View
141
Download
1
Category
Preview:
Citation preview
Aplicaciones
Activo CantidadMS Windows Server 2003 Std - Open 4MS Windows Server 2003 Std - OEM 1MS Windows Server 2003 Std - CAL 500
MS Office XP Standard 50MS Office 2003 Profesional 100
MS Windows XP Profesional ESP 300MS ISA Server 2004 Eng 2
Panda Enterprise Security Ver 4.10 500MS Exchange Server 2003 Std Esp 1
MS Exchange Server 2003 Std - CAL 1Winzip 9.0 50
Sistema de contabilidad 1Sistema de ventas 1
Sistema de almacen 1MS Exchange Server 2003 Std - CAL 1
Winzip 9.0 50
Equipos Informaticos
Activo CantidadPC Compatibles P-IV 2 GB RAM 50HP Pavilion Slimline S5610LA 300
IBM System x3500 MX3 6
Intangibles
Activo CantidadProcedimiento de backup -
Plan de contingencia -Formato de solicitud de acceso RR II -
Equipamiento auxiliar
Activo CantidadAPC Back-UPS 350, 230v 1
Xerox WorkCenter 5020N 140Epson TX115 5
Instalaciones
Activo CantidadMS Windows XP Profesional - OEM 300
Redes de comunicación
Activo Cantidad3Com Switch 4500 40
3Com Switch 7700 Overview 1
CodAct
ACT-001
ACT-002
ACT-003
ACT-004
ACT-005
ACT-006
ACT-007
ACT-008
ACT-009
ACT-010
ACT-011
ACT-012
ACT-013
ACT-014
ACT-015
Clasificación de Activo
Nombre Activo
SERVIDORES
V - Servidor de Dominio (IBM System V - Servidor de Correos (IBM System V - Srv. Firewall (IBM System V Srv. Antivirus (IBM System V Srv. BD y App (IBM System SRVPRD07V Srv. Pruebas (IBM System x3500 M3)
SERVICIOS
Servicio de dominioServicio de correosServicio de FirewallServicio de AntivirusServicio de BD y App
Servicio de Pruebas
INFORMACION
backup de servidor de dominio
HARDWARE
IBM System x3500 M3APC Back-UPS 350, 230V
ACT-016
ACT-017
ACT-018
ACT-019
ACT-020
ACT-021
ACT-022
ACT-023
ACT-024
ACT-025
ACT-026 WinZip 9.0
ACT-027
ACT-028
ACT-029
ANTIVIRUS ACT-030
ACT-031
ACT-032
ACT-033
ACT-034
HARDWARE
Compatibles P-IV - 2GB RAM
HP Pavilion Slimline s5610la
SOFTWARE
Windows Server 2003 Std - Windows Server 2003 Std - Windows Server 2003 Std - MS- Office XP StandardMS- Office 2003 ProfesionalWindows XP Profesional Exchange Server 2003 Std Exchange Server 2003 Std -
MS - ISA Server 2004 EngAcrobat Reader 09 EspañolMS Project 2003 EspPanda Entreprice Security Ver.4.10T
EMAS DE
Sistema de ContabilidadSistema de VentasSistema de Almacen
Sistema de Tesorería
ACT-034
PLANIFICACION ACT-035
ACT-036
ACT-037
IMPRESORASACT-038
ACT-039
TRABAJADORES ACT-040
INFORMACI
Sistema de Tesorería
Plan de Contigencia
DISPOSITIVOS DE REDES
3Com® Switch 45003COM Switch7700OverviewXerox WorkCenter 5020NEpson TX115
Personal de la empresa
AMENAZAS
CódigoA001A002A003A004A005A006A007A008A009A010A011A012A013A014A015A016A017A018A019A020A021A022A023A024A025A026A027A028A029A030A031A032A033A034A035A036A037A038A039A040A041A042A043A044A045A046
A047A048A049A050A051A052A053A054A055A056A057A058A059A060A061A062A063A064A065A066A067A068A069A070A071A072A073A074A075A076A077A078A079A080A081A082A083A084A085A086A087A088A089A090
AMENAZAS
DescripciónAcceso a información estratégica de negocioAcceso de personal no autorizadoAgravio y expansión de errores a la red y/o sistemaAtaque de los HackersAtaques a claves secretas de una ejecución defectuosa del algoritmo RSAAtaques de personas externas a la red.Ausencia de identificación de personas u otros que naveguen por la redCalentamiento de los servidoresComunicación de hosts de confianza con hosts que no son de confianzaConexiones no autorizadas
Daño o deterioro de los equiposDenegación de acceso al sistema
Descontento del área usuariaDivulgación de InformaciónEl personal temporal podria realizar actividad no autorizadaElevación de privilegiosEnvenenamiento de DNSErrores en los sistemas operativosExceso de trafico de RED
Fallas constantes en los equiposFallas en el procesamiento de transacciones en GlobalFalta de respuesta ante incidentes de seguridadFluctuación del suministro de LuzFraude interno por manipulación en la base de datos de clientes.Fuga de información confidencial de la empresa
Imposibilidad de contar con recursos para recuperación ante desastresInfiltro en la red (Ingreso a la red por terceros)Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc
Ingreso de archivos maliciosos, virus y spamInstalaciones inadecuadas del espacio de trabajo
Interrupción de Corriente ElectricaLa denegación de servicio (Ping de la Muerte y Bomba de Correo Electrónico)Mala administracion de equipos e informaciónManipulación de la dataManipulacion de personas ajenas al usuario
Perdida de eficiencia en el trabajoPérdida de evidencia (Journal)Perdida de informaciónPerdida del control de actividades realizados a los determinados sistemas de información
causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. es un evento o acción no deseable que puede afectar negativamente a la organización para el logro de sus objetivos, metas, etc
Perdidas de copias de respaldoPharming (mayor detalle como resultado de vulnerabilidad)Phishing (mayor detalle como resultado de vulnerabilidad)Revelación de información crítica de la red y el sistemaRobo de equipos u otros accesorios de la empresaRobo de informacion por agentes extranos o internos de la empresaSaboteo de RedSalida de personalSaturación SYN (Saturación del tráfico de la red, generando saturación de servicios)Secuestro de sesiónSobrecarga de voltajeSpam (mayor detalle como resultado de vulnerabilidad)Suplantación de identidad o "spoofing"Utilización maintencionada de códigos de depuración en producciónProcesos excepcionales de actualización masiva de datos pueden producir información errónea o inconsistenteLos cambios realizados afectan la integridad de la información y continuidad de los sistemas en producciónIntrusión con intención de fraude o manipulación de datos en los servicios de Intercambio de Información con proveedores y Socios de NegociosManipulación de datos con intención de fraude o corrupción de información por ingreso de Código no autorizado a través de Redes Públicas (virus, troyanos, etc.).Manipulación de datos con intención de fraude o corrupción de información por ingreso de Código no autorizado a través de Redes Internas (virus, troyanos, etc.).Fraude a través de los Servicios accesados por Redes PúblicasFraude a través de los Servicios accesados por la Red Interna.Robo de Información digital dentro de las Oficinas Centrales y Red de TiendasRobo de Información no digital dentro de Tiendas y Oficinas Centrales.Ingreso de código malicioso o no autorizado (fraude de programación)Modificación no autorizada de datosMal uso de información confidencial o privilegiadaIngreso errado no intencional de InformaciónAcceso lógico no autorizadoHurto de equipo informáticoProblemas por puesta en producción de sistemas defectuosos desarrollados por terceros (nuevos desarrollos o modificaciones)Problemas por puesta en producción de sistemas defectuosos desarrollados internamente (nuevos desarrollos o modificaciones)Cambios de Emergencia en producción generan un desfase de versiones de programasCambios en los sistemas en producción no planificados y/o no autorizadosDemoras en implementar los cambios a Sistemas en ProducciónDependencia de personal claveModificación no autorizada de programas y sistemasDemoras en implementar los cambiosProblemas con la instalación y entrega de los sistemasNo finalice oportunamente el batch de sistemas críticosDificultades para dar continuidad a la ejecución de tareas de operaciónDificultades con el soporte a los usuarios en el uso de los sistemasUPS no soporte la cantidad de equipos conectados en la red eléctricaMala instalacion y configuracion de los sistemasPlanes de accion no aplican a la situacion actual
VULNERABILIDADES
CódigoV001V002V003V004V005V006V007V008V009V010V011V012V013V014V015V016V017V018V019V020V021V022V023V024V025V026V027V028V029V030V031V032V033V034V035V036V037V038V039V040V041V042V043V044V045V046V047V048
V049V050V051V052V053V054V055V056V057V058V059V060V061V062V063V064V065V066V067V068V069V070V071V072V073V074V075V076V077V078V079V080V081V082V083V084
VULNERABILIDADES
DescripciónAusencia/Carencia de generador eléctricoAusencia/Carencia de UPSFalta de servidor de backup.Cableado de data y electrica no certificadosConservación inadecuada de los equiposCuentas de usuario sin contraseña o con contraseña fácilmente identificableEquipos en ambientes inadecuadosErrores (bugs) en softwareFalta de actualizacion de antivirusFalta de actualizacion de softwareFalta de capacitación al personalFalta de control de acceso a servidoresFalta de control de seguridad de acceso fisico al Datacenter y equipos de computoFalta de documentacion de procedimientos operativosFalta de firewallFalta de licencias de softwareFalta de mantenimiento a los servidoresFalta de mantenimiento de hardwareFalta de mantenimiento de los equiposFalta de mantenimiento de softwareFalta de mecanismos de cifradoFalta de metodología para gestión de seguridad de la informaciónFalta de metodologías para desarrollo de softwareFalta de monitoreo del trafico de redFalta de politicas para el intercambio de informacionFalta de políticas para traslado de equiposFalta de soporte técnicoFalta de un acuerdo de confidencialidad entre empleado y empleadorFrecuente saturación de red (mas especifico)Inadecuada distribución de redInadecuado procedimientos para la eliminacion de archivos digitalesInadecuadas Condiciones AmbientalesInadecuadas políticas de servicios de comunicaciones (correo electrónico, comercio electrónico, etc.)Infraestructura sin resistencia a los desastres naturalesCarencia de inventario de RRII de la empresaMal diseño e implementación de sistemas de informaciónMala conexión en los equipos de comunicación.Mala configuración de equipos clienteMala configuración de servidoresMala configuración del firewallMala localización de los equiposFalta/Carencia de medidas de seguridad ante incendios o inundacionesNo tener un control de cambio contraseñas (trimestralmente, longitud de contraseña, caracteres permitidos)Obsolescencia de HardwareObsolescencia de SoftwareCarencias de politicas de claves de acceso a la empresaPoliticas de encriptamiento debilesEstructura de seguridad de la red deficiente
Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Es una debilidad en un sistema, aplicación o infraestructura
que lo haga susceptible a la materialización de una amenaza
Facil acceso a la red inalambrica Software obsoletos de los equiposContraseñas débiles y fáciles de acertar por individuos sospechososFácil detección de la red inalambrica de la empresaHardware y software no auditable o de difícil auditabilidadNo contar con revision periodica de los perfiles y accesos de los usuariosAcceso no controlado a información confidencialActualización masiva de datos sin controlAusencia o desactualización de procedimientos operativosAusencia y/o insuficientes ambientes para pruebas Brechas en la seguridad de información (Procedimientos/Control y/o monitoreo)Carencia de un monitoreo de los Servicios de TIContratos inadecuados/Inexistencia de contratosDesconocimiento de Políticas de Seguridad de informaciónDocumentación de sistemas inexistentes o desactualizadosFalla en la supervisión y coordinación con proveedoresFallas en MigraciónFallas metodológicas en ejecución de pruebas usuarias (planificación/procedimientos)Fallas/Carencia metodológicas en pruebasFalta de control en el uso de dispositivos digitales (CD's, USB's)Inadecuada Inversión en TecnologíaIncompatibilidad y falta de Integración de los Sistemas y/o Arquitectura InapropiadaSobre asignación de tareas al personalFalta de BackupMal dimensionamiento de la capacidad del equipoFalta de procedimientos de instalacion de softwareFalta de procedimientos de cambio o reemplazo de puestos
X
XX
X
PROBABILIDAD
Valor Caract Clasificación % Prob
5 Casi Cierta Muy Alta 80-99
4 Altamente Probable Alta 60-80
3 Probable Media 40-60
2 Improbable Baja 20-40
1 Remota Muy Baja 0-20
PROBABILIDAD
Definición Descripcion
Perdida de documentación irrelevante
La amenaza puede tenderse ciertaa suceder y hasta muy grave para la operatividad del sistema y el resguardo de la de informacion (Atacando la C, I y D)
Amenazas originadas por accidentes tecnológicos procedimientos peligrosos, fallos de infraestructura o de ciertas actividades humanas, que pueden causar muerte o lesiones, daños materiales, interrupción de la actividad social y económica.
La amenaza puede darse por las vulnerabilidades y puede causar daños al sistema de información siendo blancos faciles para ataques contra la información.
Amenazas originadas por virus, hackers, spam, etc, ocacinando grandes perdidas de información afectando gravemente la economia de la empresa dejandola al borde de la quiebra
La amenaza se puede dar en un periodo quzias no tan corto pero con el tiempo puede surgir por falta de controles.
Amenazas ocacionadas por el personal informatico ocacionando perdidas economicas, que afecten la estabilidad de la empresa
La amenaza no es tan prospera a suceder, como tampoco a causa mucho daño sin emabrgo puede afectar algunos puntos del sistema de negocio que hagan lenta algunas transacciones.
Perdida de información importante para la empresa afectando levemente su economia
La amenaza es muy leve y poca exitosa a que se de; de darse no afectaria informacion valiosa para las operacioens de negocio.
PROBABILIDAD
Descripcion
35%, Ataques de virus y perdida de backups.
30%, Falta de mantenimiento a un servidor.
20%, Falta de confidencialidad(password) y seguridad, en la Red.
10%, perdida de hardware y software por un mal mantenimiento.
5%,daños irreversibles de la informacion a nivel software o hardware.
IMPACTO
Categoría Valor
Catastrófico 5
Mayores 4
Moderado 3
Mejores 2
Insignificate 1
Descripción
Riesgo que puede tener un pequeño o nulo efecto en la institución
Riesgo cuya materialización influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un período importante de tiempo, los programas o servicios que entrega la institución
Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños
Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio o un deterioro significativo de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños
Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos
CONFIDENCIALIDAD
Valor Definición
5 Muy Alta
4 Alta
3 Media
2 Baja
1 Muy Baja
Clasificación
Es la información o recurso que debe ser divulgada sólo a fuentes autorizadas, controladas y debidamente identificadas. Debe ser modificada y leída por un grupo reducido de personas autorizadas y claramente identificadas mediante mecanismos complejos.
Establecer medidas técnicas que permitan la visualización o tratamiento de información confidencial (por ejemplo: uso de contraseñas para el acceso a los documentos, criptografía, etc…). Ya que la información o recurso debe ser solo divulgada a fuentes autorizadas.
Es la información o recurso que se encuentra al alcance de un número mayor de fuentes autorizadas y controladas. Mantener y/o Almacenar los documentos confidenciales en soporte papel, en armarios que se encuentren cerrados bajo llave o cajas fuertes.
Es la información o recurso que debe ser divulgada sólo a fuentes autorizadas, éste recurso o información es poco confidencial, lo que indica que puede ser accesada o manipulada por cualquier persona sin necesidad de identificación o autorización en particular.
Es la información o recurso de carácter no confidencial. Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada.
CONFIDENCIALIDAD
Consecuencia
La divulgación no autorizada produce:- Pérdida de la ventaja competitiva enormemente-Perdida de participación en el mercado- Uso malicioso en contra de la organización- Pérdidas financieras que no pueden ser absorbidas por la Organización
La divulgación no autorizada produce:- Robo de informacion- Eliminacion y actualizacion de datos- Difusion de informacion confidencial de la empresa
La divulgación no autorizada produce:- Pérdidas financieras- Perdida de Informacion- Perdida de ventaja Competitiva-Perdida de Horas Laborales
La divulgación no autorizada produce:- Pérdida de oportunidades de negocio- Clientes decepcionados- Reputación perdida- Agravio y expansion de errores a la red y/o sistema- Saboteo de Red
La divulgación no autorizada produce:- No hay pérdida de la ventaja competitiva ni disminuye la participación en el mercado- No brinda ningún posible uso malicioso en contra de la organización- Pérdida de información que atrase la ejecución de procesos
DISPONIBILIDAD
Valor Clasificación Definición
5 Muy Alta
4 Alta
3 Media
2 Baja
1 Muy Baja
Información relevante y activos primarios para la realización de las operaciones cotidianas. Deben estar dispuestas en todo momento teniendo la seguridad del acceso. La información debe tener respaldo y éste debe estar los más actualizado posible.
Información primaria y de apoyo necesaria para las actividades operaciones de la empresa. Tiene un respaldo que es elaborado periodicamente.
Información de apoyo para ciertas operaciones del negocio. Se hacen respaldos y se mantiene en diversas fuentes para ternerlas en contacto
Es información o activos de apoyo o secundarios para el negocio.La información se encuentra duplicada en varias fuentes.Si no está disponible no compromete procesos operativos importantes
Es información o activos de dominio público. La información se encuentra accesible en muchas fuentes. No tiene restricciones de consulta.
DISPONIBILIDAD
Consecuencia
La falta de disponiblidad a este nivel produce:- Procesos operativos inactivos (Inoperatividad)- Problemas administrativos y operativos signficativos- Perjuicios económicos altamente significativos.
La falta de disponiblidad a este nivel produce:- Operaciones con información incompleta.- Fallas y problemas con algunos procesos administrativos y operacionales.- Perjuicios económicos altamente significativos.- Problemas sindicales.
La falta de disponiblidad a este nivel produce:- Operaciones lentas (Baja velocidad en operativdad)- Perdidas económicas pequeñas pero importantes.- Perjuicios de adminsitración.- Problemas administrativos y operativos afectados.
La falta de disponibilidad produce:- Que los niveles de servicio acordados para los procesos operativos importantes, no se ven afectados.- Problemas administrativos y operativos no significativos.- Perjuicios económicos que no son significativos.
La falta de disponiblidad a este nivel produce:- No hay riesgo de cese de actividades.- No presenta perdidas económicas.- No presenta daños a la data por su ausencia.- No hay Perjuicios económicos.- No hay problemas sindicales ni perjuicios legales
INTEGRIDAD
Valor Clasificación Definición
5 Muy Alta
4 Alta
3 Media
2 Baja
1 Muy Baja
Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados provoca daños de gran magnitud.
Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados provocan daños graves.
Es la información o recurso que al ser modificado, intencional o casualmente, puede producir pérdida de información posiblemente recuperable. No se da la posibilidad de que el daño alcance una gran envergadura, somos conscientes que son capaces de concret
Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados, produce pérdida de información recuperable.
Es la información o recurso que al ser modificado, intencional o casualmente, puede ser fácilmente producida por la empresa.
INTEGRIDAD
Consecuencia
La falta de integridad produce daños de gran magnitud los que se pueden expresar como:- Pérdidas económicas (pérdida, incumplimiento de metas).- Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de tiempo más allá de lo estimado)
La falta de integridad produce daños graves los que se pueden expresar como:- Pérdidas de ventaja competitiva de la empresa.- Toma de decisiones erradas.
La falta de integridad produce daños de gran magnitud los que se pueden expresar como:- Pérdidas económicas mínimas. - Alteración de la información.
La falta de integridad produce daños de baja magnitud los que se pueden expresar como:- Pérdidas económicas que pueden ser recuperadas en corto plazo.
La falta de integridad produce daños de poca magnitud los que se pueden expresar como:- No existe pérdidas económicas.- Normalidad en el rendimiento de los procesos informáticos.
RIESGOS
Código Descripción
R001 Daños, perdidas o robo de la informacion de la empresa
R002 Daños o perdidas en los servicios de la empresa
R003 Saturacion o perdida de la conexión de internet LAN / WAN
R004 Recursos no disponibles para recuperación ante desastres
R005 Daños el el servicio de correo electronico de la empresa
R006 Sistema operativo no estable y sin funcionamiento
R007 Proyectos que no se culminan en las fechas indicadasR008 Mal funcionamiento en las aplicaciones de la empresa
R009 Problemas electricos por insetabilidad, sobrecarga o corte
R010 Irrecuperacion de la informacion dañada
R011 Dependencia de Personal
R012
R013
R014
R015
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias. Es una amenaza o acción que puede afectar positivo o negativamente a la organización en el cumplimiento de sus objetivos, metas, indicadores, etc
CodAct
Nombre Activo
Amenaza Vulnerabilidad Prob Impacto C I D
ACT-001 A030 V003 Falta de servidor de backup. ALTA ALTA
1 2 5
R001 R002 R004 R009 R010
ACT-002 A030 V003 Falta de servidor de backup. MEDIA ALTA
1 2 5
R002 R004 R005 R010
ACT-004 A035 V007 Equipos en ambientes inadecuados MEDIA MEDIA1 4 5
R004
ACT-005 A032 V042 MEDIA ALTA1 5 5
R002 R004
ACT-006
A012 Daño o deterioro de los equipos V017 Falta de mantenimiento a los servidores MEDIAMEDIA 3 5 5
R004
A008 Calentamiento de los servidores V032 Inadecuadas Condiciones Ambientales MEDIA ALTA1 5 5
R004 R009
ACT-014 IBM System x3500 M3 A051 V013 MEDIA MEDIA5 1 5
R002 R004 R010
ACT-015 APC Back-UPS 350, 230V A051 V013 MEDIA MEDIA5 1 5
R002 R003 R004 R009
ACT-016
A012 Daño o deterioro de los equipos V019 Falta de mantenimiento de los equipos MEDIA MEDIA1 1 5
R004
A051 V013 MEDIA MEDIA5 1 5
R002 R004
ACT-017 HP Pavilion Slimline s5610la
A012 Daño o deterioro de los equipos V019 Falta de mantenimiento de los equipos MEDIA MEDIA1 1 5
R004
A051 V013 MEDIA MEDIA5 1 5
R002 R004
IMPRESORAS
ACT-038 Xerox WorkCenter 5020N
A023 Fallas constantes en los equipos V019 Falta de mantenimiento de los equipos MEDIAMEDIA 1 1 3
R004
A030 V027 Falta de soporte técnico MEDIAMEDIA 1 1 3
R004
ACT-039 Epson TX115A023 Fallas constantes en los equipos V019 Falta de mantenimiento de los equipos MEDIA
MEDIA 1 1 3R004
A030 V027 Falta de soporte técnico MEDIAMEDIA 1 1 3
R004 R009
TRABAJADORES ACT-040 Personal de la empresa A054 Salida de personal V028 ALTAALTA 5 5 5
R002 R004 R010
Clasificación de Activo
Cod Amen
Cod Vulner
Clas. Impacto
C.Ries 1
C.Ries 2
C.Ries 3
C.Ries 4
C.Ries 5
C.Ries 6
C.Ries 7
C.Ries 8
C.Ries 9
C.Ries 10
C.Ries 11
SERVIDORES
SRVPRD01V - Servidor de Dominio (IBM System x3500 M3)
Imposibilidad de contar con recursos para recuperación ante desastres
Caida de los servicios y pérdida de horas hombre en recuperar y usuarios sin poder usar los servicios
SRVPRD01V - Servidor de Correos (IBM System x3500 M3)
Imposibilidad de contar con recursos para recuperación ante desastres
Caida de los servicios y pérdida de horas hombre en recuperar y usuarios sin poder usar los servicios
Instalaciones inadecuadas del espacio de trabajo
No atender de imediato a los servidores ante una emergencia y estos queden inservibles
Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc
Falta/Carencia de medidas de seguridad ante incendios o inundaciones
Caida de los servicios y pérdida de horas hombre en recuperar y usuarios sin poder usar los servicios
SRVPRD07V Srv. Pruebas (IBM System x3500 M3)
Tener un parque de Equipos inservible y obsoletos
Daños a corto plazo e irreversibles en los equipos fisicos
Robo de equipos u otros accesorios de la empresa
Falta de control de seguridad de acceso fisico al Datacenter y equipos de computo
Perdida economica y de horas hombre hasta la reposicion de equipos de computo robado
Robo de equipos u otros accesorios de la empresa
Falta de control de seguridad de acceso fisico al Datacenter y equipos de computo
Perdida economica y de horas hombre hasta la reposicion de equipos de computo robado
PC Compatibles P-IV - 2GB RAM
Tener un parque de Equipos inservible y obsoletos en el tiempo
Robo de equipos u otros accesorios de la empresa
Falta de control de seguridad de acceso fisico al Datacenter y equipos de computo
Perdida economica y de horas hombre hasta la reposicion de equipos de computo robado
Tener un parque de Equipos inservible y obsoletos en el tiempo
Robo de equipos u otros accesorios de la empresa
Falta de control de seguridad de acceso fisico al Datacenter y equipos de computo
Perdida economica y de horas hombre hasta la reposicion de equipos de computo robado
Recursos de impresión no disponible y retrasos en los traBAJAs de impresión
Imposibilidad de contar con recursos para recuperación ante desastres
Recursos de impresión no disponible y retrasos en los traBAJAs de impresión
Recursos de impresión no disponible y retrasos en los traBAJAs de impresión
Imposibilidad de contar con recursos para recuperación ante desastres
Recursos de impresión no disponible y retrasos en los traBAJAs de impresión
Falta de un acuerdo de confidencialidad entre empleado y empleador
Desaatencion del area de TI, por lo que significa mal servicio de personal inexperto o nuevo
Impa
cto
Muy
Alta R001 X R001
X R002
Alta R009 R004 R005 R002 R010 R003
R007 R008 R004
Med
ia R011 R003 R005
R006
Baja R006 R007
R008
Muy
Baj
a
R009
R010
Muy Baja Baja Media Alta Muy AltaR011
Probabilidad
IMPACTO PROBABILIDAD
Daños, perdidas o robo de la informacion de la empresa MUY ALTO ALTO
Daños o perdidas en los servicios de la empresa ALTO ALTO
Saturacion o perdida de la conexión de internet LAN / WAN MEDIO MEDIO
Recursos no disponibles para recuperación ante desastres ALTO MEDIO
Daños el el servicio de correo electronico de la empresa ALTO MEDIO
Sistema operativo no estable y sin funcionamiento BAJO MEDIO
Proyectos que no se culminan en las fechas indicadas ALTO MEDIO
Mal funcionamiento en las aplicaciones de la empresa ALTO MEDIO
Problemas electricos por inestabilidad, sobrecarga o corte de voltaje ALTO BAJIO
Irrecuperacion de la informacion dañada ALTO ALTO
Dependencia de Personal MEDIO BAJO
Código DESCRIPCION
R001 Daños, perdidas o robo de la informacion de la empresa
ACT-001
ACT-003
ACT-004
ACT-008
ACT-009
ACT-010
ACT-011
ACT-012
ACT-013
ACT-035
Código DESCRIPCION
R002 Daños o perdidas en los servicios de la empresa
ACT-001
ACT-002
ACT-003
SRVPRD01V - Servidor de
Dominio (IBM System x3500
M3)
SRVPRD03V - Srv. Firewall (IBM System
x3500 M3
SRVPRD04V Srv. Antivirus (IBM System x3500 M3)
Servicio de dominio
Servicio de correos
Servicio de Antivirus
Servicio de BD y App
Servicio de Pruebas
backup de servidor de
dominio
Plan de Contigencia
SRVPRD01V - Servidor de
Dominio (IBM System x3500
M3)
SRVPRD01V - Servidor de
Correos (IBM System x3500
M3)
SRVPRD03V - Srv. Firewall (IBM System x3500 M3)
R002 Daños o perdidas en los servicios de la empresa
ACT-005
ACT-007
ACT-008
ACT-009
ACT-010
Código DESCRIPCION
R004 Recursos no disponibles para recuperación ante desastres
ACT-001
ACT-002
ACT-004
ACT-005
ACT-006
ACT-014
ACT-015
ACT-016
SRVPRD05V Srv. BD y App (IBM System x3500 M3)
Servicio de dominio
Servicio de correos
Servicio de Firewall
Servicio de Antivirus
SRVPRD01V - Servidor de
Dominio (IBM System x3500
M3)
SRVPRD01V - Servidor de
Correos (IBM System x3500
M3)
SRVPRD04V Srv. Antivirus (IBM System x3500 M3)
SRVPRD05V Srv. BD y App (IBM System x3500 M3)
SRVPRD07V Srv. Pruebas (IBM System x3500 M3)
IBM System x3500 M3
APC Back-UPS 350, 230V
PC Compatibles
P-IV - 2GB RAM
R004 Recursos no disponibles para recuperación ante desastres
ACT-017
ACT-038
ACT-039 Epson TX115
ACT-040
HP Pavilion Slimline s5610la
Xerox WorkCenter
5020N
Personal de la empresa
IMPACTO PROBABILIDAD
ALTA ALTO
ALTA MEDIA
MEDIA MEDIA
ALTA ALTA
MEDIA ALTA
BAJA ALTA
MEDIA ALTA
BAJA MEDIA
MEDIA ALTA
MEDIA ALTA
IMPACTO PROBABILIDAD
ALTA ALTO
ALTA MEDIA
MEDIA ALTA
MEDIA MEDIA
ALTA MEDIA
MEDIA ALTA
BAJA ALTA
IMPACTO PROBABILIDAD
ALTA ALTO
MEDIA ALTA
MEDIA MEDIA
MEDIA ALTA
MEDIA MEDIA
MEDIA MEDIA
MEDIA MEDIA
MEDIA MEDIA
MEDIA MEDIA
MEDIA MEDIA
MEDIA MEDIA
ALTA ALTA
Implementacion de un Sistema de Gestión de la Seguridad de la Información - SGSI
DominiosAplicable (S/N)
Acciones a realizar en el control(es) a aplicar Riesgo Responsable (*)Objetivos
Controles posibles de aplicar
05. Politicas de Seguridad
5.1. Política de seguridad de la informaciónS R001, R010
S R001, R010
06. Organización
6.1. Estructura para la seguridad de la informaciónS R001, R010, R011
6.1.2. Coordinación de seguridad de la información S R001, R010, R011
S R001, R010, R011
S R001, R010, R011
6.1.5. Acuerdos de confidencialidad S Establecer acuerdos de confidencialidad R001, R010, R011
6.1.6. Contacto con las autoridades S Convocar a reuniones con las autoridades R001, R010, R011
N
Motivo si no es aplicable
5.1.1. Documento de política de seguridad de la información
Crear documentacion que contenga politicas de seguridad de informacion
JSI - Jefe de Seguridad de la Información
5.1.2. Revisión de la política de seguridad de la información
Realizar auditorias internas para revisar las politicas de seguridad de informacion
JSI - Jefe de Seguridad de la Información
6.1.1. Comité de gestión de seguridad de la información
Capacitar constantemente al comite de gestion de seguridad de la informacion
JSI - Jefe de Seguridad de la Información
Mantener en comunicaion constante para la coordinacion de la seguridad de informacion
JSI - Jefe de Seguridad de la Información
6.1.3. Asignación de responsabilidades para la seguridad de la información
Gestionar bien los recursos humanos destinados a la seguridad de informacion
JSI - Jefe de Seguridad de la Información
6.1.4. Proceso de autorización de recursos para el tratamiento de la información
Crear procesos para la autorizacion de recursos para el tratamiento de la informacion
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
6.1.7. Contacto con organizaciones de especial interés
No aplica con la estructura de seguridad de informacion
N
6.2. TercerosS R001,R010
S R001,R010
S R010, R010, R011
07. Gestión de Activos
7.1. Responsabilidad sobre los activos.7.1.1. Inventario de activos. S Desarrolllar formatos de inventario de activos R002,R006, R008
7.1.2. Responsable de los activos. S Crear politicas para la asignacion de responsable de activos R002,R006, R008
S Desarrollar acuerdos sobre el uso aceptable de los activos R002, R006, R007, R008
7.2. Clasificación de la información7.2.1. Directrices de clasificación. S Establecer directrices de clasificacion R001, R010
7.2.2. Marcado y tratamiento de la información. N No aplica
08. Seguridad ligada a los Recursos Humanos
8.1. Seguridad en la definición del trabajo y los recursos. S
8.1.2. Selección y política de personal. S Establecer politicas para personal R007
N No aplica
8.2. Seguridad en el desempeño de las funciones del empleo.
6.1.8. Revisión independiente de la seguridad de la información
No aplica con la estructura de seguridad de informacion
6.2.1. Identificación de los riesgos derivados del acceso de terceros
Establecer procedimientos para la identificacion de riesgos derivados del acceso de terceros
JSI - Jefe de Seguridad de la Información
6.2.2. Tratamiento de la seguridad en la relación con los clientes
Establecer politicas para el tratamiento de la seguridad en la relacion con los clientes
JSI - Jefe de Seguridad de la Información
6.2.3. Tratamiento de la seguridad en contratos con terceros
Establecer politicas para el tratamiento de la seguridad en contratos con terceros
JSI - Jefe de Seguridad de la Información
JHD - Jefe de Help Desk
JHD - Jefe de Help Desk
7.1.3. Acuerdos sobre el uso aceptable de los activos.
JHD - Jefe de Help Desk
JHD - Jefe de Help Desk
8.1.1. Inclusión de la seguridad en las responsabilidades laborales.
Establecer politicas para la inclusion de la seguridad en las responsabilidades laborales
R001, R002, R004, R010, R011
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
8.1.3. Términos y condiciones de la relación laboral.
8.2.1. Supervisión de las obligaciones. S Crear formatos para la supervision de las obligaciones R007, R001, R010
S R004, R001, R002, R010
8.2.3. Procedimiento disciplinario. S Establecer procedimientos disciplinarios R010, R001
8.3. Finalización o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. S Crear politicas para el cese de responsabilidades R011
8.3.2. Restitución de activos. S Crear procedimientos para la restitucion de activos R002, R004
8.3.3. Cancelación de permisos de acceso. S Crear politicas para la cancelacion de permisos de acceso R011
09. Seguridad Física y del Entorno
9.1. Áreas seguras. 9.1.1. Perímetro de seguridad física. S Crear guias para la configuracion de alcance del perimetro R009
9.1.2. Controles físicos de entrada. S Crear procedimientos para controloes fisicos de entrada R009
9.1.3. Seguridad de oficinas, despachos y recursos. S
S Implementar utilitarios para la proteccion contra amenazas R001, R010
9.1.5. El trabajo en áreas seguras. S Implementar politicas para la organizacion R001, R010
9.1.6. Áreas aisladas de carga y descarga. S Crear procesos de areas aisladas de carga y descarga R009
9.2. Seguridad de los equipos.
JSI - Jefe de Seguridad de la Información
8.2.2. Formación y capacitación en seguridad de la información.
Promover capacitaciones en el area de rrhh acerca de seguridad de informacion
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
Contatar a terceros para la seguridad de oficinas, despachos y recurso
R011, R001, R002, R005, R008, R009, R010, R011
JSI - Jefe de Seguridad de la Información
9.1.4. Protección contra amenazas externas y del entorno.
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
9.2.1. Instalación y protección de equipos. S Instalacion de anivirus -firewall R003,R008, R010
9.2.2. Suministro eléctrico. S Compra e implementacion de UPS
9.2.3. Seguridad del cableado. S Instalacion de canaletas R003
9.2.4. Mantenimiento de equipos. S Crear procesos de mantenimiento de HW Y SW
S Instalacion de firewall R003, R001, R010
S Controlar inventario de equipos R002
9.2.7. Traslado de activos. S Crear procesos de traslado de equipos R002
10. Gestión de Comunicaciones y Operaciones
10.1. Procedimientos y responsabilidades de operación. S Implementar procedimientos operativos R004, R002, R006
10.1.2. Control de cambios operacionales. S Crear procedimientos para cambios operacionales R004, R002, R006
10.1.3. Segregación de tareas. S Asignacion de tareas R007
S Crear guias para la separacion de recursos R007, R011
10.2. Supervisión de los servicios contratados a terceros. 10.2.1. Prestación de servicios. S Verificacion de la prestacion de servicios R002, R003, R004
JTE - Jefe de Telecomunicaciones
R010, R001, R002, R004, R008
JTE - Jefe de Telecomunicaciones
JDC - Jefe de Data Center
R001, R003, R005, R006, R008, R009, R010
JHD - Jefe de Help Desk
9.2.5. Seguridad de equipos fuera de los locales de la Organización.
JSI - Jefe de Seguridad de la Información
9.2.6. Seguridad en la reutilización o eliminación de equipos.
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
10.1.1. Documentación de procedimientos operativos.
SDO - Subdirector de Operaciones
SDO - Subdirector de Operaciones
JPMO - Jefe de la Oficina de la Dirección de Proyectos
10.1.4. Separación de los recursos para desarrollo y producción.
JPMO - Jefe de la Oficina de la Dirección de Proyectos
JAN - Jefe de Aplicaciones de Negocio
S R002, R003, R004
S Creas guias para la gestion de cambios R002, R003, R004
10.3. Planificación y aceptación del sistema. 10.3.1. Planificación de capacidades. S Establecer procedimientos para planificacion de capacidades R011
10.3.2. Aceptación del sistema. S Establecer procesos de aceptacion del sistema R008, R006, R004, R002
10.4. Protección contra software malicioso y código móvil. S Establecer procedimientos para Identificar sw malicioso R001, R002, R010
10.4.2. Medidas y controles contra código móvil. S Establecer procedimientos conta codigo movil R001, R002, R010
10.5. Gestión interna de soportes y recuperación. 10.5.1. Recuperación de la información. S R001, R002, R004, R010
10.6. Gestión de redes. 10.6.1. Controles de red. S Verificar controles de red R003, R005
10.6.2. Seguridad en los servicios de red. S Implementa procedimientos para seguridad en los servicios R002
10.7. Utilización y seguridad de los soportes de información. 10.7.1. Gestión de soportes extraíbles. S Desarrollar plan para la gestion de soportes extraibles R001, R010
10.7.2. Eliminación de soportes. S Desarrollar procesos para la eliminacion de soportes R001, R010
S Establecer procedimientos de utilizacion de la informacion R001, R010
S R001, R010, R011
10.8. Intercambio de información y software.
10.2.2. Monitorización y revisión de los servicios contratados.
Implementar procedimientos para la monitorizacion y revision
JAN - Jefe de Aplicaciones de Negocio
10.2.3. Gestión de los cambios en los servicios contratados.
JAN - Jefe de Aplicaciones de Negocio
JCA - Jefe de Calidad
JCA - Jefe de Calidad
10.4.1. Medidas y controles contra software malicioso.
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
Establecer procedimientos para la recuperacion de informacion
JSI - Jefe de Seguridad de la Información
JHD - Jefe de Help Desk
JHD - Jefe de Help Desk
JHD - Jefe de Help Desk
JHD - Jefe de Help Desk
10.7.3. Procedimientos de utilización de la información.
JSI - Jefe de Seguridad de la Información
10.7.4. Seguridad de la documentación de sistemas. Realizar capacitaciones para la seguridad de la documentacion
JSI - Jefe de Seguridad de la Información
S R001, R010
10.8.2. Seguridad de soportes en tránsito. S R003
10.8.3. Mensajería electrónica. S Implementar mensajeria electronica R005
S R003, R002
10.8.5. Sistemas de información empresariales. N No aplica
10.9. Servicios de comercio electrónico. 10.9.1. Seguridad en comercio electrónico. S Implementar seguridad en comercio electronico R002, R003, R008
10.9.2. Seguridad en transacciones en línea. S Implementar seguridad en transacciones de linea R001, R002, R003, R008
10.9.3. Seguridad en información pública. S Implementar seguridad en informacion publica R001, R002, R003, R008
10.10. Monitorización 10.10.1. Registro de incidencias. S Crear formatos para el registro de incidencias
10.10.2. Seguimiento del uso de los sistemas. S Realizar seguimiento del uso de los sistemas
10.10.3. Protección de los registros de incidencias. S
S
10.10.5. Registro de fallos. S Establecer formatos para el registro de fallas
10.10.6. Sincronización de reloj. N No aplica
10.8.1. Acuerdos para intercambio de información y software.
Implementar acuerdos para intercambio de informacion de sw
JAA - Jefe de Aplicaciones Administrativas
Establecer procedimeintos para seguridad de soporte en transito
JSI - Jefe de Seguridad de la Información
JTE - Jefe de Telecomunicaiones
10.8.4. Interconexión de sistemas con información de negocio
Realizar interconexion de sistemas con informacion de negocio
JTE - Jefe de Telecomunicaiones
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
JSI - Jefe de Seguridad de la Información
R001, R002, R003, R005, R006, R008, R009, R010
JDC - Jefe de Data Center
R003, R004, R001, R002, R008
JDC - Jefe de Data Center
Desarrollar politicas de proteccion de los registros de incidencias
R003, R004, R001, R002, R008
JDC - Jefe de Data Center
10.10.4. Diarios de operación del administrador y operador.
Documentar diarios de operacion del administrador y operador
R003, R004, R001, R002, R008
JDC - Jefe de Data Center
R003, R004, R001, R002, R008
JDC - Jefe de Data Center
INTEGRANTESJoel MeridaOmar SenosainEstela VilcasSamuel ZambranoJanett RazaChristian León
ANALISIS DE RIESGO DE LOS ACTIVOS DE LA EMPRESA ABC
Clasificación de Activo CodAct Nombre Activo Cod.Ame Nombre Amenaza Cod.VulServidores Act.001 Servidor de Dominio AME-001 blblb Vul-015
Vul-019AME-017 blblbl Vul-055
Vul-019AME-017 blblbl Vul-019
Vul-027Act.002 Servidor de Dominio AME-001 blblb Vul-015
Vul-019AME-017 blblbl Vul-055
Vul-019AME-017 blblbl Vul-019
Vul-027Act.003 Servidor de Dominio AME-001 blblb Vul-015
Vul-019
Riesgo ActivosR1 Act-001
Act-002Act-003
R2 Act-001Act-002
R3 Act-001Act-002
ANALISIS DE RIESGO DE LOS ACTIVOS DE LA EMPRESA ABC
Nombre VulnerabilProb Impacto C I D Cod.Riesgo Nombre de Riesgoxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R2 sdfssdfs 2 3 - 4 5 R1 Blbsfghd 3 4 - R3 sddfgh 3 5 1 1 1 R4 asdff 1 2 2 3 4 R5 adxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R2 sdfssdfs 2 3 - 4 5 R5 Blbsfghd 3 4 - R6 sddfgh 3 5 1 1 1 R3 asdff 1 2 2 3 4 R7 adxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R7 sdfs
Recommended