Espinoza Hans Analisis Sistema Gestion Seguridad Informacion Iso Iec 27001 2005 Comercializacion Productos Consumo Masivo Anexos

PONTIFICIA UNIVERSIDAD CATLICA DEL PER
FACULTAD DE CIENCIAS E INGENIERA
Anexo 1: Inventario de activos de informacin
Hans Ryan Espinoza Aguinaga 20047270
ASESOR: Dr. Manuel Tupia Anticona.
Activos del subproceso de Planificacin:
Subproceso
Id
Activo
Caractersticas Interfaz que permite modificar, crear o eliminar algn recurso en el maestro de recursos. La informacin implicada es la relacin de materias primas que usa la empresa para crear sus productos. # usuarios= 20
Planificacin de Produccin
SIS - 01
Interfaz para modificar, dar de alta y baja materiales
Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite administrar el pedido de nuevas materias primas que se necesitan para la manufactura de algn producto determinado. La informacin implicada es la receta del producto, la relacin de materias primas, y los programas de produccin (Schedules) # usuarios= 20
SIS - 02
Interfaz para administrar pedidos de materiales
Aplicacin: PRISM 7.0i Resource Processor Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2
Subproceso
Id
Activo
Caractersticas
DOC - 01
Documento fsico con lista de pedido de materiales
Documentos son las listas de pedidos de materiales.
Interfaz que permite modificar, crear o eliminar algn producto en el maestro de productos. La informacin implicada es el portafolio de productos que fabrica la empresa y sus caractersticas. # usuarios= 20 Aplicacin: PRISM 7.0i Resource Management Planificacin de Produccin SIS - 03 Interfaz de mantenimiento de productos Plataforma: AS400
Tipo de aplicacin: Cliente/Servidor (Package)
Servidor de base de datos relacional: IBM DB2
DOC - 02
Documento fsico con reportes del maestro de productos.
Documentos impresos que con diversos reportes que se sacan del maestro de productos
Subproceso
Id
Activo
Caractersticas
Interfaz que permite crear nuevas rdenes de produccin, es decir programa la cantidad de materiales, cantidad de produccin, lneas, hornos, etc. La informacin que est implicada son las programaciones de produccin. # usuarios= 20 Planificacin de Produccin SIS - 04 Interfaz de mantenimiento de Ordenes de Produccin Aplicacin: PRISM 7.0i Planning Plataforma: AS400
DOC - 03
Documento fsico con reportes de las rdenes de produccin.
Documentos impresos que contienen diversos reportes de las ordenes de produccin.
Subproceso
Id
Activo
Caractersticas Interfaz que permite crear y modificar las ordenes de ejecucin de produccin, que indica la cantidad de operadores, programacin de hornos, tiempos de coccin, etc. La informacin que est implicada es la relacionada a las ordenes de trabajo de produccin # usuarios= 20
SIS - 05
Sistema de mantenimiento de Ordenes de trabajos de Produccin
Aplicacin: PRISM 7.0i Quick Scheduler Plataforma: AS400
DOC - 04
Documentos impresos que contienen diversos reportes de la ejecucin de ordenes de produccin.
Subproceso
Id
Activo
Caractersticas
Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordenes de proceso, programacin de manufactura, gestin de productos terminados, etc.
# usuarios= 20 SIS - 06 Sistema de seguimiento de produccin Aplicacin: Q-Plant Servidor de 2GB Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Sistema Operativo: Windows XP
HW - 01
PC's en el rea de Planificacin Discos Duro: 500 GB
Subproceso
Id
Activo
Caractersticas Cintas de 20 GB para guardar los back up de toda la informacin sobre panificacin almacenada en la plataforma AS400
HW- 02
Cintas de back up Proveedor para custodia: Iron Mountain Per
HW - 03
Dispositivo (robot) para generar back ups
Robot que recibe las cintas, y luego copia la informacin de proceso de planificacin en ellas, ejecutando comandos desde la plataforma AS400
Pantalla tctil a colores ubicada al inicio de la lnea de produccin para monitorear la orden de proceso y orden de trabajo que se va a realizar Planificacin de Produccin HW - 04 Pantalla tctil con aplicacin Q-Plant # usuarios= 20 tamao: 15 pulgadas
AF - 01
Cmaras de seguridad
Cmaras de vigilancia ubicadas en las oficinas de planificacin.
Subproceso
Id
Activo
Caractersticas
AF - 02
Impresoras
Impresoras ubicadas en las oficinas de planificacin.
Correos electrnicos de los usuarios y empleados que participan en este subproceso.
SW - 01
Correo electronico
Microsoft Exchange Server
Microsoft Outlook 2010
SW - 02
Medios de almacenamiento electrnico porttil (CD/DVD/USB)
Medios de almacenamiento con informacin confidencial que se encuentran en las oficinas de planeamiento.
Activos del subproceso de Manufactura:
Subproceso
Id
Activo
Caractersticas
Interfaz que permite hacer el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin. # usuarios= 25 Aplicacin: PRISM 7.0i Resource Management Proceso de Manufactura SIS - 07 Interfaz de trazabilidad de materiales en Produccin Plataforma: AS400
Proceso de Manufactura
DOC - 05
Documento fsico con reportes de la trazabilidad de materiales en un programa de produccin
Documentos impresos que contienen diversos reportes de la trazabilidad de las transacciones internas de los materiales.
Subproceso
Id
Activo
Caractersticas
Interfaz que permite al usuario registrar cada consumo de materia prima o material intermedio que se da durante todo el proceso de manufactura. # usuarios= 123 Aplicacin: PRISM 7.0i Production Analysis Proceso de Manufactura SIS - 08 Interfaz de declaracin de consumo de materiales Plataforma: AS400
DOC - 06
Documento fsico con reportes de los consumos de materiales
Documentos impresos que contienen diversos reportes de los consumos que se hacen de todos los materiales durante la manufactura.
10
Subproceso
Id
Activo
Caractersticas Interfaz que permite registrar cada vez que se haya terminado con la manufactura de algunos lotes de productos, es decir cuando se cumpla toda una orden de de produccin # usuarios= 123
SIS - 09
Interfaz de declaracin de producto terminado
Aplicacin: PRISM 7.0i Production Analysis Plataforma: AS400
Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite iniciar la ejecucin del la orden de proceso de manufactura. # usuarios= 123 Aplicacin: PRISM 7.0i Production Analysis Proceso de Manufactura SIS - 10 Interfaz de ejecucin de Orden de Proceso Plataforma: AS400
11
Subproceso
Id
Activo
Caractersticas
Interfaz que permite surtir a la manufactura la cantidad necesaria de cada materia prima para la fabricacin de determinado producto # usuarios= 25 Proceso de Manufactura SIS - 11 Interfaz de Surtimiento de materiales a produccin Aplicacin: PRISM 7.0i Quick Scheduler Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite modifica las unidades de medida de cada materia prima, as como las unidades de las cantidades de produccin # usuarios= 25 Proceso de Manufactura Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400
SIS - 12
12
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordenes de proceso, programacin de manufactura, gestin de productos terminados, etc. # usuarios= 123 Aplicacin: Q-Plant
SIS - 13
Sistema de seguimiento de produccin Servidor de 2GB Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Sistema Operativo: Windows XP
HW - 05
PC's en planta Discos Duro: 500 GB
13
Subproceso
Id
Activo
Caractersticas
Cintas de 20 GB para guardar los back up de toda la informacin del proceso de manufactura almacenada en la plataforma AS400 HW - 06 Cintas de back up Proveedor para custodia: Iron Mountain Per
HW - 07
Robot que recibe las cintas, y luego copia la informacin del proceso de manufactura en ellas, ejecutando comandos desde la plataforma AS400
Pantallas tctiles a colores ubicadas a lo largo de la lnea de produccin para monitorear todo el proceso de manufactura Proceso de Manufactura HW - 08 Pantallas tctiles con aplicacin Q-Plant # Usuarios = 20 tamao: 15 pulgadas
AF - 03
Cmaras de seguridad
Cmaras de vigilancia ubicadas en las reas de manufactura.
14
Subproceso
Id
Activo
Caractersticas
AF - 04
Impresoras
Impresoras ubicadas en las reas de manufactura.
Correos electrnicos de los usuarios y empleados que participan en este subproceso. Proceso de Manufactura Microsoft Exchange Server SW - 03 Correo electronico Microsoft Outlook 2010
SW - 04
Medios de almacenamiento que se encuentran en las reas de manufactura.
15
Activos del subproceso de Calidad:
Subproceso
Id
Activo
Caractersticas Interfaz que permite realizar el mantenimiento de los controles de calidad de los productos. # usuarios= 20
Proceso de Calidad
SIS - 14
Interfaz de control del procesos de Calidad
Aplicacin: PRISM 7.0i Quality Management Plataforma: AS400
Proceso de Calidad
DOC - 07
Documento fsico con reportes de resultados de los controles de calidad
Documentos impresos que contienen diversos reportes de resultados obtenidos en las pruebas de calidad de los productos.
16
Subproceso
Id
Activo
Caractersticas
Interfaz que permite gestionar los niveles de calidad que tendrn los productos.
# usuarios= 20 Aplicacin: PRISM 7.0i Quality Management Proceso de Calidad SIS - 15 Interfaz de gestin de calidad Plataforma: AS400
Proceso de Calidad
DOC - 08
Documento fsico con los niveles de calidad que tendrn los productos.
Documentos impresos que contienen los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa.
17
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordeneces de proceso, programacin de manufactura, gestin de productos terminados, etc. # usuarios= 20 Aplicacin: Q-Plant
Proceso de Calidad
SIS - 16
Sistema de seguimiento de produccin (q-plant)
Servidor de 2GB
Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Proceso de Calidad Sistema Operativo: Windows XP
HW - 09
PC's en las oficinas de Calidad
Discos Duro: 500 GB
18
Subproceso
Id
Activo
Caractersticas
Proceso de Calidad
Cintas de 20 GB para guardar los back up de toda la informacin del proceso de calidad almacenada en la plataforma AS400 HW - 10 Cintas de back up Proveedor para custodia: Iron Mountain Per
Proceso de Calidad
HW - 11
Robot que recibe las cintas, y luego copia la informacin del proceso de calidad en ellas, ejecutando comandos desde la plataforma AS400
Pantallas tctiles a colores ubicadas a lo largo de la lnea de produccin para monitorear todo el proceso de manufactura Proceso de Calidad HW - 12 Pantallas tctiles con aplicacin Q-Plant # Usuarios = 20 tamao: 15 pulgadas
Proceso de Calidad
AF - 05
Cmaras de seguridad
Cmaras de vigilancia ubicadas en las oficinas de calidad.
19
Proceso de Calidad
AF - 06
Impresoras
Impresoras ubicadas en las reas de calidad.
Proceso de Calidad
Microsoft Exchange Server SW - 05 Correo electronico
Proceso de Calidad
SW - 06
Medios de almacenamiento que se encuentran en las oficinas de calidad.
20
Activos del subproceso de Calidad:
Subproceso
Id
Activo
Caractersticas
Interfaz que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa en cierto momento.
# usuarios= 17 Aplicacin: PRISM 7.0i Resource Management Bodegas e inventarios SIS - 17 Interfaz de generacin de reportes de inventarios Plataforma: AS400
Bodegas e inventarios
DOC - 09
Documento fsico con los reportes de inventarios
Documentos impresos que contienen los distintos reportes de inventarios de las bodegas y almacenes de la empresa.
21
Subproceso
Id
Activo
Caractersticas Interfaz que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin. # usuarios= 17
SIS - 18
Interfaz de entrega de salida de productos terminados
Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400
Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa # usuarios= 17 Bodegas e inventarios Interfaz para traslado de materias primas y productos entre plantas Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2
SIS - 19
22
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordeneces de proceso, programacin de manufactura, gestin de productos terminados, etc.
# usuarios= 20 Aplicacin: Q-Plant Bodegas e inventarios SIS - 20 Sistema de seguimiento de produccin (q-plant) Servidor de 2GB
Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008
DOC - 10
Kardex de mercanca en almacn
Registro en Microsoft Excel de la mercanca almacenada en las bodegas. Este registro contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc.
23
Subproceso
Id
Activo
Caractersticas
Procesador: Core i5
Sistema Operativo: Windows XP Bodegas e inventarios HW - 13 PC's en las bodegas y almacenes
Discos Duro: 500 GB
HW - 14
Cintas de back up
Cintas de 20 GB para guardar los back up de toda la informacin de bodegas e inventarios almacenada en la plataforma AS400 Proveedor para custodia: Iron Mountain Per
HW - 15
Robot que recibe las cintas, y luego copia la informacin de las bodegas e inventarios en ellas, ejecutando comandos desde la plataforma AS400
24
Subproceso
Id
Activo
Caractersticas
Pantalla tctil a colores ubicada al final de la lnea de produccin para monitorear el almacenaje de los productos terminados. Bodegas e inventarios HW - 16 Pantallas tctiles con aplicacin QPlant tamao: 15 pulgadas
AF - 07
Cmaras de seguridad
Camaras de vigilancia ubicadas en las bodegas y almacenes.
AF - 08
Impresoras
Impresoras ubicadas en las bodegas y almacenes.
25
Subproceso
Id
Activo
Caractersticas
Microsoft Exchange Server Bodegas e inventarios SW - 07 Correo electronico
SW - 08
Medios de almacenamiento que se encuentran en las bodegas o almadenes.
26
27
Anexo 2: Vulnerabilidades y amenazas de los activos de informacin
Vulnerabilidades y amenazas de los activos del subproceso de Planificacin:
Subproceso
Id
Activo Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
SIS - 03 Planificacin de Produccin
SIS - 04
Interfaz de mantenimiento de Ordenes de Produccin
Controles de acceso al sistema inadecuados.
Filtraciones de informacin y accesos no autorizados el sistema.
SIS - 05
SIS - 06
Sistema de seguimiento de produccin
Subproceso
Id
Activo Interfaz para modificar, dar de alta y baja materiales
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
SIS - 03
Interfaz de mantenimiento de productos Puntos de acceso al sistema remotos a la red privada de la empresa Accesos de personas no autorizadas al sistema e intercepcin de la red
SIS - 04
SIS - 05
SIS - 06
Subproceso
Id
Activo Interfaz para modificar, dar de alta y baja materiales
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Sistema operativo vulnerable Interfaz de mantenimiento de Ordenes de Produccin Sistema de mantenimiento de Ordenes de trabajos de Produccin Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Acceso de personas ajenas a la empresa que pueden robar informacin.
SIS - 03 Planificacin de Produccin SIS - 04
SIS - 05
SIS - 06
Contraseas de los usuarios sencillas
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
Subproceso
Id SIS - 03
Activo Interfaz de mantenimiento de productos Interfaz de mantenimiento de Ordenes de Produccin
Vulnerabilidad
Amenaza
SIS - 06
Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Interfaz de mantenimiento de Ordenes de Produccin
SIS - 01
Exceso de privilegios para usuarios no indicados
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
SIS - 04
Subproceso
Id
Activo Sistema de mantenimiento de Ordenes de trabajos de Produccin
Vulnerabilidad
Amenaza
Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales
SIS - 01
SIS - 02
Interfaz de mantenimiento de productos Aplicacin desactualizada o parchada incorrectamente Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
SIS - 05
SIS - 06
Subproceso
Id
Activo
Vulnerabilidad
Amenaza
SIS - 01
Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Interfaz de mantenimiento de Ordenes de Produccin Sistema de mantenimiento de Ordenes de trabajos de Produccin Sistema de seguimiento de produccin
Interfaz para modificar, dar de alta y baja materiales Falta de bitcoras de acceso al sistema Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS - 02
SIS - 03 Planificacin de Produccin
SIS - 04
Falta de polticas para el adecuado uso de este sistema
Uso inadecuado de la aplicacin y su informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS - 05
SIS - 06
Subproceso
Id SIS - 03
Activo Interfaz de mantenimiento de productos
Vulnerabilidad
Amenaza
Interfaz de mantenimiento de Ordenes de Produccin Falta de bitcoras de acceso al sistema Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS - 06
Sistema de seguimiento de produccin Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos. Documentos impresos que contienen diversos reportes de las rdenes de produccin. Documento fsico con reportes de las rdenes de produccin. Poca higiene en el lugar donde se guarda el documento. Deterioro permanente de los documentos.
DOC 01 DOC 02 Planificacin de Produccin DOC 03 DOC 04
Subproceso
Id DOC 01 DOC 02 DOC 03 DOC 04 DOC 01 DOC 02
Activo Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos. Documentos impresos que contienen diversos reportes de las ordenes de produccin. Documento fsico con reportes de las ordenes de produccin. Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos.
Vulnerabilidad
Amenaza
Falta de control de acceso al lugar donde se guarda el documento.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
DOC 03
Documentos impresos que contienen diversos reportes de las rdenes de produccin.
Falta de manejo adecuado de las copias de los documentos
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
DOC 04 Planificacin de Produccin DOC 01
Documento fsico con reportes de las rdenes de produccin. Documento fsico con lista de pedido de materiales Falta de contraseas y controles para el manejo de las impresoras y fotocopiadoras. Manejo de las impresoras/fotocopiadoras del rea por parte de usuarios inadecuados.
Subproceso
Id DOC 02
Activo Documento fsico con reportes del maestro de productos.
Vulnerabilidad
Amenaza
DOC 03
Documentos impresos que contienen diversos reportes de las ordenes de produccin.
Falta de contraseas y controles para el manejo de las impresoras y fotocopiadoras.
Manejo de las impresoras/fotocopiadoras del rea por parte de usuarios inadecuados.
DOC 04
Documento fsico con reportes de las ordenes de produccin.
DOC 01
Documento fsico con lista de pedido de materiales
DOC 02 Planificacin de Produccin DOC 03
Documento fsico con reportes del maestro de productos. Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documentos impresos que contienen diversos reportes de las rdenes de produccin. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
DOC 04
10
Subproceso
Id
Activo
Vulnerabilidad
Amenaza Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Falta de control de acceso al lugar donde se encuentra las PC's
Falta de bitcoras de acceso a la PC.
Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
HW - 01
PC's en el rea de Planificacin Falta de correcta identificacin de usuarios y contraseas para acceder a la PC. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Falta de seguridad de la red interna median la cual estn interconectadas las PC's
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin.
11
Subproceso
Id
Activo
Vulnerabilidad Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas. Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenaza Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW - 02
Cintas de back up
Deterioro permanente de las cintas. Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW - 03
Planificacin de Produccin|
HW - 04
Pantalla tctil con aplicacin QPlant Ubicacin inadecuada de la pantalla. Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras.
Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin
Planificacin de Produccin|
AF - 01
Cmaras de seguridad
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado.
12
Falta de contraseas y controles para el manejo de las impresoras. AF - 02 Impresoras Falta de bitcoras de seguimiento del manejo de la impresora. Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico SW - 01 Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
SW - 02
Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
13
Vulnerabilidades y amenazas de los activos del subproceso de Manufactura:
Subproceso
Id SIS 07
Activo Interfaz de trazabilidad de materiales en Produccin Interfaz de declaracin de consumo de materiales Interfaz de declaracin de producto terminado Interfaz de ejecucin de Orden de Proceso
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10
SIS 11
Interfaz de Surtimiento de materiales a produccin
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
14
Subproceso
Id SIS 07
Activo Interfaz de trazabilidad de materiales en Produccin
Vulnerabilidad
Amenaza
SIS 08
Interfaz de declaracin de consumo de materiales
SIS 09
SIS 10
Interfaz de ejecucin de Orden de Proceso
Puntos de acceso al sistema remotos a la red privada de la empresa
Accesos de personas no autorizadas al sistema e intercepcin de la red
SIS 11
SIS 12
SIS 13
15
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
ceso de Manufactura
SIS 10
Sistema operativo vulnerable
Acceso de personas ajenas a la empresa que pueden robar informacin.
SIS 11
SIS 12
SIS 13
16
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10
SIS 11
SIS 12
SIS 13
17
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10
SIS 11
SIS 12
SIS 13
18
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10
Aplicacin desactualizada o parchada incorrectamente
Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas
SIS 13
19
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10
Uso inadecuado de la aplicacin y su informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS 11
SIS 12
SIS 13
20
Subproceso
Id SIS 07
Activo Interfaz de trazabilidad de materiales en Produccin Interfaz de declaracin de consumo de materiales Interfaz de declaracin de producto terminado
Vulnerabilidad
Amenaza
SIS 08
SIS 09
SIS 10 Proceso de Manufactura SIS 11
Falta de bitcoras de acceso al sistema
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS 12
SIS 13
21
Subproceso
Id
Activo Documento fsico con lista de pedido de materiales
Vulnerabilidad
Amenaza
DOC 05 Proceso de Manufactura DOC 06
Poca higiene en el lugar donde se guarda el documento. Documento fsico con reportes del maestro de productos.
Deterioro permanente de los documentos.
Documento fsico con lista de pedido de materiales Falta de control de acceso al lugar donde se guarda el documento. Documento fsico con reportes del maestro de productos. Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
DOC 05 Proceso de Manufactura DOC - 06
Documento fsico con lista de pedido de materiales Falta de manejo adecuado de las copias de los documentos Documento fsico con reportes del maestro de productos. Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
22
Subproceso
Id
Activo Documento fsico con lista de pedido de materiales
Vulnerabilidad
Amenaza
Falta de contraseas y controles para el manejo de las impresoras y fotocopiadoras. Documento fsico con reportes del maestro de productos.
Documento fsico con lista de pedido de materiales Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documento fsico con reportes del maestro de productos. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Falta de control de acceso al lugar donde se encuentra las PC's Proceso de Manufactura HW - 05 PC's en planta Falta de bitcoras de acceso a la PC.
Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
23
Subproceso
Id
Activo
Vulnerabilidad Falta de correcta identificacin de usuarios y contraseas para acceder a la PC.
Amenaza Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
HW - 05
PC's en planta Falta de seguridad de la red interna median la cual estn interconectadas las PC's Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas. Falta de control de acceso al lugar donde se encuentra el robot. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin. Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas. Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
HW 06
Cintas de back up
HW 07
Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW - 08
Pantalla tctil con aplicacin QPlant Ubicacin inadecuada de la pantalla.
24
Subproceso
Id
Activo
Vulnerabilidad Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Amenaza Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
AF - 03
Cmaras de seguridad
AF - 04
Impresoras Falta de bitcoras de seguimiento del manejo de la impresora. Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico
SW - 03
Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa.
25
Subproceso Proceso de Manufactura
Id
Activo Medios de almacenamiento electrnico porttil (CD/DVD/USB)
Vulnerabilidad Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Amenaza Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
SW - 04
26
Vulnerabilidades y amenazas de los activos del subproceso de Calidad:
Subproceso
Id
Activo Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant)
Vulnerabilidades
Amenazas
SIS - 14 Proceso de Calidad
SIS - 15
SIS - 16
SIS - 14 Proceso de Calidad SIS - 15 SIS - 16
Puntos de acceso al sistema remotos a la red privada de la empresa
SIS - 14 Proceso de Calidad SIS - 15 SIS - 16
27
Subproceso
Id SIS - 14
Activo Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad
Vulnerabilidades
Amenazas
Proceso de Calidad
SIS - 15
SIS - 16
SIS - 14 Proceso de Calidad
SIS - 15
Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad
Aplicacin desactualizada o parchada incorrectamente.
SIS - 16
SIS - 14 Proceso de Calidad SIS - 15
Uso inadecuado de la aplicacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS - 16
28
Subproceso
Id
Activo Interfaz de control del procesos de Calidad
Vulnerabilidades
Amenazas
SIS - 14
Proceso de Calidad
SIS - 15
Interfaz de gestin de calidad
SIS - 16
DOC 07 Proceso de Calidad DOC 08
Documento fsico con reportes de resultados de los controles de calidad Poca higiene en el lugar donde se guarda el documento. Documento fsico con los niveles de calidad que tendrn los productos. Deterioro permanente de los documentos.
Documento fsico con reportes de resultados de los controles de calidad Documento fsico con los niveles de calidad que tendrn los productos.
Falta de control de acceso al lugar donde se guarda el documento.
29
Subproceso
Id
Activo Documento fsico con reportes de resultados de los controles de calidad
Vulnerabilidades
Amenazas
DOC 07 Proceso de Calidad DOC - 08
Falta de manejo adecuado de las copias de los documentos Documento fsico con los niveles de calidad que tendrn los productos.
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Documento fsico con reportes de resultados de los controles de calidad
Documento fsico con los niveles de calidad que tendrn los productos.
Documento fsico con reportes de resultados de los controles de calidad Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documento fsico con los niveles de calidad que tendrn los productos. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
30
Subproceso
Id
Activo
Vulnerabilidades
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Proceso de
Calidad
HW - 09
PC's en las oficinas de Calidad Falta de correcta identificacin de usuarios y contraseas para acceder a la PC. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Falta de seguridad de la red interna median la cual estn interconectadas las PC's Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas.
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin.
Proceso de Calidad
HW 10
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Cintas de back up
31
Subproceso Proceso de Calidad
Id
Activo Dispositivo (robot) para generar back ups
Vulnerabilidades Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW 11
Proceso de Calidad
HW - 12
Proceso de Calidad
AF - 05
Cmaras de seguridad
Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario.
Proceso de Calidad
AF - 06
Impresoras Falta de bitcoras de seguimiento del manejo de la impresora.
32
Subproceso
Id
Activo
Vulnerabilidades Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico
Amenazas Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Proceso de Calidad
SW 05
Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Proceso de Calidad
SW - 06
33
Vulnerabilidades y amenazas de los activos del subproceso de Bodegas e inventarios:

Id SIS 17 Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant) Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant) Controles de acceso al sistema inadecuados. Filtraciones de informacin y accesos no autorizados el sistema. Vulnerabilidades Amenazas
Subproceso
SIS 18 Bodegas e inventarios
SIS 19
SIS - 20
SIS 17
SIS 18 Bodegas e inventarios SIS 19
Puntos de acceso al sistema remotos a la red privada de la empresa.
Accesos de personas no autorizadas al sistema e intercepcin de la red.
SIS - 20
34
Subproceso
Id SIS 17
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados
Vulnerabilidades
Amenazas
Interfaz para traslado de materias primas y productos entre plantas
SIS 20
SIS 17
Interfaz de generacin de reportes de inventarios
SIS 18
Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
SIS 19
SIS - 20
35
Subproceso
Id SIS 17
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados
Vulnerabilidades
Amenazas
Interfaz para traslado de materias primas y productos entre plantas
Aplicacin desactualizada o parchada incorrectamente.
SIS 20
SIS 17
Interfaz de generacin de reportes de inventarios
SIS 18
Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
Uso inadecuado de la aplicacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS 19
SIS - 20
36
Subproceso
Id SIS 17 SIS 18
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
Vulnerabilidades
Amenazas
Bodegas e inventarios SIS 19 SIS 20
DOC 09 Bodegas e inventarios DOC 09
Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
DOC 10 Bodegas e inventarios DOC 10
Falta de control de acceso al archivo Filtraciones de informacin y accesos no autorizados digital.. al archivo digital.
Falta de bloqueo contra escritura y/o lectura del archivo
Lectura y/o modificacin de los datos que contiene el documento del Kardex, por parte de personas no autorizadas.
37
Subproceso
Id
Activo
Vulnerabilidades
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
HW - 13
PC's en las bodegas y almacenes Filtraciones de informacin y accesos no Falta de correcta identificacin de autorizados a las PC's de la oficina de planificacin usuarios y contraseas para acceder por parte de usuarios no autorizados o ajenos a la a la PC. empresa.
Falta de seguridad de la red interna Interceptacin de la red de la empresa por parte de median la cual estn interconectadas personas ajenas al negocio o usuarios sin las PC's autorizacin. Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas.
HW 14
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Cintas de back up
38
Subproceso Bodegas e inventarios
Id
Activo Dispositivo (robot) para generar back ups
Vulnerabilidades Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW 15
HW 16
AF 07
Cmaras de seguridad
Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario.
AF - 08
Impresoras Falta de bitcoras de seguimiento del manejo de la impresora.
39
Subproceso
Id
Activo
Vulnerabilidades Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electrnico
Amenazas Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electrnico por parte de personas ajenas a la organizacin. Acceso al correo electrnico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
SW 07
Correo electrnico Acceso remoto al correo electrnico poco seguro Falta de polticas para el correcto uso del correo electrnico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
SW - 08
40
41
Anexo 3: Matriz de Riesgos

Id
Identificacin de riesgos y anlisis de impacto de los activos del subproceso de Planificacin:

Amenazas Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin sobre los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de hackers Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de los usuarios debido a desconocimiento. Prioridad Impacto Gravedad Mayor Tipo Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin. descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 01 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin. Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Id
Amenazas
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos , por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la Reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Catastrfico
Posible impacto en la imagen de la empresa ante terceros.
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de Oportunidades de negocio.
Alta
Catastrfico
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
SIS - 02
Alta
Catastrfico
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Catastrfico
Media
Significativo
Id
Amenazas
Riesgos
Prioridad
Impacto Gravedad Tipo descripcin
Falta de disponibilidad de la informacin contenida en el documento, en el momento que sea requerida.
Media
Poco Significativo
Perdidas ocasionadas por la indisponibilidad de la informacin contenida en estos documentos.
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Media
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 01
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Media
Significativo
Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Media
Significativo
Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Media
Significativo
Id
Amenazas Filtraciones de informacin y accesos no autorizados el sistema.
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros. descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas ajenas a la empresa.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Robo de la informacin, sobre el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
SIS - 03
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Mayor
Media
Significativo
Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Alta
Significativo
DOC 02
Alta
Significativo
Alta
Significativo
Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Alta
Significativo
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a lareputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial..
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin, sobre las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida deoportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida deoportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos
impacto cualitativo muy alto ya que es difcil medir el coste deoportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
SIS - 04
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de usuarios inadecuados.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de hackers.
Alta
Catastrfico
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 03
Alta
Mayor
Alta
Mayor
Manejo inadecuado de los documentos y/o sus copias Prdida o dao a los documentos que contienen la por parte de los usuarios de la informacin sobre las rdenes de produccin, por parte de los empresa debido al usuarios debido a desconocimiento. desconocimiento.
Alta
Mayor
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial..
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajos de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
SIS - 05
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de usuarios inadecuados.
Alta
Catastrfico
Prdida o dao a la informacin o al sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Imposibilidad de identificar al o a los usuarios culpables de algun robo o dao a la informacin o a la aplicacin.
Media
Importante
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin.
Alta
Mayor
DOC 04
Acceso a las copias de los Robo de las copias los documentos y su informacin, sobre la documentos por parte de ejecucin de las ordenes de produccin, por parte personas personas ajenas a la empresa sin autorizacin. o por usuarios inadecuados
Alta
Mayor
Manejo de las Robo de la informacin contenida en los documentos sobre la impresoras/fotocopiadoras del ejecucin de las ordenes de produccin, mediante la rea por parte de usuarios realizacin de fotocopiado por parte de usuarios sin inadecuados. autorizacin.
Alta
Mayor
Prdida o dao a los documentos que contienen la informacin sobre la ejecucin de las ordenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
10
Id
Amenazas Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Alta
Alta
Importante
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 06 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Importante
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento..
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Media
Significativo
11
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
Riesgos
Prioridad
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros.
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
HW - 01
Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin.
Alta
Mayor
Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial.
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 02
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre planificacin por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Deterioro permanente de las cintas.
Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Media
Significativo
Perdidas ocasionadas por la indisponibilidad de la informacin contenida en estas cintas.
impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
12
Id
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados.
Riesgos
Prioridad
Impacto Gravedad Tipo Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes descripcin Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
HW - 03 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Robo de informacin sobre planificacin mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.. Robo de informacin confidencial y su posible revelacin a terceros Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Media
Mayor
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 04 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF - 01 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de informacin sobre las ordenes de proceso y ordenes de trabajo, por parte de personas no autorizadas.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de los videos registrados con las camaras de seguridad del rea de planificacin, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio..
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de Planificacin.
Baja
Menor
Impacto cualitativo bajo ya que no considera muy indispensable para la continuidad del negocio.
13
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de planificacin, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Importante
AF - 02
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de planificacin.
Baja
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas.
Alta
Mayor
Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
SW - 01
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Robo de la informacin contenida en los correos electrnicos del personal del rea de Planificacin, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de planificacin.
Alta
Mayor
14
Id
Amenazas Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos
Prioridad
SW - 02
Robo de los medios de almacenamiento con informacin sobre planificacin por parte de personas no autorizadas.
Alta
Mayor
15

Id
Identificacin de riesgos y anlisis de impacto de los activos del subproceso de Manufactura:

Amenazas Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de los usuarios debido a desconocimiento. Prioridad Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencia Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.. impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 07 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin. Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Mayor
Alta
Mayor
Media
Significativo
16
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
DOC 05
Robo de las copias los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
Robo de la informacin contenida en los documentos sobre la trazabilidad de las transacciones internas de los materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Prdida o dao a los documentos que contienen la informacin sobre la trazabilidad de las transacciones internas de los materiales, por parte de los usuarios debido a desconocimiento.
Alta
Importante
17
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el registro de cada consumo de materia prima o material intermedio durante el proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Importante
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
SIS - 08
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Alta
Importante
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Alta
Importante
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento..
Alta
Importante
Media
Significativo
18
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin.
Alta
Importante
DOC 06
Robo de las copias los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin.
Alta
Importante
Robo de la informacin contenida en los documentos sobre los consumos que se hacen de todos los materiales durante la manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Prdida o dao a los documentos que contienen la informacin sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
19
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin.
Prioridad
Media
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas ajenas a la empresa.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin.
Media
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de usuarios inadecuados.
Media
Mayor
SIS 09
Media
Mayor
Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin.
Media
Mayor
Prdida o dao a la informacin o al sistema, que maneja la declaracin de los productos terminados, por parte de los usuarios debido a desconocimiento.
Media
Mayor
Media
Significativo
20
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas ajenas a la empresa.
Alta
Catastrfico
Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
SIS 10
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Alta
Mayor
Alta
Catastrfico
Alta
Catastrfico
Prdida o dao a la informacin o al sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Media
Importante
21
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de usuarios inadecuados. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo muy alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Alta
Catastrfico
Alta
Catastrfico
Alta
Catastrfico
SIS 11
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros
Alta
Catastrfico
Alta
Catastrfico
Media
Importante
22
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas ajenas a la empresa.
Prioridad
Media
Mayor
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial.
Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de los usuarios debido a desconocimiento.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial.
Media
Mayor
SIS 12
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos y aplicacin, para la empresa. Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Media
Mayor
Media
Mayor
Media
Mayor
Media
Importante
23
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas ajenas a la empresa.
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 13 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin.
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Importante
Alta
Importante
Alta
Importante
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Media
Significativo
24
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de manufactura por parte de cada usuario. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de manufactura por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Riesgos
Prioridad
Alta
Mayor
Media
Importante
HW 05
Alta
Mayor
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Alta
Mayor
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 06
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre la manufactura por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Media
Significativo
Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
25
Id
Amenazas
Riesgos
Prioridad
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 07 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Media
Importante
Robo de informacin sobre manufactura mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 08 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF - 03 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Alta
Importante
Robo de informacin sobre el proceso de manufactura en ejecucin, por parte de personas no autorizadas.
Alta
Importante
Robo de los videos registrados con las camaras de seguridad del rea de manufactura, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de manufactura.
Baja
Menor
Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin
26
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de manufactura por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de manufactura por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de manufactura por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos
Prioridad
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
AF - 04
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura.
Baja
Significativo
Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Mayor
Alta
Mayor
SW - 03
Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
SW - 04
Robo de los medios de almacenamiento con informacin sobre el proceso de manufactura por parte de personas no autorizadas.
Alta
Mayor
27

Id
Identificacin de riesgos y anlisis de impacto de los activos del subproceso de Calidad:

Amenazas Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Prioridad Impacto Gravedad Catastrfico Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es dificil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo muy alto porque es difcil de medir las consecuencias negativas que traer el disgusto del cliente impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 14 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados.
Alta
Catastrfico
Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite controlar los proceso de calidad, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Alta
Catastrfico
Media
Importante
28
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin.
Alta
Importante
DOC 07
Robo de las copias los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin.
Alta
Importante
Robo de la informacin contenida en los documentos sobre los resultados obtenidos en las pruebas de calidad de los productos, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Prdida o dao a los documentos que contienen la informacin sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte de los usuarios debido a desconocimiento.
Alta
Importante
29
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es dificil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Alta
Mayor
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 15 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados.
Alta
Mayor
impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo muy alto porque es difcil de medir las consecuencias negativas que traer el disgusto del cliente impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Prdida o dao a la informacin o al sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Media
Importante
30
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin.
Alta
Importante
DOC 08
Robo de las copias los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin.
Alta
Importante
Robo de la informacin contenida en los documentos sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Prdida o dao a los documentos que contienen la informacin sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
31
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 16 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas ajenas a la empresa.
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de usuarios inadecuados.
Alta
Importante
Alta
Importante
Alta
Importante
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin.
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Media
Significativo
32
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de calidad por parte de cada usuario. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de calidad por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Riesgos
Prioridad
Alta
Mayor
Media
Importante
HW 09
Alta
Mayor
Alta
Mayor
HW 10
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados.
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre la calidad de los productos por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Media
Significativo
Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
33
Id
Amenazas
Riesgos
Prioridad
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 11 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Media
Importante
Robo de informacin sobre calidad mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas..
Media
Mayor
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 12 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF 05 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Alta
Importante
Robo de informacin sobre la calidad de los productos que se estn fabricando, por parte de personas no autorizadas.
Alta
Importante
Robo de los videos registrados con las camaras de seguridad del rea de calidad, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso..
Media
Significativo
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de calidad.
Baja
Menor
34
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de calidad por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de calidad por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de calidad por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de calidad, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Importante
AF 06
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de calidad..
Baja
Significativo
Robo de la informacin contenida en las computadoras del rea de calidad y/o dao a estas, por parte de personas no autorizadas.
Alta
Mayor
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de la informacin contenida en las computadoras del rea de calidad, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
Alta
Mayor
SW - 05
Robo de la informacin contenida en los correos electrnicos del personal del rea de calidad, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de calidad.
Alta
Mayor
SW - 06
Robo de los medios de almacenamiento con informacin sobre el proceso de calidad por parte de personas no autorizadas.
Alta
Mayor
35

Id
Identificacin de riesgos y anlisis de impacto de los activos del subproceso de Bodegas e inventarios:
Amenazas Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin. Prioridad Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitatitvo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Importante
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Importante
SIS 17
Alta
Importante
Alta
Importante
Alta
Importante
Media
Significativo
36
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Robo de los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin.
Alta
Importante
DOC 09
Robo de las copias los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin.
Alta
Importante
Robo de la informacin contenida en los documentos sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Prdida o dao a los documentos que contienen la informacin sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
37
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de usuarios inadecuados. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en la entrega y distribucin de pedidos. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en la entrega y distribucin de pedidos. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Mayor
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS 18 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Alta
Mayor
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros
Alta
Mayor
Alta
Mayor
Alta
Mayor
Prdida o dao a la informacin o al sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Media
Importante
38
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS 19 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos en los traslados internos.
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de traslados internos de materia prima o productos, perdida de oportunidades de negocio. Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Importante
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos
Alta
Importante
Prdida o dao a la informacin o al sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Media
Significativo
39
Id
Amenazas Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Alta
Importante
Alta
Importante
Alta
Importante
SIS 20
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Alta
Importante
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Media
Significativo
40
Id
Amenazas Filtraciones de informacin y accesos no autorizados al archivo digital.
Riesgos Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
DOC 10
Lectura y/o modificacin de los datos que contiene el documento del Kardex, por parte de personas no autorizadas. Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las bodegas por parte de cada usuario.
Alta
Importante
Alta
Mayor
Media
Importante
HW 13
Filtraciones de informacin y accesos no autorizados a las PC's de las bodegas por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin. Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Alta
Mayor
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial. Impacto cualitativo alto porque es difcil medir el
HW 14
Robo de las cintas con informacin sobre las bodegas y almacenes, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Perdidas ocasionadas por la indisponibilidad de la informacin contenida en estas cintas.
dao que causara a la empresa la divulgacin de informacin relevante.. Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Media
Significativo
41
Id
Amenazas
Riesgos
Prioridad
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 15 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Media
Importante
Robo de informacin sobre bodegas e inventarios mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 16 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF 07 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Alta
Importante
Robo de informacin sobre el almacenaje de los productos terminados, por parte de personas no autorizadas.
Alta
Importante
Robo de los videos registrados con las camaras de seguridad del rea de bodegas e inventarios, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de bodegas e inventarios.
Baja
Menor
42
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de bodegas por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras del rea de bodegas por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de bodegas por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de bodegas e inventarios, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Alta
Importante
AF 08
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de bodegas e inventarios.
Baja
Significativo
Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Mayor
SW - 07
Alta
Mayor
Robo de la informacin contenida en los correos electrnicos del personal del rea de bodegas e inventarios, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de bodegas e inventarios. Robo de los medios de almacenamiento con informacin sobre el proceso de bodegas e inventarios por parte de personas no autorizadas.
Alta
Mayor
Alta
Mayor
SW - 08
Alta
Mayor
43
44
Anexo 4: Tratamiento de riesgos
Anlisis de tratamiento de riesgos de los activos del subproceso de Planificacin:

Gravedad de impacto Mayor
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin sobre los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin.
Prioridad
Tratamiento
Alta
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
Eliminar Eliminar Eliminar
SIS - 01
Interfaz para modificar, dar de alta y baja materiales
Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de hackers Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Media
Mayor Significativo
Eliminar Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos , por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Interfaz para administrar pedidos de materiales Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS - 02
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Media
Significativo
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Documento fsico con lista de pedido de materiales
Media
Significativo
Transferir
DOC - 01
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Media
Significativo
Mitigar
Media
Significativo
Mitigar
Media
Significativo
Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. SIS - 03 Interfaz de mantenimiento de productos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
Media
Significativo
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Interfaz de mantenimiento de Ordenes de Produccin
Alta
Significativo
Transferir
DOC 02
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Alta
Significativo
Mitigar
Alta
Significativo
Mitigar
Alta
Significativo
Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa , por parte de personas ajenas a la empresa. Robo de la informacin, sobre las ordenes de produccin de la empresa, por parte de personas sin autorizacin. SIS 04 Interfaz de mantenimiento de productos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta Alta Alta Media
Catastrfico Catastrfico Catastrfico Importante
Eliminar Eliminar Eliminar Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Documento fsico con reportes de las rdenes de produccin.
Alta
Mayor
Transferir
DOC 03
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las rdenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajos de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS 05
Robo de la informacin, sobre las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Eliminar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja las rdenes de trabajo de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las rdenes de trabajo de produccin de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta Alta Alta
Catastrfico Catastrfico Catastrfico
Media
Importante
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin. Documento fsico con reportes de las rdenes de produccin.
Alta
Mayor
Transferir
DOC 04
Robo de las copias los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin.
Alta
Mayor
Eliminar
Robo de la informacin contenida en los documentos sobre la ejecucin de las ordenes de produccin, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre la ejecucin de las ordenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
10
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. SIS 06 Sistema de seguimiento de produccin Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento.. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
11
Alta
Mayor
Eliminar
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. HW 01 PC's en el rea de Planificacin Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Media
Importante
Mitigar
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre planificacin por parte de personas no autorizadas. Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 02
Cintas de back up
Media
Significativo
Transferir
12
HW 03
Media
Importante
Mitigar
Robo de informacin sobre planificacin mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas..
Media
Mayor
Eliminar
HW 04
Pantalla tctil con aplicacin Q-Plant
Alta
Importante
Eliminar
Robo de informacin sobre las rdenes de proceso y ordenes de trabajo, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de planificacin, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso. Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de Planificacin.
Alta
Importante
Mitigar
Media
Significativo
Mitigar
AF 01
Cmaras de seguridad
Baja
Menor
Mitigar
13
AF 02
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura. Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
SW 01
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
Eliminar
SW 02
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de manufactura por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
14
Analisis de tratamiento de riesgos de los activos del subproceso de Manufactura:

Gravedad de impacto Mayor
Id
Activo
Riesgos
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin.
Prioridad
Tratamiento Eliminar
Alta
Alta Alta
Mayor Mayor
Eliminar Eliminar
SIS - 07
Interfaz de trazabilidad de materiales en Produccin
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
Alta Alta Alta Media
Mayor Mayor Mayor Significativo
Eliminar Eliminar Eliminar Mitigar
15
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin. Documento fsico con reportes de la DOC 05 trazabilidad de materiales en un programa de produccin
Alta
Importante
Eliminar
Robo de las copias los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
Eliminar
Robo de la informacin contenida en los documentos sobre la trazabilidad de las transacciones internas de los materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre la trazabilidad de las transacciones internas de los materiales, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
16
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el registro de cada consumo de materia prima o material intermedio durante el proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Interfaz de declaracin de consumo de materiales Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento.. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
SIS 08
Alta
Importante
Eliminar
Alta Alta
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
17
Falta de disponibilidad de la informacin contenida en el documento, en el momento que sea requerida. Robo de los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin. Robo de las copias los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los consumos que se hacen de todos los materiales durante la manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Media
Poco Significativo
Mitigar
Alta
Importante
Eliminar
DOC 06
Documento fsico con reportes de los consumos de materiales
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
18
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin. Interfaz de declaracin de producto terminado Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de usuarios inadecuados. Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja la declaracin de los productos terminados, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
SIS 09
Media
Mayor
Eliminar
Media Media
Mayor Mayor
Eliminar Eliminar
Media
Mayor
Eliminar
Media
Significativo
Mitigar
19
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Interfaz de ejecucin de Orden de Proceso Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS 10
Alta
Mayor
Eliminar
Alta Alta
Catastrfico Catastrfico
Eliminar Eliminar
Alta
Catastrfico
Eliminar
Media
Importante
Mitigar
20
Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. SIS 11 Interfaz de Surtimiento de materiales a produccin Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de usuarios inadecuados. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Media
Importante
Eliminar
21
Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Interfaz de consulta y borrado de RS's SIS 12 y creacin de unidades de medida para las materias primas
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Importante
Eliminar
22
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Sistema de seguimiento de produccin Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
SIS 13
Alta
Importante
Eliminar
Alta Alta
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
23
Alta
Mayor
Eliminar
HW 05
PC's en planta
Media
Importante
Eliminar
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre la manufactura por parte de personas no autorizadas. Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 06
Cintas de back up
Media
Significativo
Transferir
24
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas. Dispositivo (robot) para generar back ups
Media
Importante
Mitigar
HW 07
Robo de informacin sobre manufactura mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas. HW 08 Pantalla tctil con aplicacin Q-Plant
Alta
Importante
Eliminar
Robo de informacin sobre el proceso de manufactura en ejecucin, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de manufactura, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Alta
Importante
Eliminar
Media
Significativo
Mitigar
AF 03
Cmaras de seguridad
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de manufactura.
Baja
Menor
Mitigar
25
AF 04
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura. Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
SW 03
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
Eliminar
SW 04
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de manufactura por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
26
Analisis de tratamiento de riesgos de los activos del subproceso de Calidad:

Gravedad de impacto Catastrfico
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite controlar los proceso de calidad, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Prioridad Alta
Tratamiento Transferir
Alta Alta Alta
Catastrfico Catastrfico Catastrfico
SIS - 14
Interfaz de control del procesos de Calidad
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta Media
Catastrfico Importante
Eliminar Eliminar
27
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin. Documento fsico con reportes de DOC 07 resultados de los controles de calidad
Alta
Importante
Eliminar
Robo de las copias los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los resultados obtenidos en las pruebas de calidad de los productos, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
28
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. SIS 15 Interfaz de gestin de calidad Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Alta
Mayor Mayor
Eliminar Eliminar
Alta
Mayor
Eliminar
Media
Importante
Mitigar
29
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin. Documento fsico con los niveles de calidad que tendrn los productos.
Alta
Importante
Eliminar
DOC 08
Robo de las copias los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
30
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. SIS 16 Sistema de seguimiento de produccin (qplant) Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
31
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin. Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. PC's en planta Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Eliminar
Media
Importante
Mitigar
HW 09
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre la calidad de los productos por parte de personas no autorizadas. Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 10
Cintas de back up
Media
Significativo
Transferir
32
HW 11
Media
Importante
Mitigar
Robo de informacin sobre calidad mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.. Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Alta
Importante
Eliminar
HW 12
Pantalla tctil con aplicacin Q-Plant Robo de informacin sobre la calidad de los productos que se estn fabricando, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de calidad, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.. Alta Importante Eliminar
Media
Significativo
Mitigar
AF 05
Cmaras de seguridad
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de calidad.
Baja
Menor
Mitigar
33
AF 06
Robo de la informacin contenida en los documentos importantes del rea de calidad, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de calidad.. Robo de la informacin contenida en las computadoras del rea de calidad y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de calidad, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
SW 05
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de calidad, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de calidad.
Alta
Mayor
Eliminar
SW 06
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de calidad por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Eliminar
34
Analisis de tratamiento de riesgos de los activos del subproceso de Bodegas e inventarios:

Priorida Gravedad d de impacto Alta Importante
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas ajenas a la empresa.
Tratamiento Eliminar
Alta
Importante
Eliminar
SIS 17
Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Interfaz de Robo de la informacin y manipulacin maliciosa del sistema, que permite generacin de generar reportes del inventario tanto de materias primas como de productos reportes de terminados que tiene la empresa, por parte de personas sin autorizacin. inventarios Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Media
Importante Significativo
Eliminar Mitigar
35
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin. Documento fsico con los niveles de calidad que tendrn los productos.
Alta
Importante
Eliminar
DOC 09
Robo de las copias los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
36
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. SIS 18 Interfaz de entrega de salida de productos terminados Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de usuarios inadecuados. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Alta
Mayor Mayor
Eliminar Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Mitigar
37
Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Interfaz para traslado de SIS 19 materias primas y productos entre plantas Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
38
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. SIS 20 Sistema de seguimiento de produccin (qplant) Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
39
DOC 10
Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Mayor
Eliminar
HW 13
PC's en las bodegas y almacenes
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin. Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre las bodegas y almacenes, por parte de personas no autorizadas. Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Media Alta Alta
Importante Mayor Mayor
Mitigar Eliminar Eliminar
Alta
Mayor
Transferir
HW 14
Cintas de back up
Media
Significativo
Transferir
40
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas. Dispositivo (robot) para generar back ups
Media
Importante
Mitigar
HW 15
Robo de informacin sobre bodegas e inventarios mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas. HW 16 Pantalla tctil con aplicacin Q-Plant Robo de informacin sobre el almacenaje de los productos terminados, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de bodegas e inventarios, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso. AF 07 Cmaras de seguridad Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de bodegas e inventarios.
Alta
Importante
Eliminar
Alta
Importante Eliminar Mitigar
Media
Significativo
Baja
Menor
Mitigar
41
AF 08
Robo de la informacin contenida en los documentos importantes del rea de bodegas e inventarios, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de bodegas e inventarios. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
Alta Alta Alta
Mayor Mayor Mayor
SW 07
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de bodegas e inventarios, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de bodegas e inventarios.
Alta
Mayor
Eliminar
SW 08
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de bodegas e inventarios por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
42
43
Anexo 5: Controles Planteados

Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Planificacin:
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos. Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos. Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Los usuarios solo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivos para asegurar la calidad de las mismas. La mayora de las instalaciones SIS SIS SIS SIS SIS SIS 01/ 02/ 03/ 04/ 05/ 06. Todos los usuarios deberan disponer un identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal.
R6
ADM
R1
GC
La documentacin debe ser protegida contra daos o accesos no autorizados.
R2
GC
R3 DOC 01/ DOC 02/ DOC 03/ DOC 04/ R4
CA
Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento.
Se debera formalizar un procedimiento de CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Las sesiones se deberan desactivar tras un periodo definido de inactividad.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R2 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. -
HW 01 R3 CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Las caractersticas de seguridad, niveles de Las redes deben ser manejadas y controladas adecuadamente para protegerse de R4 GC amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. servicio y los requisitos de gestin de todos los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 02/ SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Se deberan Eliminar los medios de forma segura
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
R2
GC
Debera haber procedimientos para la gestin de medios informticos removibles.
y sin peligro cuando no se necesiten ms, utilizando procedimientos formales.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. HW 03 R2 SFA La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Se debera formalizar un procedimiento de
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R1 HW 0HS HW 04
CA
Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios.
R2
SFA
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. AF 01 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. -
R2
SFA
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 02/ R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados.
Las actividades del administrador y de los operadores del sistema deben ser registradas.
R2
GC
Se deberan establecer polticas, procedimientos R3 SW 01 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Se deberan establecer polticas, La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y otros. procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continu, adecuacin y efectividad. -
R4
GC
SW 02
R1
SFAS SFA
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado.

Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Manufactura:
R2
CA
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones SIS SIS SIS SIS SIS SIS SIS 07/ 08/ 09/ 10/ 11/ 12/ 13. Todos los usuarios deberan disponer un identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
R1
GC
R2
GC
R3 DOC 05/ DOC 06/ R4
CA
R2
GC
R1 HW 0HS HW 08
CA
R2
SFA
R2
SFA
R2
GC
R4
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o SW 04 R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.

Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Calidad:
R2
CA
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones Todos los usuarios deberan disponer un SIS 14/ SIS 15/ SIS 16. identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
10
R1
GC
R2
GC
R3 DOC 07/ DOC 08/ R4
CA
11
R2
GC
R1 HW 0HS HW 12
CA
R2
SFA
R2
SFA
12
R2
GC
R4
GC
13
Controles planteados para tratar los riesgos de los activos del subproceso de Bodegas e inventarios:
Id
RN R1
Clu. CA
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.
Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos.
Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones Todos los usuarios deberan disponer un SIS SIS SIS SIS 17/ 18/ 19/ 20. identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
14
R1
GC
R2
GC
R3 DOC 09 R4
CA
La seguridad fsica para oficinas, despachos y recur-sos debe ser asignada y aplicada.
15
Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 DOC 10 R2 CA CA estar basada en los requerimientos de seguridad y del negocio. Se deberan establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 14 GC Debera haber procedimientos para la gestin de medios informticos removibles. SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
R2
R1
CA
HW 16 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
R2
SFA
16
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 08 R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
R2
GC
R4
GC
17
18
Anexo 6: Guas de Implementacin
Gua de implementacin de la clusula de Poltica de Seguridad (PS)

Debera establecer el compromiso de la gerencia y el enfoque de la organizacin para gestionar la seguridad de la informacin. El documento de la poltica de seguridad debera contener como mnimo: Una definicin de seguridad de la informacin y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la informacin. El establecimiento del objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la informacin. Un marco para colocar los objetivos de control y mandos, incluyendo la estructura de evaluacin de riesgo y gestin de riesgo. Una breve explicacin de las polticas, principios, normas, y requisitos de conformidad ms importantes para la organizacin. Una definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de informacin, incluida la comunicacin de las incidencias de seguridad. Las referencias a documentacin que pueda sustentar la poltica; por ejemplo, polticas y procedimientos mucho ms detallados para sistemas de informacin especficos o las reglas de seguridad que los usuarios deberan cumplir. Esta poltica debera distribuirse por toda la organizacin, llegando hasta todos los destinatarios en una forma que se apropiada, entendible y accesible. La poltica debera tener un propietario que sea responsable del desarrollo, revisin y evaluacin de la poltica de seguridad. La revisin debe incluir oportunidades de evaluacin para mejorar la poltica de seguridad de informacin de la organizacin y un acercamiento a la gestin de seguridad de informacin en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente tcnico. La revisin de la poltica de seguridad de informacin debe tomar en cuenta los resultados de las revisiones de la gestin. Deben existir procedimientos
definidos de la gestin de revisin, incluyendo un calendario o periodo de revisin. El output para la revisin de la gestin debe incluir informacin acerca de: Mejoras en el alcance de la organizacin para gestionar seguridad de informacin y sus procesos. Mejoras en los objetivos de control controles. Mejoras en la asignacin de recursos y/o responsabilidades.
Gua de implementacin de la clusula de Seguridad fsica y ambiental (SFA)

Las siguientes pautas deben ser consideradas e implementadas donde sea apropiado para los permetros de seguridad fsicos. El permetro de seguridad debera estar claramente definido y el lugar y fuerza de cada permetro debe depender de los requerimientos de seguridad del activo entre el permetro y los resultados de la evaluacin de riesgos. El permetro de un edificio o un lugar que contenga recursos de tratamiento de informacin debera tener solidez fsica (por ejemplo no tendr zonas que puedan derribarse fcilmente). Los muros externos del lugar deberan ser slidos y todas las puertas exteriores deberan estar convenientemente protegidas contra accesos no autorizados, por ejemplo, con mecanismos de control, alarmas, rejas, etc. Las ventanas y puertas deben estar cerradas con llave cuando estn desatendidas. Se debera instalar un rea de recepcin manual u otros medios de control del acceso fsico al edificio o lugar. Dicho acceso se debera permitir solo al personal autorizado. Las barreras fsicas se deberan extender, si es necesario, desde el suelo real al techo real para evitar entradas no autorizadas o contaminacin del entorno. Se debera instalar sistemas adecuados de deteccin de intrusos de acuerdo a estndares regionales, nacionales o internacionales y deben ser regularmente probados. Los recursos de procesamiento de informacin manejadas por la organizacin deben ser fsicamente separadas de las que son manejadas por externos. Para los controles fsicos de entrada deberan considerarse las siguientes pautas: Las visitas a las areas seguras se deberan supervisar, a menos que el acceso haya sido aprobado previamente, y se debe registrar la fecha y momento de entrada y salida. Los visitantes solo tendrn acceso para propsitos especficos y autorizados, proporcionndoles instrucciones sobre los requisitos de seguridad del rea y los procedimientos de emergencia. Se debera controlar y restringir solo al personal autorizado el acceso a la informacin sensible y al tratamiento de los recursos. Se deberan usar
controles
de
autenticacin,
por
ejemplo,
tarjetas
con
nmero
de
identificacin personal (PIN), para autorizar y validar el acceso. Se debera mantener un rastro auditable de todos los accesos, con las debidas medidas de seguridad. Se debera exigir a todo el personal que lleve puesta alguna forma de identificacin visible y se le pedir que solicite a los extraos no acompaados y a cualquiera que no lleve dicha identificacin visible, que se identifique. Se debe garantizar el acceso restringido al personal de apoyo tercerizado, hacia reas de seguridad o a los recursos de procesamiento de informacin sensibles, solo cuando este sea requerido. Este acceso debe ser autorizado y monitoreado. Se deberan revisar y actualizar regularmente los derechos de acceso a las reas de seguridad. Para la seguridad fsica de las oficinas se deberan considerar las siguientes pautas: Se debera tomar en cuenta regulaciones y estndares de salud y seguridad. Se deben instalar equipos con clave para evitar el acceso del pblico. Donde sea aplicable, los edificios deben ser discretos y deben dar una mnima indicacin de su propsito, sin signos obvios, fuera o dentro del edificio, que identifiquen la presencia de actividades de tratamiento de informacin. Los directorios y las guas telefnicas internas identificando locaciones de los recursos de informacin sensible no deben ser fcilmente accesibles por el pblico.
Gua de implementacin de la clusula de Gestin de comunicaciones y operaciones (GC)

Para proteger la documentacin de sistemas de accesos no autorizados se debera considerar las siguientes pautas: La documentacin de sistemas se debera almacenar con seguridad. La lista de acceso a la documentacin se sistemas se debera limitar al mximo, y ser autorizada por el propietario de la aplicacin. La documentacin de sistemas mantenida en una red pblica o suministrada va una red pblica, se debera proteger adecuadamente. Por otro lado, los registros de auditora deberan incluir, cuando sea relevante: Identificaciones de usuarios. Fecha y hora de conexin y desconexin. Identidad del terminal o locacin si es posible. Registros de xito y fracaso de los intentos de acceso al sistema. Registros de xito o fracaso de datos y de otros intentos de acceso a recursos. Cambios en la configuracin del sistema. Uso de privilegios. Uso de las instalaciones y aplicaciones del sistema. Archivos accedidos y el tipo de acceso. Direcciones de red y protocolo. Las alarmas realizadas por el sistema de control de accesos. Activacin y desactivacin de los sistemas de proteccin, como los sistemas antivirus y los sistemas de deteccin de intrusos. El nivel de monitoreo requerido para las instalaciones individuales debe ser determinado por una evaluacin de riesgos. Una organizacin debe cumplir con todos los requerimientos legales aplicables a sus actividades de monitoreo. Las reas que deben ser consideradas incluyen: Acceso autorizado, incluyendo detalles como: La identificacin del usuario. La fecha y hora de los eventos clave. El tipo de evento. 6
Los archivos ingresados. El programa o recursos utilizados. Todas las operaciones privilegiadas como: Uso de cuentas privilegiadas, como supervisores, administradores. Puesta en marcha y parada del sistema. Conexin o desconexin de un recurso de entrada o salida. Intentos de accesos no autorizados, como: Intentos fallidos. Acciones con fallas o rechazadas que involucran datos y otros recursos. Violaciones a la poltica de acceso y las notificaciones de los firewalls y entradas de red. Las alertas de los sistemas de deteccin de intrusos del propietario. Alertas o fallas del sistema, como: Alertas o mensajes de consola. Excepciones de registro en el sistema. Alarmas de la gerencia de red. Alarmas levantadas por los sistemas de control de accesos. Cambios o intentos de cambio a la configuracin y controles de los sistemas de seguridad.
Gua de implementacin de la clusula de Control de accesos (CA)

Se deberan establecer claramente en una poltica de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lgicos y fsicos y estos deben ser considerados juntos. Se debera dar a los usuarios y proveedores de servicios una especificacin clara de los requisitos de negocio cubiertos por los controles de acceso. Esta poltica debera contemplar lo siguiente: Requisitos de seguridad de cada aplicacin de negocio individualmente. Identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando. Polticas para la distribucin de la informacin y las autorizaciones. Coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes. Legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios. Perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajo. Administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin. Segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos. Se debera controlar el acceso a los servicios de informacin multiusuario mediante un proceso formal de registro, que debera incluir: La utilizacin de un identificados nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarse de sus acciones. La comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio y su consistencia con la poltica de seguridad de la organizacin. La entrega a los usuarios de una relacin escrita de sus derechos de acceso.
La peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso. La garanta de que no se provea acceso al servicio hasta que se haya completado los proceso de autorizacin. El mantenimiento de un registro formalizado de todos los autorizados para usar el servicio. La eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella. La revisin peridica y eliminacin de identificadores y cuentas de usuarios redundantes.
Se debera controlar la asignacin de privilegios, por un proceso formal de autorizacin en los sistemas multiusuario. Se deberan considerar los pasos siguientes: Identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin. Asignar privilegios a los individuos segn los principios de necesidad de sus uso y caso por caso y en lnea con la poltica de control de acceso. Mantener un proceso de autorizacin y un registro de todos los privilegios asignados. Promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios. El proceso de controlar la asignacin de contraseas debe incluir los siguientes requisitos: Requerir que los usuarios firmen un compromiso para mantener secreto sus contraseas personales y las compartidas por un grupo solo entre los miembros de dicho grupo. Proporcionar inicialmente una contrasea temporal segura que
forzosamente deben cambiar inmediatamente despus. Establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal.
Establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico.
Las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias. Los usuarios deberan remitir acuse de recibo de sus contraseas.
10
Gua de implementacin de la clusula de Adquisicin, desarrollo y mantenimiento de sistemas de informacin (ADM)

Para minimizar la corrupcin de los sistemas de informacin, se deberan mantener estrictos controles sobre la implantacin de cambios. La introduccin de nuevos sistemas y cambios mayores al sistema existente debe seguir un proceso formal de documentacin, especificacin, prueba, control de calidad e implementacin. Este proceso debe incluir una evaluacin de riesgos, un anlisis de los impactos de los cambios y una especificacin de los controles de seguridad necesarios. Este proceso debe tambin asegurar que no se comprometa la seguridad y los procedimientos de control existentes, que a los programadores de soporte se les d acceso solo a partes del sistema necesarias para su trabajo y que se debe tener una aprobacin y acuerdo formal para cualquier cambio. La aplicacin y sus procedimientos de control de cambios deberan estar
integrados siempre que sea posible. Este proceso debera incluir: El mantenimiento de un registro de los niveles de autorizacin acordados. La garanta de que los cambios se realizan por usuarios autorizados. La revisin de los controles y procedimientos de integridad para asegurarse que los cambios no los debilitan. La identificacin de todo el software, informacin, entidades de bases de datos y hardware que requiera mejora. La obtencin de la aprobacin formal para propuestas detalladas antes de empezar el trabajo. La garanta de la aceptacin por parte del usuario autorizado de los cambios antes de cualquier implantacin. Adems se deberan revisar y probar las aplicaciones cuando se efecten cambios. Este proceso debera incluir: La revisin de los procedimientos de control de la aplicacin y de la integridad para asegurar que los cambios en el sistema operativo no han sido comprometidos. La garanta de que el plan de soporte anual y el presupuesto cubren las revisiones y las pruebas del sistema que requieran los cambios del sistema operativo. 11
La garanta de que la modificacin de los cambios del sistema operativo se realiza a tiempo para que puedan hacerse las revisiones apropiadas antes de su implantacin.
12
Anexo 7: Polticas Planteadas
Poltica de Asignacin de equipos de cmputo, telefona y celulares

I. Objetivo: Regular la administracin de la asignacin de equipos de cmputo, telefona y celulares a personal de la empresa.
II. Alcance: Esta poltica contempla a todos los equipos de cmputo, telefona y celulares que el rea de Sistemas tiene a su cargo y que pueda ser asignado permanente o temporalmente a personal de la empresa, incluyendo a empleados, practicantes y personal de outsourcing. Esta poltica establece los lineamientos acerca de la solicitud, aprobacin, asignacin o reasignacin, y desincorporacin por
obsolescencia de los equipos de cmputo y celulares. III. Definiciones:
Equipos de cmputo y telefona: Cualquier dispositivo que el rea de Sistemas administra y suministra al personal que lo requiera, tales como: PCs, laptops, impresoras, telfonos fijos, entre otros.
Celulares: Equipos celulares contratados a operadores de telefona local que el rea de Sistemas administra y suministra al personal que lo requiera.
IV. Poltica:
A continuacin se detalla la descripcin de la presente poltica. Es responsabilidad de la Gerencia de Sistemas evaluar las alternativas tecnolgicas existentes en el mercado con la finalidad de proveer equipos de computacin acordes con los requerimientos de la Empresa . La Gerencia de Sistemas deber elaborar anualmente los planes de adquisicin de equipos de cmputo y celulares que requiera la Compaa tomando como base los estndares aprobados y lo establecido en la poltica de activos fijos de la empresa. Toda solicitud de equipos de cmputo y celulares deber ser realizada por la Gerencia del usuario solicitante a travs del responsable designado por la
Gerencia de Sistemas, previa aprobacin del Director o Gerente del rea correspondiente y de la Gerencia de Sistemas, con los tiempos de anticipacin establecidos. Dicha aprobacin deber contar con el sustento del requerimiento de acuerdo con las funciones y puesto del usuario solicitante.
Es responsabilidad del rea de compras evaluar los posibles proveedores y realizar las compras de los equipos recomendados por la Gerencia de Sistemas de Informacin o Tecnologa de Informacin para satisfacer los requerimientos de la Empresa de acuerdo a lo establecido en la poltica de Compras del rea Andina y sobre la base de los acuerdos corporativos establecidos.
En aquellos casos donde el activo a adquirir no se comercialice en el pas y localidad solicitante y el tiempo de entrega pueda exceder lo contemplado inicialmente, la Gerencia de Sistemas deber notificar al usuario solicitante la fecha estimada de entrega del equipo solicitado.
La asignacin, reasignacin, administracin, distribucin y mantenimiento de los equipos de cmputo es responsabilidad de la Gerencia de Sistemas. Para el caso de los mantenimientos y gestiones referidas al cumplimiento de garantas, la Gerencia de Sistemas deber canalizarlo a travs de los proveedores correspondientes.
Todos los movimientos de equipos de cmputo sern efectuados por la Gerencia de Sistemas previa solicitud del rea que lo requiera y debern ser notificados inmediatamente a la Gerencia o Coordinacin de Contabilidad para su incorporacin o actualizacin en el sistema contable respectivo.
La Gerencia de Sistemas deber evaluar y proveer a los usuarios, los equipos que satisfagan la carga de trabajo requerida y las ventajas tcnicas adicionales de acuerdo a su funcin y puesto.
Toda solicitud de equipos que no se encuentren definidos bajo los estndares de la compaa, no cumplan con la normativa establecida en esta poltica y puedan ser catalogados como riesgosos para la Compaa, debern ser autorizados por la Gerencia de Sistemas.
Ser responsabilidad de la Gerencia de Sistemas atender todas las solicitudes y reclamos a travs del Service Desk o Soporte de Comunicaciones, segn sea el caso.
V. Disposiciones particulares:
Auditora y Revisin La Gerencia de Sistemas ser la responsable de realizar revisiones peridicas (cada 6 meses) de la presente poltica a fin de revisar si existe algn cambio relevante que deba ser indicado en el presente documento.
Excepciones Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
Sanciones Las acciones que incumplan al presente procedimiento se harn efectivas de acuerdo con la falta cometida y a la evaluacin realizada por las Gerencias competentes.
Poltica para el desarrollo de aplicaciones

I. Objetivo: Contemplar aspectos de seguridad de informacin a ser incluidos dentro de los sistemas de informacin aplicando mejores prcticas y lineamientos en el desarrollo de aplicaciones. II. Alcance:
Este lineamiento incluye textos de la norma ISO/IEC 17799 (2002 y 2005) y de la metodologa de desarrollo de aplicaciones en la plataforma Microsoft, a fin de considerarlos como mejores prcticas en seguridad de la informacin a ser incluidos en los sistemas de informacin desarrollados y utilizados en la Compaa. Este lineamiento contempla la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuarios.
III. Lineamientos Generales: A continuacin se detalla la descripcin del presente lineamiento referente al proceso de desarrollo de sistemas.
Indicar explcitamente en los requerimientos del negocio para sistemas nuevos o mejoras a sistemas existentes los controles de aplicacin que van a ser implementados en el desarrollo de las mismas. Dichas especificaciones deberan considerar los controles automatizados a ser incorporados en el sistema y la necesidad de controles manuales de apoyo. Se deberan aplicar consideraciones similares cuando se evalen paquetes de software para aplicaciones de negocio.
Validar los datos de entrada a las aplicaciones del sistema para garantizar que estos sean ingresados de manera correcta y apropiada. Se deberan aplicar verificaciones a la entrada de las transacciones , de los datos de referencia (por ejemplo nombres y direcciones, lmites de crdito, nmeros de clientes) y de las tablas de parmetros (por ejemplo precios de venta, tasas de cambio de monedas, tasas de impuestos, entre otros).
Verificar que los datos ingresados al sistema no hayan sido corrompidos por errores del proceso o por actos deliberados. Se deberan incorporar a los sistemas, comprobaciones de validacin para detectar dicha corrupcin. El 5
diseo de las aplicaciones debera asegurar la implantacin de controles que minimicen el riesgo de los fallos del proceso con prdidas de integridad.
Los controles requeridos dependern del diseo de la aplicacin y de la complejidad de la corrupcin de los datos que puedan impactar en el negocio. Validar los datos de salida de los sistemas de informacin para garantizar que el proceso de la informacin ha sido correcto y ha culminado
satisfactoriamente a travs de controles de aplicacin. Dichos controles incluirn la validacin, verificacin y prueba de los datos.
Los controles criptogrficos se podran determinar previamente, desde el diseo del sistema como posteriormente, luego de la evaluacin de riesgos. Dependiendo del momento en que se definan dichos controles, se podr especificar si las medidas criptogrficas son aplicables al sistema de informacin y se podr definir qu tipo de control criptogrfico se debera aplicar, con qu propsito y en qu procesos del negocio.
Para asegurar que cualquier modificacin de los archivos, libreras o cualquier objeto de los programas fuentes sean manejados a cabo de una forma segura, se deberan tomar en cuenta los siguientes controles: Control del software en produccin, proteccin de los datos de prueba del sistema, control de acceso a las libreras de programas fuente.
Se deberan revisar y probar las aplicaciones del sistema cuando se efecten cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad.
No se recomiendan modificaciones a los paquetes de software. Se deberan usar los paquetes de software suministrados por los proveedores sin modificacin en la medida que sea factible.
Considerar los siguientes controles a fin de mitigar posible cdigo malicioso o encubierto en los sistemas de informacin o software: o o o o o Adquirir programas solamente de fuente confiable; Adquirir programas en cdigo fuente de tal forma que el cdigo pueda ser verificado Utilizar productos evaluados Inspeccionar todo cdigo fuente antes de su uso operativo Controlar el acceso y las modificaciones en todo cdigo una vez implementado
Utilizar personal de confianza para trabajar en los sistemas clave del negocio
Se deberan considerar los siguientes controles cuando se tercerice el desarrollo de software: o Acuerdos bajo licencia, acuerdos de confidencialidad de informacin, propiedad del cdigo y derechos de propiedad intelectual. o o o o o Certificacin de la calidad y exactitud del trabajo realizado. Acuerdos acerca de fallas posteriores a la implementacin. Derechos de acceso para auditar la calidad y exactitud del trabajo realizado. Requisitos contractuales sobre la calidad del cdigo. Pruebas antes de la implantacin para detectar posible cdigo malicioso o encubierto.
VI. Disposiciones particulares:
Poltica para los cambios a sistemas de aplicacin I. Objetivo:

El objetivo de la presente poltica es definir los lineamientos a seguir en el proceso de Change Management para todas las modificaciones (incidentes o mejoras) para aplicaciones locales pertenecientes a la plataforma Windows, como as tambin los requisitos mnimos que deben cumplir los proyectos de implementacin o cambio de versin de sistemas aplicativos locales.
II. Alcance:
Se encuentran alcanzadas por la presente poltica todas las aplicaciones de la plataforma Windows que cumplan con alguna de las siguientes caractersticas: a. Aplicaciones desarrolladas por el equipo de Soporte local. b. Aplicaciones desarrolladas por consultoras externas, pero cuyo cdigo fuente sea propiedad de la empresa. c. Aplicaciones de terceros sujetas a cambios realizados por el equipo de Soporte. En este caso solo se mantendrn los objetos a ser modificados.
Asimismo, se encuentran alcanzados todos los proyectos de implementacin o cambio de versin de sistemas aplicativos locales. III. Lineamientos Generales:
1) Procedimiento de manejo de Cdigos Fuente Se deben mantener en lnea las ltimas dos versiones del cdigo fuente u objetos a ser modificados. La administracin del cdigo fuente de las aplicaciones u objetos a ser modificados es realizada nicamente por parte de los Managers y Project Managers del rea de sistemas. Dentro del directorio debe existir un directorio con el nombre de la aplicacin a resguardar y una subcarpeta con cada versin de la misma. Cada actualizacin de cdigos fuentes debe ir acompaada por un archivo log indicando las modificaciones realizadas a dicho cdigo fuente.
En el caso de requerirse por parte de un programador o consultor externo, la ltima versin del cdigo fuente de una aplicacin, se deber solicitar el mismo al Project Manager responsable del control de la aplicacin a ser modificada. Tanto la solicitud de cdigos fuentes como la entrega de nuevas versiones de cdigos fuentes deben quedar registradas en un mail.
2) Procedimiento de Change Manegement aprobacin sobre cambios a los aplicativos, puesta en produccin y test. El procedimiento de Change Manangement ser administrado a travs de la aplicacin ClearQuest. En ClearQuest deber existir un Group dentro del Systemgroup de Sistemas de Cono Sur para cada una de las aplicaciones alcanzadas por el procedimiento de Change Management. De
requerirse, se podr separar los Grupos por mdulos de la aplicacin. En el caso de tratarse de aplicaciones de terceros, todo cambio en las mismas deber ser informado previamente a sistemas,
crendose un CR que respalde cualquier tipo de modificacin. En el caso de existir cambios no informados por el usuario o el proveedor, se informar a los responsables de las reas involucradas a los efectos de tomar las acciones correctivas necesarias.
Poltica de proteccin de la informacin propietaria y de escritorio limpio I. Objetivo:

Esta poltica tiene por objeto establecer pautas y lineamientos de conducta afectados a la proteccin, guarda y conservacin segura de la documentacin y/o informacin sensitiva y confidencial del negocio. Es objeto de sta poltica, alentar a todos los empleados a modificar sus hbitos de conducta, en virtud de asegurar la confidencialidad de la documentacin propietaria y de toda documentacin compaa que por determinada razn, accedan o posean en forma circunstancial. Se define Informacin Propietaria como cualquier informacin que incluya datos sensibles y confidenciales sobre los empleados y las operaciones de la empresa. Algunos ejemplos son: Informes financieros, frmulas, documentos legales, investigacin de mercado. Las direcciones de e-mail, nmeros de telfono del lugar de trabajo, y los particulares del personal y las planillas de sueldos son tambin considerados Informacin Propietaria.
II. Alcance:
Las pautas y lineamientos establecidos en esta norma, son de aplicacin y cumplimiento asociado a TODAS las tareas, funciones y responsabilidades de TODOS los empleados de la empresa.
III. Pautas de custodia y resguardo de informacin y documentacin:

Los siguientes principios proporcionan una gua para asegurar que nuestro mbito de trabajo, se transforme en un lugar seguro y afectado al resguardo de la documentacin y/o informacin sensitiva y confidencial, asociada con las actividades de negocios de la empresa. Deber Ud. ser consciente de la informacin y prcticas de negocios que puedan dar a un competidor ventajas sobre usted o la Compaa.
Siempre sepa con quin se est comunicando. Verifique la identidad de cualquiera que diga que es de una compaa que trabaja con la empresa.
10
Obtenga el nombre de la persona, empresa, nmero telefnico y su nmero de documento y llame a la Compaa para verificar que la persona sea un empleado.
No revele informacin personal o de negocios sin antes saber cmo ser utilizada. No incluya informacin sensible del negocio en e-mail (a menos que utilice un encriptado aprobado). Nunca discuta informacin sensible de la Compaa por telfono. Nunca hable de informacin sensible del negocio en lugares pblicos. No discuta informacin sensible con personas ajenas a la Compaa, a menos que tenga una necesidad de saber. Deshgase de informacin de la Compaa siguiendo las polticas de manejo de documentacin de la Compaa, retencin y eliminacin.
Oficinas Privadas:
Los empleados que ocupan una oficina total o parcialmente cerrada, debern resguardar documentacin e informacin propietaria / activos, en mobiliarios, cajas de seguridad (cuando se trate de valores, certificaciones de propiedad u otra documentacin similar) o cajoneras personales, con cerraduras de seguridad con llave.
Ser responsabilidad de los empleados ocupantes de oficinas, contemplar los riesgos inherentes a la seguridad de la informacin sensible en su poder, solicitando al responsable del sector de Servicio de Oficina, todos los elementos necesarios para asegurar la guarda y conservacin de los mismos.
En todos los casos, el empleado deber contemplar el estado de seguridad de la documentacin y de los bienes asignados en sus momentos de ausencia, limitando el posible acceso a su oficina y/o practicando su guarda bajo llave.
Los empleados poseedores de oficinas, sern nicos responsables por la prdida, extravo o destruccin de la documentacin y/o de los bienes asignados, siempre que no se verifique una violacin expresa al recinto y/o a los instrumentos elegidos para guarda y conservacin.
11
Los empleados que ocupan oficinas privadas no podrn limitar el acceso a las mismas al finalizar su jornada laboral o durante perodos prolongados de ausencia, permitiendo el aseo y mantenimiento del recinto. Esta accin, no limita su responsabilidad y deber contemplar, segn se establece en los puntos anteriores, la correcta guarda y conservacin de los elementos y de la informacin sensible del negocio.
Espacios de trabajo abiertos:
Los empleados que trabajen en espacios abiertos (ubicaciones de piso de administracin) debern contemplar los riesgos inherentes a la seguridad de la informacin sensible en su poder, y solicitar al responsable del sector de Servicio de Oficina, todos los elementos necesarios para asegurar la guarda y conservacin de los mismos.
Con el objeto de minimizar riesgos, los empleados que trabajen en espacios abiertos, debern asegurarse que el mobiliario asignado (cajones, muebles, etc.) posea la capacidad adecuada a los efectos de archivo sectorial, con cerradura y llave por duplicado.
Los empleados debern identificar las llaves y entregarn copia de stas al responsable del rea o sector al que pertenecen, a los efectos de permitir el acceso a la documentacin a dicho responsable, en caso de ausencia del empleado y bajo necesidad de urgencia.
Cuando la documentacin supere en volumen de capacidad al mobiliario asignado, dicha documentacin deber ser clasificada y claramente identificada, para ser remitida al Archivo General de la Organizacin.
IV. Disposiciones generales:

La poltica de Proteccin de la Informacin Propietaria (POPI) y de Escritorio Limpio requiere a TODOS los empleados que:
Protejan la informacin sensible del negocio como por ejemplo, toda informacin de planeamiento comercial o financiero y documentos contables, anlisis de investigacin de mercado, desarrollo de nuevos producto, planes de fabricacin y produccin, estrategias de venta, informacin del personal, informacin del cliente y/o consumidor, etc.; del robo o acceso / uso no autorizados.
12
Aseguren la informacin sensible cuando no se encuentran en su espacio laboral luego del horario de trabajo, cuando estn de viaje de negocios / feriados / vacaciones o, cuando utilizan impresoras, fotocopiadoras o equipos de fax comunitarios.
Resguarden todos los elementos y documentos sensibles de negocios, disquetes de computadora, discos compactos y equipos de computacin porttiles tales como computadoras laptop, PDAs, equipos inalmbricos de correo electrnico, telfonos celulares, videos y otros, utilizando: Un compartimento bajo llave, como un cajn de escritorio o un gabinete. Cerraduras para asegurar dentro de los lmites de oficinas, que la misma permanezca cerrada durante los perodos de ausencia, siempre que algn responsable del sector conserve copia de la llave de ingreso para asegurar aseo y mantenimiento del recinto. Elementos, que en el caso de las computadoras porttiles, se pueden asegurar a su terminal con un seguro / cable especial, diseado para este propsito; las computadoras personales, deben ser apagadas al final de cada da laboral. Contraseas seguras y acceso restringido a las computadoras personales, las cuales deben apagarse al finalizar la jornada laboral y las contraseas deben ser protegidas en forma adecuada, no deben ser escritas y ocultas en lugares predecibles o pegadas en un papel debajo del escritorio, etc. Protectores de pantalla activos durante la jornada laboral, cuando los empleados estn ausentes de sus oficinas o fuera del rea de trabajo inmediato, con contraseas que se activan automticamente despus de transcurrido un perodo designado de inactividad.
Los empleados notificaran al responsable del sector de Servicio de Oficina, de todos los elementos de seguridad faltantes o en condiciones de reparacin, necesarios para asegurar la guarda y conservacin de los mismos, e informarn a la gerencia del rea o sector del pedido realizado, al momento de efectuarse el mismo.
13
Poltica de administracin de usuarios privilegiados I. Objetivo:

Regular la definicin y la administracin de los usuarios administradores de los sistemas operativos y software de base (usuarios privilegiados).
II. Alcance:
Esta poltica contempla a todos los usuarios administradores existentes en los sistemas operativos y software de base como recursos esenciales para la instalacin y administracin de dichos sistemas (Administradores en Servidores Windows 2000, Administradores de Bases de datos, Administradores en los equipos de comunicacin, entre otros).
III. Definiciones:
Sobre lacrado: sobre de papel, el cual es cerrado de manera que se pueda evidenciar la violacin del mismo, a travs de alguna ruptura u otro mecanismo que asegure que la informacin contenida dentro del mismo ha sido comprometida. Dentro del sobre lacrado se colocarn las contraseas de los usuarios privilegiados. Dicho sobre deber mostrar exteriormente la fecha del lacrado, as como el nombre de la persona que lo lacr.
IV. Poltica:
A continuacin se detalla la descripcin de la presente poltica.
De ser tcnicamente posible, todos los usuarios que por defecto incorporen los sistemas operativos y software de base debern ser renombrados o inhabilitados y reemplazados por otros, contando con los mismos atributos, pero con nombres y contraseas diferentes, a fin de que en caso de intentos de penetracin a la seguridad establecida, no resulte obvio el nombre de los mismos. Todos los usuarios privilegiados existentes debern ser
debidamente documentados por el Lder de Proyectos de Tecnologa.
Los nombres que se generen debern respetar un estndar definido por el Lder de Proyectos de Tecnologa (segn los estndares corporativos), y deben pasar por desapercibidos frente a los dems usuarios.
No debe existir en las plataformas ms de un usuario con estas caractersticas. Las excepciones debern ser justificadas tcnica y
14
funcionalmente por el mximo responsable de la plataforma tecnolgica, y debern ser autorizadas por el Lder de Proyectos.
Estos usuarios no debern ser utilizados para tareas de administracin de la seguridad y su actividad deber ser auditada mediante la revisin de los registros en los logs correspondientes.
Los
usuarios
privilegiados
solo
debern
ser
utilizados
para
las
circunstancias estrictamente necesarias como son la instalacin de software, procesos o actividades de administracin que no puedan ser llevados a cabo por usuarios de menor acceso o menores privilegios. Las cuentas de los usuarios privilegiados (Administrador, root, sa) deben ser utilizadas, salvo en casos de emergencia o incidentes, quedando debidamente documentados en la Bitcora de utilizacin especial de contraseas de usuarios privilegiados.
Es de responsabilidad directa del Lder de Proyectos de Tecnologa, el conocimiento de las contraseas de los usuarios privilegiados. El ser el responsable de controlar su conocimiento, y de existir algn indicio en el compromiso de las contraseas, ser el responsable de cambiarlas inmediatamente.
Las contraseas de los usuarios privilegiados debern ser guardadas en un sobre lacrado en custodia del Gerente de Sistemas bajo llave. Una copia del mismo, deber ser custodiada por el Responsable de Security&Controls. En caso surja algn incidente en el cual no se encuentre el Lder de Proyectos de Tecnologa y se necesite de las contraseas de acceso de los usuarios privilegiados, el Gerente de Sistemas deber abrir el sobre lacrado. Cualquier incidente que requiera romper las contraseas contenidas en el sobre lacrado debern ser registradas en la Bitcora de utilizacin especial de contraseas de usuarios privilegiados.
En caso el Gerente de Sistemas ni el Lder de Proyectos de Tecnologa se encuentren y sea necesario romper las contraseas, el Lder de Proyectos de Security&Controls ser el responsable de abrir el sobre lacrado y utilizar las contraseas necesarias.
En caso el sobre lacrado se abra por alguna emergencia o incidente, el Lder de Proyectos de Tecnologa deber cambiar las contraseas utilizadas, destruir los sobres lacrados existentes y deber guardar las nuevas contraseas en sobres lacrados nuevos. Dicho sobre deber ser
15
custodiado por el Gerente de Sistemas bajo llave y una copia del mismo deber ser custodiado por el Responsable de Security&Controls.
Auditora y Revisin El Responsable de Security & Controls ser responsable de realizar revisiones peridicas (cada 6 meses) de los sobres lacrados, para lo cual el Gerente de Sistemas firmar su revisin en el formato de revisin.
16
Poltica de retencin de documentos I. Objetivo:

Establecer los lineamientos que regirn el proceso de retencin de los documentos que se generan en las diferentes reas de la Compaa a fin de asegurar la integridad de la informacin que soporta las operaciones contables, financieras, legales y administrativas y cumplir con las leyes y reglamentos que regulan la retencin de los documentos.
II. Alcance:
Esta poltica es aplicable a todas las unidades de negocio, responsables de la custodia de los documentos contables, financieros, legales y administrativos que se deriven de las operaciones de la Compaa.
III. Definiciones:
Documentos contables: Se refiere a los Libros originales de entradas contables que incluyen, Libros de Ventas, el balance general y los balances subsidiarios, los registros de facturas relacionados y los archivos informales y memorandos como hojas de trabajo que apoyen asignaciones de costos, confirmaciones y conciliaciones, facturas o recibos que soporten los gastos, inversiones, cumplimiento de obligaciones tributarias, parafiscales, entre otras de fuente legal.
Documentos financieros: Se refiere al material documental de corroboracin o soporte de registros de ndole financiero que incluye, entre otros, cheques, facturas, contratos, actas de reuniones, confirmaciones y otras
representaciones escritas.
Documentos legales: Se refiere al material documental relacionado con aspectos legales de la Compaa, tales como: Libros Corporativos: Actas de Junta Directiva, Asambleas de Accionistas y Libro de Acciones, contratos, acuerdos, convenios, archivos de arbitraje y negociaciones internacionales, opiniones legales, entre otros.
Documentos administrativos: Se contemplan en sta categora aquellos documentos de carcter administrativo, los cuales no generan operaciones o registros contables, sin embargo representan valor para la Compaa, dado que soportan sus operaciones regulares. Entre ellos encontramos: las
17
polticas, manuales de procedimientos, solicitudes de empleo, registro de proveedores, estudios de mercado, actividades de mercadeo, actividades promocionales, archivos de personal, cumplimiento de obligaciones laborales, correspondencia, entre otros.
IV. Lineamientos Generales: Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos de la Compaa, sern responsables del estricto cumplimiento de esta poltica. La retencin de los documentos en las diferentes unidades organizativas se realizar de acuerdo al perodo de tiempo establecido en los anexos a este documento Las declaraciones de impuestos, recibos y Estados Financieros sern retenidos por la Gerencia de Finanzas o unidades responsables de su emisin permanentemente, como el Departamento de Contabilidad, Cuentas por pagar, Recursos Humanos y relacionados. Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos, debern mantenerlos archivados durante el tiempo establecido para su retencin, en un lugar seguro y en condiciones idneas que garanticen su integridad, conservacin y disponibilidad para su consulta. No debern ser rayados ni mutilados. Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos, sern responsables de efectuar revisiones peridicas de sus archivos, a fin de desincorporar los documentos que hayan cumplido con el perodo de retencin establecido en esta poltica.
Excepciones
18
Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
19

Espinoza Hans Analisis Sistema Gestion Seguridad Informacion Iso Iec 27001 2005 Comercializacion Productos Consumo Masivo Anexos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Espinoza Hans Analisis Sistema Gestion Seguridad Informacion Iso Iec 27001 2005 Comercializacion Productos Consumo Masivo Anexos

Cargado por

Copyright:

Formatos disponibles

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

Anexo 1: Inventario de activos de informacin

Hans Ryan Espinoza Aguinaga 20047270

ASESOR: Dr. Manuel Tupia Anticona.

Activos del subproceso de Planificacin:

Interfaz para modificar, dar de alta y baja materiales

Interfaz para administrar pedidos de materiales

Documento fsico con lista de pedido de materiales

Documentos son las listas de pedidos de materiales.

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes del maestro de productos.

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes de las rdenes de produccin.

Documentos impresos que contienen diversos reportes de las ordenes de produccin.

Sistema de mantenimiento de Ordenes de trabajos de Produccin

Aplicacin: PRISM 7.0i Quick Scheduler Plataforma: AS400

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes de las rdenes de produccin.

Documentos impresos que contienen diversos reportes de la ejecucin de ordenes de produccin.

PC's en el rea de Planificacin Discos Duro: 500 GB

Cintas de back up Proveedor para custodia: Iron Mountain Per

Dispositivo (robot) para generar back ups

Cmaras de vigilancia ubicadas en las oficinas de planificacin.

Impresoras ubicadas en las oficinas de planificacin.

Correos electrnicos de los usuarios y empleados que participan en este subproceso.

Microsoft Exchange Server

Microsoft Outlook 2010

Medios de almacenamiento electrnico porttil (CD/DVD/USB)

Activos del subproceso de Manufactura:

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes de la trazabilidad de materiales en un programa de produccin

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes de los consumos de materiales

Interfaz de declaracin de producto terminado

Aplicacin: PRISM 7.0i Production Analysis Plataforma: AS400

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

PC's en planta Discos Duro: 500 GB

Dispositivo (robot) para generar back ups

Cmaras de vigilancia ubicadas en las reas de manufactura.

Impresoras ubicadas en las reas de manufactura.

Medios de almacenamiento electrnico porttil (CD/DVD/USB)

Medios de almacenamiento que se encuentran en las reas de manufactura.

Activos del subproceso de Calidad:

Interfaz de control del procesos de Calidad

Aplicacin: PRISM 7.0i Quality Management Plataforma: AS400

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Documento fsico con reportes de resultados de los controles de calidad

Tipo de aplicacin: Cliente/Servidor (Package)

Servidor de base de datos relacional: IBM DB2

Sistema de seguimiento de produccin (q-plant)

PC's en las oficinas de Calidad

Discos Duro: 500 GB

Dispositivo (robot) para generar back ups

Cmaras de vigilancia ubicadas en las oficinas de calidad.