Professional Documents
Culture Documents
TIPO ACTIVO
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
Software Hardware Hardware Hardware Servicios Software Software RR.HH RR.HH RR.HH Informacion Software Servicios Otros Otros
40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
ACTIVO
Sistema de Administracin Servidor de Aplicacin Impresora Router Luz Elctrica Sistema Operativo Microsoft Windows XP Professional Sistema Ofimatico MS. Office 2007 Gerente General Tecnico en computacion Vendedores Registro de compras/ventas/almacen Base dee datos SQL Server 2005 Servicio de Telefonia celular Moviliario de TI Reputacion/imagen institucional
VOS DE INFORMACIN
DISPONIBILIDAD
JUSTIFICACIN
INTEGRIDAD
JUSTIFICACIN
JUSTIFICACIN
NIVEL
5 5 5 3 3 4 4 4 4 4 5 5 3 3 5
5 5 3 3 5 5 5 4 4 4 5 5 3 3 4
5 5 4 3 4 4 4 4 4 4 5 5 3 3 4
AS DETECTADAS
TIPO Desastres Naturales Desastres Naturales Desastres Naturales Desastres Naturales Desastres Naturales Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Fallas en Servicios Pblicos. Riesgos Fsicos. Riesgos Fsicos. Riesgos Fsicos. Riesgos Fsicos. Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Falla de Equipos o Sistemas Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos Informticos y Tecnolgicos. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal. Riesgos de Personal.
LISTA DE VULNERABILIDADES
CODIGO VU01 VU02 VU03 VU04 VU05 VU06 VU07 VU08 VU09 VU10 VU11 VU12 VU13 VU14 VU15 VU16 VU17 VU18 VU19 VU20 VU21 VU22 VU23 VU24 VU25 VU26 VU27 VU28 VU29 VU30 VU31 VU32 VU33 VU34 VU35 VU36 VU37 VU38 VU39 VU40 VU41 VU42
VU43 VU44 VU45 VU46 VU47 VU48 VU49 VU50 VU51 VU52 VU53 VU54 VU55 VU56 VU57 VU58 VU59 VU60
LISTA DE VULNERABILIDADES
VULNERABILIDAD Proteccin fsica inadecuada Abastecimiento de energa elctrica inestable Monitoreo insuficiente de medidas de seguridad para el medioambiente e infraestructura Falta de mantenimiento a la infraestructura almacenamiento de material inflamable Inadecuada prevencin / deteccin contra incendios Ausencia de luces de emergencia. Recursos insuficientes, inadecuados, incompatibles. Falta de mantenimiento de UPS. Abastecimiento de Ups insuficiente. Ausentismo personal insuficiente Control inadecuado de reclutamiento Definicin de rol inadecuada Falta de conciencia de seguridad. Falta de capacitacin de trabajo Falta de mecanismos de monitoreo Falta de polticas, normas y procedimientos. Revocacin de derechos de acceso. Empleado molesto Recursos insuficientes, inadecuados, incompatibles. Falta de capacitacin sobre uso de activos. Falla de hardware Degradacin de equipos Almacenamiento inadecuado / impropio Falta de mantenimiento preventivo. Incompatibilidad de hardware control de acceso inadecuado. Falta de procedimiento de eliminacin. Capacidad inadecuada. Debilidad en suministro elctrico. Control de configuracin inadecuado. Conexin de equipo no autorizado Control inadecuado de versin Administracin deficiente de contrasea Instalacin desinstalacin no controlada Control de descarga inadecuado Incompatibilidad de software No existe una poltica de escritorio limpio Falta de documentacin de software Falta de proteccin contra virus y cdigo malicioso Uso de discos compactos de iniciacin automtica Uso indebido de licencia de software
Lneas de comunicacin no protegidas Acceso a discado no controlado Proteccin fsica inadecuada de trafico sensible Administracin de red inadecuada Capacidad inadecuada de red Almacenamiento insuficiente y/o no protegido Susceptibilidad de dao en almacenamiento de medios Datos, archivos no retirados de los discos duros locales. Control inadecuado de base de datos Disponibilidad de datos no estructurado. inadecuado respaldo de datos. exposicin a daos Control inadecuado de servicios externos suministros Control inadecuado de visitantes Control inadecuado de contratistas Control inadecuado de personal de limpieza Incumplimiento de leyes de derecho de autor Incumplimiento de leyes de proteccin de datos
DES
TIPO Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Medio Ambiente, Infraestructura y Externas. Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Software Software Software Software Software Software Software Software Software Software
Comunicaciones Comunicaciones Comunicaciones Comunicaciones Comunicaciones Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos Documentos / Datos
CALCULO DE N
N 4 6 9 14 1 3 5 7 8 10 11 12 13 15 2 ACTIVO TIPO ACTIVO Hardware VALOR CUALITATIVO TOTAL 3 4 4 3 5 4 4 4 4 4 5 5 3 4 5
Router
Sistema Operativo Microsoft Windows Software XP Professional Tecnico en computacion Moviliario de TI Sistema de Administracin Impresora Luz Elctrica RR.HH Otros Software Hardware Servicios
Sistema Ofimatico MS. Office 2007 Software Gerente General Vendedores RR.HH RR.HH
Registro de compras/ventas/almacenInformacion Base dee datos SQL Server 2005 Servicio de Telefonia celular Reputacion/imagen institucional Servidor de Aplicacin Software Servicios Otros Hardware
Falla en Suministro de energa de la red Abastecimiento de energa elctrica inestable publica. Infeccin de software malicioso o virus en la Falta de proteccin contra virus y cdigo red interna malicioso Epidemia Divulgacin de informacin confidencial Sustraccin de informacin Robo Cada del servicio Problemas sociales Robo Falta de polticas, normas y procedimientos. Falta de conciencia de seguridad. Proteccin fsica inadecuada Falta de mecanismos de monitoreo Saturacion de servicio Exposicin a daos Monitoreo insuficiente de medidas de seguridad
TOLERANCIA
IMPACTO 2 2 3 5 4 3 5 3 4 3 4 4 3 4 5 PROBABILIDAD 3 1 1 1 2 3 2 3 2 5 2 2 4 3 3 NIVEL DE RIESGO 18 8 12 15 40 36 40 36 32 60 40 40 36 48 75 NIVEL DE TOLERANCIA BAJO BAJO BAJO BAJO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO ALTO
TOLERANCIA
ACCIN CON EL RIESGO Aceptar el Riesgo. Aceptar el Riesgo. Aceptar el Riesgo. Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir o Aceptar el Riesgo. Evitar, Reducir, Transferir.
IMPORTANCIA DEL ACTIVO DE INFORMACIN NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1
PROBABILIDAD DE OCURRENCIA DE LA AMENAZA NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1
IMPACTO EN EL ACTIVOS DE INFORMACIN NIVEL Muy Alto Alto Medio Bajo Muy Bajo FACTOR 5 4 3 2 1
IMPORTANCIA DEL ACTIVO DE INFORMACIN DESCRIPCIN Afecta directamente los objetivos estratgicos, la imagen y la razn de ser de la organizacin. Afecta seriamente la operatividad, competitividad o imagen de la organizacin. Afecta considerablemente la operatividad, competitividad o imagen de la organizacin. No afecta considerablemente la operatividad, competividad o imagen de la organizacin. No afecta la operatividad, competitividad o imagen de la organizacin.
PROBABILIDAD DE OCURRENCIA DE LA AMENAZA DESCRIPCIN Cuando la probabilidad de ocurrencia es muy frecuente o casi cierta. Cuando la probabilidad de ocurrencia es frecuente o probable. Cuando la probabilidad de ocurrencia es regular o moderada. Cuando la probabilidad de ocurrencia es baja o improbable Cuando la probabilidad de ocurrencia es muy baja o rara.
IMPACTO EN EL ACTIVOS DE INFORMACIN DESCRIPCIN Afecta permanencia del activo, debe ser reemplazado Afecta irreversiblemente una de las caractersticas principales del activo. Afecta seriamente una caractersticas del activo. Afecta parcialmente una caractersticas del activo. No afecta al activo de informacin.
DETERMINACIN DE NIVEL DE RIESGO DESCRIPCIN donde la opcin de tratamiento ser Aceptar el Riesgo. donde la opcin de tratamiento ser evitar, reducir, transferir o aceptar un riesgo. donde la opcin de tratamiento ser evitar, reducir, transferir un riesgo.
Damian
PAMELA
Mario
Jaime
Activo Router Sistema Operativo Microsoft Windows XP Professional Tecnico en computacion Moviliario de TI Sistema de Administracin Impresora Gerente General Vendedores Registro de compras/ventas/almacen Base dee datos SQL Server 2005 Servicio de Telefonia celular Servidor de Aplicacin
Control Control de routing de redes Sistema de gestion de claves Roles y responsabilidades Seguridad del equipo Controles de entrada fisicos Ubicaion y proteccion del equipo Gestion de Responsabilidades Seleccin Backup o respaldo de la informacion Autenticacion de usuario para conexiones externas Computacion movil y comunicaciones Gestion de la clave del usuario
Descripcion
Codigo control A.11.4.7 A.5.3 A.8.1.1 A.9.2.1 A.9.1.2 A.9.2.1 A.8.2.1 A.8.1.2 A.10.5.1 A.11.4.2 A.11.7.1 A.11.2.3