2.-Analisis de Riesgo
2.-Analisis de Riesgo
2.-Analisis de Riesgo
Una franquicia de clínica estética dental se dirige a una empresa de servicios informáticos solicitando u
sus equipos e instalaciones para determinar el grado de seguridad informática y los ajustes que se con
necesarios.
Un trabajador de la empresa informática se dirige a la clínica para realizar una revisión y tiene una entr
titular de la misma, quien le informa de los siguientes aspectos:
El personal de la clínica de la oficina “centro” está formado por:
Como contratados:
• el titular, médico especializado en odontología.
• El administrador general de la clínica “centro” y “sur”
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo, que también ejerce como recepcionista,
• una persona para la limpieza
• y una persona de seguridad
La clínica “centro” cuenta con tres consultorios, cada una de ellas con un especialista en odontología. E
consultorio hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el esp
el auxiliar de clínica que trabaja en ese consultorio.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas
La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas
La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
Debajo se recogen tablas orientativas para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel
de detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.
Asimismo, se incluye una tabla para la definición del riesgo aceptable, que debe ser definido previamente a la realización del
análisis de riesgos de acuerdo a la estrategia corporativa.
Bajo (1) El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la organización.
Medio (2) El daño derivado de la materialización de la amenaza tiene consecuencias reseñables para la organización.
Alto (3) El daño derivado de la materialización de la amenaza tiene consecuencias graves reseñables para la organización.
Daños por agua Condiciones inadecuadas de temperatura o humedad Errores del administrador
Alteración de la información Degradación de los soportes de almacenamiento de la informac Indisponibilidad del personal
Acceso no autorizado
Esta tabla es una aproximación sencilla a un inventario de activos de la organización, para llevar un control básico de los activos gestionados, así como de sus
responsables, ubicación, y otras características relevantes.
La descripción de los campos es la siguiente:
* Identificador: Código que permite identificar de forma unívoca el activo.
* Nombre: Nombre del activo. Se recomienda asignar nombres a los activos de forma que su identificación sea intuitiva.
* Responsable: Nombre del responsable del activo. Se puede tratar de una persona concreta o de un departamento.
* Tipo: El campo tipo se utiliza para clasificar los activos. Resulta conveniente distinguir si el activo es físico o si es lógico (intangible).
* Ubicación: Indica dónde está ubicado físicamente el activo.
* Crítico: Campo que indica si el activo juega un papel fundamental / imprescindible (crítico) para la organización.(si/no)
INVENTARIO DE ACTIVOS
SM_0001 Servidor Principal (base de datos) Administrador General Servidor (físico) Oficina Centro
SM_0003 Switch 1 Clínica Centro Administrador General Switch (físico) Oficina Centro
SM_0004 Computadora 1 Recepción Centro Auxiliar Administrativo 1 Computadora (física) Oficina Centro
SM_0013 Servidor Conexión Remota Asistente Administrativo Servidor (físico) Oficina Sur
SM_0015 Switch 2 Clínica Sur Asistente Administrativo Switch (físico) Oficina Sur
Crítico
Si
No
No
Si
No
No
Si
Si
Si
Si
Si
Si
Si
No
No
Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probabilidad e impacto de tres niveles. Instrucciones
1. Determinar el riesgo aceptable por la organización, e indicarlo en la pestaña "Tablas AR".
2. Identificar los activos críticos de la organización.
3. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálogo Amenazas".
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores de la pestaña "Tablas AR".
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.
Campos de la tabla:
Activo: Nombre del activo sobre el que se evalúa el riesgo.
Amenaza: Descripción de la amenaza a la que está expuesta el activo.
Probabilidad. Probabilidad de materialización de la amenaza.
Impacto. Impacto derivado de la materialización de la amenaza.
Riesgo. Valor de riesgo resultante. (probabilidad*impacto)
En las pestañas de la hoja Excel se incluye información relevante sobre los niveles orientativos de probabilidad y riesgo, así como un catálogo de amenazas básico.
ANÁLISIS DE RIESGOS
ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO