VALORACIN DE ACTIVOS DE I

TIPO ACTIVO

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Software Hardware Hardware Hardware Servicios Software Software RR.HH RR.HH RR.HH Informacion Software Servicios Otros Otros

40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

VALORACIN DE ACTIVOS DE INFORMACIN

CONFIDENCIALIDAD 5 5 3 3 3 4 4 4 4 4 5 5 3 3 3

ACTIVO

Sistema de Administracin Servidor de Aplicacin Impresora Router Luz Elctrica Sistema Operativo Microsoft Windows XP Professional Sistema Ofimatico MS. Office 2007 Gerente General Tecnico en computacion Vendedores Registro de compras/ventas/almacen Base dee datos SQL Server 2005 Servicio de Telefonia celular Moviliario de TI Reputacion/imagen institucional

VOS DE INFORMACIN
DISPONIBILIDAD

JUSTIFICACIN

INTEGRIDAD

JUSTIFICACIN

JUSTIFICACIN

NIVEL

5 5 5 3 3 4 4 4 4 4 5 5 3 3 5

5 5 3 3 5 5 5 4 4 4 5 5 3 3 4

5 5 4 3 4 4 4 4 4 4 5 5 3 3 4

LISTA DE AMENAZAS DETECTADAS

CODIGO AM01 AM02 AM03 AM04 AM05 AM06 AM07 AM08 AM09 AM10 AM11 AM12 AM13 AM14 AM15 AM16 AM17 AM18 AM19 AM20 AM21 AM22 AM23 AM24 AM25 AM26 AM27 AM28 AM29 AM30 AM31 AM32 AM33 AM34 AM35 AMENAZA Terremoto Incendios. Inundaciones. Epidemias. Bacteriolgico. Falla en Suministro de energa de la red publica. Falla en el suministro del servicio de alcantarillado Escasez de combustible. Cada de telefona fija Interrupcin servicio internet Ausencia transporte publico Actos de terrorismo Actos de sabotaje Robo Problemas sociales Falla en suministro de energa interna (UPS, Grupo Electrgeno) Falla en la red interna Acceso no autorizado desde Internet. Falla tcnica en componente de redes. Falla de hardware de equipos y/o servidores principales Falla en sistemas y software principal Acceso no autorizado a la red interna. Degradacin en los sistemas de comunicacin. infeccin de software malicioso o virus en la red interna Dao a la informacin Deterioro de medios de soporte Uso ilegal de software Sustraccin de informacin Error de usuario Ausencia de mantenimiento de equipos Error de proveedores Error de personal de soporte Descarga no controlada de software Divulgacin de informacin confidencial Mal uso de equipos y medios de almacenamiento

AS DETECTADAS
TIPO Desastres Naturales Desastres Naturales Desastres Naturales Desastres Naturales Desastres Naturales Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Riesgos Fsicos. Riesgos Fsicos. Riesgos Fsicos. Riesgos Fsicos. Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal.

LISTA DE VULNERABILIDADES
CODIGO VU01 VU02 VU03 VU04 VU05 VU06 VU07 VU08 VU09 VU10 VU11 VU12 VU13 VU14 VU15 VU16 VU17 VU18 VU19 VU20 VU21 VU22 VU23 VU24 VU25 VU26 VU27 VU28 VU29 VU30 VU31 VU32 VU33 VU34 VU35 VU36 VU37 VU38 VU39 VU40 VU41 VU42

VU43 VU44 VU45 VU46 VU47 VU48 VU49 VU50 VU51 VU52 VU53 VU54 VU55 VU56 VU57 VU58 VU59 VU60

LISTA DE VULNERABILIDADES
VULNERABILIDAD Proteccin fsica inadecuada Abastecimiento de energa elctrica inestable Monitoreo insuficiente de medidas de seguridad para el medioambiente e infraestructura Falta de mantenimiento a la infraestructura almacenamiento de material inflamable Inadecuada prevencin / deteccin contra incendios Ausencia de luces de emergencia. Recursos insuficientes, inadecuados, incompatibles. Falta de mantenimiento de UPS. Abastecimiento de Ups insuficiente. Ausentismo personal insuficiente Control inadecuado de reclutamiento Definicin de rol inadecuada Falta de conciencia de seguridad. Falta de capacitacin de trabajo Falta de mecanismos de monitoreo Falta de polticas, normas y procedimientos. Revocacin de derechos de acceso. Empleado molesto Recursos insuficientes, inadecuados, incompatibles. Falta de capacitacin sobre uso de activos. Falla de hardware Degradacin de equipos Almacenamiento inadecuado / impropio Falta de mantenimiento preventivo. Incompatibilidad de hardware control de acceso inadecuado. Falta de procedimiento de eliminacin. Capacidad inadecuada. Debilidad en suministro elctrico. Control de configuracin inadecuado. Conexin de equipo no autorizado Control inadecuado de versin Administracin deficiente de contrasea Instalacin desinstalacin no controlada Control de descarga inadecuado Incompatibilidad de software No existe una poltica de escritorio limpio Falta de documentacin de software Falta de proteccin contra virus y cdigo malicioso Uso de discos compactos de iniciacin automtica Uso indebido de licencia de software

Lneas de comunicacin no protegidas Acceso a discado no controlado Proteccin fsica inadecuada de trafico sensible Administracin de red inadecuada Capacidad inadecuada de red Almacenamiento insuficiente y/o no protegido Susceptibilidad de dao en almacenamiento de medios Datos, archivos no retirados de los discos duros locales. Control inadecuado de base de datos Disponibilidad de datos no estructurado. inadecuado respaldo de datos. exposicin a daos Control inadecuado de servicios externos suministros Control inadecuado de visitantes Control inadecuado de contratistas Control inadecuado de personal de limpieza Incumplimiento de leyes de derecho de autor Incumplimiento de leyes de proteccin de datos

DES
TIPO Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Software Software Software Software Software Software Software Software Software Software

Comunicaciones Comunicaciones Comunicaciones Comunicaciones Comunicaciones Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos

CALCULO DE N
N 4 6 9 14 1 3 5 7 8 10 11 12 13 15 2 ACTIVO TIPO ACTIVO Hardware VALOR CUALITATIVO TOTAL 3 4 4 3 5 4 4 4 4 4 5 5 3 4 5

Router

Sistema Operativo Microsoft Windows Software XP Professional Tecnico en computacion Moviliario de TI Sistema de Administracin Impresora Luz Elctrica RR.HH Otros Software Hardware Servicios

Sistema Ofimatico MS. Office 2007 Software Gerente General Vendedores RR.HH RR.HH

Registro de compras/ventas/almacenInformacion Base dee datos SQL Server 2005 Servicio de Telefonia celular Reputacion/imagen institucional Servidor de Aplicacin Software Servicios Otros Hardware

CALCULO DE NIVEL DE RIESGO

AMENAZA Robo uso ilegal de software Divulgacin de informacin confidencial Incendios Robo de Identidad Robo VULNERABILIDAD Monitoreo insuficiente de medidas de seguridad Control de configuracin inadecuado. Falta de conciencia de seguridad. Almacenamiento de material inflamable Falta de control en privilegios Monitoreo insuficiente de medidas de seguridad

Falla en Suministro de energa de la red Abastecimiento de energa elctrica inestable publica. Infeccin de software malicioso o virus en la Falta de proteccin contra virus y cdigo red interna malicioso Epidemia Divulgacin de informacin confidencial Sustraccin de informacin Robo Cada del servicio Problemas sociales Robo Falta de polticas, normas y procedimientos. Falta de conciencia de seguridad. Proteccin fsica inadecuada Falta de mecanismos de monitoreo Saturacion de servicio Exposicin a daos Monitoreo insuficiente de medidas de seguridad

TOLERANCIA
IMPACTO 2 2 3 5 4 3 5 3 4 3 4 4 3 4 5 PROBABILIDAD 3 1 1 1 2 3 2 3 2 5 2 2 4 3 3 NIVEL DE RIESGO 18 8 12 15 40 36 40 36 32 60 40 40 36 48 75 NIVEL DE TOLERANCIA BAJO BAJO BAJO BAJO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO ALTO

TOLERANCIA
ACCIN CON EL RIESGO Aceptar el Riesgo. Aceptar el Riesgo. Aceptar el Riesgo. Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir.

IMPORTANCIA DEL ACTIVO DE INFORMACIN NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1

PROBABILIDAD DE OCURRENCIA DE LA AMENAZA NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1

IMPACTO EN EL ACTIVOS DE INFORMACIN NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1

DETERMINACIN DE NIVEL DE RIESGO NIVEL Bajo Medio Alto FACTOR de 1 a 19 de 20 a 59 de 60 a 125

IMPORTANCIA DEL ACTIVO DE INFORMACIN DESCRIPCIN Afecta directamente los objetivos estratgicos, la imagen y la razn de ser de la organizacin. Afecta seriamente la operatividad, competitividad o imagen de la organizacin. Afecta considerablemente la operatividad, competitividad o imagen de la organizacin. No afecta considerablemente la operatividad, competividad o imagen de la organizacin. No afecta la operatividad, competitividad o imagen de la organizacin.

PROBABILIDAD DE OCURRENCIA DE LA AMENAZA DESCRIPCIN Cuando la probabilidad de ocurrencia es muy frecuente o casi cierta. Cuando la probabilidad de ocurrencia es frecuente o probable. Cuando la probabilidad de ocurrencia es regular o moderada. Cuando la probabilidad de ocurrencia es baja o improbable Cuando la probabilidad de ocurrencia es muy baja o rara.

IMPACTO EN EL ACTIVOS DE INFORMACIN DESCRIPCIN Afecta permanencia del activo, debe ser reemplazado Afecta irreversiblemente una de las caractersticas principales del activo. Afecta seriamente una caractersticas del activo. Afecta parcialmente una caractersticas del activo. No afecta al activo de informacin.

DETERMINACIN DE NIVEL DE RIESGO DESCRIPCIN donde la opcin de tratamiento ser Aceptar el Riesgo. donde la opcin de tratamiento ser evitar, reducir, transferir o aceptar un riesgo. donde la opcin de tratamiento ser evitar, reducir, transferir un riesgo.

Damian

PAMELA

Mario

Jaime

Activo Router Sistema Operativo Microsoft Windows XP Professional Tecnico en computacion Moviliario de TI Sistema de Administracin Impresora Gerente General Vendedores Registro de compras/ventas/almacen Base dee datos SQL Server 2005 Servicio de Telefonia celular Servidor de Aplicacin

Control Control de routing de redes Sistema de gestion de claves Roles y responsabilidades Seguridad del equipo Controles de entrada fisicos Ubicaion y proteccion del equipo Gestion de Responsabilidades Seleccin Backup o respaldo de la informacion Autenticacion de usuario para conexiones externas Computacion movil y comunicaciones Gestion de la clave del usuario

Descripcion

Codigo control A.11.4.7 A.5.3 A.8.1.1 A.9.2.1 A.9.1.2 A.9.2.1 A.8.2.1 A.8.1.2 A.10.5.1 A.11.4.2 A.11.7.1 A.11.2.3