTIENE HISTORIAL MEDICO DE LOS PACIENTESPERDIDA DE HISTORIALES MEDICOSAUN NO SE AUTOMATIZAN LOS FORMATOSPOLITICAS2253
DISCO DUROINFORMATICOAPLICACIN DE CITAS MEDICASANTIGEDADSECTORES DEFECTUOSOSBACKUP2254
TABLA DE CRITERIO PARA PROBABILIDAD
PROBDESCRIPCION
1ANUAL - 0%
2SEMESTRAL - 25%
3MENSUAL - 50%
4SEMANAL - 75%
5DIARIO - 100%
TABLA DE CRITERIO PARA DISPONIBILIDAD
PROBDESCRIPCION
1PARALIZAR EL PROCESO POR 1 HORA
2PARALIZAR EL PROCESO POR 4 HORAS
3PARALIZAR EL PROCESO POR 1 DIA
4PARALIZAR EL PROCESO POR 1 SEMANA
5PARALIZAR TODO EL PROCESO
TABLA DE CRITERIO PARA CONFIDENCIALIDAD
PROBDESCRIPCION
1NO SE ENCUENTRA EXPUESTO PARA ACCESO AL PERSONAL NO AUTORIZADO
2SE ENCUENTRA EXPUESTO PARA EL ACCESO AL PERSONAL INVOLUCRADO CON EL PROCESO
3EXPUESTO PARA ACCESO NO AUTORIZADO DE PERSONAL INTERNO NO INVOLUCRADOS EN EL PROCESO
4EXPUESTO PARA ACCESO NO AUTORIZADO DEPERSONAL EXTERNO
5EXTREMADAMENTE EXPUESTO PARA PERSONAL EXTERNO E INTERNO E INVOLUCRADO O NO EN EL PROCESO
TABLA DE CRITERIO PARA INTEGRIDAD
PROBDESCRIPCION
1LA INFORMACION ES COMPLETA Y EXACTA
2LA INFORMACION NO ES COMPLETA Y AFECTA EN UN 25% AL PROCESO
3LA INFORMACION NO ES COMPLETA Y AFECTA EN UN 50% AL PROCESO
4LA INFORMACIN ES IMCOMPLETA Y AFECTA EN UN 75% AL PROCESO
5LA INFORMACIN ES TOTALMENTE INCOMPLETA Y AFECTA EN UN 100% AL PROCESO
RESULTADO DEL ANLISIS DE RIESGO
IMPACTOIMPACTOPROBABILIDADRIESGO
ECONOMICAIMAGENATENCION CLIENTECONTROL OPERATIVOLEGAL
R1: Falla en el servidor de aplicaciones35%15%25%40%5%4.15
416.6
35433
R2: Base de datos colapsada15%20%25%20%20%3.15
412.6
43333
R3:Perdida de los historiales mdicos 20%30%20%10%20%4,10416,4
45333
Donde:R1: Fallo en el servidor de aplicaciones donde se ha determinado un valor de 16.6 en la tabla de anlisis de riesgoR2: Base de datos colapsada se ha determinado un valor de 12.6 en la tabla de anlisis de riesgoR3: Perdida de los historiales mdicos se ha determinado un valor de 12.6 en la tabla de anlisis de riesgo
CONCLUSIONES Y RECOMENDACIONESEn base a nuestro anlisis de riesgo, encontramos 3 amenazas que afectan directamente al proceso de negocio, donde impactan a nivel operativo y a nivel de atencin al cliente.Para poder contra restar dichas amenazas se recomienda lo siguiente:R1: Fallo en el servidor de aplicaciones Mantenimiento preventivo del servidor aplicaciones como tambin la actualizacin contina de la misma. Adquisicin de un servidor de aplicacin de contingencia en caso de fallo. Costo aproximado $11 000 de inversin.R2: Base de datos colapsada Re estructuracin de la base de datos, que se logra integridad y disponibilidad en su mximo porcentaje. Tener base de datos alterna en casos de no acceso.R3: Perdida de los historiales mdicos Automatizar los historiales mdicos
SEGURIDAD DE LA INFORMACIN