Professional Documents
Culture Documents
Analisis de Riesgo 2-2022
Analisis de Riesgo 2-2022
1
2
3
4
a
a 1
a 2
a 2
a 2
1
2
3
3 1
3 2
3 3
4
1
2
3
4
H.IR
H.IR
H.IR 2
H.IR 2 1
H.IR 2 1 1
H.IR 2 1 2
H.IR 2 1 3
H.IR 2 1 4
H.IR 2 1 5
H.IR 2 1 6
H.IR 2 1 7
H.IR 2 1 8
H.IR 2 2
H.IR 2 3
H.IR 2 4
H.IR 2 5
H.IR 2 6
H.IR 2 7
H.IR 2 8
H.IR 2 9
H.IR 2a
H.IR 2b
H.IR 2c
H.IR 2d
H.IR 2e
H.IR 2f
H.IR
H.IR 3
H.IR 3 1
H.IR 3 2
H.IR 3 3
H.IR 3 4
H.IR
H.IR 1
H.IR 2
H.IR 3
H.IR 3
H.IR 3
H.IR 3
H.IR 3
H.IR 4
H.IR 5
H.IR 5 1
H.IR 5 2
H.IR 6
H.IR 6 1
H.IR 6 2
H.IR 7
H.IR 8
H.IR 8 1
H.IR 8 2
H.IR 8 3
H.IR 8 4
H.IR 4
H.IR
H.IR 1
H.IR 2
H.IR 3
H.IR 4
H.IR 5
H.IR 5
H.IR 5 1
H.IR 5 2
H.IR
H.IR 1
H.IR a
H.IR a 1
H.IR a 1 1
H.IR a 1 2
H.IR b
H.IR b 1
H.IR b 2
H.IR b 3
H.IR b 4
H.IR b 5
H.IR b 6
H.IR c _
H.IR c 1
H.IR c 2
H.IR c 3
H.IR c 4
H.IR d
H.IR d 1
H.IR d 2
H.IR d 3
H.IR d 4
H.IR d 5
H.IR e
H.IR e 1
H.IR e 2
H.IR e 3
H.IR e 3 1
H.IR e 3 2
H.IR e 3 3
H.IR e 3 4
H.IR e 3 5
H.IR e 4
H.IR f
H.IR f 1
H.IR f 2
H.IR f 3
H.IR g
BC
BC
BC 1
13 BC 1 1 1
13 BC 1 1 2
13 BC 1 1 3
13 BC 1 1 4
13 BC 1 1 5
BC
BC 1
BC 2
BC 3
BC 4
BC 5
BC 6
BC 7
BC 8
BC 9
BC a
BC b
BC c
BC d
BC e
BC f
BC g
BC h
BC i
13 BC BIA
BC BIA 1
BC BIA 2
BC BIA 3
BC BIA 4
BC BIA 5
BC BIA 6
BC
BC BIA 1
BC BIA 2
BC BIA 3
BC BIA 4
BC BIA 5
BC BIA 5 1
BC BIA 5 2
BC BIA 5 3
BC BIA 5 4
BC 5
BC 5 1_
BC 5 2_
BC 5 3_
BC DRP
BC DRP 1
BC DRP 2
BC DRP 3
BC DRP 3 1
BC DRP 3 2
BC DRP 4
BC DRP 4 1
BC DRP 4 2
BC DRP 5
BC DRP 5 1
BC DRP 5 2
BC DRP 5 3
BC DRP 5 4
BC DRP 5 5
BC DRP 5 6
BC DRP 5 7
BC DRP 5 8
BC DRP 5 9
BC DRP 5a
BC DRP 6
BC DRP 7
BC DRP 7 1
BC DRP 7 2
BC DRP 7 3
BC DRP 7 4
BC DRP 7 5
BC DRP 7 6
BC 7
BC 7 1
BC 7 2
G
G
G 1
G 1 1
G 1 2
G 1 3
G 1 4
G 1 5
G 1 6
G 2
G 2 1
G 2 2
G 2 3
G 2 4
G 3
G 3 1
G 3 2
G 3 3
G 3 4
G 4
G 4 1
G 4 2
G 4 3
G 4 4
G 5
G
G
G
G
G
G
G
G
G
de informacion
A SEGURIDAD DE LA INFORMACION
NFORMATION SYSTEMS AND ORGANIZATIONS REV 3
[PS.AT.4.3] Reforzamiento regular
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con cada sistema específico
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con cada sistema específico
[G.1.4.3] Se documentan los detalles de cada responsabilidad
[G.1.4.4] Se definen y documentan claramente los niveles de autorización
[G.1.5] Se dispone de asesoramiento especializado en seguridad
[G.2] Documentación técnica (componentes)
[G.3] Documentación organizativa (normas y procedimientos)
[G.4] Protección de datos de carácter personal (Documento de segurida
[RM] Gestión de riesgos
[G.plan] Planificación de la seguridad
[G.exam] Inspecciones de seguridad
[G.8] Salvaguarda de los registros de la Organización (vital records)
[E] Relaciones Externas
[E.1] Acuerdos para intercambio de información y software
[E.1.1] Se define la propiedad de la información y del software
[E.1.2] Se definen responsabilidades de custodia
[E.1.3] Se definen responsabilidades sobre datos de carácter personal
[E.1.4] IPR: Se definen responsabilidades sobre protección de la propiedad intelectual / industrial
[E.1.5] Se definen responsabilidades en materia de legislación
[E.1.6] Se definen responsabilidades para el control y notificación del envío, transmisión y entrega
[E.1.7] Se definen responsabilidades y obligaciones en caso de incidente de seguridad
[E.1.8] Se protege el derecho de auditar directamente o por terceros el cumplimiento de las responsabilidades contractuales
[E.1.9] Se establecen restricciones en la copia o divulgación de la información
[E.1.a] Se garantiza la confidencialidad de la información
[E.1.b] Se garantiza la integridad de la información
[E.1.c] Se garantiza la disponibilidad de la información
[E.1.h] Se determinan los estándares técnicos adecuados para el encapsulado de la información y su transmisión
[E.1.i] Se dispone de normativa para la identificación del mensajero
[E.2.6] Se garantiza el derecho para controlar (y suspender en su caso) la actividad de los usuarios
[NEW] Adquisición / desarrollo
[NEW.S] Servicios: Adquisición o desarrollo
[NEW.S.1] Se asignan recursos suficientes
[NEW.S.2] Se establecen previamente los requisitos funcionales
[NEW.S.3] Se identifican los requisitos de seguridad de acuerdo a los condicionantes del negocio
[NEW.S.3.1] Se tienen en cuenta las obligaciones legales
[NEW.S.3.2] Se tienen en cuenta las obligaciones contractuales
[NEW.S.3.3] Se tienen en cuenta los estándares aplicables
[NEW.S.3.4] Se tiene en cuenta la política de seguridad de la organización
2 1 H VM _ _ Gestion de vulnerabilidades
1 H VM 1 _ Se dispone de persona dedicadas a la gestion de vulnerabilidades
1 H VM 2 _ Se han previsto mecanismos para estar informados de vulnerabilidades
1 H VM 3 _ Herramientas de analisis de vulnerabilidades
1 H VM 4 _ Se analiza el impacto potencial(estimacion de riesgo)
1 H VM 5 _ Pruebas de penetracion
1 H VM 6 _ Se dispone de procedimientos de reaccion
1 H VM 7 _ Actuaciones
2 1 H AU _ _ Registro y auditoria
1 H AU 1 _ Administracion
1 H AU 2 _ Herramientas
1 H AU 3 _ Informacion
1 H AU 4 _ Actividades
1 1 2 D
[D] Protección de la Información
2 2 D 1 _ _ Se dispone de un invetario de activos de informacion
2 D 1 1 1 Se dispone de un registro de activos de informacion
2 D 1 2 2 Se identifica al propietario (personas responsables)
2 D 1 3 3 El inventario se actualiza regularmente
2 2 D 3 _ _ Normatividad
2 D 3 1 _ Se clasifica la informacion
2 D 3 1 1 Se dispone de normativa para el tratamiento de informacion clasificada
2 D 3 1 2 Se dispone de procedimiento para el tratamiento de informacion clasificada
2 D 3 1 3 El nivel de clasificacion se mantiene cuando la informacion se transmite
2 D 3 2 _ Atributos de seguridad
El sistema mantiene los atributos de seguridad intimamente ligados a la informacion
2 D 3 2 1 almacenada, en procesis y transmitida
Los atributos de seguridad se mantiene asociados a la informacion cuando esta se
2 D 3 2 2 intercambia con otros sistemas
2 D 3 3 _ Se protegen los derechos de propiedad intelectual de la informacion
2 D 3 3 1 Se dispone de normativa relativa al cumplimiento de los derechos
2 D 3 3 2 Se dispone de los documentos que acreditan la propiedad
2 D 3 3 3 Se dispone de un procedimiento para copias
2 D 3 3 4 Se dispone de mecanismos de auditoria
2 D 3 4 _ Se dispone de normativa de retencion de datos
2 2 D I _ _ Proteccion de la integridad
2 D I 1 _ Se dispone de normativa para la proteccion de la integridad
2 D I 2 _ Se dispone de procedimientos para la proteccion de la integridad
2 D I 3 ? Mecanismos de integridad
2 2 D 5 _ _ Proteccion de la confidencialidad
2 D 5 C _ Cifrado de la informacion
2 D 5 C 1 Se dispone de normativa relativa al uso de cifra
2 D 5 C 2 Se dispone de procedimientos relativos al cifrado de informacion
2 D 5 C 3 Se han designado responsables
2 D 5 C 4 Mecanismos de cifrado
2 D 5 2 _ Limpieza de documentos publicados
2 D 5 2 1 Se elimina notas y comentarios
2 D 5 2 2 Se elimina la informacion de versiones previas
2 D 5 2 3 Se elimina Meta-datos
2 D 5 3 _ Marcado de la informacion
2 D 5 3 1 Marcado visibles a efectos disuasorios
2 D 5 3 2 Marcado a efectos de deteccion y persecusion
1 1 3 S
[S] Protección de los Servicios
2 3 S 1 _ _ Uso de los servicios
3 S 1 1 _ Se dispone de normativa relativa al uso de los servicios
3 S 1 2 _ Se dispone de un registro de servicios a usuarios
3 S 1 3 _ Uso del correo electronico (e-mail)
3 S 1 3 1 Se dispone de normativa de uso
3 S 1 3 2 Se detecta casos de uso inaceptable
3 S 1 3 3 Se verifica regularmente que se cumple la politica
3 S 1 3 4 Se forma a los usuarios en el uso de los servicios
3 S 1 3 5 Se dispone de un procedimiento de actuacion en caso de incumplimiento
3 S 1 3 6 Se aplica medidas disciplinarias en caso de incumplimiento
3 S 1 3 7 Proteccion de la informacion
3 S 1 3 8 Medidas frente a la recepcion de spam
3 S 1 3 9 Medidas frente a codigo dañino en los clientes de correo
3 S 1 3 a Software de prestacion del servicio
3 S com
1 internet
_ Navegacion web
3 S com
1 internet
1 Se dispone de normativa de uso
3 S com
1 internet
2 Herramienta de monitorizacion del trafico
3 S com
1 internet
3 Herramienta de control de contenidoscon filtros actualizados
3 S com
1 internet
4 Se registra la navegacion web
3 S com
1 internet
5 Se han instalado herramientas anti spyware
3 S com
1 internet
6 Se deshabilitan las "cookies"en los navegadores
3 S com
1 internet
7 Se controla la ejecucion de codigo movil (ej applets)
3 S com
1 internet
8 Software de prestacion del servicio
2 3 S TW _ _ Teletrabajo
3 S TW 1 _ Se han designado al responsable de la administracion del servicio
3 S TW 2 _ Se dispone de normativa de uso
3 S TW 3 _ Se forma a los usuarios en el uso de los servicios
3 S TW 4 _ Se detectan casos de uso inaceptable
3 S TW 5 _ Se verifica regularmente que se cumple la politica
3 S TW 6 _ Se dispone de procedimientos para gestion del teletrabajo
3 S TW 7 _ Se aplican medidas disciplinarias en caso de incumplimiento
3 S TW 8 _ Se requiere autorizacion previa
3 S TW 9 _ Estudio de las caracteristicas especificas del emplazamiento
2 3 S 3 _ _ Servicios subcontratados
3 S 3 1 _ Aspectos generales
3 S 3 1 1 Se dispone de un registro de servicios subcontratados
3 S 3 1 2 Se requiere aprobacion previa para el uso de servicios externos
3 S 3 1 3 Se identifica las aplicaciones sensibles o criticas que deben retener la organización
3 S 3 1 4 Se identifican los riesgos derivados de depender de un proveedor externo
4 S 4 2 _ Contratos de prestacion de servicios
4 S 4 2 1 Se define la politica aplicable sobre seguridad de la informacion
4 S 4 2 2 Constan las obligaciones de todas las partes
4 S 4 2 3 Se incluyen los requisitos de seguridad
Se define y se incorpora al contrato el procedimiento para medir el cumplimiento de las
4 S 4 2 4 medidas de seguridad
4 S 4 2 5 IPR: Se comtemplan los temas relativos a propiedad intelectual
4 S 4 2 6 Se contempla la proteccion de la informacion de carácter personal
4 S 4 2 7 Se establecen los terminos para la implicacion de terceros (subcontratistas)
4 S 4 2 8 Se describen los servicios disponibles
4 S 4 2 9 Se definen las responsabilidades sobre instalacion y mantenimiento de HW y SW
4 S 4 2 a Se definen las responsabilidades en la supervision del cumplimiento del contrato
5 S 5 3 _ Operación
5 S 5 3 1 Se analiza continuamente el nivel de riesgo
5 S 5 3 2 Se establecen controles para proteger la informacion
5 S 5 3 3 Se activan los servicios de registro de actividad
5 S 5 3 4 Se establecen controles de proteccion fisica
5 S 5 3 5 Se establecen controles de monitorizacion y verificacion del rendimiento
Se definen responsabilidades y procedimientos para notificar y gestionar los incidentes de
5 S 5 3 6 seguridad
5 S 5 3 7 Se definen procedimientos para notificar e investigar los incidentes y fallos de seguridad
5 S 5 3 8 Se definen formatos y medios de reporte
5 S 5 3 9 Se establece un procedimiento de escalado para la resolucion de incidentes
5 S 5 3 a Se establece un protocolo especifico de reaccion frente a codigo dañino
5 S 5 3 b Se establecen previsiones para trslados de personal cuando sea oportuno
5 S 5 3 c Se forma a los administradores y usuarios en los metodos y procedimientos de seguridad
6 S 6 4 _ Gestion de cambios
6 S 6 4 1 Se establece un protocolo formal para la modificacion de los servicios prestados
Se establece un protocolo formal para la gestion de cambios realizados en los sistemas
6 S 6 4 2 del proveedor
7 S 7 5 _ Autenticacion del servidor
7 S 7 5 1 Se autentica el servidor antes de transferir informacion alguna
7 S 7 5 2 Mecanismo de autenticacion
7 S 7 5 3 Proteccion de datos y software de autenticacion
7 S 7 5 4 Se toman medidas para impedir el secuestro de sessiones establecidas
8 S 8 6 _ Continuidad de operaciones
8 S 8 6 1 Se analizan las implicaciones para la cotinuidad del negocio
8 S 8 6 2 Se establece un protocolo de actuacion en caso de contingencias
8 S 8 6 3 Se dispone de medios alternativos
Los medios alternativos estan sujetos a las mismas garantias de proteccion que los
8 S 8 6 4 medios habituales
9 S 9 7 _ Desmantelamiento
9 S 9 7 1 Se requiere autorizacion previa
9 S 9 7 2 Se estudia el impacto en el negocio
9 S 9 7 3 Se planifica de forma que minimice la interrupcion del servicio
9 S 9 7 4 Destruccion de la informacion en el proveedor
9 S 9 7 5 Desactivacion del servicio por personal autorizado
9 S 9 7 6 Se actualizan todos los procedimientos de produccion afectados
9 S 9 7 7 Se actualizan todos los procedimientos de recuperacion afectados
1 1 4 SW
[SW] Protección de las Aplicaciones Informáticas (SW)
2 4 SW 1 _ _ Se disponde de un inventario de de aplicaciones
4 SW 1 1 _ Se dispone de un registro de aplicaciones
4 SW 1 2 _ Se dispone de un registro de software de base
4 SW 1 3 _ Se dipone de un registro de sistemas operativos
4 SW 1 4 _ Se identifica el propietario (persona responsable)
4 SW 1 5 _ El inventario se actualiza regularmente
2 4 SW 7 _ _ Puesta en produccion
4 SW 7 1 Se dispon de normativa de paso a operaciones /produccion
4 SW 7 2 Se dispone de procedimientos de paso a operación /produccion
4 SW 7 3 Se requiere autorizacion previa
4 SW 7 4 Se revisa la correccion y completitud de la documentacion
4 SW 7 5 Se verifica el funcionamiento de los controles de seguridad
4 SW 7 6 Se verifica el funcionamiento de los registros de actividad
4 SW 7 7 Se requiere haber pasado las pruebas de aceptacion
2 4 SW 8 _ _ Se aplican perfiles deseguridad
4 SW 8 1 _ Se reduce las opciones a las mismas necesarias
4 SW 8 2 _ Se elimina, o modifican, las cuentas estandar de usuario
4 SW 8 3 _ Se elimina, o modifica, las cuentas estandar de administracion
4 SW 8 4 _ Solo los administradores autorizados pueden modificar la configuracion
4 SW 8 5 _ Las funciones activadas se configuran de forma segura
4 SW 8 6 _ Se aplica la regla de seguridad por defecto
4 SW 8 7 _ Se activan los servicios de registro de uso
4 SW 8 8 _ La aplicación del perfil se revisa periodicamente
2 4 SW 9 _ _ Explotacion / produccion
4 SW 9 1 _ Se dispone de norativa relativa al software en produccion
4 SW 9 2 _ Los sistemas de produccion no contienen herramientas de desarrollo
4 SW 9 3 _ Se controla la integridad del codigo ejecutable
4 SW 9 3 1 Se chequea regularmente que le ejecutable no se ha modificado
4 SW 9 3 2 Se ejecuta desde soportes de solo lectura
EL sistema emplea diferentes tecnologias de componentes para evitar puntos unicos de
4 SW 9 4 _ fallo tecnologico
4 SW 9 5 _ Aislamiento de sistema que maneje asuntos delicados
4 SW 9 5 1 Se ha identificado el nivel de sensibilidad de la informacion
4 SW 9 5 2 Se identifican los recursos compratidos y se erquier autorizacion del responsable
4 SW 9 5 3 Las aplicaciones criticas se instalan en maquinas dedicadas
4 SW 9 6 _ Seguridad de las aplicaciones
4 SW 9 6 1 Validacion de los datos de entrada
4 SW 9 6 2 Se verifica la consistencia interna de los datos
4 SW 9 6 3 Validacion de los datos de salida
4 SW 9 7 _ Seguridad de los ficheros de datos de la aplicación
4 SW 9 7 1 Se asegura la confidencialidad
4 SW 9 7 2 Se asegura la integridad
4 SW 9 7 3 Se asegura la autenticidad
4 SW 9 7 4 Se realiza copias de seguridad (backups)
4 SW 9 8 _ Se protegen los ficheros de configuracion
4 SW 9 8 1 Se asegura la integridad
4 SW 9 8 2 Se realiza copias de seguridad (backups)
4 SW 9 8 3 Se asegura la autenticidad
4 SW 9 8 4 Se asegura la confidencialidad
4 SW 9 9 _ Se protegen los ficheros del sistema
4 SW 9 9 1 Se realiza copias de seguridad (backups)
4 SW 9 9 2 Se asegura la integridad
4 SW 9 9 3 Se asegura la autenticidad
4 SW 9 9 4 Se asegura la confidencialidad
4 SW 9 a _ Se controla la ejecucion de codigo movil (ej applets)
4 SW 9 a 1 Se imponen restricciones en el uso de codigo propio
4 SW 9 a 2 Se imponen restricciones en el uso de codigo externo
4 SW 9 b _ Ejecucion de programas colaborativos (ej. Teleconferencias)
4 SW 9 b 1 Se imponen restricciones en el uso de programas propios
4 SW 9 b 2 Se imponen restricciones en el uso de codigo externos
4 SW 9 c _ Seguridad de los mecanismos de comunicación entre procesos
4 SW 9 c 1 Se asegura la confidencialidad
4 SW 9 c 2 Se asegura la integridad
4 SW 9 c 3 Se asegura la autenticidad
4 SW 9 c 4 Encuanto es posible, se limitan los almacenes temporales
4 SW 9 d _ Regularmente se realiza un analisis de vulnerabilidades, y se actuan en consecuencia
4 SW 9 e _ Formacion del personal en configuracion de aplicaciones
2 4 SW b _ _ Terminacion desmantelamiento
4 SW b 1 _ Se actualizan todos los procedimientos de recurperacion afectados
1 1 5 HW
[HW] Protección de los Equipos Informáticos (HW)
2 5 HW 1 _ _ Se disponde de un inventario de equipos
5 HW 1 1 _ Se disponede un registro de equipos ejenos
5 HW 1 2 _ Se dispone de un registro de equipos ajenos
5 HW 1 3 _ Se identifica el propietario (persona responsable)
5 HW 1 4 _ El inventario se actualiza regularmente
5 HW 1 5 _ Se registra los traslados internos
2 5 HW 9 _ _ Instalacion
5 HW 9 1 _ El equipo se instala atendiendo a las especificaciones del fabricante
5 HW 9 2 _ Se evita que por acceder a este equipo se abra el acceso a otros
5 HW 9 3 _ Se evita el acceso visual a patallas y monitores por personas no autorizadas
2 5 HW op _ _ Operación
5 HW op 1 _ Proceso de autorizacion de recursos para el tratamiento de la informacion
5 HW op 1 1 Los nuevos medios deben tener la aprobacion adecuada, autorizando su proposito y uso
5 HW op 1 2 Se comprueba que son compatibles con los demas dispositivos del sistemas
Se requiere autorizacion previa para el uso de medios informaticos personales para el
5 HW op 1 3 tratamiento de lainformacion de la organización
EL sistema emplea diferentes tecnologias de componentes para evitar puntos unicos de
5 HW op 2 _ fallo tecnologico
5 HW op 3 _ Proteccion fisica de los equipos
5 HW op 3 1 Los equipos se distruyen adecuadamente
Los elementos que requieren especial proteccion se aislan para reducir el nivel general de
5 HW op 3 2 proteccion requerido
5 HW op 3 3 Se controla el acceso a los equipos de presentacion (impresora, pantallas, etc)
5 HW op 3 4 Se controla el acceso a los dispositivos moviles y portatiles
5 HW op 3 5 Los elementos faciles de llevar se encadenan
5 HW op 3 6 El equipamiento se protege convenientemente cuando no se emplea
5 HW op 3 7 Los dispositivos moviles o portatiles se almacenan en contenedores de seguridad
5 HW op 4 _ Seguridad del equipamiento de oficina
Se identifican las vulnerabilidades en el uso del equipamiento de oficina(fotocopiadoras,
5 HW op 4 1 FAX, etc)
Se dispone de normativa sobre el manejo de informacion compartida, e implantacion de
5 HW op 4 2 medidas
Se dispone de normativa de manejo de informacion sensible en funcion de la seguridad
5 HW op 4 3 que proporcionan los medios
Se restringen las aplicaciones del negocio que pueden ser manejadas por cada
5 HW op 4 4 equipamiento de oficina
5 HW op 4 5 Se restringe el acceso a la informacion diaria
5 HW op 4 6 Se ha identificado el personal autorizado de acceder al sistema(contratistas, socios, etc)
5 HW op 4 7 Se ha restringido las localizaciones desde donde se puede acceder al sistema
5 HW op 4 8 La asignacion de permisos y recursos se realiza en funcion de roles de usuarios
5 HW op 4 9 Se dispone de procedimiento de gestion y recuperacion ante incidentes
5 HW op 5 _ Seguridad de los equipos fuera de las instalaciones
Se requiere autorizacion previa para el uso de equipos para tratamiento de informacion
5 HW op 5 1 fuera de los locales de la organización
5 HW op 5 2 Se identifica a las personas autorizacion
5 HW op 5 3 Registro
5 HW op 5 4 Se dispone de normativa de uso de equipos fuera de las instalaciones
5 HW op 5 5 El activo se protege tecnicamente antes de su salida
Se proporciona una seguridad equivalente a la de los equipos instalados dentro para el
5 HW op 5 6 mismo proposito
5 HW op 5 7 Dispositivos criptograficos (HSM)
5 HW op 5 8 Formacion del personal en configuracion de equipos
5 HW op 6 _ Proteccion de los dispositivos de red
5 HW op 6 1 Se requiere autorizacion previa para su utilizacion
5 HW op 6 2 Actualizacion regular por el fabricante / proveedor
Todos los terminales conectados estan univocamente identificados (direcciones MAC, IPS
5 HW op 6 3 estatica, etc)
5 HW op 6 4 Los usuarios no pueden alterar la identificaciondel equipo
5 HW op 6 5 Los dispositivos de identifican y autentican antes de conectarse al sistema
5 HW op 6 6 Se deshabilitan todos los servicios o utilidades no empleados
5 HW op 6 7 Se controla el acceso a las consolas de administracion
5 HW op 6 8 Las sesiones inactivas se desconectan automaticamente
5 HW op 6 9 Se eliminan, o se modifican, las cuentas y contraseñas preconfiguradas
5 HW op 6 a Se prohibe la comparticion de cuentas de administracion
5 HW op 6 b Administracion remota
5 HW op 7 _ Dispositivos criptograficos (HSM)
5 HW op 7 1 Se tienen en cuenta los requisitos legales y contractuales
5 HW op 7 2 Los dispositivos se identifican y autentican antes de conectarse al sistema
5 HW op 7 3 Autenticacion segura previa al acceso a los servicios criptograficos
5 HW op 8 _ Formacion del personal en configuracion de equipos
2 5 HW e _ _ Maquinas virtuales
5 HW e 1 _ Para la creacion de nuevas maquinas virtuales se requiere autorizacion previa
5 HW e 2 _ Se controla el hypervisor
5 HW e 2 1 Se controla el acceso al hyperviror
5 HW e 2 2 Se controla el acceso a recursos compartidos
5 HW e 3 _ Se controla el acceso a las imágenes de las maquinas virtuales
5 HW e 4 _ Se protegen las copias de seguridad de las imágenes de las maquinas virtuales
5 HW e 5 _ Notuales se instalan sobre el mismo equipo anfitrion servidores y clientes virtuales
No se instalan sobre el mismo equipo anfitrion equipos de frontera y equipos internos (ej.
5 HW e 6 _ Cortafuegos, pasarelas, etc)
5 HW e 7 _ Retirada de servicio
5 HW e 7 1 Se registra la retirada del servicio
Se aplican al soporte de la imagen virtual los mecanismos previstos para soportes de
5 HW e 7 2 informacion
2 6 COM OP _ _ Operación
6 COM OP 1 _ Control de acceso a la red
6 COM OP 1 1 Se dispone de normativa de uso de los servicios de red
6 COM OP 1 2 Se requiere autorizacon para que medios y dispositivos tengan acceso a redes y servicios
6 COM OP 1 3 Acceso remoto
6 COM OP 1 4 Proteccion de los puertos de diagnostico remoto
6 COM OP 1 5 Autenticacion de nodos de la red
6 COM OP 1 6 Control del encaminamiento
6 COM OP 2 _ Seguridad de los servicios de red
6 COM OP 2 1 Se monitorizan los servicios de red
6 COM OP 2 2 Revsiones periodicas de la seguridad
6 COM OP 3 _ Se preve proteccion frente a analisis dee trafico
6 COM OP 4 _ Formacion del personal en configuracion de las comunicaciones
2 6 mobile _
COM _ Telefonia movil
6 mobile 1
COM _ Se asegura la confidencialidad
6 mobile 1
COM 1 Se emplean dispositivos que indiquen la ausencia de cifrado en la pantalla
6 mobile 1
COM 2 Se utiliza cifrado para los grupos cerrados de usuarios
6 mobile 2
COM _ Revision de la facturaciones detalladas en busca de numeros de telefono desconocido
6 mobile 3
COM _ Se verifica que todas las llamadas realizadas por el telefono se reflejan en la factura
6 mobile 4
COM _ Prevencon del uso en areas de seguridad
6 mobile 4
COM 1 Prohibicion de introduccion de telefonos moviles en las areas de seguridad
6 mobile 4
COM 2 Se emplean dispositivos pasivos de deteccion
6 mobile 4
COM 3 Se emplean dispositivos activos de deteccion
6 mobile 5
COM _ Los termianles se inspeccionan periodicamente para detectar manipuaciones
6 mobile 6
COM _ Se prohibe la conexión a ordenadores que manejen datos sensibles
6 mobile 7
COM _ Comunicacon inmediata de las sustracciones de tarjetas o terminales
6 mobile 8
COM _ Intercambio de terminales y tarjetas entre usuarios
6 mobile 9
COM _ Se evita la publicacion de los numeros telefonicos en guias
1 1 7 IP
[IP] Puntos de interconexión: conexiones entre zonas de confianza
2 7 IP 1 _ _ Administracion
7 IP 1 1 _ Las conexiones requieren autorizacion previa
7 IP 1 2 _ Se dispone de un inventario de conexiones autorizadas
7 IP 1 3 _ Se realiza un monitorizacion continua de las conexiones autorzadas
Los usuario y procesos autorizados a usar el enlace solo disfrutan de los derechos
7 IP 1 4 _ minimos
7 IP 1 5 _ Se revisan regularmente los usuarios y procesos autorizados
2 7 IP 2 _ _ Establecimiento de conexión
7 IP 2 1 _ Se identifican y autentican los usuarios antes de establecer el enlace
7 IP 2 2 _ Se identifican y autentican los procesos usuarios antes de establecer el enlace
7 IP 2 3 _ EL servidor se identifica y autentica antes de establecer el enlace
2 7 IP 5 _ _ Dispositivos portatiles
7 IP 5 1 _ Todo el trafico atraviesa el cortafuego
7 IP 5 2 _ Se controla estrictamente el trafico de retorno
1 1 8 MP
[MP] Protección de los Soportes de Información
2 8 MP 1 _ _ Se dispone de normativa relativa a soportes de informacion
8 MP 1 1 _ Uso de soportes de informacion
8 MP 1 2 _ Proteccion de los soportes en funcion de la informacion que contienen
8 MP 1 3 _ Normativa especificas para soportes removibles
2 8 MP 4 _ _ Gestion de soporte
8 MP 4 1 _ Manejo
8 MP 4 1 1 [MP.4.1.1] Se imponen restricciones de acceso para impedir el acceso no autorizado
8 MP 4 1 2 [MP.4.1.2] Los soportes se guardan en lugar seguro cuando no están en uso
8 MP 4 1 3 [MP.4.1.3] Se reduce al mínimo imprescindible la distribución de soportes
[MP.4.1.4] Se realizan revisiones periódicas de las listas de distribución y destinatarios
8 MP 4 1 4 autorizados
[MP.4.1.5] Quedan registradas las operaciones de creación, modificación y borrado, a
8 MP 4 1 5 efectos de trazabilidad
8 MP 4 1 6 [MP.4.1.6] Se requiere autorización previa antes de desprenderse de un soporte
8 MP 4 2 _ Etiquetado
8 MP 4 2 1 [MP.4.2.1] Se dispone de normativa para el etiquetado y cambio de etiquetas
8 MP 4 2 2 [MP.4.2.2] Se dispone de procedimientos para el etiquetado y cambio de etiquetas
[MP.4.2.3] Se marcan todos los soportes indicando la clasificación de la información que
8 MP 4 2 3 contienen o pueden contener
8 MP 4 2 4 [MP.4.2.4] Cuando se trabaja con contenedores de varios soportes
8 MP 4 2 5 [MP.4.2.5] La etiqueta sólo permite conocer el nivel de clasificación, no la información
[MP.4.2.6] Los usuarios disponen de medios y formación para interpretar correctamente lo
8 MP 4 2 6 significado por las etiquetas
8 MP 4 3 _ Transporte de soporte
8 MP 4 3 1 [MP.4.3.1] Se dispone de normativa para el transporte de soportes
8 MP 4 3 2 [MP.4.3.2] Se dispone de procedimientos para el transporte de soportes
8 MP 4 3 3 [MP.4.3.3] Transportes y mensajeros
8 MP 4 3 4 [MP.4.3.4] Se requiere confirmación de entrega
[MP.4.3.5] Se utilizan contenedores adecuados contra cualquier daño físico y de acuerdo
8 MP 4 3 5 a las especificaciones de los fabricantes
[MP.4.3.6] Implantación de controles especiales para la protección de la información
8 MP 4 3 6 sensible
8 MP 4 3 7 [MP.4.3.7] Registro de envío y recepción
8 MP 4 4 _ Formacion del personal en gestion de soportes
2 8 MP 6 _ _ Contenedores de seguridad
8 MP 6 1 _ [MP.6.1] Armarios de seguridad
8 MP 6 2 _ [MP.6.2] Cajas fuertes
8 MP 6 3 _ [MP.6.3] Cámaras acorazadas
8 MP 6 4 _ [MP.6.4] Armarios ignífugos
2 10 L 9 _ _ [L.9] Vigilancia
[L.9.1] Se realizan rondas aleatorias de vigilancia en el perímetro del recinto, fuera de las
10 L 9 1 _ horas de trabajo
[L.9.2] Se realizan rondas aleatorias de vigilancia en el interior de los edificios, fuera de
10 L 9 2 _ las horas de trabajo
[L.9.3] La vigilancia se realiza desde un centro de control en el que se centralizan todos
10 L 9 3 _ los sistemas de seguridad
10 L 9 4 _ [L.9.4] El personal de vigilancia tiene instrucciones específicas de actuación
[L.9.5] La subcontratación del personal de vigilancia se realiza según lo establecido en la
10 L 9 5 _ normativa de Seguridad Privada
1 1 11 PS
[PS] Gestión del Personal
2 11 H 1 _ _ [PS.1] Se dispone de normativa relativa a la gestión de personal (en materia de seguridad)
[PS.2] Se dispone de procedimientos para la gestión de personal (en materia de
2 11 H 2 _ _ seguridad)
2 11 PS 6 _ _ [PS.6] Contratación
11 PS 6 1 _ [PS.6.1] Se dispone de normativa para la contratación de personal
11 PS 6 2 _ [PS.6.2] Se dispone de procedimientos para la contratación de personal
11 PS 6 3 _ [PS.6.3] Selección de personal
[PS.6.3.1] Personal propio: se comprueba previamente que el personal cumple los
11 PS 6 3 1 requisitos del puesto
[PS.6.3.2] Personal subcontratado: se comprueba previamente que el personal cumple los
11 PS 6 3 2 requisitos del puesto
[PS.6.3.3] Periódicamente se vuelve a comprobar para el caso de personal con puestos
11 PS 6 3 3 de gran responsabilidad
[PS.6.3.4] Se requiere una habilitación de seguridad de acuerdo al grado de clasificación
11 PS 6 3 4 de la información que se maneja
11 PS 6 4 _ [PS.6.4] Términos y condiciones de la relación laboral
[PS.6.4.1] Inclusión del ámbito, el alcance y el periodo de las responsabilidades en
11 PS 6 4 _ materia de seguridad
11 PS 6 4 _ [PS.6.4.2] Inclusión de obligaciones y derechos legales de ambas partes
[PS.6.4.3] Compromiso escrito de cumplimiento de la política y la normativa
11 PS 6 4 _ correspondiente
11 PS 6 4 _ [PS.6.4.4] Acuerdos de confidencialidad
11 PS 6 4 _ [PS.6.4.5] Procedimiento disciplinario
11 PS 6 5 _ [PS.6.5] Finalización de la relación laboral
11 PS 6 5 1 [PS.6.5.1] Entrevista previa a la finalización
11 PS 6 5 2 [PS.6.5.2] Recuperación de los elementos de seguridad a devolver (llaves, tarjetas, etc.)
[PS.6.5.3] Comunicación de la baja a los responsables de seguridad, y administradores
11 PS 6 5 3 del sistema
1 1 12 H.IR
[H.IR] Gestión de incidentes
2 12 H.IR 1 _ _ [H.IR.1] Se dispone de normativa de actuación para la gestión de incidentes
2 12 H.IR 3 _ _ [H.IR.3] El personal designado cubre las 24h los 7 días de la semana
1 1 14 G [G] Organización
2 14 G 1 _ _ [G.1] Organización interna
14 G 1 1 _ [G.1.1] Comité de seguridad de la información
14 G 1 1 1 [G.1.1.1] Está respaldado por la dirección
14 G 1 1 2 [G.1.1.2] Define claramente las funciones de seguridad
14 G 1 1 3 [G.1.1.3] Aprueba las designaciones de responsables de seguridad
14 G 1 1 4 [G.1.1.4] Identifica los objetivos de seguridad
14 G 1 1 5 [G.1.1.5] Revisa, evalúa y aprueba la normativa de seguridad
14 G 1 1 6 [G.1.1.6] Asegura la coordinación en materia de seguridad dentro de la organización
14 G 1 2 _ [G.1.2] Coordinación interna
14 G 1 2 1 [G.1.2.1] Representación de todos los áreas de la organización
[G.1.2.2] Se garantiza que todas las actividades de seguridad se llevan a cabo según la
14 G 1 2 2 política
14 G 1 2 3 [G.1.2.3] Se identifican no conformidades e incumplimientos
14 G 1 2 4 [G.1.2.4] Se aprueban metodologías, procedimientos, normas, etc
14 G 1 3 _ [G.1.3] Roles identificados
14 G 1 3 1 [G.1.3.1] Responsable(s) de la información
14 G 1 3 2 [G.1.3.2] Responsable(s) de los servicios
14 G 1 3 3 [G.1.3.3] Responsable de la seguridad de la información
14 G 1 3 4 [G.1.3.4] Responsable del sistema
14 G 1 4 _ [G.1.4] Asignación de responsabilidades para la seguridad de la información
14 G 1 4 1 [G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con
cada sistema específico
[G.1.4.1] Se identifican claramente los activos y los procesos de seguridad asociados con
14 G 1 4 2 cada sistema específico
14 G 1 4 3 [G.1.4.3] Se documentan los detalles de cada responsabilidad
14 G 1 4 4 [G.1.4.4] Se definen y documentan claramente los niveles de autorización
14 G 1 5 _ [G.1.5] Se dispone de asesoramiento especializado en seguridad
1 1 15 E
[E] Relaciones Externas
2 15 E 1 _ _ [E.1] Acuerdos para intercambio de información y software
15 E 1 1 _ [E.1.1] Se define la propiedad de la información y del software
15 E 1 2 _ [E.1.2] Se definen responsabilidades de custodia
15 E 1 3 _ [E.1.3] Se definen responsabilidades sobre datos de carácter personal
[E.1.4] IPR: Se definen responsabilidades sobre protección de la propiedad intelectual /
15 E 1 4 _ industrial
15 E 1 5 _ [E.1.5] Se definen responsabilidades en materia de legislación
[E.1.6] Se definen responsabilidades para el control y notificación del envío, transmisión y
15 E 1 6 _ entrega
15 E 1 7 _ [E.1.7] Se definen responsabilidades y obligaciones en caso de incidente de seguridad
15 E 1 k _
[E.1.k] Se dispone de normativa para la grabación y lectura de información y software
15 E 1 l _ [E.1.l] Se revisa regularmente el cumplimiento de acuerdos y contratos
15 E 2 5 _
[E.2.5] Se dispone de normativa para la autorización del acceso y concesión de privilegios
16 NEW S 3 _ [NEW.S.3] Se identifican los requisitos de seguridad de acuerdo a los condicionantes del
negocio
16 NEW S 3 1 [NEW.S.3.1] Se tienen en cuenta las obligaciones legales
16 NEW S 3 2 [NEW.S.3.2] Se tienen en cuenta las obligaciones contractuales
16 NEW S 3 3 [NEW.S.3.3] Se tienen en cuenta los estándares aplicables
16 NEW S 3 5
[NEW.S.3.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEW S 4 _ [NEW.S.4] Se identifican los requisitos técnicos de seguridad
16 NEW S 4 1 [NEW.S.4.1] Se tienen en cuenta los requisitos de control de acceso
16 NEW S 4 2 [NEW.S.4.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEW S 4 3 [NEW.S.4.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEW S 4 4 [NEW.S.4.4] Se tienen en cuenta los requisitos de integridad
16 NEW S 4 5 [NEW.S.4.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEW S 4 6 [NEW.S.4.6] Se tienen en cuenta los requisitos de autenticidad
16 NEW S 4 7 [NEW.S.4.7] Se tienen en cuenta los requisitos de trazabilidad (accounting)
16 NEW SW 2 5
[NEW.SW.2.5] Se tienen en cuenta requisitos futuros de certificación y/o acreditación
16 NEW SW 3 _ [NEW.SW.3] Se identifican los requisitos técnicos de seguridad
16 NEW SW 3 1 [NEW.SW.3.1] Se tienen en cuenta los requisitos de control de acceso
16 NEW SW 3 2 [NEW.SW.3.2] Se tienen en cuenta los requisitos de identificación y autenticación
16 NEW SW 3 3 [NEW.SW.3.3] Se tienen en cuenta los requisitos de disponibilidad
16 NEW SW 3 4 [NEW.SW.3.4] Se tienen en cuenta los requisitos de integridad
16 NEW SW 3 5 [NEW.SW.3.5] Se tienen en cuenta los requisitos de confidencialidad
16 NEW SW 3 6 [NEW.SW.3.6] Se tienen en cuenta los requisitos de auditoría
16 NEW SW 3 7 [NEW.SW.3.7] Se tienen en cuenta los requisitos de registro
16 NEW SW 4 _ [NEW.SW.4] Adquisición de aplicaciones SW
16 NEW SW 4 1 [NEW.SW.4.1] Adquisición de SW solamente de fuentes reputables
16 NEW SW 4 2 [NEW.SW.4.2] Se usan productos certificados / evaluados
16 NEW SW 5 _ [NEW.SW.5] Desarrollo
16 NEW SW 5 1 [NEW.SW.5.1] Metodología de desarrollo
16 NEW SW 5 2 [NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
16 NEW SW 5 3 [NEW.SW.5.2] Los desarrolladores cambian regularmente de asignaciones
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ T
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
A _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
_ _
CLASIFICACIÓN TIPOS DE AMENAZAS
[E] ERRORES Y
ANÁLISIS DE VAL [N] DESASTRES [I] DE ORIGEN
ID ID ACTIVO FALLOS NO
RIESGO PARA: ACTIVO NATURALES INDUSTRIAL
INTENCIONADOS
1 DT 1 HARDWARE Equipo de Computo 2 [N.2] (D)Daños por ag [I.6] (D) Corte d [E.23] (D) Erro
2 DT 4.1 SERVICIO Servidor AD 2 [N.*] (D)Desastres nat [I.10] (D) Degr [E.2] (CDI) Erro
3 DT 4.2 SERVICIO Servidor DHCP 2 [N.*] (D)Desastres nat [I.10] (D) Degr [E.4] (I) Errores de configuración
6 DT 4.3 HARDWARE Servidor DELL Powe 2 [N.*] (D)Desastres nat [I.7](D) Cond [E.4] (I) Errores de configuración
7 DT 4.4 HARDWARE Servidor DELL Powe 2 [N.*] (D)Desastres nat [I.7](D) Cond [E.4] (I) Errores de configuración
8 DT 4.5 HARDWARE Servidor DELL Powe 2 [I.7](D) Cond [E.4] (I) Errores de configuración
263
[N] Desastres naturales
[N.1] (D)Fuego
[A.13] ( I) Repudio
_
MAX
DEGRADACIÓN IMPACTO
DEGRADACIÓN
Control Existente
C I D
se mantiene el equipo en un lugar adecuado, tambien se tiene barras de multic 3 3 3 3 2
Servidor de respaldo en caso de fallas
_ _ 3 3 2.0
accesos restringidos
3_ 2 3 2
el ambiente cuenta con sistema de filtrado de agua y sitema de control de incendiosy tambien
extintores 2 3 3 2
el ambiente cuenta con sistema de filtrado de agua y sitema de control de incendiosy tambien
extintores 2 3 3 2
el ambiente cuenta con sistema de filtrado de agua y sitema de control de incendiosy tambien
extintores 2 3 3 2
copias de la informacion y control de accesos biometrico
3 1 2 2 1
alta gerencia tiene copia de los password del jefe de dtic
3 2 2 2 1
se cuenta con bitacoras y registros manuales, identificacion con foto
4 3 3 3 2
se tiene un sistema PAM(gestion de acceso con prilegios)que garantiza que las p 4 4.0 3 4 2
_ 1 2 2 1
La pc tiene que solo puede ser usada por el adminitrados con credenciales de acceso
respectiva y no se debe conectar dispositivos externos 4 1 2 2 1
se tiene un Firewall de software que
suele ser muy útil para crear una defensa en profundidad al aislar los puntos finales de red
4 2 2 3 2
individuales entre sí
tener copias de la informacion y si es posible contar con los docuemtos de manera fisica
4 3_ 4 2
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
PROBABILIDAD
RIESGO NR
DE OCURRENCIA
CONTROLES
ADICIONALES
2 3 ALTO
1 2 MEDIO
aceso restringido a l CPD
1 2 MEDIO solo personal autorizado
aceso restringido a l CPD
1 2 MEDIO solo personal autorizado
aceso restringido a l CPD
1 2 MEDIO solo personal autorizado
1 1 BAJO
reespaldo de informacion en
1 1 BAJO servidores externos
2 3 ALTO
2 3 ALTO
respaldo de informacion en
3 3 ALTO servidores externos
2 2 MEDIO
mantenimiento de hadware
2 2 MEDIO y software mensualmente
backups de configuraciones
1 2 MEDIO
respaldos guardados
2 3 ALTO periodicamente
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
#DIV/0! #DIV/0!
BAJO
INFORMACIÓN DE LOS ACTIVOS DE INFORMACIÓN VALORACION DE AC
PROM
INFORMACIÓN
###
###
###
###
###
ORACION DE ACTIVO
D C OBSERVACIONES
Justificaci Justificació
VAL
ón n
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
Valor del CRITICIDAD Descripción
Activo
[1-3] BAJA Activo de información que no es prioritario para el proceso o el negocio (c
[4-6] MEDIA Activo de información que se considera importante para el proceso o el n
[7-9] ALTA Activo de información que se considera impresindible para el proceso o e
a el proceso o el negocio (consecusión de objetivos).
ante para el proceso o el negocio (consecusión de objetivos)
indible para el proceso o el negocio (consecusión de objetivos)
Valor del Activo - Confidencialidad
Valor del Activo Clasificación Descripción
Información, sistemas o instalaciones a disposición
1-BAJO Pública
del público. sistemas o instalaciones se restringe
Información,
2-MEDIO Interna
exclusivamente para uso
Información sensible de lainterno del negocio.
organización, restringida a
3-ALTO Confidencial
un grupo limitado de personas
1 FIREWALL Hardware
Acceso no Autorizado vulnerabilidades conocidas del hardware
FIREWALL Hardware
Acceso no autorizado Login o password por defecto del hardware
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la humedad, polvo, suciedad
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la radiación electromagnética
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a variaciones de tensión
FIREWALL Hardware
Condiciones ambientales adversas Sensibilidad a la temperatura
FIREWALL Hardware
Fuente de alimentación Inestable (Fuente Primaria de Energía
Condiciones ambientales adversas Inestable)
FIREWALL Hardware
Denegación de servicio Ciberamenaza (malware, troyanos)
FIREWALL Hardware
Denegación de servicio Atacantes informáticos
FIREWALL Hardware
Denegación de servicio Deficiente configuración
FIREWALL Hardware
Falla del hardware Mantenimiento deficiente
FIREWALL Hardware
La ausencia de un control eficiente para cambios de configuración en
Falla del hardware equipos o dispositivos sensibles
FIREWALL Hardware
Falla del hardware Único punto de error (falta de dispositivos de contingencia)
Puertos de comunicación y servicios inseguros / Carencia de
FIREWALL Hardware
Interceptación de información (escucha) actualizaciones de Seguridad
La falta de mecanismos de protección física en el edificio, las puertas
FIREWALL Hardware
Robo o pérdida del hardware y ventanas
Mecanismos de control de acceso físico a edificios zonas de exclusion
FIREWALL Hardware
Robo o pérdida del hardware (carentes o deficientes)
FIREWALL Hardware
Saturación / Desempeño deficiente Deficientes configuraciones
FIREWALL Hardware
Saturación / Desempeño deficiente Falencia del diseño de red
FIREWALL Hardware
Saturación / Desempeño deficiente Obsolecencia tecnológica de los equipos de red
No realizar la operacion de logout al dejar una estación de trabajo sin
1 SOFT NO CRITICO Software Acceso no autorizado
vigilancia
La falta de mecanismos de identificación y autenticación de usuarios,
SOFT NO CRITICO Software Acceso no autorizado
como ser (Login, Password, Tokens, Tarjetas, Aplicaciones.)
SOFT NO CRITICO Software Acceso no autorizado Deficiente gestión de contraseñas
La falta de procedimientos para garantizar el cumplimiento de los
SOFT NO CRITICO Software Copias Falsificadas o Software Ilegal
derechos de propiedad intelectual (Licencias Sofwatre)
SOFT NO CRITICO Software Cyber Amenazas Falta de actualización o parches de seguridad
SOFT NO CRITICO Software Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidad
SOFT NO CRITICO Software Fallo de Sistema Software distribuido ampliamente (vulnerabilidades conocidas)
SOFT NO CRITICO Software Fallo de Sistema Parámetros de configuración incorrecta
No realizar la opercion de logout al dejar una estación de trabajo sin
1 SOFTWARE CRITICOSoftware Acceso no autorizado
vigilancia
SOFTWARE CRITICOSoftware Acceso no autorizado Asignación errónea de los derechos de acceso
La falta de mecanismos de identificación y autenticación de usuarios,
SOFTWARE CRITICOSoftware Acceso no autorizado
como ser (Login, Password, Tokens, Tarjetas, Aplicaciones.)
SOFTWARE CRITICOSoftware Acceso no autorizado Deficiente gestión de contraseñas
El sistema no cumple con funcionalidades de privilegio minimo
SOFTWARE CRITICOSoftware Acceso no autorizado
(opciones en sistema, que no corresponden a la función del usuario)
SOFTWARE CRITICOSoftware Acceso no autorizado La falta de un procedimiento formal de registro y eliminación usuarios
La falta de un proceso formal para la revisión de los derechos de
SOFTWARE CRITICOSoftware Acceso no autorizado
acceso (supervisión)
La falta de procedimientos para garantizar el cumplimiento de los
SOFTWARE CRITICOSoftware Copias Falsificadas o Software Ilegal
derechos de propiedad intelectual (Licencias Sofwatre)
SOFTWARE CRITICOSoftware Cyber Amenazas Spyware, Troyanos, Malware, etc.
SOFTWARE CRITICOSoftware Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidades
SOFTWARE CRITICOSoftware Errores de Software o Programación Procedimientos de pruebas de software inexistentes o insuficientes
SOFTWARE CRITICOSoftware Errores de Software o Programación Defectos conocidos de software
SOFTWARE CRITICOSoftware Errores de Software o Programación Especificaciones confusas o incompletas para desarrolladores
SOFTWARE CRITICOSoftware Fallo de Sistema Software distribuido ampliamente (vulnerabilidades conocidas)
Parámetros de configuración incorrecta (Idioma, moneda, tipo cambio,
SOFTWARE CRITICOSoftware Fallo de Sistema
etc.)
La falta de un control de cambio efectivo (inexistencia de controles de
SOFTWARE CRITICOSoftware Fraude / Robo
versiones y cambios en el sistema)
Ausencia de registros de auditoría ("logs") de los administradores y
SOFTWARE CRITICOSoftware Fraude / Robo
operadores
Utilizar software o aplicativos con datos incorrectos (corrupción de
SOFTWARE CRITICOSoftware Integridad de Información
datos)
SOFTWARE CRITICOSoftware Integridad de Información Interfaz de usuario complicada
SOFTWARE CRITICOSoftware Integridad de Información Documentación inexistente (Manuales Usuario)
SOFTWARE CRITICOSoftware Fallo del Provedor Carencia de Niveles de Servicio (SLA) en contratos
1 Base de datos Software Acceso no autorizado Asignación errónea de los derechos de acceso
Base de datos Software Acceso no autorizado Tablas contraseñas desprotegidas (sin encriptación)
Base de datos Software Acceso no autorizado Deficiente gestión de contraseñas
Base de datos Software Acceso no autorizado La falta de un procedimiento formal de registro y eliminación usuarios
La falta de un proceso formal para la revisión de los derechos de
Base de datos Software Acceso no autorizado
acceso (supervisión)
La falta de procedimientos para garantizar el cumplimiento de los
Base de datos Software Copias Falsificadas o Software Ilegal
derechos de propiedad intelectual (Licencias Sofwatre)
Base de datos Software Cyber Amenazas No se cuenta con un programa de análisis de vulnerabilidades
Parámetros de configuración incorrecta (Idioma, moneda, tipo cambio,
Base de datos Software Fallo de Sistema
etc.)
La falta de mecanismos de protección física en el edificio, las puertas
Base de datos Software Fraude / Robo
y ventanas (Puede deribar en robo de medios de soporte de software)
Ausencia de registros de auditoría ("logs") de los administradores y
Base de datos Software Fraude / Robo
operadores
Base de datos Software Perdida información Carencia de archivos de respaldo para información sensible
1 SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Contrato carente de niveles de Servicio (SLA)
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Falta de pago por servicio a terceros
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Ausencia/ Falla de Planes de Contingencia
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Fallo de hardware que soporta el servicio
SERVICIOS POR REDServicio Fallas / Interrupcion del Servicio Carencia de servicio alterno de contingencia
1 INFORMACION IMInf. Impresa Acceso no autorizado La falta de procedimientos para el manejo de información clasificada
INFORMACION IMInf. Impresa Daño Fisico La susceptibilidad a la humedad, el polvo, la suciedad
INFORMACION IMInf. Impresa Daño Fisico (Fuego) La susceptibilidad a las fluctuaciones de temperatura
Capacitación y sensibilización insuficiente en seguridad de
INFORMACION IMInf. Impresa Divulgación
información
Carencia de Politicas y Procedimientos para la destruccion controlada
INFORMACION IMInf. Impresa Divulgación
de medios impresos y/o digitales
INFORMACION IMInf. Impresa Divulgación Copias no controladas de los archivos confidenciales
La falta de condiciones de seguridad de información, en los contratos
INFORMACION IMInf. Impresa Divulgación
de personal
INFORMACION IMInf. Impresa Perdida información Carencia de archivos de respaldo para información sensible
INFORMACION IMInf. Impresa Perdida información Resguardo deficiente de información confidencial
INFORMACION IMInf. Impresa Robo y Fraude Carencia de firmas y sellos
Carencia de Politicas y Procedimientos para Mesas de trabajo y
INFORMACION IMInf. Impresa Robo y Fraude
escritorios limpios
INFORMACION IMInf. Impresa Robo y Fraude La falta de conciencia de la amenaza que la ingeniería social
INFORMACION IMInf. Impresa Robo y Fraude La falta de controles y carencia de seguridad física