Matriz de Análisis de Riesgos - NVAVERS

¿Existe Interdependencia con Descripción de las actividades y factores de éxito, así
Actividades que conforman el ¿La actividad

procesos internos o externos como las actividades que resultan críticas para la
proceso es crítica?
a La Secretaria? operación del proceso.
Se mantiene actualizada la agenda del C. Secretario.

Adicionalmente, se lleva a cabo la gestión de la información
1. Recepción de documentación que de manera directa es enviada al C. Secretario por
2. Generación y actualización de control diversos medios y a través de diferentes entidades
interno (Dependencias de la APF, Áreas internas de la SHCP,
Si Si
3. Gestión con Secretaría Particular Ente público externo, internacional, privado, universidad,
4. Turnar documentación academia o asociación civil). Se mantiene un seguimiento
5. Solicitar opinión/atención puntal a esta documentación (folios, fechas, manejo, etc.) ,
se solicitan audiencias y/u opiniones y se instruye turnar la
documentación que así lo amerite.
1. Recpeción de documentación
2. Análisis de documentación
3. Elaboración de turnos
4. Valoración, dictamen técnico y gestión
de documentos
5. Revisión y autorización de documentos
6. Preparar documentos (despacho de
documentos)
7. Elaboración e integración de
Si Si
expedientes
8. Archivar documentos (archivo de
documentos)
9. Descargo y baja documental (en
sistema)
10. Análisis normativo y opinión jurídica
de documentos (PFF)
11. Analizar y determinar competencias y
alcances
Recibe la documentación en la ventanilla de oficialía

En cumplimiento a uno de los objetivos del Programa para
Democratizar la Productividad, “Fortalecer el marco
institucional para orientar las políticas hacia la
productividad”, la Unidad de Productividad Económica
(UPE) de la Secretaría de Hacienda y Crédito Público
(SHCP), junto con el Centro de Investigación y Docencia
Económicas, A.C. (CIDE) y la Universidad de Harvard, se
encuentra desarrollando el Atlas de la Complejidad
Económica de México (Atlas).
1. Solicitar reporte a SAT, IMSS, INEGI y
o Para poder generar esta herramienta, se tiene como
STPS
principal insumo bases de datos administrativas y
2. Tratamiento/procesamiento de
estadísticas de diferentes dependencias. Debido al carácter
información solicitada a SAT, IMSS,
confidencial de una parte importante de la información, la
INEGI y STPS
Secretaría de Hacienda debe salvaguardar la integridad y
No 3. Generación de reporte ("sanitizado") No
confidencialidad de dichas bases de datos, lo que implica
4. Análisis de información
mantenerlas en un lugar seguro.
5. Envío de información/reporte
o Al mismo tiempo, la UPE de la SHCP da un primer
sanitizado a CIDE y HARVARD
tratamiento a la información, de tal forma que, al momento
6. Generación de presentaciones (PPT)
de ser utilizada por terceros involucrados en el proyecto,
para uso interno
ésta deba cumplir con las disposiciones legales aplicables
en materia de protección de datos y confidencialidad.
o Un segundo tratamiento se lleva a cabo en el CIDE, antes
de que la información pueda ser compartida con la
Universidad de Harvard para su análisis.
o Actualmente la UPE se encuentra en un proceso de
definición junto con DGTSI para robustecer la seguridad de
los datos, optimizar los procesos y alojar la herramienta del
Atlas y el almacén de datos en los servidores de hacienda.
Es un proceso vinculado
con la integridad,
estabilidad y
permanencia del Estado
Mexicano, (art. 3 y 5 de
la LSN).
Si
No
No
Datos de activos de información Clasificación LFTAIPG / IFAI Clasificación de información considerada de Seguridad Nacional
Clasificación de información considerada de Seguridad Nacional (Diseminación) Valoración cuantitativa - cualitativa
ID Proceso Nombre del Proceso ID Activo Activo de información Cluster Confidencial Reservada Pública Confidencial Reservada No reservada Justificación "AAA" "AA" "A" Confidencialidad Confidencialidad Integridad Integridad Disponibilidad Disponibilidad Total Valor 1 Valor 2
"Calendar" (aplicación para mantener y Ley de Seguridad a

SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-001 Aplicación a 5 Confidencial 4 Crítica 3 Necesaria 12 3 Alto
gestionar la agenda del C. Secretario) Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-002 Calendario con la agenda del C. Secretario Información digital a a a 4 Confidencial 4 Crítica 4 Indispensable 12 3 Alto
Nacional
Control interno de documentación recibida Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-003 Información digital a a a 2 Reservada 4 Crítica 3 Necesaria 9 2 Medio
y atendida en hoja de Excel Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-004 Correo electrónico (mensajes) Documento a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-005 Teléfono Infraestructura TIC a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Estación de Trabajo (Mac) del coordinador Ley de Seguridad a

SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-006 Equipo de cómputo a 5 Confidencial 4 Crítica 3 Necesaria 12 3 Alto
de agenda Jorge Gomez Bravo Topete Nacional
Estación de Trabajo de Andrea Castellanos

Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-007 Montiel (unidad de almacenamiento Equipo de cómputo a a a 2 Reservada 2 Significativa 2 Necesaria 6 2 Medio
Nacional
compartida)
Estación de Trabajo de Elvia Fernández
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-008 Hernández (unidad de almacenamiento Equipo de cómputo a a a 2 Reservada 2 Significativa 2 Necesaria 6 2 Medio
Nacional
compartida)
Estación de Trabajo de Patricia Zamora
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-009 Araujo (unidad de almacenamiento Equipo de cómputo a a a 2 Reservada 2 Significativa 3 Necesaria 7 2 Medio
Nacional
compartida)
Estación de trabajo del Secretario Ley de Seguridad a
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-010 Equipo de cómputo a 5 Confidencial 5 Crítica 4 Indispensable 14 3 Alto
Particular Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-011 Secretario Particular Rol a a a 4 Confidencial 4 Crítica 4 Indispensable 12 3 Alto
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-012 Directora de Área Rol a a a 4 Confidencial 4 Crítica 1 Normal 9 2 Medio
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-013 Jefe de departamento Rol a a a 4 Confidencial 4 Crítica 1 Normal 9 2 Medio
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-014 Enlace Rol a a a 4 Confidencial 4 Crítica 1 Normal 9 2 Medio
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-015 Winrar/Winzip Software a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-016 Infraestructura TIC Infraestructura TIC a a a 2 Reservada 4 Crítica 4 Indispensable 10 2 Medio
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-017 Ms office Software a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-018 Sevicio de correo electrónico Software a a a 1 Pública 4 Crítica 3 Necesaria 8 2 Medio
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-019 Lync Software a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Ley de Seguridad
SHCP-OFSEC-AGSEC-1 Coordinación de agenda del C. Secretario SHCP-OFSEC-AGSEC-020 Acrobat Software a a a 1 Pública 1 Normal 1 Normal 3 1 Bajo
Nacional
Nivel de criticidad de Infraestructuras Críticas
Actividad ASI 4 Factor Crítico 8
ID Proceso ID de la IC Infraestructura Crítica
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-001 Estación de trabajo (Mac)
Unidad de almacenamiento compartida

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-002 donde se encuentra la información
operativa
operativa
operativa
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-003 Infraestructura TIC
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-005 Aplicación "Calendar"
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-006 Ms office

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-007 Sevicio de correo electrónico
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-008 Lync
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-009 Correo electrónico
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-011 Acrobat
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-012 Estación de trabajo
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-013 Redes WAN
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-014 Redes LAN
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-015 Sistemas Operativos
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-016 Servidores
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-017 Dispositivos de seguridad perimetral
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-018 Centro de datos

as
Amplitud Periodo de
Cluster Descripción Impacto IC Afectadas
Geográfica Afectación
Estación de Trabajo (Mac) del
Equipo de cómputo coordinador de agenda Jorge 3 2 4 1
Gomez Bravo Topete
Estación de Trabajo de Andrea

Equipo de cómputo 2 1 2 1
Castellanos Montiel
Estación de Trabajo de Elvia

Fernández Hernández
Estación de Trabajo de Patricia

Zamora Araujo
Equipos de Seguridad y de
Infraestructura TIC 3 3 5 3
Telecomunicaciones
Aplicación para mantener y
Aplicación gestionar la agenda del C. 3 3 5 3
Secretario
Aplicación Ms office 1 1 1 1
Aplicación Aplicación de correo electrónico 3 2 4 1
Aplicación Lync 1 1 1 1
Servicio y servidores de correo
electrónico
Aplicación Acrobat 1 1 1 1
Estación de Trabajo Secretario
Particular del C. Secretario
Conectividad entre el aplicativo y
entes externos a la aplicación
Conectividad entre el aplicativo y
entes internos a la aplicación
Infraestructura TIC Software habilitador del servicio 2 2 3 2
Infraestructura TIC Hardware habilitador del servicio 2 2 3 2
Plataforma tecnológica para la

protección de información
Centro de procesamiento de
información
Campos de Interdependenc
Criticidad Comentarios
Gobierno ia
2 2 IV
2 2 III
2 2 III
2 3 IV
2 4 V
1 3 V
1 1 I
1 1 III
1 1 I
1 2 IV
1 1 I
2 4 V
2 3 IV
2 3 IV
2 3 IV
2 3 IV
2 3 IV
2 3 IV
Datos de activos de información
¿El activo de información es Módulo de la aplicación o módulo

Nivel de Responsable del resguardo de los activos Grupo (Tangible / Medio de Ubicación
ID Procesos críticos Nombre del Proceso ID Infraestrucrura Crítica Infraestructura Crítica Descripción Puesto del custodio del activo primario o de soporte al Sector Subsector Instiución Tipo de información donde reside el activo (Solo si su Cluster
Críticidad (custodio) Intangible) almacenamiento geografica del activo
proceso? grupo es: "Intangible")
Estación de Trabajo (Mac) del
Coordinación de agenda del C. SHCP - OFICINA DEL México DF, Palacio
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-001 Estación de trabajo (Mac) IV coordinador de agenda Jorge Por definir custodio Por definir Primario Finanzas Política económica Tangible Información operativa Disco duro NA Equipo de cómputo
Secretario SECRETARIO Nacional
Gomez Bravo Topete
Unidad de almacenamiento
Coordinación de agenda del C. Estación de Trabajo de Andrea SHCP - OFICINA DEL México DF, Palacio
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-002 compartida donde se encuentra la III Por definir custodio Por definir Soporte Finanzas Política económica Tangible Información operativa Disco duro NA Equipo de cómputo
Secretario Castellanos Montiel SECRETARIO Nacional
información operativa
Coordinación de agenda del C. Estación de Trabajo de Elvia SHCP - OFICINA DEL México DF, Palacio
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-003 compartida donde se encuentra la III Por definir custodio Por definir Soporte Finanzas Política económica Tangible Información operativa Disco duro NA Equipo de cómputo
Secretario Fernández Hernández SECRETARIO Nacional
Coordinación de agenda del C. Estación de Trabajo de Patricia SHCP - OFICINA DEL México DF, Palacio
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-004 compartida donde se encuentra la IV Por definir custodio Por definir Soporte Finanzas Política económica Tangible Información operativa Disco duro NA Equipo de cómputo
Secretario Zamora Araujo SECRETARIO Nacional
Coordinación de agenda del C. Equipos de Seguridad y de SHCP - OFICINA DEL México DF,
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-005 Infraestructura TIC V Por definir custodio Por definir Primario Finanzas Política económica Tangible NA No indicado NA Infraestructura TIC
Secretario Telecomunicaciones SECRETARIO Aguascalientes
Aplicación para mantener y
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-006 Aplicación "Calendar" V gestionar la agenda del C. Por definir custodio Por definir Primario Finanzas Política económica Intangible NA No indicado Por definir Aplicación
Secretario SECRETARIO Nacional, iCloud
Secretario
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-007 Ms office I Ms office Por definir custodio Por definir Soporte Finanzas Política económica Intangible NA No indicado Por definir Aplicación
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-008 Sevicio de correo electrónico III Aplicación de correo electrónico Por definir custodio Por definir Soporte Finanzas Política económica Intangible NA No indicado Por definir Aplicación
Coordinación de agenda del C. SHCP - OFICINA DEL
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-009 Lync I Lync Por definir custodio Por definir Soporte Finanzas Política económica Intangible NA No indicado Por definir Aplicación Aguascalientes
Secretario SECRETARIO
Coordinación de agenda del C. Servicio y servidores de correo SHCP - OFICINA DEL
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-010 Correo electrónico IV Por definir custodio Por definir Soporte Finanzas Política económica Intangible NA No indicado Por definir Infraestructura TIC Aguascalientes
Secretario electrónico SECRETARIO
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-011 Acrobat I Acrobat Por definir custodio Por definir Soporte Finanzas Política económica Intangible NA No indicado Por definir Aplicación
Coordinación de agenda del C. Estación de Trabajo Secretario SHCP - OFICINA DEL México DF, Palacio
SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-012 Estación de trabajo V Por definir custodio Por definir Primario Finanzas Política económica Tangible NA No indicado Por definir Equipo de cómputo
Secretario Particular del C. Secretario SECRETARIO Nacional
Análisis y Determinación de Riesgos y Evaluación de Riesgos
Formato ASI F3 - apartado 9
Código Riesgos Amenaza - Agente de amenaza Activos(Clúster)
SHCP-OFSEC-AGSEC-RG001 Robo - Comunidad, Grupo subversivo, Aplicación - Calendar (iCloud)

Delincuencia organizada
SHCP-OFSEC-AGSEC-RG002 Robo - Personal interno descontento(intencional), Aplicación - Calendar (iCloud)

Ex-empleado
SHCP-OFSEC-AGSEC-RG003 Robo - Personal externo (Proveedor, Contratista, Aplicación - Calendar (iCloud)
Hacker, Script Kiddies)
SHCP-OFSEC-AGSEC-RG004 Acceso no autorizado - Personal externo Aplicación - Calendar (iCloud)

(Proveedor, Contratista, Hacker, Script Kiddies)
SHCP-OFSEC-AGSEC-RG005 Acceso no autorizado - Comunidad, Grupo Aplicación - Calendar (iCloud)

subversivo, Delincuencia organizada
SHCP-OFSEC-AGSEC-RG006 Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

descontento(intencional), Ex-empleado
SHCP-OFSEC-AGSEC-RG007 Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

inexperto (accidental)
SHCP-OFSEC-AGSEC-RG008 Código malicioso - Personal externo (Proveedor, Aplicación - Calendar (iCloud)
Contratista, Hacker, Script Kiddies)
SHCP-OFSEC-AGSEC-RG009 Código malicioso - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG010 Código malicioso - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG011 Código malicioso - Personal interno inexperto Aplicación - Calendar (iCloud)

(accidental)
SHCP-OFSEC-AGSEC-RG012 Negación de servicio - Personal externo Aplicación - Calendar (iCloud)
SHCP-OFSEC-AGSEC-RG013 Negación de servicio - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG014 Negación de servicio - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG015 Negación de servicio - Personal interno inexperto Aplicación - Calendar (iCloud)

(accidental)
SHCP-OFSEC-AGSEC-RG016 Crackeo de contraseñas - Personal externo Aplicación - Calendar (iCloud)
SHCP-OFSEC-AGSEC-RG017 Crackeo de contraseñas - Comunidad, Grupo Aplicación - Calendar (iCloud)
SHCP-OFSEC-AGSEC-RG018 Crackeo de contraseñas - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG019 Crackeo de contraseñas - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG020 Modificación de datos - Personal externo Aplicación - Calendar (iCloud)
SHCP-OFSEC-AGSEC-RG021 Modificación de datos - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG022 Modificación de datos - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG023 Modificación de datos - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG024 Incendio - Material (falla) Documento
SHCP-OFSEC-AGSEC-RG025 Incendio - Comunidad, Grupo subversivo, Documento

SHCP-OFSEC-AGSEC-RG026 Incendio - Personal interno Documento
SHCP-OFSEC-AGSEC-RG027 Incendio - Personal interno inexperto (accidental) Documento
SHCP-OFSEC-AGSEC-RG028 Incendio - Personal externo (Proveedor, Documento

SHCP-OFSEC-AGSEC-RG029 Inundación - Material (falla) Documento
SHCP-OFSEC-AGSEC-RG030 Robo - Comunidad, Grupo subversivo, Documento

SHCP-OFSEC-AGSEC-RG031 Robo - Personal interno descontento(intencional), Documento
Ex-empleado
SHCP-OFSEC-AGSEC-RG032 Robo - Personal externo (Proveedor, Contratista, Documento

SHCP-OFSEC-AGSEC-RG033 Acceso no autorizado - Personal externo Documento

SHCP-OFSEC-AGSEC-RG034 Acceso no autorizado - Comunidad, Grupo Documento

SHCP-OFSEC-AGSEC-RG035 Acceso no autorizado - Personal interno Documento
SHCP-OFSEC-AGSEC-RG036 Acceso no autorizado - Personal interno Documento

SHCP-OFSEC-AGSEC-RG037 Modificación de datos - Personal externo Documento
SHCP-OFSEC-AGSEC-RG038 Modificación de datos - Comunidad, Grupo Documento

SHCP-OFSEC-AGSEC-RG039 Modificación de datos - Personal interno Documento
SHCP-OFSEC-AGSEC-RG040 Modificación de datos - Personal interno Documento

SHCP-OFSEC-AGSEC-RG041 Incendio - Material (falla) Equipo de cómputo
SHCP-OFSEC-AGSEC-RG042 Incendio - Comunidad, Grupo subversivo, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG043 Incendio - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG044 Incendio - Personal interno inexperto (accidental) Equipo de cómputo
SHCP-OFSEC-AGSEC-RG045 Incendio - Personal externo (Proveedor, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG046 Sismo - Natural Equipo de cómputo
SHCP-OFSEC-AGSEC-RG047 Inundación - Material (falla) Equipo de cómputo
SHCP-OFSEC-AGSEC-RG048 Interrupción energía eléctrica - Material (falla) Equipo de cómputo
SHCP-OFSEC-AGSEC-RG049 Interrupción energía eléctrica - Natural Equipo de cómputo
SHCP-OFSEC-AGSEC-RG050 Interrupción energía eléctrica - Comunidad, Equipo de cómputo

Grupo subversivo, Delincuencia organizada
SHCP-OFSEC-AGSEC-RG051 Interrupción energía eléctrica - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG052 Interrupción energía eléctrica - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG053 Interrupción energía eléctrica - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG054 Atentado - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG055 Atentado - Personal externo (Proveedor, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG056 Robo - Comunidad, Grupo subversivo, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG057 Robo - Personal externo (Proveedor, Contratista, Equipo de cómputo
SHCP-OFSEC-AGSEC-RG058 Motín - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG059 Sabotaje - Comunidad, Grupo subversivo, Equipo de cómputo
SHCP-OFSEC-AGSEC-RG060 Sabotaje - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG061 Sabotaje - Personal interno inexperto (accidental) Equipo de cómputo
SHCP-OFSEC-AGSEC-RG062 Sabotaje - Personal externo (Proveedor, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG063 Acceso no autorizado - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG064 Acceso no autorizado - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG065 Acceso no autorizado - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG066 Acceso no autorizado - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG067 Código malicioso - Personal externo (Proveedor, Equipo de cómputo
SHCP-OFSEC-AGSEC-RG068 Código malicioso - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG069 Código malicioso - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG070 Código malicioso - Personal interno inexperto Equipo de cómputo

(accidental)
SHCP-OFSEC-AGSEC-RG071 Suplantación de identidad - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG072 Suplantación de identidad - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG073 Suplantación de identidad - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG074 Suplantación de identidad - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG075 Negación de servicio - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG076 Negación de servicio - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG077 Negación de servicio - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG078 Negación de servicio - Personal interno inexperto Equipo de cómputo
(accidental)
SHCP-OFSEC-AGSEC-RG079 Crackeo de contraseñas - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG080 Crackeo de contraseñas - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG081 Crackeo de contraseñas - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG082 Crackeo de contraseñas - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG083 Modificación de datos - Personal externo Equipo de cómputo
SHCP-OFSEC-AGSEC-RG084 Modificación de datos - Comunidad, Grupo Equipo de cómputo

SHCP-OFSEC-AGSEC-RG085 Modificación de datos - Personal interno Equipo de cómputo
SHCP-OFSEC-AGSEC-RG086 Modificación de datos - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC-RG087 Robo - Comunidad, Grupo subversivo, Información digital
SHCP-OFSEC-AGSEC-RG088 Robo - Personal interno descontento(intencional), Información digital
Ex-empleado
SHCP-OFSEC-AGSEC-RG089 Robo - Personal externo (Proveedor, Contratista, Información digital

SHCP-OFSEC-AGSEC-RG090 Acceso no autorizado - Personal externo Información digital

SHCP-OFSEC-AGSEC-RG091 Acceso no autorizado - Comunidad, Grupo Información digital

SHCP-OFSEC-AGSEC-RG092 Acceso no autorizado - Personal interno Información digital
SHCP-OFSEC-AGSEC-RG093 Acceso no autorizado - Personal interno Información digital
SHCP-OFSEC-AGSEC-RG094 Código malicioso - Personal externo (Proveedor, Información digital
SHCP-OFSEC-AGSEC-RG095 Código malicioso - Comunidad, Grupo Información digital

SHCP-OFSEC-AGSEC-RG096 Código malicioso - Personal interno Información digital
SHCP-OFSEC-AGSEC-RG097 Código malicioso - Personal interno inexperto Información digital

(accidental)
SHCP-OFSEC-AGSEC-RG098 Crackeo de contraseñas - Personal externo Información digital
SHCP-OFSEC-AGSEC-RG099 Crackeo de contraseñas - Personal interno Información digital
SHCP-OFSEC-AGSEC-RG100 Modificación de datos - Personal externo Información digital

SHCP-OFSEC-AGSEC-RG101 Modificación de datos - Comunidad, Grupo Información digital

SHCP-OFSEC-AGSEC-RG102 Modificación de datos - Personal interno Información digital
SHCP-OFSEC-AGSEC-RG103 Modificación de datos - Personal interno Información digital

SHCP-OFSEC-AGSEC-RG104 Incendio - Material (falla) Infraestructura TIC
SHCP-OFSEC-AGSEC-RG105 Incendio - Comunidad, Grupo subversivo, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG106 Incendio - Personal interno Información digital

SHCP-OFSEC-AGSEC-RG107 Incendio - Personal interno inexperto (accidental) Infraestructura TIC
SHCP-OFSEC-AGSEC-RG108 Incendio - Personal externo (Proveedor, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG109 Sismo - Natural Infraestructura TIC
SHCP-OFSEC-AGSEC-RG110 Inundación - Material (falla) Infraestructura TIC
SHCP-OFSEC-AGSEC-RG111 Interrupción energía eléctrica - Material (falla) Infraestructura TIC
SHCP-OFSEC-AGSEC-RG112 Interrupción energía eléctrica - Natural Infraestructura TIC
SHCP-OFSEC-AGSEC-RG113 Interrupción energía eléctrica - Comunidad, Infraestructura TIC

Grupo subversivo, Delincuencia organizada
SHCP-OFSEC-AGSEC-RG114 Interrupción energía eléctrica - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG115 Interrupción energía eléctrica - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG116 Interrupción energía eléctrica - Personal externo Infraestructura TIC
SHCP-OFSEC-AGSEC-RG117 Atentado - Comunidad, Grupo subversivo, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG118 Atentado - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG119 Atentado - Personal externo (Proveedor, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG120 Robo - Comunidad, Grupo subversivo, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG121 Robo - Personal interno descontento(intencional), Infraestructura TIC
Ex-empleado
SHCP-OFSEC-AGSEC-RG122 Robo - Personal externo (Proveedor, Contratista, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG123 Motín - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG124 Sabotaje - Comunidad, Grupo subversivo, Infraestructura TIC
SHCP-OFSEC-AGSEC-RG125 Sabotaje - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG126 Sabotaje - Personal interno inexperto (accidental) Infraestructura TIC
SHCP-OFSEC-AGSEC-RG127 Sabotaje - Personal externo (Proveedor, Infraestructura TIC

SHCP-OFSEC-AGSEC-RG128 Acceso no autorizado - Personal externo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG129 Acceso no autorizado - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG130 Acceso no autorizado - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG131 Acceso no autorizado - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG132 Código malicioso - Personal externo (Proveedor, Infraestructura TIC
SHCP-OFSEC-AGSEC-RG133 Código malicioso - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG134 Código malicioso - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG135 Código malicioso - Personal interno inexperto Infraestructura TIC

(accidental)
SHCP-OFSEC-AGSEC-RG136 Suplantación de identidad - Personal externo Infraestructura TIC
SHCP-OFSEC-AGSEC-RG137 Suplantación de identidad - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG138 Suplantación de identidad - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG139 Suplantación de identidad - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG140 Negación de servicio - Personal externo Infraestructura TIC
SHCP-OFSEC-AGSEC-RG141 Negación de servicio - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG142 Negación de servicio - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG143 Negación de servicio - Personal interno inexperto Infraestructura TIC

(accidental)
SHCP-OFSEC-AGSEC-RG144 Crackeo de contraseñas - Personal externo Infraestructura TIC
SHCP-OFSEC-AGSEC-RG145 Crackeo de contraseñas - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG146 Crackeo de contraseñas - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG147 Crackeo de contraseñas - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG148 Modificación de datos - Personal externo Infraestructura TIC
SHCP-OFSEC-AGSEC-RG149 Modificación de datos - Comunidad, Grupo Infraestructura TIC

SHCP-OFSEC-AGSEC-RG150 Modificación de datos - Personal interno Infraestructura TIC
SHCP-OFSEC-AGSEC-RG151 Modificación de datos - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC-RG152 Robo - Personal interno descontento(intencional), Software
Ex-empleado
SHCP-OFSEC-AGSEC-RG153 Robo - Personal externo (Proveedor, Contratista, Software
SHCP-OFSEC-AGSEC-RG154 Sabotaje - Comunidad, Grupo subversivo, Software
SHCP-OFSEC-AGSEC-RG155 Sabotaje - Personal interno Software
SHCP-OFSEC-AGSEC-RG156 Sabotaje - Personal interno inexperto (accidental) Software
SHCP-OFSEC-AGSEC-RG157 Sabotaje - Personal externo (Proveedor, Software

SHCP-OFSEC-AGSEC-RG158 Acceso no autorizado - Personal externo Software

SHCP-OFSEC-AGSEC-RG159 Acceso no autorizado - Comunidad, Grupo Software

SHCP-OFSEC-AGSEC-RG160 Acceso no autorizado - Personal interno Software
SHCP-OFSEC-AGSEC-RG161 Acceso no autorizado - Personal interno Software
SHCP-OFSEC-AGSEC-RG162 Código malicioso - Personal externo (Proveedor, Software
SHCP-OFSEC-AGSEC-RG163 Código malicioso - Comunidad, Grupo Software

SHCP-OFSEC-AGSEC-RG164 Código malicioso - Personal interno Software
SHCP-OFSEC-AGSEC-RG165 Código malicioso - Personal interno inexperto Software

(accidental)
SHCP-OFSEC-AGSEC-RG166 Negación de servicio - Personal externo Software
SHCP-OFSEC-AGSEC-RG167 Negación de servicio - Comunidad, Grupo Software

SHCP-OFSEC-AGSEC-RG168 Negación de servicio - Personal interno Software
SHCP-OFSEC-AGSEC-RG169 Negación de servicio - Personal interno inexperto Software

(accidental)
SHCP-OFSEC-AGSEC-RG170 Crackeo de contraseñas - Personal externo Software
SHCP-OFSEC-AGSEC-RG171 Crackeo de contraseñas - Comunidad, Grupo Software

SHCP-OFSEC-AGSEC-RG172 Crackeo de contraseñas - Personal interno Software
SHCP-OFSEC-AGSEC-RG173 Crackeo de contraseñas - Personal interno Software

SHCP-OFSEC-AGSEC-RG174 Modificación de datos - Personal externo Software
SHCP-OFSEC-AGSEC-RG175 Modificación de datos - Comunidad, Grupo Software

SHCP-OFSEC-AGSEC-RG176 Modificación de datos - Personal interno Software
SHCP-OFSEC-AGSEC-RG177 Negación de servicio - Personal interno Redes WAN

SHCP-OFSEC-AGSEC-RG178 Negación de servicio - Personal interno Redes LAN
SHCP-OFSEC-AGSEC-RG179 Código malicioso - Personal externo (Proveedor, Sistemas Operativos

SHCP-OFSEC-AGSEC-RG180 Interrupción energía eléctrica - Personal interno Servidores

SHCP-OFSEC-AGSEC-RG181 Sabotaje - Personal interno Servidores

SHCP-OFSEC-AGSEC-RG182 Negación de servicio - Personal externo Dispositivos de seguridad

(Proveedor, Contratista, Hacker, Script Kiddies) perimetral
SHCP-OFSEC-AGSEC-RG183 Interrupción energía eléctrica - Personal interno Centro de datos

SHCP-OFSEC-AGSEC-RG184 Sabotaje - Personal interno Centro de datos

(P)
v=
e= i= c= Probabilidad
Vulnerabilida
Existencia Interés del Capacidad de ih = Impacto im = Impacto if = impacto
d del Activo
del Agente Agente del Agente ocurrencia humano material financiero
de
Amenaza Amenaza Amenaza de la
Información
amenaza
3 3 2 1 0.5 10 8 8
2 2 1 1 0.3 10 8 8
3 3 3 1 0.5 10 8 8
3 3 3 1 0.5 8 8 4
3 3 3 1 0.5 8 8 4
2 2 1 1 0.3 6 6 6
1 1 2 1 0.3 2 2 4
3 3 3 1 0.5 2 4 6
3 3 3 1 0.5 2 4 6
2 3 2 1 0.4 2 4 6
1 1 2 1 0.3 2 4 6
3 3 3 1 0.5 2 6 6
3 3 3 1 0.5 2 2 4
2 2 1 1 0.3 2 2 4
1 1 2 1 0.3 2 2 6
3 3 3 1 0.5 10 4 6
3 3 3 1 0.5 10 2 4
2 2 1 1 0.3 6 6 6
1 1 2 1 0.3 2 4 6
3 2 3 1 0.5 10 2 6
3 2 3 1 0.5 10 2 6
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
2 0 2 2 0.4 2 4 4
2 1 1 2 0.3 2 4 4
2 3 3 2 0.5 2 4 4
1 1 2 2 0.3 2 4 4
3 2 2 2 0.5 2 4 4
1 1 2 2 0.3 2 2 2
2 1 1 2 0.3 2 2 4
2 3 3 2 0.5 2 2 4
3 2 2 2 0.5 2 2 4
3 2 2 2 0.5 2 2 4
2 2 2 2 0.4 4 6 6
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
3 2 2 2 0.5 2 2 4
3 3 2 2 0.5 2 6 4
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
2 0 2 2 0.4 2 4 4
2 1 1 2 0.3 2 4 4
2 3 3 2 0.5 2 4 4
1 1 2 2 0.3 2 4 4
3 2 2 2 0.5 2 4 4
1 0 3 2 0.4 2 4 4
2 0 3 2 0.5 2 2 2
2 0 3 2 0.5 2 2 4
1 0 3 2 0.4 2 2 4
2 1 1 2 0.3 2 2 4
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
3 2 2 2 0.5 2 2 4
2 3 3 2 0.5 2 2 4
3 3 3 2 0.6 10 8 4
3 3 3 2 0.6 2 2 4
3 2 2 2 0.5 2 2 4
2 3 3 2 0.5 2 2 2
3 3 3 2 0.6 2 4 2
2 3 3 2 0.5 2 4 2
1 1 2 2 0.3 2 4 2
3 2 2 2 0.5 2 4 2
3 2 2 2 0.5 2 2 4
3 3 3 2 0.6 6 6 4
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
3 3 3 2 0.6 2 6 6
3 3 3 2 0.6 2 4 4
2 3 3 1 0.5 2 4 4
1 1 2 1 0.3 2 2 2
3 2 2 2 0.5 2 2 4
3 2 2 2 0.5 2 2 4
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
3 2 2 2 0.5 2 2 2
3 2 2 2 0.5 2 2 2
2 3 3 2 0.5 2 2 2
1 1 2 2 0.3 2 2 2
3 3 3 2 0.6 2 2 2
3 3 3 2 0.6 2 2 4
2 3 3 1 0.5 2 2 2
1 1 2 1 0.3 2 2 2
3 2 2 2 0.5 2 2 4
3 3 3 2 0.6 2 2 4
2 3 3 2 0.5 2 2 4
1 1 2 2 0.3 2 2 4
3 2 3 2 0.5 10 4 4
2 2 3 2 0.5 2 4 6
3 2 2 2 0.5 2 4 6
3 3 3 1 0.5 2 2 4
3 3 3 1 0.5 8 4 4
2 2 2 1 0.4 4 4 4
1 1 2 1 0.3 2 2 4
3 3 3 1 0.5 8 4 6
3 3 3 1 0.5 8 4 6
2 2 2 1 0.4 2 4 6
1 1 2 1 0.3 2 4 4
3 3 3 1 0.5 8 4 4
2 3 3 1 0.5 2 4 6
3 3 3 1 0.5 8 2 6
3 3 3 1 0.5 8 2 6
2 2 2 1 0.4 2 2 6
1 1 2 1 0.3 2 2 6
2 0 3 1 0.4 2 4 8
2 1 1 1 0.3 2 4 8
2 3 3 1 0.5 2 4 8
1 1 1 1 0.2 2 4 8
1 1 1 1 0.2 2 4 8
1 0 3 1 0.3 2 6 6
2 0 3 1 0.4 2 4 4
2 0 3 1 0.4 2 4 6
1 0 3 1 0.3 2 4 6
2 1 1 1 0.3 2 4 6
2 3 3 1 0.5 2 4 6
1 1 2 1 0.3 2 4 6
3 2 2 1 0.4 2 4 6
2 1 3 1 0.4 4 4 4
2 3 3 1 0.5 2 4 4
3 2 2 1 0.4 2 4 4
2 1 1 1 0.3 2 4 6
2 3 3 1 0.5 2 4 6
3 1 3 1 0.4 2 4 6
2 1 1 1 0.3 2 4 4
3 3 3 1 0.5 2 6 6
2 2 2 1 0.4 2 4 4
1 1 1 1 0.2 2 8 4
3 3 3 1 0.5 2 6 6
3 3 3 1 0.5 2 4 6
3 3 3 1 0.5 2 4 6
2 3 3 1 0.5 2 2 4
1 1 2 1 0.3 2 2 4
3 3 3 1 0.5 2 4 6
3 3 3 1 0.5 2 4 2
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
3 2 3 1 0.5 2 2 6
3 2 3 1 0.5 2 2 6
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
3 3 3 1 0.5 2 2 6
3 3 3 1 0.5 2 2 6
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
3 2 2 1 0.4 2 2 6
3 3 3 1 0.5 2 2 4
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
3 2 2 1 0.4 2 2 6
3 3 3 1 0.5 2 2 6
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
2 1 2 1 0.3 2 4 6
2 1 2 1 0.3 2 4 6
2 1 1 1 0.3 2 4 4
2 3 3 1 0.5 2 4 4
1 1 2 1 0.3 2 4 4
2 2 3 1 0.4 2 4 4
3 3 3 1 0.5 2 2 4
3 3 3 1 0.5 4 4 4
2 3 3 1 0.5 2 2 4
1 1 2 1 0.3 2 2 4
3 2 2 1 0.4 2 2 6
2 3 3 1 0.5 2 2 2
2 3 3 1 0.5 2 2 6
1 1 2 1 0.3 2 2 6
3 2 2 1 0.4 2 2 6
3 2 2 1 0.4 2 2 6
2 1 2 1 0.3 2 2 6
1 1 2 1 0.3 2 2 6
3 2 2 1 0.4 2 2 6
3 2 2 1 0.4 2 2 4
2 2 1 1 0.3 2 2 6
1 1 2 1 0.3 2 2 6
3 2 2 1 0.4 2 2 6
3 2 3 1 0.5 2 2 6
2 3 3 1 0.5 2 2 6
2 1 2 3 0.4 2 2 10
2 1 2 2 0.4 2 4 8
3 3 3 3 0.6 2 6 8
1 1 3 1 0.3 2 8 10
2 2 2 1 0.4 2 10 10
3 3 3 2 0.6 2 2 10
1 2 2 1 0.3 2 6 8
1 2 2 1 0.3 2 10 8
Sin
(I)
io = Impacto ii = impacto (R) control Prevenir/ Criterio
Nivel de Prevenir Mitigar
operativo en imagen Riesgo recomen Mitigar Aceptación
Impacto
dado
4 10 10 5 X <1.8
4 10 10 3 X <1.8
4 10 10 5 X <1.8
4 6 8 4 X <1.8
4 2 8 4 X <1.8
4 2 6 1.8 X <1.8
4 2 4 1.2 X <1.8
8 2 6 3 X <1.8
8 2 6 3 X <1.8
8 2 6 2.4 X <1.8
8 2 8 2.4 X <1.8
6 8 8 4 X <1.8
6 6 8 4 X <1.8
6 6 6 1.8 X <1.8
6 6 6 1.8 X <1.8
6 2 10 5 X <1.8
2 4 10 5 X <1.8
6 6 6 1.8 X <1.8
6 2 6 1.8 X <1.8
6 4 10 5 X <1.8
6 4 10 5 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
4 4 4 1.6 X <1.8
4 4 4 1.2 X <1.8
4 4 4 2 X <1.8
4 4 4 1.2 X <1.8
4 4 4 2 X <1.8
4 2 4 1.2 X <1.8
4 2 4 1.2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 6 2.4 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
4 2 4 2 X <1.8
6 6 6 3 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
4 4 4 1.6 X <1.8
4 4 4 1.2 X <1.8
4 4 4 2 X <1.8
4 4 4 1.2 X <1.8
4 4 4 2 X <1.8
4 4 4 1.6 X <1.8
4 2 4 2 X <1.8
2 2 4 2 X <1.8
2 2 4 1.6 X <1.8
2 2 4 1.2 X <1.8
2 2 4 2 X <1.8
2 2 4 1.2 X <1.8
2 2 4 2 X <1.8
4 4 4 2 X <1.8
4 4 10 6 X <1.8
4 2 4 2.4 X <1.8
4 2 4 2 X <1.8
2 2 2 1 X <1.8
4 2 4 2.4 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 8 8 4.8 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
6 8 8 4.8 X <1.8
4 4 4 2.4 X <1.8
4 4 4 2 X <1.8
2 2 2 0.6 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
2 4 4 2.4 X <1.8
2 4 4 2.4 X <1.8
2 4 4 2 X <1.8
2 4 4 1.2 X <1.8
4 2 4 2 X <1.8
4 2 4 2.4 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
4 4 10 5 X <1.8
6 4 6 3 X <1.8
6 4 6 3 X <1.8
4 2 4 2 X <1.8
4 2 8 4 X <1.8
4 2 4 1.6 X <1.8
4 2 4 1.2 X <1.8
4 4 8 4 X <1.8
4 2 8 4 X <1.8
6 2 6 2.4 X <1.8
4 4 4 1.2 X <1.8
6 4 8 4 X <1.8
6 4 6 3 X <1.8
6 4 8 4 X <1.8
6 4 8 4 X <1.8
6 4 6 2.4 X <1.8
6 4 6 1.8 X <1.8
8 6 8 3.2 X <1.8
8 6 8 2.4 X <1.8
8 6 8 4 X <1.8
8 6 8 1.6 X <1.8
8 6 8 1.6 X <1.8
6 6 6 1.8 X <1.8
4 4 4 1.6 X <1.8
6 4 6 2.4 X <1.8
6 4 6 1.8 X <1.8
6 4 6 1.8 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 4 6 2.4 X <1.8
6 4 6 2.4 X <1.8
6 4 6 3 X <1.8
6 4 6 2.4 X <1.8
6 4 6 1.8 X <1.8
6 4 6 3 X <1.8
6 4 6 2.4 X <1.8
4 4 4 1.2 X <1.8
6 6 6 3 X <1.8
4 6 6 2.4 X <1.8
6 6 8 1.6 X <1.8
6 6 6 3 X <1.8
4 2 6 3 X <1.8
4 2 6 3 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
6 6 6 3 X <1.8
2 4 4 2 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 4 6 3 X <1.8
6 4 6 3 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 6 6 3 X <1.8
6 6 6 3 X <1.8
6 6 6 3 X <1.8
6 6 6 1.8 X <1.8
6 4 6 2.4 X <1.8
2 4 4 2 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 4 6 2.4 X <1.8
6 4 6 3 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 4 6 1.8 X <1.8
6 4 6 1.8 X <1.8
6 4 6 1.8 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 4 6 2.4 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 2 X <1.8
4 2 4 1.2 X <1.8
6 4 6 2.4 X <1.8
2 4 4 2 X <1.8
6 4 6 3 X <1.8
6 4 6 1.8 X <1.8
6 6 6 2.4 X <1.8
6 6 6 2.4 X <1.8
6 6 6 1.8 X <1.8
6 6 6 1.8 X <1.8
6 4 6 2.4 X <1.8
2 4 4 1.6 X <1.8
6 4 6 1.8 X <1.8
6 4 6 1.8 X <1.8
6 4 6 2.4 X <1.8
6 4 6 3 X <1.8
6 4 6 3 X <1.8
10 4 10 4 X <1.8
10 2 10 4 X <1.8
6 2 8 4.8 X <1.8
6 2 10 3 X <1.8
8 2 10 4 X <1.8
8 8 10 6 X <1.8
10 10 10 3 X <1.8
10 10 10 3 X <1.8
¿Requiere
Prioridad Estrategia Controles Identificados
control?
Sí Alta Prevenir/Mitigar
Sí Alta Mitigar
Servicio de Seguridad Perimetral

No Baja Ninguna acción Control de acceso a los códigos fuente de
las aplicaciones
No Baja Ninguna acción

Revisión de parches y revisión de suite de
seguridad
Sí Alta Prevenir Escaneo de vulnerabilidades
Seguridad lógica del sistema de servidores
(antivirus, service packs, hotfixes)

seguridad

seguridad
Sí Media Prevenir Escaneo de vulnerabilidades

seguridad
Sí Media Mitigar Escaneo de vulnerabilidades
Servicio de seguridad perimetral
Escaneo de vulnerabilidades
Evidencia de la implementación de canal

No Baja Ninguna acción seguro en aplicaciones
Sí Alta Prevenir/Mitigar Administración del servicio de control de
Identidad y Acceso
No Baja Ninguna acción Administración del servicio de control de
Identidad y Acceso
Control de acceso a los códigos fuente de

las aplicaciones
Administración del servicio de control de
Identidad y Acceso
Sí Alta Prevenir

Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Evidencia de opreación de procedimientos

Sí Media Prevenir
de resplados y restauración

Sí Media Prevenir

Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir
Seguridad lógica del sistema de equipos
de cómputo de usuario final (sistema de
Sí Media Prevenir archivos, cuenta de administrador, perfiles
de usuario, auditoría)
Circuito cerrado de información

Circuito cerrado de información
Sí Media Prevenir

de cómputo de usuario final (antivirus,
Sí Media Prevenir service packs, hotfixes)
Herramienta antivirus y anti software espía
Herramienta anti programas maliciosos
Seguridad lógica del sistema de cómputo
Sí Media Prevenir
de usuario final (sistema de archivos,
auditoría)
Sí Media Prevenir
Seguridad lógica del sistema de cómputo
Sí Media Prevenir
de usuario final (sistema de archivos,
auditoría)

Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir Escaneo de vulnerabilidades
Sí Media Prevenir
Sí Media Prevenir
Políticas habilitadas en Directoro Activo
Sí Media Prevenir Seguridad lógica del sistema de cómputo
de usuario final (directiva de contraseñas)
Seguridad lógicas del sistema de equipos

Administración de identidades
Sí Media Prevenir
Seguridad lógicas del sistema de equipos

Sí Alta Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Cifrado de Información
Prevención de fuga de información

Sí Media Prevenir
Sí Alta Prevenir/Mitigar Administración del servicio de control de
Identidad y Acceso
Sí Alta Prevenir Administración del servicio de control de
Identidad y Acceso

Identidad y Acceso

Sí Media Prevenir
Identidad y Acceso
Sí Media Mitigar

Sí Media Prevenir

Sí Alta Prevenir

Sí Media Prevenir
Sí Media Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Revisión de configuraciones de TICs

Sí Media Prevenir
Identidad y Acceso

Servicio de Seguridad Perimetral
Sí Alta Prevenir
Revisión de configuraciones TICs
Sí Media Prevenir

Sí Alta Prevenir (antivirus, service packs, hotfixes)
Revisión de configuraciones TICs
Sí Alta Prevenir
Sí Alta Prevenir

Sí Alta Prevenir
Sí Alta Prevenir
Sí Media Prevenir
Identidad y Acceso
Sí Media Prevenir
Sí Alta Prevenir
Identidad y Acceso
Sí Media Prevenir
Sí Alta Prevenir
Sí Alta Prevenir

Sí Alta Prevenir
Sí Media Prevenir
Sí Media Prevenir
Sí Media Prevenir

Sí Media Prevenir
las aplicaciones
Sí Media Prevenir Revisión de configuraciones TICs
Sí Media Prevenir
Sí Alta Prevenir Revisión de configuraciones TICs

seguro en aplicaciones
Sí Media Prevenir
Sí Media Prevenir

No Baja Ninguna acción seguro en aplicaciones
Sí Media Prevenir Administración del servicio de control de
Identidad y Acceso
No Baja Ninguna acción Administración del servicio de control de
Identidad y Acceso

las aplicaciones
Sí Media Prevenir
Identidad y Acceso
Sí Alta Prevenir

las aplicaciones
Sí Alta Prevenir
Identidad y Acceso
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Sí Alta Prevenir
Controles propuestos
6.1.3 Contacto con las autoridades

8.1.3 Uso aceptable de los activos
9.1.1 Política de Control de Acceso
9.2.2 Provisión de accesos a usuarios
9.2.5 Revisión de los derechos de acceso a usuarios
9.4.5 Control de acceso a códigos fuente de programas
12.1.1 Procedimientos de operación documentados
12.1.2 Gestión de cambios
12.4.1 Registro de bitácoras de seguridad
13.1.1 Controles en la red
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la información
16.1.5 Respuesta a incidentes de seguridad de la información
7.1.1 Verificación de antecedentes
7.2.1 Responsabilidades de la dirección
7.2.3 Procesos disciplinarios
8.1.4 Devolución de los activos
9.1.2 Acceso a redes y servicios de red
9.2.3 Administración de permisos de acceso privilegiados
9.2.6 Eliminación o ajuste de permisos de acceso
9.4.1 Restricción de acceso a la información
12.2.1 Controles contra malware
13.2.4 Confidencialidad o convenios de confidencialidad
9.2.5 Revisión de permisos de acceso
6.1.2 Segregación de Funciones


Sin controles sugeridos

12.6.1 Gestión de Vulnerabilidades Técnicas



12.1.3 Gestión de capacidades
17.1.1 Planeación de la continuidad de la seguridad de la información
17.1.2 Implementación de la continuidad de la seguridad de la información

17.1.1 Planeación de la continuidad de la seguridad de la información
17.1.2 Implementación de la continuidad de la seguridad de la información
7.2.2 Cocienciacion, educación y capacitacion en seguridad de la información

8.1.3 Uso aceptable de activos




11.1.3 Seguridad de oficinas, despachos y recursos.

11.1.4 Protección contra las amenazas externas y ambientales.

8.2.2 Etiquetado de la información

11.1. 3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.)
15.12 Tratamiento del riesgo dentro de acuerdos de proveedores.

11.1.2 Controles fisicos de entrada
11.1.4 Protección contra las amenazas externas y ambientales.)



11.1.3 Seguridad de Oficinas despachos y recursos

11.1.5 Trabajo en areas seguras


11.2.2 Instalaciones de Suministro
11.2.4 Mantenimiento de equipo
11.1.2 Controles fisicos de Entrada


6.1.3 Contacto con autoridades


7.2.3 Proceso disciplinario

11.1.4 Protección contra las amenazas externas y ambientales
15.1.2 Tratamiento del riesgo dentro de acuerdo de proveedores

7.2.3 Proceso discilinario
7.2.2 Concienciacion, eduación y capacion en seguridad de la infromación
7.2.2 Concienciación, educacion y capacitacion en seguridad de la información

12.6.2 Restricciones en la instalacion de software

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
12.1.1 Documentación de Procedimientos de operación.

12.1.2 Gestión de cambios.


7.2.2. Concienciación, educacion y capacitación en seguridad de la información.
8.1.3 Uso aceptable de los activos.


9.1.1 Política de control de accesos.

9.2.2 Gestion de los derechos de acceso asignado a usuarios
9.4.1 Restriccion de acceso a la información
9.2.2 Gestion de los derechos de acceso asignado a usuarios
9.4.1 Restriccion de acceso a la información
15.1. Tratamiento del riesgo dentro de acuerdos de proveedores
sin controles sugeridos
7.2.2 Concienciacion, eduacacion y capacitacion en seguridad de la información


7.2.2 Concienciación, educación y capacitación en seguridad de la información.
(Reforzamiento)
9.2.2 Suministro de acceso a usuarios
9.2.6 Retiro o ajuste de los derechos de acceso

7.2.2 Concienciacion, educacion y capacitacion en seguridad de la informacion
7.2.3 Proceso Disciplinario
11.1.1 Perimetro de seguridad fisica

11.1.4 Proteccion contra las amenzas externas y ambientales
11.1.4 Proteccion contra las amenzas externas y ambientales
11.13 Seguridad de oficinas, despachos y recursos.
11.1.4 Proteccion contra las amenazas externas y ambientales


11.1.3 Seguridad de oficnas, depsacho y recursos

11.1.3 Seguridad de oficinas, despachos y recursos




15.1.2 Tratamiento del riesgo dentro de acuerdo con proveedores


11.1.2 Tratamiento del riesgo dentro de acuerdo con proveedores
9.1.1 Politica de control de accesos

9.4.1 Restriccion del acceso a la información
12.6.1 Gestion de las vulnerabilidades tecnicas
Controles de mejores practicas para infraestructuras TICs:

Instalación mínima necesaria
Deshabilitación de servicios innecesarios
Deshabilitación de la cuenta root
Gestión de roles y privilegios
Restricción de consolas de administración
Conexiones seguras al equipo
Configuración de reglas de control de accesos
Registros de auditoría de actividades de usuario
Gestión de actualizaciones del sistema
Configuración de mecanismos de autenticación





Controles de mejores practicas para infraestructuras TICs


7.2.3 Proceso disciplianrio
Controles de mejores practicas para infraestructuras TICs



Auditoría de actividades del sistema







15.1.2 Tratamiento de del riesgo dentro de acuerdo a proveedores




9.2.1 Registro y cancelación del registro de usuarios


12.6.1 Gestion de Vulnerabilidades Tecnicas
12.6.1 Gestion de vulnerabilidades tecnicas


7.2.2. Concienciacion, educacion y capacitacion de seguridad de la informacion
8.1.1.3 Uso aceptable de los activos


9.2.5Revisión de los derechos de acceso a usuarios

15.1.2 Tratamiento de del riesgo dentro de acuerdo a proveedores

A 7.2.2 Concienciación, educación y capacitación en seguridad de la información.

A 8.1.3 Uso aceptable de los activos
12.7.1 Controles de auditoría de los sistemas de información.
A 7.2.3 Proceso disciplinario.

A 9.2.6 Retiro o ajuste de los derechos de acceso

A.8.1.3 Uso aceptable de los activos.
12.7.1 Controles de auditoría de los sistemas de información.

A 9.2.6 Retiro o ajuste de los derechos de acceso

Lista de controles recomendados
Prioridad Control recomendado
A.7.2.2 Concienciación y capacitación

ALTA
en seguridad de la información.
11.1.3 Seguridad de Oficinas

ALTA
despachos y recursos
9.4.1 Restricción del acceso a la
ALTA
información.
ALTA 8.1.3 Uso aceptable de los activos

ALTA 11.1.2 Controles fisicos de Entrada
12.6.2 Restricciones en la instalacion

ALTA
de software
Lista de controles recomendados
Amenazas a mitigar
Acceso no autorizado - Comunidad, Grupo subversivo, Delincuencia organizada
Acceso no autorizado - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Código malicioso - Comunidad, Grupo subversivo, Delincuencia organizada
Código malicioso - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Crackeo de contraseñas - Comunidad, Grupo subversivo, Delincuencia
organizada
Crackeo de contraseñas - Personal externo (Proveedor, Contratista, Hacker,
Script Kiddies)
Modificación de datos - Comunidad, Grupo subversivo, Delincuencia organizada
Modificación de datos - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Kiddies)
Modificación de datos - Personal interno descontento(intencional), Ex-empleado
Negación de servicio - Comunidad, Grupo subversivo, Delincuencia organizada
Negación de servicio - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Robo - Comunidad, Grupo subversivo, Delincuencia organizada
Robo - Personal externo (Proveedor, Contratista, Hacker, Script Kiddies)
Robo - Personal interno descontento(intencional), Ex-empleado

Atentado - Personal externo (Proveedor, Contratista, Hacker, Script Kiddies)
Kiddies)
Código malicioso - Comunidad, Grupo subversivo, Delincuencia organizada
Kiddies)
Crackeo de contraseñas - Personal externo (Proveedor, Contratista, Hacker,
Script Kiddies)
Crackeo de contraseñas - Personal interno descontento(intencional), Ex-
empleado
Incendio - Personal interno descontento(intencional), Ex-empleado
Kiddies)
Robo - Comunidad, Grupo subversivo, Delincuencia organizada
Robo - Personal externo (Proveedor, Contratista, Hacker, Script Kiddies)

Acceso no autorizado - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Atentado - Personal interno descontento(intencional), Ex-empleado
Kiddies)
Código malicioso - Personal interno descontento(intencional), Ex-empleado
Crackeo de contraseñas - Personal interno descontento(intencional), Ex-
empleado
Incendio - Material (falla)
Interrupción energía eléctrica - Personal interno descontento(intencional), Ex-
empleado
Negación de servicio - Comunidad, Grupo subversivo, Delincuencia organizada
Negación de servicio - Personal externo (Proveedor, Contratista, Hacker, Script
Kiddies)
Negación de servicio - Personal interno descontento(intencional), Ex-empleado
Sabotaje - Comunidad, Grupo subversivo, Delincuencia organizada
Sabotaje - Personal externo (Proveedor, Contratista, Hacker, Script Kiddies)
Suplantación de identidad - Comunidad, Grupo subversivo, Delincuencia
organizada
Suplantación de identidad - Personal externo (Proveedor, Contratista, Hacker,
Script Kiddies)
Suplantación de identidad - Personal interno descontento(intencional), Ex-
empleado
Interrupción energía eléctrica - Personal interno descontento(intencional), Ex-
empleado
Sabotaje - Personal interno descontento(intencional), Ex-empleado
Código malicioso - Personal interno descontento(intencional), Ex-empleado

Sabotaje - Personal interno descontento(intencional), Ex-empleado
Activos/Cluster a proteger Riesgos residuales Requerimientos especiales
Aplicación - Calendar (iCloud) Las campañas de concientización y Coordinación con el área de
Sistemas Operativos capacitación debe ser para todo el Recursos Humanos para la
Dispositivos de seguridad personal e incluir al personal de determinación de la asignación de
perimetral nuevo ingreso. recurso.
Equipo de cómputo Las oficinas, áreas de trabajo y Se debe contar con seguridad física
zonas restringidas deben ser en oficinas, áreas de trabajo y zonas
utilizadas por el personal indicado restringidas
Información digital La restricción de acceso a la El acceso a la información y a los
Sistemas Operativos información debe ser realizada sistemas de información debe ser
Documento tomando como base la política de restringido
control de acceso.
Infraestructura TIC Los lineamientos se deben de Identificar, documentar e

Sistemas Operativos comunicar a todos los usuarios. implementar lineamientos para el uso
Redes LAN aceptable de la información y de los
Redes WAN activos asociados con información o
Documento con procesamiento de información
Dispositivos de seguridad
perimetral
Servidores Valorar los distintos medios de Las áreas seguras deben estar
Centro de datos acceso por parte del personal protegidas por controles en la
externo. entrada para asegurar que solo el
personal autorizado accede a dichas
áreas.
Software Se debe realizar una lluvia de ideas Se debe definir e implementar reglas
en conjunto con los usuarios finales para la instalación de software
para que las restricciones sean
congruentes
Inversión requerida
$561,600
$410,000
$249,600
$187,200
$499,200
$200,000
Riesgos aceptados
Secuencia Amenazas Activos de información

Negación de servicio - Personal interno inexperto
(accidental)
Crackeo de contraseñas - Personal interno inexperto
(accidental)
Modificación de datos - Personal interno inexperto
(accidental)
Robo - Personal interno descontento(intencional),
Ex-empleado
Robo - Personal externo (Proveedor, Contratista,
Sabotaje - Comunidad, Grupo subversivo,
Sabotaje - Personal interno inexperto (accidental) Teléfono
1 Acceso no autorizado - Personal interno inexperto
(accidental) Ms office
Código malicioso - Personal interno inexperto
Sevicio de correo electrónico
(accidental)
Negación de servicio - Personal interno
Lync
Negación de servicio - Personal interno inexperto
Acrobat
(accidental)
Crackeo de contraseñas - Comunidad, Grupo
Crackeo de contraseñas - Personal interno
Crackeo de contraseñas - Personal interno inexperto
(accidental)
Riesgos Observaciones
Los riesgos son aceptados para

Afectación en las
estos activos debido a que la
Confidencialidad, Integridad y
posibilidad de ocurrencia e
Disponibilidad de la
impacto en caso de materializarse
Información
tendría un riesgo bajo.
Análisis de costo-beneficio de los controles de
Seguridad
Código
Clúster (Activos) Amenaza-agente de amenaza Prioridad
Escenario
Aplicación - Calendar Robo - Comunidad, Grupo
(iCloud) subversivo, Delincuencia
organizada
SHCP-OFSEC-AGSEC-CB-0001 Alta
Aplicación - Calendar Robo - Personal interno
(iCloud) descontento(intencional), Ex-
empleado
Aplicación - Calendar Robo - Personal externo
(iCloud) (Proveedor, Contratista,
Aplicación - Calendar Acceso no autorizado -

(iCloud) Personal externo (Proveedor,
Contratista, Hacker, Script
Kiddies)
(iCloud) Comunidad, Grupo subversivo,

(iCloud) Personal interno
SHCP-OFSEC-AGSEC-CB-0006 descontento(intencional), Ex- Alta
empleado

SHCP-OFSEC-AGSEC-CB-0007 (iCloud) Personal interno inexperto Alta
(accidental)
Aplicación - Calendar Código malicioso - Personal
(iCloud) externo (Proveedor,
Kiddies)
Aplicación - Calendar Código malicioso - Comunidad,
(iCloud) Grupo subversivo, Delincuencia
organizada

(iCloud) interno
descontento(intencional), Ex-
empleado

(iCloud) interno inexperto (accidental)
Aplicación - Calendar Negación de servicio - Personal
(iCloud) externo (Proveedor,
Kiddies)
Aplicación - Calendar Negación de servicio -


(iCloud) interno
empleado

SHCP-OFSEC-AGSEC-CB-0015 (iCloud) interno inexperto (accidental) Alta
Aplicación - Calendar Crackeo de contraseñas -
Kiddies)


empleado

(accidental)
Aplicación - Calendar Modificación de datos -
Kiddies)

empleado

(accidental)
SHCP-OFSEC-AGSEC-CB-0024 Documento Incendio - Material (falla) Alta

Documento Incendio - Comunidad, Grupo
SHCP-OFSEC-AGSEC-CB-0025 subversivo, Delincuencia Alta
organizada
Documento Incendio - Personal interno
SHCP-OFSEC-AGSEC-CB-0026 empleado Alta
Documento Incendio - Personal interno

SHCP-OFSEC-AGSEC-CB-0027 inexperto (accidental) Alta
Documento Incendio - Personal externo

(Proveedor, Contratista,
SHCP-OFSEC-AGSEC-CB-0028 Hacker, Script Kiddies) Alta
SHCP-OFSEC-AGSEC-CB-0029 Documento Inundación - Material (falla) Alta

Documento Robo - Comunidad, Grupo
organizada
Documento Robo - Personal interno
Documento Robo - Personal externo
Documento Acceso no autorizado -

Personal externo (Proveedor,
Kiddies)

Comunidad, Grupo subversivo,
SHCP-OFSEC-AGSEC-CB-0034 Delincuencia organizada Alta

Personal interno
empleado

SHCP-OFSEC-AGSEC-CB-0036 Personal interno inexperto Alta
(accidental)
Documento Modificación de datos -
SHCP-OFSEC-AGSEC-CB-0037 Kiddies) Alta


Personal interno
empleado

(accidental)
SHCP-OFSEC-AGSEC-CB-0041 Equipo de cómputo Incendio - Material (falla) Alta

Equipo de cómputo Incendio - Comunidad, Grupo
organizada
Equipo de cómputo Incendio - Personal interno
Equipo de cómputo Incendio - Personal interno

Equipo de cómputo Incendio - Personal externo

SHCP-OFSEC-AGSEC-CB-0046 Equipo de cómputo Sismo - Natural Alta

Equipo de cómputo Inundación - Material (falla)
Equipo de cómputo Interrupción energía eléctrica -

Material (falla)

SHCP-OFSEC-AGSEC-CB-0049 Natural Alta


Personal interno
empleado

(accidental)
SHCP-OFSEC-AGSEC-CB-0053 Contratista, Hacker, Script Alta
Kiddies)
Equipo de cómputo Atentado - Personal interno

Equipo de cómputo Atentado - Personal externo

Equipo de cómputo Robo - Comunidad, Grupo

organizada
Equipo de cómputo Robo - Personal externo
Equipo de cómputo Motín - Personal interno

empleado
Equipo de cómputo Sabotaje - Comunidad, Grupo
organizada
Equipo de cómputo Sabotaje - Personal interno
empleado
Equipo de cómputo Sabotaje - Personal interno

Equipo de cómputo Sabotaje - Personal externo

Equipo de cómputo Acceso no autorizado -

SHCP-OFSEC-AGSEC-CB-0063 Kiddies) Alta


Personal interno
empleado

(accidental)
Equipo de cómputo Código malicioso - Personal
externo (Proveedor,
Kiddies)
Equipo de cómputo Código malicioso - Comunidad,

Grupo subversivo, Delincuencia
SHCP-OFSEC-AGSEC-CB-0068 organizada Alta
interno

SHCP-OFSEC-AGSEC-CB-0070 interno inexperto (accidental) Alta
Equipo de cómputo Suplantación de identidad -

Kiddies)


Personal interno
empleado

(accidental)
Equipo de cómputo Negación de servicio - Personal
externo (Proveedor,
Kiddies)
Equipo de cómputo Negación de servicio -

SHCP-OFSEC-AGSEC-CB-0076 Delincuencia organizada Media

interno
SHCP-OFSEC-AGSEC-CB-0077 descontento(intencional), Ex- Media
empleado

SHCP-OFSEC-AGSEC-CB-0078 interno inexperto (accidental) Media
Equipo de cómputo Crackeo de contraseñas -

SHCP-OFSEC-AGSEC-CB-0079 Contratista, Hacker, Script Media
Kiddies)


Personal interno
empleado

SHCP-OFSEC-AGSEC-CB-0082 Personal interno inexperto Media
(accidental)
Equipo de cómputo Modificación de datos -
Kiddies)


Personal interno
empleado

(accidental)
Información digital Robo - Comunidad, Grupo
SHCP-OFSEC-AGSEC-CB-0087 subversivo, Delincuencia Media
organizada
Información digital Robo - Personal interno
empleado
SHCP-OFSEC-AGSEC-CB-0088 Media
Información digital Robo - Personal externo

Información digital Acceso no autorizado -

Kiddies)


Personal interno
empleado

(accidental)
Información digital Código malicioso - Personal
externo (Proveedor,
Kiddies)
Información digital Código malicioso - Comunidad,

SHCP-OFSEC-AGSEC-CB-0095 organizada Media
interno
empleado

Información digital Crackeo de contraseñas -

Kiddies)
Información digital Crackeo de contraseñas -

Personal interno
SHCP-OFSEC-AGSEC-CB-0099 empleado Media
Información digital Modificación de datos -

Kiddies)


Personal interno
empleado

(accidental)
Infraestructura TIC Incendio - Material (falla)
Infraestructura TIC Incendio - Comunidad, Grupo

subversivo, Delincuencia
organizada
Información digital Incendio - Personal interno

Infraestructura TIC Incendio - Personal interno

SHCP-OFSEC-AGSEC-CB-0107 inexperto (accidental) Media
Infraestructura TIC Incendio - Personal externo

SHCP-OFSEC-AGSEC-CB-0108 (Proveedor, Contratista, Media
SHCP-OFSEC-AGSEC-CB-0109 Infraestructura TIC Sismo - Natural Media
SHCP-OFSEC-AGSEC-CB-0110 Infraestructura TIC Inundación - Material (falla) Media
Infraestructura TIC Interrupción energía eléctrica -
Material (falla)

SHCP-OFSEC-AGSEC-CB-0112 Natural Media


Personal interno

(accidental)
Kiddies)
Infraestructura TIC Atentado - Comunidad, Grupo

organizada
Infraestructura TIC Atentado - Personal interno
Infraestructura TIC Atentado - Personal externo

Infraestructura TIC Robo - Comunidad, Grupo

organizada
Infraestructura TIC Robo - Personal interno
Infraestructura TIC Robo - Personal externo
Infraestructura TIC Motín - Personal interno

empleado
Infraestructura TIC Sabotaje - Comunidad, Grupo
organizada
Infraestructura TIC Sabotaje - Personal interno
empleado
Infraestructura TIC Sabotaje - Personal interno

Infraestructura TIC Sabotaje - Personal externo

Infraestructura TIC Acceso no autorizado -

Kiddies)

Personal interno
empleado

(accidental)
Infraestructura TIC Código malicioso - Personal
externo (Proveedor,
Kiddies)
Infraestructura TIC Código malicioso - Comunidad,

interno
empleado

Infraestructura TIC Suplantación de identidad -

Kiddies)

Personal interno
empleado

(accidental)
Infraestructura TIC Negación de servicio - Personal
externo (Proveedor,
Kiddies)
Infraestructura TIC Negación de servicio -

interno
empleado

Infraestructura TIC Crackeo de contraseñas -

Kiddies)

Personal interno
empleado

(accidental)
Infraestructura TIC Modificación de datos -
Kiddies)

Personal interno
empleado

(accidental)
Software Robo - Personal interno
empleado
Software Robo - Personal externo
SHCP-OFSEC-AGSEC-CB-0153 (Proveedor, Contratista, Media
Software Sabotaje - Comunidad, Grupo
organizada
Software Sabotaje - Personal interno
empleado
Software Sabotaje - Personal interno

Software Sabotaje - Personal externo

Software Acceso no autorizado -

Kiddies)

Personal interno
empleado

(accidental)
Software Código malicioso - Personal
externo (Proveedor,
Kiddies)
Software Código malicioso - Comunidad,


interno

Software Negación de servicio - Personal

externo (Proveedor,
Kiddies)
Software Negación de servicio -


interno
empleado

Software Crackeo de contraseñas -

Kiddies)

Personal interno
empleado

(accidental)
Software Modificación de datos -
SHCP-OFSEC-AGSEC-CB-0174 Kiddies) Media


Personal interno
empleado
Redes WAN Negación de servicio - Personal

interno
empleado
Redes LAN Negación de servicio - Personal

interno
empleado
Sistemas Operativos Código malicioso - Personal

externo (Proveedor,
Kiddies)
Servidores Interrupción energía eléctrica -

Personal interno
empleado
Servidores Sabotaje - Personal interno

Dispositivos de seguridad Negación de servicio - Personal

perimetral externo (Proveedor,
Kiddies)
Centro de datos Interrupción energía eléctrica -

Personal interno
empleado
Centro de datos Sabotaje - Personal interno
io de los controles de
dad
- apartado 3
R Costo
Control P I$ R$
(riesgo) (B)

9.2.5 Revisión de los derechos de acceso a
usuarios
9.4.5 Control de acceso a códigos fuente
de programas
12.1.1 Procedimientos de operación
5 408,000 0.5 1,950,000 975,000
documentados
16.1.2 Reporte de eventos de seguridad de
la información
16.1.5 Respuesta a incidentes de seguridad
de la información
7.1.1 Verificación de antecedentes
7.2.1 Responsabilidades de la dirección
7.2.3 Procesos disciplinarios
8.1.4 Devolución de los activos
9.2.3 Administración de permisos de
acceso privilegiados
usuarios
9.2.6 Eliminación o ajuste de permisos de
acceso
9.4.1 Restricción de acceso a la
3 408,000 0.5 1,950,000 975,000
información
de programas
documentados
13.2.4 Confidencialidad o convenios de
confidencialidad
la información
de la información
acceso
5 información 408,000 0.5 900,000 450,000
de programas
la información
de la información

acceso
4 408,000 0.5 880,000 440,000
información
la información
de la información
acceso
4 408,000 0.5 3,900,000 1,950,000
información
la información
de la información
1.8 Sin controles sugeridos

usuarios
de programas
3 408,000 0.5 3,900,000 1,950,000
12.6.1 Gestión de Vulnerabilidades
Técnicas
la información
de la información
usuarios
de programas
3 408,000 0.5 1,950,000 975,000
Técnicas
la información
de la información

usuarios
de programas
2.4 408,000 0.5 1,950,000 975,000
Técnicas
la información
de la información

usuarios
de programas
2.4 408,000 0.5 3,900,000 1,950,000
Técnicas
la información
de la información
acceso
documentados
4 12.4.1 Registro de bitácoras de seguridad 408,000 0.5 1,950,000 975,000
la información
de la información
17.1.1 Planeación de la continuidad de la
seguridad de la información
17.1.2 Implementación de la continuidad de
la seguridad de la información

acceso
documentados
la información
de la información
17.1.1 Planeación de la continuidad de la
seguridad de la información
17.1.2 Implementación de la continuidad de
la seguridad de la información

7.2.2 Cocienciacion, educación y
capacitacion en seguridad de la información
acceso
la información
de la información

acceso
la información
de la información

usuarios
acceso
información
5 9.4.5 Control de acceso a códigos fuente 408,000 0.5 1,040,000 520,000
de programas
documentados
la información
de la información

usuarios
acceso
información
5 408,000 0.5 850,000 425,000
de programas
la información
de la información
usuarios
acceso
información
3 408,000 0.4 1,200,000 480,000
de programas
documentados
la información
de la información
11.1.3 Seguridad de oficinas, despachos y

2 recursos. 250,000 0.5 1,040,000 520,000
11.1.4 Protección contra las amenazas
externas y ambientales.

recursos.
2 250,000 0.5 1,000,000 500,000

11.1. 3 Seguridad de oficinas, despachos y
2 recursos. 250,000 0.5 650,000 325,000
recursos.
2 11.1.4 Protección contra las amenazas 144,000 0.5 1,040,000 520,000
externas y ambientales.)
15.12 Tratamiento del riesgo dentro de
acuerdos de proveedores.

recursos.
2 250,000 0.5 1,040,000 520,000
externas y ambientales.)

recursos.
2 250,000 0.5 1,040,000 520,000

recursos.
2 250,000 0.5 650,000 325,000
3 Sin controles sugeridos

recursos.
2 250,000 0.5 600,000 300,000

11.1.3 Seguridad de Oficinas despachos y
recursos
2 11.1.4 Protección contra las amenazas 128,000 0.5 600,000 300,000

recursos

recursos

2 128,000 0.5 600,000 300,000



2 recursos 128,000 0.5 600,000 300,000

6 recursos 128,000 0.5 600,000 300,000

2 recursos 128,000 0.5 600,000 300,000

recursos
2 128,000 0.5 600,000 300,000

recursos
2 128,000 0.5 600,000 300,000
externas y ambientales

recursos
2 128,000 0.5 600,000 300,000
15.1.2 Tratamiento del riesgo dentro de
acuerdo de proveedores

recursos
2 11.1.5 Trabajo en areas seguras 128,000 0.5 600,000 300,000
7.2.3 Proceso discilinario
7.2.2 Concienciacion, eduación y capacion
en seguridad de la infromación

7.2.2 Concienciación, educacion y
2 8.1.3 Uso aceptable de los activos 128,000 0.5 600,000 300,000
12.6.2 Restricciones en la instalacion de
software

2 128,000 0.5 1,040,000 520,000
11.2.6 Seguridad de los equipos y activos
fuera de las instalaciones

2 128,000 0.5 1,235,000 617,500
11.2.6 Seguridad de los equipos y activos
fuera de las instalaciones
12.1.1 Documentación de Procedimientos

2 de operación. 128,000 0.5 1,040,000 520,000

2 de operación. 128,000 0.5 1,300,000 650,000
7.2.2. Concienciación, educacion y

capacitación en seguridad de la
2 128,000 0.4 1,300,000 520,000
información.

2 15.1.2 Tratamiento del riesgo dentro de 128,000 0.5 800,000 400,000

2 información. 128,000 0.4 3,900,000 1,560,000

9.2.2 Gestion de los derechos de acceso
asignado a usuarios
3 128,000 0.4 1,950,000 780,000
9.4.1 Restriccion de acceso a la
información

9.2.2 Gestion de los derechos de acceso
asignado a usuarios
3 9.4.1 Restriccion de acceso a la 128,000 0.5 960,000 480,000
información
15.1. Tratamiento del riesgo dentro de
acuerdos de proveedores
4 sin controles sugeridos

7.2.2 Concienciacion, eduacacion y
2.4 capacitacion en seguridad de la información 128,000 0.5 1,950,000 975,000

4 8.1.3 Uso aceptable de activos 128,000 0.5 1,200,000 600,000

7.2.2 Concienciación, educación y
3 128,000 0.5 1,200,000 600,000
información. (Reforzamiento)

4 128,000 0.5 1,200,000 600,000
9.2.6 Retiro o ajuste de los derechos de
acceso

acceso
2.4 128,000 0.5 1,200,000 600,000
7.2.2 Concienciacion, educacion y
capacitacion en seguridad de la informacion

3.2 recursos. 384,000 0.4 1,950,000 780,000
11.1.4 Proteccion contra las amenzas

recursos.
2.4 384,000 0.5 1,040,000 520,000
11.1.4 Proteccion contra las amenzas
11.13 Seguridad de oficinas, despachos y

recursos.
4 128,000 0.5 1,200,000 600,000
11.1.4 Proteccion contra las amenazas

2.4 384,000 0.3 1,950,000 585,000

11.1.3 Seguridad de oficnas, depsacho y
recursos
3 384,000 0.4 1,950,000 780,000

2.4 recursos 384,000 0.5 960,000 480,000

3 11.1.3 Seguridad de oficinas, despachos y 384,000 0.5 960,000 480,000
recursos

2.4 recursos 384,000 0.5 960,000 480,000

3 recursos 384,000 0.3 1,300,000 390,000
2.4 recursos 384,000 0.4 1,200,000 480,000
acuerdo con proveedores

recursos
2.4 384,000 0.5 1,200,000 600,000

recursos
3 384,000 0.5 960,000 480,000
acuerdo con proveedores

9.1.1 Politica de control de accesos
9.4.1 Restriccion del acceso a la
información
12.6.1 Gestion de las vulnerabilidades
tecnicas
Controles de mejores practicas para

infraestructuras TICs:
2 Deshabilitación de servicios innecesarios 384,000 0.4 1,200,000 480,000
Restricción de consolas de administración
Configuración de reglas de control de
accesos
Registros de auditoría de actividades de
usuario
Configuración de mecanismos de
autenticación

software
tecnicas

3 144,000 0.5 1,000,000 500,000
accesos
autenticación

software
tecnicas
3 384,000 0.5 960,000 480,000

accesos


infraestructuras TICs
3 Gestión de roles y privilegios 144,000 0.4 1,040,000 416,000
accesos
usuario
autenticación

7.2.3 Proceso disciplianrio

infraestructuras TICs
3 384,000 0.4 1,040,000 416,000
accesos
usuario
autenticación

de operación.
tecnicas
3 Controles de mejores practicas para 384,000 0.4 1,000,000 400,000


de operación.
tecnicas
3 384,000 0.4 1,300,000 520,000


información.
tecnicas

2.4 infraestructuras TICs: 384,000 0.4 1,300,000 520,000
accesos
usuario

información.
tecnicas

3 384,000 0.4 1,200,000 480,000
accesos
usuario

información.
15.1.2 Tratamiento de del riesgo dentro de
acuerdo a proveedores

2.4 infraestructuras TICs: 384,000 0.4 1,200,000 480,000
accesos
usuario

información.

3 384,000 0.4 1,200,000 480,000
accesos
usuario
1.8 Sin controles sugeridos 128,000
1.8 Sin controles sugeridos 128,000

9.2.1 Registro y cancelación del registro de
usuarios
3 128,000 0.4 600,000 240,000
acceso
de programas

usuarios
2.4 128,000 0.4 600,000 240,000
acceso
de programas


2 12.6.1 Gestion de Vulnerabilidades 128,000 0.4 600,000 240,000
Tecnicas
12.6.1 Gestion de vulnerabilidades tecnicas

2.4 12.6.2 Restricciones en la instalacion de 128,000 0.4 600,000 240,000
software

software
3 7.2.2. Concienciacion, educacion y 128,000 0.4 600,000 240,000
capacitacion de seguridad de la informacion
8.1.1.3 Uso aceptable de los activos

2.4 12.6.1 Gestion de las vulnerabilidades 128,000 0.4 600,000 240,000
tecnicas

usuarios
9.2.5Revisión de los derechos de acceso a
2.4 128,000 0.5 600,000 300,000
usuarios
acceso
de programas

de programas
2.4 128,000 0.5 600,000 300,000
15.1.2 Tratamiento de del riesgo dentro de
acuerdo a proveedores

información.
3 8.1.3 Uso aceptable de los activos. 128,000 0.5 600,000 300,000
A 7.2.2 Concienciación, educación y

4 capacitación en seguridad de la 350,000 0.5 1,200,000 600,000
información.

4 350,000 0.5 1,200,000 600,000
información.
A 8.1.3 Uso aceptable de los activos
12.7.1 Controles de auditoría de los

4.8 128,000 0.5 600,000 300,000
sistemas de información.

A 9.2.6 Retiro o ajuste de los derechos de
3 96,000 0.4 600,000 240,000
acceso

4 96,000 0.4 600,000 240,000
información.
12.7.1 Controles de auditoría de los

6 300,000 0.4 1,200,000 480,000
sistemas de información.

A 9.2.6 Retiro o ajuste de los derechos de
3 96,000 0.4 600,000 240,000
acceso
3 96,000 0.4 600,000 240,000
información.
¿Control Requerimientos ¿Control ¿Se
P’ I’ R’
aceptable? especiales conveniente? recomienda?
Sí 0.5 80 40 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.3 80 24 Sí Sí
Sí 0.3 80 24 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.3 80 24 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.4 80 32 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.5 100 50 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.9 100 90 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 24 12 Sí Sí
Sí 0.5 24 12 Sí Sí
Sí 0.5 24 12 Sí Sí
Sí 0.5 24 12 Sí Sí
Sí 0.5 24 12 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.3 80 24 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.4 80 32 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.4 40 16 Sí Sí
Sí 0.4 80 32 Sí Sí
Sí 0.5 80 40 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 100 50 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.5 40 20 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.5 100 50 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.5 60 30 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.3 60 18 Sí Sí
Sí 0.4 18 7.2 Sí Sí
Sí 0.4 18 7.2 Sí Sí
Sí 0.4 18 7.2 Sí Sí
Sí 0.4 18 7.2 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.3 40 12 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Sí 0.4 60 24 Sí Sí
Inversión
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
530,400
325,000
325,000
325,000
187,200
325,000
325,000
325,000
325,000
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
499,200
499,200
166,400
499,200
499,200
499,200
499,200
499,200
499,200
499,200
499,200
499,200
499,200
187,200
499,200
187,200
499,200
499,200
499,200
499,200
499,200
499,200
499,200
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
166,400
455,000
455,000
166,400
124,800
124,800
390,000
124,800
124,800
Reproceso de Análisis de costo-b
Formato ASI F3 - apartado
Nota: La siguiente tabla muestra los nuevos controles identificados conforme a la nueva prioridad otorgada (e
Codigo de escenario Prioridad original

Reproceso de Análisis de costo-beneficio
forme a la nueva prioridad otorgada (esta tabla deberá llenarse en caso de que los controles sugeridos sean incosteables)
Riesgo residual Nueva prioridad

deberá llenarse en caso de que los controles sugeridos sean incosteables)
Nuevos controles propuestos

Controles implantados
Número de Riesgo Amenaza - Agente de amenaza Activos

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Aplicación - Calendar (iCloud)
RG004 (Proveedor, Contratista, Hacker, Script
Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Aplicación - Calendar (iCloud)

RG005 Grupo subversivo, Delincuencia
organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

RG006 descontento(intencional), Ex-empleado
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

RG007 inexperto (accidental)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Documento

Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Documento

organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Documento

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Documento

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Equipo de cómputo

Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Equipo de cómputo
organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Equipo de cómputo

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Información digital

Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Información digital

organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Información digital

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Información digital

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Infraestructura TIC

Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Infraestructura TIC

organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Infraestructura TIC

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal externo Software
Kiddies)
SHCP-OFSEC-AGSEC- Acceso no autorizado - Comunidad, Software

organizada
SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Software

SHCP-OFSEC-AGSEC- Acceso no autorizado - Personal interno Software

Control Responsable
Concienciación y capacitación en seguridad de la información.

Uso aceptable de los activos
Por definir
Restricción del acceso a la información.
Seguridad de Oficinas despachos y recursos

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir
Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir

Por definir
Por definir

Por definir

Por definir

Por definir
Descripción Tipo Frecuencia
Detección y prevención Bajo demanda



Justificación
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Evitar la amenaza
Controles a implantar para la mitigación de riesgos
Nota: La siguiente tabla deberá ser llenada una vez que se haya realizado el análisis sobre el costo-beneficio de los controle
cumplimiento.
Control seleccionado Responsable Descripción

a la mitigación de riesgos
3 - apartado 4
is sobre el costo-beneficio de los controles y cuando sean designados los responsables de la implementación y verficación del
cumplimiento.
Tipo Frecuencia
ndo sean designados los responsables de la implementación y verficación del
Justificación
Programa de Mitigación de Riesgos
Controles de seguridad para los riesgos identificado
Identificación del
Número de riesgo Descripción Impacto
programa
Crackeo de contraseñas -
Personal externo
Modificación de datos -
Pérdida de la Afectación en la Seguridad
Comunidad, Grupo
Confidencialidad, de la información de los
Integridad y Disponibilidad activos por acceso no
organizada
de la información autorizado, código
Coordinación de agenda Modificación de datos -
contenida en los equipos malicioso, crackeo de
del C. Secretario Personal externo
de trabajo, unidades de contraseñas, modificación
almacenamiento, de datos, negación del
aplicaciones e servicio y robo por parte de
infraestructuras TIC. personal interno y externo.
Personal externo
Personal
Hacker, interno
Script Kiddies)
Código malicioso -
Personal interno
descontento(intencional),
Ex-empleado
Personal interno
Ex-empleado
Incendio - Material (falla)
Interrupción energía
eléctrica - Personal interno
Ex-empleado
Comunidad, Grupo
Afectación en la Seguridad
Pérdida de la de la información de los
organizada
Confidencialidad, activos por código
Integridad y Disponibilidad malicioso, accesos no
Personal interno
de la información autorizados, negación de
Coordinación de agenda descontento(intencional),
contenida en los equipos servicio, modificación de
del C. Secretario Ex-empleado
de trabajo, unidades de datos, crackeo de
Negación de servicio -
almacenamiento, contraseñas y robo por
Comunidad, Grupo
aplicaciones e parte de personal interno,
infraestructuras TIC. robo, sabotaje y
organizada
suplantación de identidad.
Personal externo
almacenamiento, contraseñas y robo por
aplicaciones e parte de personal interno,
infraestructuras TIC. robo, sabotaje y
suplantación de identidad.
Personal interno
Ex-empleado
Robo - Personal interno
Ex-empleado
Sabotaje - Comunidad,
Grupo subversivo,
Sabotaje - Personal
externo (Proveedor,
organizada
Código malicioso -
Personal externo
Personal externo
Crackeo de contraseñas - Pérdida de la
Personal interno Confidencialidad,
de la información de los
descontento(intencional), Integridad y Disponibilidad
activos por parte de
Ex-empleado de la información
Coordinación de agenda modificación de datos,
Incendio - Personal interno contenida en los equipos
del C. Secretario robo, incendio, crackeo de
descontento(intencional), de trabajo, unidades de
contraseñas, código
Ex-empleado almacenamiento,
malicioso y accesos no
Modificación de datos - aplicaciones e
autorizados.
Comunidad, Grupo infraestructuras TIC.
organizada
Personal externo
Robo - Comunidad, Grupo
organizada
Robo - Personal externo
Pérdida de la
Interrupción energía
Confidencialidad,
eléctrica - Personal interno
Integridad y Disponibilidad Afectación en la Seguridad
de la información de la información de los
Coordinación de agenda Ex-empleado
contenida en los equipos activos por parte de
del C. Secretario Sabotaje - Personal interno
de trabajo, unidades de interrupción de energía
almacenamiento, eléctrica y sabotaje.
Ex-empleado
aplicaciones e
infraestructuras TIC.
contenida en los equipos activos por parte de
del C. Secretario Sabotaje - Personal interno
de trabajo, unidades de interrupción de energía
almacenamiento, eléctrica y sabotaje.
Ex-empleado
aplicaciones e
Acceso no autorizado -
Comunidad, Grupo
subversivo, Delincuencia Pérdida de la
organizada Confidencialidad,
Atentado - Personal Integridad y Disponibilidad
de la información de los
externo (Proveedor, de la información
Coordinación de agenda activos por parte de
Contratista, Hacker, Script contenida en los equipos
del C. Secretario acceso no autorizado,
Kiddies) de trabajo, unidades de
atentado y código
Código malicioso - almacenamiento,
malicioso.
Personal externo aplicaciones e
(Proveedor, Contratista, infraestructuras TIC.
Código malicioso -
Personal interno
Ex-empleado
Pérdida de la
Confidencialidad,
Comunidad, Grupo Afectación en la Seguridad
Integridad y Disponibilidad
subversivo, Delincuencia de la información de los
de la información
Coordinación de agenda organizada activos por parte de
contenida en los equipos
del C. Secretario Modificación de datos - modificación de datos,
de trabajo, unidades de
Personal interno código malicioso y
almacenamiento,
descontento(intencional), sabotaje.
aplicaciones e
Ex-empleado
Sabotaje - Personal interno
Ex-empleado
eguridad para los riesgos identificados
Responsable de
Fecha de Responsable de la
Controles asociados verificar el
implementación implantación
cumplimiento
7.2.2 Concienciación y Por definir quién será el

capacitación en seguridad ENE-2015/DIC-2015 responsable de la Julio Cesar Juárez Cid
de la información. implementación
Por definir quién será el

8.1.3 Uso aceptable de los
ENE-2015/DIC-2015 responsable de la Julio Cesar Juárez Cid
activos
implementación
9.4.1 Restricción del
acceso a la información.
implementación

11.1.2 Controles físicos de
Entrada
implementación
Entrada
implementación
11.1.3 Seguridad de Por definir quién será el

Oficinas despachos y ENE-2015/DIC-2015 responsable de la Julio Cesar Juárez Cid
recursos implementación

12.6.2 Restricciones en la
instalación de software
implementación
Actividades a realizar
Número Actividad Responsable Descripción Fecha inicio
Por definir quién será el Se debe concientizar y

responsable de la capacitar al personal en
1 Jan-15
implantación las temas de seguridad de
aplicaciones. la información.
responsable de la Se debe concientizar y
implantación en los capacitar al personal en
2 Jan-15
equipos de cómputo y temas de seguridad de
en las unidades de la información.
almacenamiento.
Por definir quién será el Se debe concientizar y
responsable de la capacitar al personal en
3 Jan-15
implantación en las temas de seguridad de
Infraestructuras TIC. la información.
Se debe hacer entrega

formal de la
infraestructura TIC a los
Por definir quién será el propietarios de los
responsable de la mismos y hacer de su
1 Jan-15
implantación las conocimiento que
aplicaciones. deben salvaguardar la
confidencialidad,
integridad y
disponibilidad del activo.

Por definir quién será el formal de la infraestructura
responsable de la TIC a los propietarios de
implantación en los los mismos y hacer de su
2 Jan-15
equipos de cómputo y en conocimiento que deben
las unidades de salvaguardar la
almacenamiento. confidencialidad, integridad
y disponibilidad del activo.
formal de la infraestructura
Por definir quién será el TIC a los propietarios de
responsable de la los mismos y hacer de su
3 Jan-15
implantación en las conocimiento que deben
Infraestructuras TIC. salvaguardar la
confidencialidad, integridad
y disponibilidad del activo.
El acceso a la
información y a los
sistemas de información
responsable de la
1 debe ser restringido Jan-15
implantación las
tomando como base la
aplicaciones.
política de control de
acceso.
El acceso a la
responsable de la
implantación en los
equipos de cómputo y
en las unidades de
almacenamiento.
acceso.
El acceso a la
responsable de la
implantación en las
Infraestructuras TIC.
acceso.
Las áreas seguras

deben estar protegidas
por controles en la
entrada para asegurar
responsable de la
1 que solo el personal Jan-15
implantación las
autorizado accede
aplicaciones.
donde se encuentra
alojado en la
infraestructura TIC.
Las áreas seguras

por controles en la
responsable de la
implantación en los
equipos de cómputo y
autorizado accede
en las unidades de
donde se encuentra
almacenamiento.
alojado en la
infraestructura TIC.
Las áreas seguras
por controles en la
responsable de la
implantación en las
autorizado accede
donde se encuentra
alojado
Se debe contar encon la
infraestructura
estándares y TIC.
regulaciones de sanidad
Por definir quién será el y seguridad
responsable de la Relevantes, además de
1 Jan-15
implantación las localizar los medios
aplicaciones. claves para evitar el
acceso a personal no
deseado.
Se debe contar con
estándares y
Por definir quién será el regulaciones de sanidad
responsable de la y seguridad
implantación en los Relevantes, además de
2 Jan-15
equipos de cómputo y localizar los medios
en las unidades de claves para evitar el
almacenamiento. acceso a personal no
deseado.
Se debe contar con

estándares y
regulaciones de sanidad
Por definir quién será el y seguridad
responsable de la Relevantes, además de
3 Jan-15
implantación en las localizar los medios
Infraestructuras TIC. claves para evitar el
acceso a personal no
deseado.
Por definir quién será el Se deberá establecer

responsable de la procedimientos para el
1 Jan-15
implantación las control de la instalación
aplicaciones. del software en los

responsable de la Se deberá establecer
implantación en los procedimientos para el
2 Jan-15
equipos de cómputo y control de la instalación
en las unidades de del software en los
almacenamiento.
Por definir quién será el Se deberá establecer

responsable de la procedimientos para el
3 Jan-15
implantación en las control de la instalación
Infraestructuras TIC. del software en los
ividades a realizar
Fecha final Justificación
De no realizarlo se vería afectada la información contenida en

Dec-15
aplicaciones.
De no realizarlo se vería afectada la información contenida en los

Dec-15
equipos de cómputo y en las unidades de almacenamiento.
De no realizarlo se vería afectada la información contenida en las

Dec-15

Dec-15
aplicaciones.

Dec-15
Dec-15

Dec-15
aplicaciones.

Dec-15

Dec-15

Dec-15
aplicaciones.

Dec-15
Dec-15

Dec-15
aplicaciones.

Dec-15

Dec-15

Dec-15
aplicaciones.

Dec-15

Dec-15
TERMINOS Y DEFIN
Activo de información: Toda aquella información y medio que la contiene, que

para mantener su confidencialidad, disponibilidad e integr
Activo de información El activo de información que resulta esencial o estratégic

clave: no tenga este carácter, pero cuya destrucción, pérdida,
infraestructura o en los servicios que soporta.
Activo primario: El activo de información asociado a las funciones sustant

Activos de proceso: Los elementos de información que son parte de un proces
Activo de soporte: El que apoya o complementa a un activo primario en su fu
Confidencialidad: La característica o propiedad por la cual la información só
Disponibilidad: La característica de la información de permanecer accesi
Infraestructuras Las instalaciones, redes, servicios y equipos asociad
críticas: interrupción o destrucción tendría un impacto mayor, en
eficaz funcionamiento de las Instituciones.
Integridad: La acción de mantener la exactitud y corrección de la info
Interdependencia: La interconexión estrecha que existe entre las infraes

negativamente en otras infraestructuras críticas, presentá
Interoperabilidad: La capacidad de organizaciones y sistemas, dispares y d

obtener beneficios mutuos, en donde la interacción im
mediante el intercambio de datos entre sus respectivos si
TERMINOS Y DEFINICIONES (MAAGTICSI)
medio que la contiene, que por su importancia y el valor que representa para la Institución, debe ser protegido
alidad, disponibilidad e integridad, acorde al valor que se le otorgue.
resulta esencial o estratégico para la operación y/o el control de una infraestructura crítica, o incluso de una que
cuya destrucción, pérdida, alteración o falla tendría un grave impacto o consecuencia en la funcionalidad de la
ios que soporta.
ciado a las funciones sustantivas de una Institución.

n que son parte de un proceso y que reflejan características específicas del mismo.
a un activo primario en su función.
por la cual la información sólo es revelada a individuos o procesos autorizados.
ación de permanecer accesible para su uso cuando así lo requieran individuos o procesos autorizados.
ervicios y equipos asociados o vinculados con activos de TIC o activos de información, cuya afectación,
ndría un impacto mayor, entre otros, en la salud, la seguridad, el bienestar económico de la población o en el
Instituciones.
ctitud y corrección de la información y sus métodos de proceso.
ue existe entre las infraestructuras críticas, y que conlleva a que la falla o falta de una de ellas impacte
estructuras críticas, presentándose como consecuencia un efecto cascada de fallas en la prestación de servicios.
nes y sistemas, dispares y diversos, para interactuar con objetivos consensuados y comunes, con la finalidad de
en donde la interacción implica que las Instituciones compartan infraestructura, información y conocimiento
atos entre sus respectivos sistemas de tecnologías de la información y comunicaciones.
DEFINICIÓN DE IDENTIFICADO ÚNICO (ID) DE LOS PR
Para los procesos identificados la asignacion del ID, se realizara con base al siguient
Siglas de la dependencia-siglas de la UA-sigla
Para definir el ID de los activos de informacion, se realizara con base en 2 campos:
ID activo: se asignará un número consecu

correspondiente al proceso, pr
IDENTIFICACIÓN DEL TIPO DE INFRAEST
Tabla de Clasificación de
Sector
Transportes
Energía
Salud
Finanzas
Agua
Tecnologías de la
Información y
Comunicaciones
Tecnologías de la
Información y
Comunicaciones
Alimentación
Servicios de Emergencia
DO ÚNICO (ID) DE LOS PROCESOS CRÍTICOS Y ACTIVOS DE INFORMACIÓN
D, se realizara con base al siguiente criterio:
pendencia-siglas de la UA-siglas de la sub UA-número consecutivo
realizara con base en 2 campos:
se asignará un número consecutivo que, relacionado con el segundo campo “ID Proceso”,
correspondiente al proceso, provea una identificación única para cada activo.
N DEL TIPO DE INFRAESTRUCTURA, POR SECTOR Y SUBSECTOR
Tabla de Clasificación de Sectores y Subsectores
Subsector
- Transporte carretero
- Transporte ferroviario
- Transporte aéreo
- Transporte marítimo de larga y corta distancia
- Producción de petróleo y gas, refinado, tratamiento,

almacenamiento y distribución por oleoductos y gasoductos
- Producción, transmisión y distribución de energía eléctrica
- Asistencia médica y hospitalaria
- Medicamentos, sueros, vacunas y productos farmacéuticos
- Laboratorios de biología y agentes biológicos

- Pago y compensación de valores e infraestructuras y sistemas
de liquidación
Mercados regulados
Política económica
- Suministro de agua potable
- Control de calidad del agua
- Represas
- Sistemas de control y automatización de instrumentos
- Internet
- Suministro de telecomunicaciones fijas
- Suministro de telecomunicaciones móviles
- Navegación y comunicación por radio
- Comunicaciones por satélite
- Televisión y radiodifusión
- Suministro de productos alimenticios y garantía de seguridad
alimentaria y de inocuidad de los alimentos
- Protección civil
VALORACIÓN DE LAS MATRICES DE INFRAE
La siguiente tabla muestra la escala de valores que se debe considerar para hacer la valoració
Valor
Debido a que la Valoración deberá ser la suma de los valores asignados a la confidencialidad
al calcular el valor fin
*Rango
3–5
6 – 10
11 – 15
*Rango es la suma de valores por pérdida de confid

MATRICES DE INFRAESTRUCTURAS CRÍTICAS Y ACTIVOS CLAVE
be considerar para hacer la valoración de los Activos e identificar aquellos que resultan críticos para la Institución:
Descripción
La brecha puede resultar en poca o nula pérdida o daño.
La brecha puede resultar en una pérdida o daño menor.
La brecha puede resultar en una pérdida o daño medio, y los procesos de

la Dependencia pueden verse afectados negativamente, sin llegar a
fallar o causar su interrupción.
La brecha puede resultar en una pérdida o daño serio o considerable, y

los procesos de la Dependencia pueden fallar o interrumpirse.
La brecha puede resultar en altas pérdidas monetarias, o en un daño

crítico a un individuo o a la sociedad, reputación, privacidad y/o
competitividad de la Dependencia. Los procesos de negocio de la
Dependencia fallarán.
lores asignados a la confidencialidad, integridad y disponibilidad, debe emplear los rangos de la tabla siguiente
al calcular el valor final:
Valor
Bajo (1)
Medio (2)
Alto (3)
la suma de valores por pérdida de confidencialidad, integridad y disponibilidad

VALORACIÓN DE LAS MATRICES DE
Ley d
Confidencial
Reservada
No reservada
LEY FEDERAL DE TRANSPARENCIA Y ACCE
LFTyAIPG/IFAI
Artículo 18. Como información

confidencial se considerará:
I. La entregada con tal carácter por los

particulares a los sujetos obligados, de
conformidad con lo establecido en el
Artículo 19
I. La entregada con tal carácter por los
particulares a los sujetos obligados, de
conformidad con lo establecido en el
Artículo 19
II. Los datos personales que requieran el

consentimiento de los individuos para su
difusión, distribución o comercialización
en los términos de esta Ley.
No se considerará confidencial la
información que se halle en los registros
públicos o en fuentes de acceso público.
LFTyAIPG/IFAI
Artículo 13. Como información reservada podrá clasificarse aqué
difusión pueda:
Artículo 14. También se considerará como información reservada:
I. La que por disposición expresa de una Ley sea considerada con

reservada, comercial reservada o gubernamental confidencial;
II. Los secretos comercial, industrial, fiscal, bancario, fiduciario u otro co

como tal por una disposición legal;
Artículo 6. En la interpretación de esta Ley y de su Reglamen

deberá favorecer el principio de máxima publicidad y disponib
El derecho de acceso a la información pública se interpretará

Universal de los Derechos Humanos; el Pacto Internacional de
Convención Sobre la Eliminación de Todas las Formas de
ratificados por el Estado Mexicano y la interpretación que de lo
Artículo 7. Con excepción de la información reservada o con

público y actualizar, en los términos del Reglamento y los line
61, entre otra, la información siguiente:
I. Su estructura orgánica;
II. Las facultades de cada unidad administrativa;
III. El directorio de servidores públicos, desde el nivel de jefe d
IV. La remuneración mensual por puesto, incluso el sistema de
V. El domicilio de la unidad de enlace, además de la dirección
VI. Las metas y objetivos de las unidades administrativas de co
VII. Los servicios que ofrecen;
VIII. Los trámites, requisitos y formatos. En caso de que se en
para la materia fiscal establezca la Secretaría de Hacienda y Cr
IX. La información sobre el presupuesto asignado, así como
61, entre otra, la información siguiente:
I. Su estructura orgánica;
II. Las facultades de cada unidad administrativa;
III. El directorio de servidores públicos, desde el nivel de jefe d
IV. La remuneración mensual por puesto, incluso el sistema de
V. El domicilio de la unidad de enlace, además de la dirección
VI. Las metas y objetivos de las unidades administrativas de co
VII. Los servicios que ofrecen;
VIII. Los trámites, requisitos y formatos. En caso de que se en
para la materia fiscal establezca la Secretaría de Hacienda y Cr
IX. La información sobre el presupuesto asignado, así como
Egresos de la Federación. En el caso del Ejecutivo Federal,
Secretaría de Hacienda y Crédito Público, la que además info
términos que establezca el propio presupuesto;
X. Los resultados de las auditorías al ejercicio presupuestal d
Desarrollo Administrativo, las contralorías internas o la Audito
XI. El diseño, ejecución, montos asignados y criterios de a
programas sociales que establezca el Decreto del Presupuesto d
XII. Las concesiones, permisos o autorizaciones otorgados, esp
XIII. Las contrataciones que se hayan celebrado en términos de
a) Las obras públicas, los bienes adquiridos, arrendados y los s
específico;
b) El monto;
c) El nombre del proveedor, contratista o de la persona física o
d) Los plazos de cumplimiento de los contratos;
XIV. El marco normativo aplicable a cada sujeto obligado;
XV. Los informes que, por disposición legal, generen los sujeto
XVI. En su caso, los mecanismos de participación ciudadana, y
XVII. Cualquier otra información que sea de utilidad o se cons
preguntas hechas con más frecuencia por el público.
La información a que se refiere este Artículo deberá publica

asegurar su calidad, veracidad, oportunidad y confiabilidad.
expida el Instituto.
Casificación del información co
AAA: Se asignará este nivel cuando se trate de información requerida p

amenazas a la seguridad nacional, por parte del Presidente de la
integridad, estabilidad o permanencia del Estado mexicano
Este nivel se asignará a la información resultante del ejercicio de a
seguridad nacional en términos de la Ley de la materia, o bien, co
“AA”: su personal.
se asignará este nivel a aquella información que derive del cumpl

"A": cuya revelación no autorizada pueda comprometer su operación,
Relación a utilizar para la
Ley de Seguridad Nacional
Confidencial
Reservada
No reservada
DE LAS MATRICES DE INFRAESTRUCTURAS CRÍTICAS Y ACTIVOS CLAVE
Ley de Seguridad Nacional
Los datos personales otorgados a una instancia por servidores públicos, así como los datos personales
proporcionados al Estado Mexicano para determinar o prevenir una amenaza a la Seguridad Nacional.
Artículo 42. Los datos que se obtengan de las actividades autorizadas mediante resolución judicial será
información reservada que sólo podrá conocer el Director General del Centro, las personas que designe el Consejo
y los jueces federales competentes.
Artículo 51. Además de la información que satisfaga los criterios establecidos en la legislación general aplicable, es
información reservada por motivos de Seguridad Nacional.
I. Aquella cuya aplicación implique la revelación de normas, procedimientos, métodos, fuentes, especificaciones
técnicas, tecnología o equipos útiles a la generación de inteligencia para la Seguridad Nacional, sin importar la
naturaleza o el origen de los documentos que la consignen, o
II. Aquella cuya revelación pueda ser utilizada para actualizar o potenciar una amenaza.
Artículo 8. A falta de previsión expresa en la presente Ley, se estará a las siguientes reglas de supletoriedad:
V. Por cuanto hace a la información de Seguridad Nacional, se estará a la Ley Federal de Transparencia y Acceso a la
Información Pública Gubernamental, y
Artículo 52. La publicación de información no reservada, generada o custodiada por el Centro, se realizará
invariablemente con apego al principio de la información confidencial gubernamental.
ANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL / IFAI
Lineamientos
Trigésimo Segundo.- Será confidencial la información que contenga datos personales de una persona física
identificada o identificable relativos a:
I. Origen étnico o racial. XI. Opinión política.

II. Características físicas. XII. Creencia o convicción religiosa.
III. Características morales. XIII. Creencia o convicción filosófica.
IV. Características emocionales. XIV. Estado de salud física.
V. Vida afectiva. XV. Estado de salud mental.
VI. Vida familiar. XVI. Preferencia sexual, y

XVII. Otras análogas que afecten su
VII. Domicilio particular.
intimidad, como la información genética.
VIII. Número telefónico particular.
IX. Patrimonio.
X. Ideología.
Trigésimo Tercero.- Los datos personales serán confidenciales independientemente de que hayan sido obtenidos
directamente de su titular o por cualquier otro medio.
Trigésimo Cuarto.- Se considerarán como confidenciales los datos personales referidos a una persona que ha fallecido, a
los cuales Quinto.-
Trigésimo únicamente
La podrán tener confidencial
información acceso y derecho a pedir
que los su corrección,
particulares el cónyuge
proporcionen a lassupérstite y/o los
dependencias parientes para
y entidades en
línea recta ascendente y descendente sin limitación de grado, y en línea transversal hasta el segundo grado.
fines estadísticos, que éstas obtengan de registros administrativos o aquellos que contengan información relativa al estado
civil de las personas, no podrán difundirse en forma nominativa o individualizada, o de cualquier otra forma que permita
la identificación inmediata de los interesados, o conduzcan, por su estructura, contenido o grado de desagregación a la
identificación individual de los mismos.
LFTyAIPG/IFAI Lineamientos
ón reservada podrá clasificarse aquélla cuya Decimo Octavo.- La información se clasificará como reservada en los términos de la
fracción I del artículo 13 de la Ley cuando se comprometa la Seguridad Nacional, esto
es, cuando la difusión de la información ponga en riesgo acciones destinadas a
proteger la integridad, estabilidad y permanencia del Estado Mexicano, la
gobernabilidad democrática, la defensa exterior y la seguridad interior de la
federación, orientadas al bienestar general de la sociedad que permitan el
cumplimiento de los fines del estado constitucional.
I. Se ponen en riesgo las acciones destinadas a proteger la integridad y permanencia
del Estado Mexicano cuando la difusión de la información pueda:
a) Menoscabar o lesionar la capacidad de defensa del territorio nacional, entendiendo
como tal el establecido en el artículo 42 de la Constitución Política de los Estados
Unidos Mexicanos, por otros estados o sujetos de derecho internacional, o
b) Quebrantar la unidad de las partes integrantes de la Federación señaladas en el
artículo 43 de la Constitución Política de los Estados Unidos Mexicanos.
II. Se ponen en riesgo las acciones destinadas a proteger la estabilidad de las
instituciones de la Federación cuando la difusión de la información pueda afectar la
integridad física de las máximas autoridades de los tres Poderes de la Unión y de los
órganos con autonomía constitucional, que en el caso del Poder Ejecutivo Federal son
el Presidente de los Estados Unidos Mexicanos, los Secretarios de Estado y el
Procurador General de la República.
III. Se ponen en riesgo las acciones destinadas a proteger la gobernabilidad
democrática cuando la difusión de la información pueda:
a) Impedir el derecho a votar y a ser votado, o
b) Obstaculizar la celebración de elecciones federales.
IV. Se ponen en riesgo las acciones destinadas a proteger la defensa exterior de la
Federación cuando la difusión de la información pueda obstaculizar o bloquear las
acciones de prevención o defensa que lleva a cabo el Estado Mexicano frente a otros
estados o sujetos de derecho internacional.
V. Se ponen en riesgo las acciones destinadas a proteger la seguridad interior de la
Federación cuando la difusión de la información pueda:
a) Obstaculizar o bloquear operaciones militares o navales contra la delincuencia
organizada;
erará como información reservada: b) Obstaculizar
Vigésimo o bloquear
Quinto.- Cuando actividades de inteligencia
la información o contrainteligencia;
se clasifique como reservada en los
c) Menoscabar o dificultar las estrategias o acciones contra
términos de las fracciones I y II del artículo 14 de la Ley, losla delincuencia organizada;
titulares de las unidades
d) Menoscabar o dificultar las estrategias para combatir la comisión de
administrativas deberán fundar la clasificación señalando el artículo, fracción, losinciso
delitosy
contra ladel
párrafo seguridad de la Nación,
ordenamiento jurídicoprevistos en el Código
que expresamente Penal ese
le otorga Federal;
carácter.
resa de una Ley sea considerada confidencial, e) Destruir o inhabilitar la infraestructura de carácter estratégico a que se refieren los
gubernamental confidencial; párrafos cuarto y séptimo del artículo 28 de la Constitución Política de los Estados
Unidos Mexicanos;
f) Destruir o inhabilitar la infraestructura de carácter indispensable para la provisión de
trial, fiscal, bancario, fiduciario u otro considerado bienes o servicios públicos de agua potable, vías generales de comunicación o
; servicios de emergencia, o
g) Obstaculizar o bloquear acciones tendientes a prevenir o combatir epidemias o
enfermedades exóticas en el país según lo dispuesto por el artículo 73 fracción XVI 2a.
ción de esta Ley y de su Reglamento, así como de las normas de carácter general a las que se refiere el Artículo 61, se
de la Constitución Política de los Estados Unidos Mexicanos.
o de máxima publicidad y disponibilidad de la información en posesión de los sujetos obligados.
Décimo Noveno.- La información se clasificará como reservada en los términos de la
LFTyAIPG/IFAI
nformación pública se interpretará conforme a la Constitución
fracción I del artículoPolítica
13 de lade loscuando
Ley Estados Unidos Mexicanos;
se comprometa la Declaración
la seguridad pública, esto
Humanos; el Pacto Internacional de Derechoses, Civiles y Políticos;
cuando la difusión delalaConvención Americana
información ponga sobre
en peligro la Derechos
integridad yHumanos; la
los derechos
inación de Todas las Formas de Discriminación Contraasílacomo
de las personas, Mujer, y demás
el orden instrumentos internacionales suscritos y
público.
exicano y la interpretación que de los mismos hayan realizado los órganos internacionales especializados.
I. Se pone en peligro la integridad o los derechos de las personas cuando la difusión de
de la información reservada o confidenciallaprevista
información pueda:
en esta Ley, los sujetos obligados deberán poner a disposición del
términos del Reglamento y los lineamientos que expida ellaInstituto
a) Menoscabar capacidado dela las autoridades
instancia de seguridad
equivalente a quepública paraelpreservar
se refiere Artículoy
resguardar la vida o la salud de las personas;
n siguiente: b) Afectar el ejercicio de los derechos de las personas, o
c) Menoscabar o dificultar las estrategias para combatir las acciones delictivas
nidad administrativa; distintas de la delincuencia organizada.
res públicos, desde el nivel de jefe de departamento o sus
II. Se pone equivalentes;
en peligro el orden público cuando la difusión de la información pueda:
al por puesto, incluso el sistema de compensación, segúnlos
a) Entorpecer lo sistemas
establezcan las disposiciones
de coordinación correspondientes;
interinstitucional en materia de seguridad
d de enlace, además de la dirección electrónica donde podrán recibirse las solicitudes para obtener la información;
pública;
e las unidades administrativas de conformidad b) Menoscabar o dificultar
con sus programas las estrategias contra la evasión de reos;
operativos;
en; c) Menoscabar o limitar la capacidad de las autoridades para evitar la comisión de
os y formatos. En caso de que se encuentrendelitos, o en el Registro Federal de Trámites y Servicios o en el Registro que
inscritos
d) Menoscabar o limitar latal
ezca la Secretaría de Hacienda y Crédito Público, deberán publicarse capacidad
y como sede registraron;
las autoridades encaminadas a disuadir o
prevenir disturbios sociales que pudieran desembocar en bloqueo de vías generales de
el presupuesto asignado, así como los informes sobre su ejecución, en los términos que establezca el Presupuesto de
n siguiente:
nidad administrativa;
res públicos, desde el nivel de jefe de departamento o sus equivalentes;
al por puesto, incluso el sistema de compensación, según lo establezcan las disposiciones correspondientes;
d de enlace, además de la dirección electrónica donde podrán recibirse las solicitudes para obtener la información;
e las unidades administrativas de conformidad con sus programas operativos;
en;
os y formatos. En caso de que se encuentren inscritos en el Registro Federal de Trámites y Servicios o en el Registro que
ezca la Secretaría de Hacienda y Crédito Público, deberán publicarse tal y como se registraron;
el presupuesto asignado, así como los informes sobre su ejecución, en los términos que establezca el Presupuesto de
En el caso del Ejecutivo Federal, dicha información será proporcionada respecto de cada dependencia y entidad por la
Crédito Público, la que además informará sobre la situación económica, las finanzas públicas y la deuda pública, en los
propio presupuesto;
ditorías al ejercicio presupuestal de cada sujeto obligado que realicen, según corresponda, la Secretaría de Contraloría y
las contralorías internas o la Auditoría Superior de la Federación y, en su caso, las aclaraciones que correspondan;
montos asignados y criterios de acceso a los programas de subsidio. Así como los padrones de beneficiarios de los
blezca el Decreto del Presupuesto de Egresos de la Federación;
isos o autorizaciones otorgados, especificando los titulares de aquéllos;
e se hayan celebrado en términos de la legislación aplicable detallando por cada contrato:
ienes adquiridos, arrendados y los servicios contratados; en el caso de estudios o investigaciones deberá señalarse el tema
, contratista o de la persona física o moral con quienes se haya celebrado el contrato, y

nto de los contratos;
plicable a cada sujeto obligado;
disposición legal, generen los sujetos obligados;
ismos de participación ciudadana, y
mación que sea de utilidad o se considere relevante, además de la que con base a la información estadística, responda a las
recuencia por el público.
efiere este Artículo deberá publicarse de tal forma que facilite su uso y comprensión por las personas, y que permita
dad, oportunidad y confiabilidad. Las dependencias y entidades deberán atender las recomendaciones que al respecto
icación del información considerada de seguridad nacional (diseminación)
se trate de información requerida para el proceso de decisiones políticas fundamentales, esto es, para la adopción de decisiones sobre riesgo
ional, por parte del Presidente de la República, previa consideración del Consejo de Seguridad Nacional, cuya revelación no autorizada pueda daña
manencia del Estado mexicano
ormación resultante del ejercicio de atribuciones sustantivas, cuya revelación no autorizada pueda actualizar o potenciar un riesgo o amenaza a
nos de la Ley de la materia, o bien, comprometer su operación, las condiciones de seguridad de las instalaciones estratégicas o la integridad física
a información que derive del cumplimiento de las disposiciones jurídicas en materia de ejercicio del gasto, transparencia y rendición de cuent
a pueda comprometer su operación, las condiciones de seguridad de las instalaciones estratégicas o la integridad física de su personal
Relación a utilizar para la clasificación de los activos de información
Confidencialidad
LFTyAIPG / IFAI Ley de Seguridad Nacional (diseminación) Valoración confidencialidad
Confidencial AAA 5
Reservada AA 3, 4
Pública A 1, 2
VE
TAL / IFAI
ón de decisiones sobre riesgos y
ón no autorizada pueda dañar la
enciar un riesgo o amenaza a la

ratégicas o la integridad física de
parencia y rendición de cuentas,

ica de su personal
PARAMETROS DE INFLU
En esta sección se efectúa la construcción de las matrices que integran los parámetros de influ
identificar una IC.
a. Matriz de Impacto.
Referencias:
Asignación de valores:
Descripción de valores:
PARAMETROS DE INFLUENCIA DE UNA IC
Parámetro Descripción
1. Alcance geográfico y cantidad de personas
Amplitud geográfica:
afectadas.
Período de afectación: 1. Interrupción de los servicios en horas.
1. La ocurrencia de un Evento afecta además a otras

Cantidad de IC afectadas:
IC de cualquier Sector y Subsector (efecto cascada).
1. Impacto social (pérdidas de vidas, enfermedades,

lesiones graves, evacuación).
2. Económico (efecto en el PIB, volumen de pérdida

económica y/o degradación de productos o servicios).
Campos de gobierno: la ocurrencia de un
Incidente afecta además a otros campos de
gobierno, entendiendo como tales a: 3. Ambiental (Impacto en el lugar y sus alrededores).
4. Gobernabilidad (capacidad del Estado para

responder a una contingencia, así como atender uno o
varios problemas al mismo tiempo en diferentes
escenarios).
la construcción de las matrices que integran los parámetros de influencia de una IC. El empleo de estas matrices como instrumentos permitirá
Amplitud geográfica Calificación
Municipal o hasta 100,000 habitantes 1
Estatal o hasta 5,000,000 habitantes 2
Nacional e Internacional o más de 5,000,000

3
habitantes
Período de afectación Calificación

24 horas o menos 1
Hasta 72 horas 2
Más de 72 horas 3
Más de 72 horas, con afectación nacional 4

Más de 72 horas, con afectación internacional 5
Período de afectación
Impacto
1 2
1 1 2
Amplitud geográfica 2 2 3
3 3 4
Calificación Descripción
1 Afectación municipal con interrupción por 24 horas o menos
Afectación municipal con interrupción de hasta 72 horas

2
Afectación estatal con interrupción de 24 horas o menos
Afectación municipal con interrupción de más de 72 horas
3 Afectación estatal con interrupción de hasta 72 horas
Afectación nacional/internacional con interrupción de 24 horas o menos
Afectación estatal con interrupción de más de 72 horas

4
Afectación nacional/internacional con interrupción de hasta 72 horas
5 Afectación nacional/internacional con interrupción de más de 72 horas

trumentos permitirá
do de afectación
horas o menos
asta 72 horas
oras o menos
ás de 72 horas
sta 72 horas
de 24 horas o menos
s de 72 horas
n de hasta 72 horas
de más de 72 horas
MATRIZ DE INTERD
Referencias:
IC afectadas
Sólo una IC es afectada
La IC afecta a otra
La IC afecta a 3 o más IC
Campos de gobierno
afectados
1
2
3 o más
Interdependencia
1
IC afectadas 2
3
Calificación
1 Sólo es en u
Sólo es en una IC
2
Dos IC son afectad
Sólo es en una IC pe
3 Dos IC son afectad
Tres o más IC son
Dos IC son afectadas
4
Tres o más IC son afe
5 Tres o más IC son afecta
Integración de la Matriz de Criticidad.
Criticidad
Impacto 3
Calificación
Afectación
I
Sólo
Afectación
II Sólo es en
Dos IC son
Afectació
II Afectació
Sólo
Afectación
Sólo es en un
Dos IC son
Tres o más
Afectación
Dos IC son afe
Tres o más IC
Afectació
Afectació
Sólo es en
Dos IC son
III
Afectació
Afectació
Sólo es en un
III
Dos IC son
Tres o más
Afectación
Afectaci
Afectación nacion
Sólo
Afectación
Afectaci
Afectación nacion
Sólo es en
Dos IC son
Afectació
Afectación naci
Sólo
Afectación
Tres o más IC son
Afectació
Afectació
Dos IC son afe
Tres o más IC
Afectació
Afectació
Tres o más IC son
Afectación
Afectaci
Afectación nacion
Sólo es en un
Dos IC son
Tres o más
Afectación
Afectaci
IV
Afectación nacion
Dos IC son afe
Tres o más IC
Afectació
Afectación naci
Sólo es en un
Dos IC son
Tres o más
Afectació
Afectación naci
Sólo es en
Dos IC son
Afectación nacio
Sólo
Afectación nacio
Sólo es en
Dos IC son
Afectación
Afectaci
Afectación nacion
Tres o más IC son
Afectació
Afectación naci
Dos IC son afe
Tres o más IC
Afectació
Afectación naci
V
Tres o más IC son
Afectación nacio
Sólo es en un
Dos IC son
Tres o más
Afectación nacio
Dos IC son afe
Tres o más IC
Afectación nacio
Tres o más IC son
MATRIZ DE INTERDEPENDENCIA
Calificación
1
2
3
Calificación
1
2
3
Campos de gobierno
1 2 3
1 2 3
2 3 4
3 4 5
Descripción
Sólo es en una IC y un sólo campo de gobierno

Sólo es en una IC pero implica a dos campos de gobierno
Dos IC son afectadas, ambas en sólo un campo de gobierno
Sólo es en una IC pero implica a tres o más campos de gobierno
Dos IC son afectadas implicando a dos campos de gobierno
Tres o más IC son afectadas en un sólo campo de gobierno
Dos IC son afectadas implicando a tres o más campos de gobierno
Tres o más IC son afectadas implicando a dos campos de gobierno
res o más IC son afectadas implicando tres o más campos de gobierno
Interdependencia
1 2 3 4 5
I II III III IV
II III III IV IV
III III IV IV V
III IV IV V V
IV IV V V V
Descripción
Afectación municipal con interrupción por 24 horas o menos

Sólo es en una IC y un solo campo de gobierno
Afectación estatal con interrupción de hasta 72 horas
Tres o más IC son afectadas implicando tres o más campos de gobierno
Afectación nacional/internacional con interrupción de más de 72 horas

Matriz de Análisis de Riesgos - NVAVERS

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Matriz de Análisis de Riesgos - NVAVERS

Uploaded by

Copyright:

Available Formats

¿Existe Interdependencia con Descripción de las actividades y factores de éxito, así

Actividades que conforman el ¿La actividad

Se mantiene actualizada la agenda del C. Secretario.

Recibe la documentación en la ventanilla de oficialía

"Calendar" (aplicación para mantener y Ley de Seguridad a

Estación de Trabajo (Mac) del coordinador Ley de Seguridad a

Estación de Trabajo de Andrea Castellanos

ID Proceso ID de la IC Infraestructura Crítica

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-001 Estación de trabajo (Mac)

Unidad de almacenamiento compartida

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-003 Infraestructura TIC

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-005 Aplicación "Calendar"

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-006 Ms office

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-009 Correo electrónico

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-011 Acrobat

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-012 Estación de trabajo

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-013 Redes WAN

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-014 Redes LAN

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-015 Sistemas Operativos

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-016 Servidores

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-017 Dispositivos de seguridad perimetral

SHCP-OFSEC-AGSEC-1 SHCP-OFSEC-AGSEC-018 Centro de datos

Estación de Trabajo de Andrea

Estación de Trabajo de Elvia

Estación de Trabajo de Patricia

Infraestructura TIC Hardware habilitador del servicio 2 2 3 2

Plataforma tecnológica para la

¿El activo de información es Módulo de la aplicación o módulo

Código Riesgos Amenaza - Agente de amenaza Activos(Clúster)

SHCP-OFSEC-AGSEC-RG001 Robo - Comunidad, Grupo subversivo, Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG002 Robo - Personal interno descontento(intencional), Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG004 Acceso no autorizado - Personal externo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG005 Acceso no autorizado - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG006 Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG007 Acceso no autorizado - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG009 Código malicioso - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG010 Código malicioso - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG011 Código malicioso - Personal interno inexperto Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG013 Negación de servicio - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG014 Negación de servicio - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG015 Negación de servicio - Personal interno inexperto Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG018 Crackeo de contraseñas - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG019 Crackeo de contraseñas - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG021 Modificación de datos - Comunidad, Grupo Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG022 Modificación de datos - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG023 Modificación de datos - Personal interno Aplicación - Calendar (iCloud)

SHCP-OFSEC-AGSEC-RG025 Incendio - Comunidad, Grupo subversivo, Documento

SHCP-OFSEC-AGSEC-RG027 Incendio - Personal interno inexperto (accidental) Documento

SHCP-OFSEC-AGSEC-RG028 Incendio - Personal externo (Proveedor, Documento

SHCP-OFSEC-AGSEC-RG030 Robo - Comunidad, Grupo subversivo, Documento

SHCP-OFSEC-AGSEC-RG032 Robo - Personal externo (Proveedor, Contratista, Documento

SHCP-OFSEC-AGSEC-RG033 Acceso no autorizado - Personal externo Documento

SHCP-OFSEC-AGSEC-RG034 Acceso no autorizado - Comunidad, Grupo Documento

SHCP-OFSEC-AGSEC-RG036 Acceso no autorizado - Personal interno Documento

SHCP-OFSEC-AGSEC-RG038 Modificación de datos - Comunidad, Grupo Documento

SHCP-OFSEC-AGSEC-RG040 Modificación de datos - Personal interno Documento

SHCP-OFSEC-AGSEC-RG042 Incendio - Comunidad, Grupo subversivo, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG045 Incendio - Personal externo (Proveedor, Equipo de cómputo

SHCP-OFSEC-AGSEC-RG046 Sismo - Natural Equipo de cómputo

SHCP-OFSEC-AGSEC-RG047 Inundación - Material (falla) Equipo de cómputo

SHCP-OFSEC-AGSEC-RG048 Interrupción energía eléctrica - Material (falla) Equipo de cómputo

SHCP-OFSEC-AGSEC-RG049 Interrupción energía eléctrica - Natural Equipo de cómputo

SHCP-OFSEC-AGSEC-RG050 Interrupción energía eléctrica - Comunidad, Equipo de cómputo